Partilhar via


Compreender e utilizar as capacidades de redução da superfície de ataque

Aplica-se a:

Plataformas

  • Windows

Sugestão

Quer experimentar o Microsoft Defender para Ponto Final? Inscrever-se para uma avaliação gratuita.

As superfícies de ataque são todos os locais onde a sua organização está vulnerável a ciberameaças e ataques. O Defender para Endpoint inclui várias funcionalidades para ajudar a reduzir as superfícies de ataque. Veja o seguinte vídeo para saber mais sobre a redução da superfície de ataque.

Configurar capacidades de redução da superfície de ataque

Para configurar a redução da superfície de ataque no seu ambiente, siga estes passos:

  1. Ativar o isolamento baseado em hardware para o Microsoft Edge.

  2. Ative as regras de redução da superfície de ataque.

  3. Ativar o controlo de aplicações.

    1. Reveja as políticas de base no Windows. Veja Exemplos de Políticas de Base.

    2. Veja o Guia de conceção do Controlo de Aplicações do Windows Defender.

    3. Veja Implementar políticas de Controlo de Aplicações do Windows Defender (WDAC).

  4. Ativar o acesso controlado a pastas.

  5. Ativar o controlo do dispositivo.

  6. Ative a proteção de rede.

  7. Ativar a proteção Web.

  8. Ativar a proteção contra exploits.

  9. Configure a firewall de rede.

    1. Obtenha uma descrição geral da Firewall do Windows com segurança avançada.

    2. Utilize o guia de conceção da Firewall do Windows para decidir como pretende estruturar as políticas de firewall.

    3. Utilize o guia de implementação da Firewall do Windows para configurar a firewall da sua organização com segurança avançada.

Sugestão

Na maioria dos casos, quando configura funcionalidades de redução da superfície de ataque, pode escolher entre vários métodos:

  • Microsoft Intune
  • Microsoft Configuration Manager
  • Política de Grupo
  • Cmdlets do PowerShell

Testar a redução da superfície de ataque no Microsoft Defender para Endpoint

Como parte da equipa de segurança da sua organização, pode configurar as capacidades de redução da superfície de ataque para serem executadas no modo de auditoria para ver como funcionam. Pode ativar as seguintes funcionalidades de segurança de redução da superfície de ataque no modo de auditoria:

  • Regras de redução da superfície de ataque
  • Proteção contra exploits
  • Proteção da rede
  • Acesso controlado a pastas
  • Controlo do dispositivo

O modo de auditoria permite-lhe ver um registo do que teria acontecido se a funcionalidade estivesse ativada.

Pode ativar o modo de auditoria ao testar o funcionamento das funcionalidades. Ativar o modo de auditoria apenas para testes ajuda a impedir que o modo de auditoria afete as suas aplicações de linha de negócio. Também pode ter uma ideia de quantas tentativas suspeitas de modificação de ficheiros ocorrem durante um determinado período de tempo.

As funcionalidades não bloqueiam nem impedem a modificação de aplicações, scripts ou ficheiros. No entanto, o Registo de Eventos do Windows regista eventos como se as funcionalidades estivessem totalmente ativadas. Com o modo de auditoria, pode rever o registo de eventos para ver qual o efeito que a funcionalidade teria se estivesse ativada.

Para localizar as entradas auditadas, aceda a Aplicações e Serviços>Microsoft>Windows>Windows Defender>Operacional.

Utilize o Defender para Endpoint para obter mais detalhes para cada evento. Estes detalhes são especialmente úteis para investigar regras de redução da superfície de ataque. A utilização da consola do Defender para Endpoint permite-lhe investigar problemas como parte da linha cronológica do alerta e cenários de investigação.

Pode ativar o modo de auditoria com Política de Grupo, o PowerShell e os fornecedores de serviços de configuração (CSPs).

Opções de auditoria Como ativar o modo de auditoria Como ver eventos
A auditoria aplica-se a todos os eventos Ativar o acesso controlado a pastas Eventos de acesso controlado a pastas
A auditoria aplica-se a regras individuais Passo 1: Testar as regras de redução da superfície de ataque com o Modo de auditoria Passo 2: Compreender a página relatório de regras de redução da superfície de ataque
A auditoria aplica-se a todos os eventos Ativar a proteção de rede Eventos de proteção de rede
A auditoria aplica-se a mitigações individuais Ativar a proteção contra exploits Eventos de proteção contra exploits

Por exemplo, pode testar as regras de redução da superfície de ataque no modo de auditoria antes de as ativar no modo de bloqueio. As regras de redução da superfície de ataque são predefinidas para proteger superfícies de ataque comuns e conhecidas. Existem vários métodos que pode utilizar para implementar regras de redução da superfície de ataque. O método preferencial está documentado nos seguintes artigos de implementação de regras de redução da superfície de ataque:

Ver eventos de redução da superfície de ataque

Reveja os eventos de redução da superfície de ataque no Visualizador de Eventos para monitorizar que regras ou definições estão a funcionar. Também pode determinar se as definições são demasiado "ruidosas" ou afetam o seu fluxo de trabalho diário.

Rever eventos é útil quando está a avaliar as funcionalidades. Pode ativar o modo de auditoria para funcionalidades ou definições e, em seguida, rever o que teria acontecido se estivessem totalmente ativados.

Esta secção lista todos os eventos, a respetiva funcionalidade ou definição associada e descreve como criar vistas personalizadas para filtrar eventos específicos.

Obtenha relatórios detalhados sobre eventos, blocos e avisos como parte do Segurança do Windows se tiver uma subscrição E5 e utilizar Microsoft Defender para Endpoint.

Utilizar vistas personalizadas para rever as capacidades de redução da superfície de ataque

Crie vistas personalizadas no Windows Visualizador de Eventos para ver apenas eventos para capacidades e definições específicas. A forma mais fácil é importar uma vista personalizada como um ficheiro XML. Pode copiar o XML diretamente a partir desta página.

Também pode navegar manualmente para a área de eventos que corresponde à funcionalidade.

Importar uma vista personalizada XML existente

  1. Crie um ficheiro .txt vazio e copie o XML para a vista personalizada que pretende utilizar no ficheiro .txt. Efetue este procedimento para cada uma das vistas personalizadas que pretende utilizar. Mude o nome dos ficheiros da seguinte forma (certifique-se de que altera o tipo de .txt para .xml):

    • Vista personalizada de eventos de acesso controlado a pastas: cfa-events.xml
    • Vista personalizada de eventos de proteção contra exploits: ep-events.xml
    • Vista personalizada de eventos de redução da superfície de ataque: asr-events.xml
    • Vista personalizada de eventos de rede/proteção: np-events.xml
  2. Escreva visualizador de eventos no menu Iniciar e abra Visualizador de Eventos.

  3. Selecione Importar Ação>Vista Personalizada...

    Animação a realçar Importar vista personalizada à esquerda da janela Visualizador Par.

  4. Navegue para onde extraiu o ficheiro XML para a vista personalizada que pretende e selecione-o.

  5. Selecione Abrir.

  6. Cria uma vista personalizada que filtra para mostrar apenas os eventos relacionados com essa funcionalidade.

Copiar o XML diretamente

  1. Escreva visualizador de eventos no menu Iniciar e abra o Visualizador de Eventos do Windows.

  2. No painel esquerdo, em Ações, selecione Criar Vista Personalizada...

    Animação a realçar a opção criar vista personalizada na janela Visualizador de eventos.

  3. Aceda ao separador XML e selecione Editar consulta manualmente. Verá um aviso a indicar que não pode editar a consulta com o separador Filtro se utilizar a opção XML. Selecione Sim.

  4. Cole o código XML da funcionalidade a partir da qual pretende filtrar eventos na secção XML.

  5. Selecione OK. Especifique um nome para o filtro. Esta ação cria uma vista personalizada que filtra para mostrar apenas os eventos relacionados com essa funcionalidade.

XML para eventos de regra de redução da superfície de ataque

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
   <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select>
   <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select>
  </Query>
</QueryList>

XML para eventos de acesso controlado a pastas

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
   <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
   <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
  </Query>
</QueryList>

XML para eventos de proteção contra exploits

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Security-Mitigations/KernelMode">
   <Select Path="Microsoft-Windows-Security-Mitigations/KernelMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Concurrency">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Contention">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Messages">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Operational">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Power">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Render">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Tracing">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/UIPI">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Security-Mitigations/UserMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
  </Query>
</QueryList>

XML para eventos de proteção de rede

<QueryList>
 <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
  <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
  <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
 </Query>
</QueryList>

Lista de eventos de redução da superfície de ataque

Todos os eventos de redução da superfície de ataque estão localizados em Aplicações e Serviços > Regista o Microsoft > Windows e, em seguida, a pasta ou fornecedor, conforme listado na tabela seguinte.

Pode aceder a estes eventos no Visualizador de Eventos do Windows:

  1. Abra o menu Iniciar, escreva visualizador de eventos e, em seguida, selecione o resultado Visualizador de Eventos.

  2. Expanda Registos de Aplicações e Serviços > do Microsoft > Windows e, em seguida, aceda à pasta listada em Fornecedor/origem na tabela abaixo.

  3. Faça duplo clique no sub item para ver eventos. Percorra os eventos para encontrar o que procura.

    Animação que mostra a utilização de Visualizador de Eventos.

Funcionalidade Fornecedor/origem ID do Evento Descrição
Proteção contra exploits Mitigações de Segurança (Modo Kernel/Modo de Utilizador) 1 Auditoria ACG
Proteção contra exploits Mitigações de Segurança (Modo Kernel/Modo de Utilizador) 2 APLICAÇÃO ACG
Proteção contra exploits Mitigações de Segurança (Modo Kernel/Modo de Utilizador) 3 Não permitir a auditoria de processos subordinados
Proteção contra exploits Mitigações de Segurança (Modo Kernel/Modo de Utilizador) 4 Não permitir o bloqueio de processos subordinados
Proteção contra exploits Mitigações de Segurança (Modo Kernel/Modo de Utilizador) 5 Bloquear auditoria de imagens de integridade baixa
Proteção contra exploits Mitigações de Segurança (Modo Kernel/Modo de Utilizador) 6 Bloquear bloco de imagens de baixa integridade
Proteção contra exploits Mitigações de Segurança (Modo Kernel/Modo de Utilizador) 7 Bloquear auditoria de imagens remotas
Proteção contra exploits Mitigações de Segurança (Modo Kernel/Modo de Utilizador) 8 Bloquear bloco de imagens remotas
Proteção contra exploits Mitigações de Segurança (Modo Kernel/Modo de Utilizador) 9 Desativar auditoria de chamadas do sistema win32k
Proteção contra exploits Mitigações de Segurança (Modo Kernel/Modo de Utilizador) 10 Desativar o bloco de chamadas do sistema win32k
Proteção contra exploits Mitigações de Segurança (Modo Kernel/Modo de Utilizador) 11 Auditoria de proteção de integridade do código
Proteção contra exploits Mitigações de Segurança (Modo Kernel/Modo de Utilizador) 12 Bloco de proteção de integridade do código
Proteção contra exploits Mitigações de Segurança (Modo Kernel/Modo de Utilizador) 13 Auditoria do EAF
Proteção contra exploits Mitigações de Segurança (Modo Kernel/Modo de Utilizador) 14 Imposição do EAF
Proteção contra exploits Mitigações de Segurança (Modo Kernel/Modo de Utilizador) 15 Auditoria EAF+
Proteção contra exploits Mitigações de Segurança (Modo Kernel/Modo de Utilizador) 16 Impor EAF+
Proteção contra exploits Mitigações de Segurança (Modo Kernel/Modo de Utilizador) 17 Auditoria do IAF
Proteção contra exploits Mitigações de Segurança (Modo Kernel/Modo de Utilizador) 18 IAF – impor
Proteção contra exploits Mitigações de Segurança (Modo Kernel/Modo de Utilizador) 19 Auditoria ROP StackPivot
Proteção contra exploits Mitigações de Segurança (Modo Kernel/Modo de Utilizador) 20 Imposição rop stackPivot
Proteção contra exploits Mitigações de Segurança (Modo Kernel/Modo de Utilizador) 21 Auditoria rop callercheck
Proteção contra exploits Mitigações de Segurança (Modo Kernel/Modo de Utilizador) 22 Verificação do Autor da Chamada ROP– impor
Proteção contra exploits Mitigações de Segurança (Modo Kernel/Modo de Utilizador) 23 Auditoria ROP SimExec
Proteção contra exploits Mitigações de Segurança (Modo Kernel/Modo de Utilizador) 24 Impor ROP SimExec
Proteção contra exploits WER-Diagnostics 5 Bloco CFG
Proteção contra exploits Win32K (Operacional) 260 Tipo de Letra Não Fidedigno
Proteção da rede Windows Defender (Operacional) 5007 Evento quando as definições são alteradas
Proteção da rede Windows Defender (Operacional) 1125 Evento quando a Proteção de rede é acionada no modo de Auditoria
Proteção da rede Windows Defender (Operacional) 1126 Evento quando a Proteção de rede é acionada no modo de Bloqueio
Acesso controlado a pastas Windows Defender (Operacional) 5007 Evento quando as definições são alteradas
Acesso controlado a pastas Windows Defender (Operacional) 1124 Evento de acesso a pastas controladas auditadas
Acesso controlado a pastas Windows Defender (Operacional) 1123 Evento de acesso a pastas controladas bloqueadas
Acesso controlado a pastas Windows Defender (Operacional) 1127 Evento de bloco de escrita do setor de acesso a pastas controlado bloqueado
Acesso controlado a pastas Windows Defender (Operacional) 1128 Auditado evento de bloco de escrita do setor de acesso a pastas controladas
Redução da superfície de ataque Windows Defender (Operacional) 5007 Evento quando as definições são alteradas
Redução da superfície de ataque Windows Defender (Operacional) 1122 Evento quando a regra é acionada no modo de Auditoria
Redução da superfície de ataque Windows Defender (Operacional) 1121 Evento quando a regra é acionada no modo de Bloqueio

Nota

Do ponto de vista do utilizador, as notificações do modo aviso de redução da superfície de ataque são feitas como uma Notificação de Alerta do Windows para regras de redução da superfície de ataque.

Na redução da superfície de ataque, a Proteção de Rede fornece apenas modos de Auditoria e Bloqueio.

Recursos para saber mais sobre a redução da superfície de ataque

Conforme mencionado no vídeo, o Defender para Endpoint inclui várias capacidades de redução da superfície de ataque. Utilize os seguintes recursos para saber mais:

Artigo Descrição
Controlo de aplicação Utilize o controlo de aplicações para que as suas aplicações ganhem confiança para poderem ser executadas.
Referência das regras de redução da superfície de ataque Fornece detalhes sobre cada regra de redução da superfície de ataque.
Guia de implementação das regras de redução da superfície de ataque Apresenta informações de descrição geral e pré-requisitos para implementar regras de redução da superfície de ataque, seguido de orientações passo a passo para testes (modo de auditoria), ativação (modo de bloqueio) e monitorização.
Acesso controlado a pastas Ajude a impedir que aplicações maliciosas ou suspeitas (incluindo software maligno de ransomware encriptado por ficheiros) façam alterações aos ficheiros nas pastas do sistema de chaves (Requer Microsoft Defender Antivírus).
Controlo de dispositivos Protege contra a perda de dados ao monitorizar e controlar os suportes de dados utilizados em dispositivos, como armazenamento amovível e unidades USB, na sua organização.
Proteção contra exploits Ajude a proteger os sistemas operativos e as aplicações que a sua organização utiliza contra a exploração. O Exploit Protection também funciona com soluções antivírus de terceiros.
Isolamento baseado em hardware Proteja e mantenha a integridade de um sistema à medida que começa e enquanto está em execução. Valide a integridade do sistema através do atestado local e remoto. Utilize o isolamento de contentores para o Microsoft Edge para ajudar a proteger contra sites maliciosos.
Proteção da rede Expanda a proteção ao tráfego de rede e conectividade nos dispositivos da sua organização. (Requer Microsoft Defender Antivírus).
Testar regras de redução da superfície de ataque Fornece passos para utilizar o modo de auditoria para testar as regras de redução da superfície de ataque.
Proteção Web A proteção Web permite-lhe proteger os seus dispositivos contra ameaças à Web e ajuda-o a regular conteúdos indesejados.

Sugestão

Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.