Passo 1. Configurar linhas de base de segurança
Como primeiro passo para combater os atacantes de ransomware, tem de configurar as seguintes linhas de base de segurança definidas pela Microsoft:
- Segurança do Microsoft 365
- Gestão de e-mail do Exchange
- Linhas de base adicionais para dispositivos Windows e software de cliente
Estas linhas de base contêm definições de configuração e regras bem conhecidas pelos atacantes, cuja ausência é rapidamente notada e geralmente explorada.
Linha de base de segurança do Microsoft 365
Primeiro, avalie e meça a sua postura de segurança com a Classificação de Segurança da Microsoft e siga as instruções para melhorá-la conforme necessário.
Em seguida, utilize as regras de redução da superfície de ataque para ajudar a bloquear atividades suspeitas e conteúdo vulnerável. Estas regras incluem impedir:
- Todas as aplicações do Office a partir da criação de processos subordinados
- Conteúdo executável do cliente de e-mail e do webmail
- Ficheiros executáveis da execução, a menos que cumpram um critério de prevalência, idade ou lista fidedigna
- Execução de scripts potencialmente ocultados
- JavaScript ou VBScript a partir da iniciação de conteúdo executável transferido
- Aplicações do Office a partir da criação de conteúdo executável
- Aplicações do Office que injetam código noutros processos
- Aplicação de comunicação do Office a partir da criação de processos subordinados
- Processos não fidedignos e não assinados executados a partir de USB
- Persistência através da subscrição de eventos da Interface de Gestão do Windows (WMI)
- Roubo de credenciais do subsistema da autoridade de segurança local do Windows (lsass.exe)
- Criações de processos provenientes de comandos PSExec e WMI
Linha de base de gestão de e-mail do Exchange
Ajude a impedir o acesso inicial ao seu inquilino de um ataque baseado em e-mail com estas definições de linha de base de e-mail do Exchange:
- Ative Microsoft Defender análise de e-mail do Antivírus.
- Utilize Microsoft Defender para Office 365 para proteção e cobertura de phishing melhoradas contra novas ameaças e variantes polimórficas.
- Verifique as definições de filtragem de e-mail Office 365 para garantir que bloqueia e-mails falsificados, spam e e-mails com software maligno. Utilize Defender para Office 365 para proteção e cobertura de phishing melhoradas contra novas ameaças e variantes polimórficas. Configure Defender para Office 365 para voltar a verificar as ligações ao clicar e eliminar e-mails entregues em resposta às informações sobre ameaças recentemente adquiridas.
- Reveja e atualize para as definições recomendadas mais recentes para eOP e segurança Defender para Office 365.
- Configure Defender para Office 365 para voltar a verificar as ligações ao clicar e eliminar e-mails entregues em resposta às informações sobre ameaças recentemente adquiridas.
Linhas de base adicionais
Aplicar linhas de base de segurança para:
- Microsoft Windows 11 ou 10
- Microsoft 365 Apps para Enterprise
- Microsoft Edge
Impacto nos utilizadores e na gestão de alterações
Como melhor prática para uma regra de redução da superfície de ataque, avalie como uma regra pode afetar a sua rede ao abrir a recomendação de segurança para essa regra na Gestão de Vulnerabilidades do Defender. O painel de detalhes da recomendação descreve o impacto do utilizador, que pode utilizar para determinar que percentagem dos seus dispositivos pode aceitar uma nova política que permita a regra no modo de bloqueio sem impacto adverso na produtividade do utilizador.
Além disso, as definições de linha de base de e-mail do Exchange podem bloquear e-mails recebidos e impedir o envio de e-mails ou o clique de ligações no e-mail. Informe os seus trabalhadores sobre este comportamento e a razão pela qual estas precauções estão a ser tomadas.
Configuração resultante
Eis a proteção contra ransomware para o seu inquilino após este passo.
Passo seguinte
Continue com o Passo 2 para implementar capacidades de deteção e resposta de ataques para o seu inquilino do Microsoft 365.