Demonstrações de regras de redução da superfície de ataque

  • Aplica-se a: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2, Microsoft Defender for Business, Microsoft Defender Antivirus, Microsoft 365 Apps

Este artigo fornece ficheiros de teste, scripts e procedimentos para demonstrar regras de redução da superfície de ataque (ASR) no Microsoft Defender para Ponto de Extremidade.

As regras ASR visam o comportamento de software de risco em dispositivos Windows que os atacantes exploram frequentemente através de software maligno (por exemplo, iniciar scripts que transferem ficheiros, executar scripts ocultados e injetar código noutros processos). Para obter mais informações sobre as regras do ASR, veja Descrição geral das regras de redução da superfície de ataque (ASR).

Pré-requisitos

Comandos do PowerShell

Para ativar todas as regras do ASR disponíveis, execute o seguinte comando numa janela elevada do PowerShell (uma janela do PowerShell que abriu depois de selecionar Executar como administrador):

Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-cd74-433a-b99e-2ecdc07bfc25,33ddedf1-c6e0-47cb-833e-de6133960387,3b576869-a4ec-4529-8536-b80a7769e899,56a863a9-875e-4185-98a7-b882c64b5ce5,5beb7efe-fd9a-4556-801d-275e5ffc04cc,75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84,92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b,9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2,a8f5898e-1dc8-49a9-9878-85004b8a61e6,b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4,be9ba2d9-53ea-4cdc-84e5-9b1eeee46550,c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb,c1db55ab-c21a-4637-bb3f-a12568109d35,d1e49aac-8f56-4280-b9ba-993a6d77406c,d3e037e1-3eb8-44c8-a917-57927947596d,d4f940ab-401b-4efc-aadc-ad5f3c50688a,e6db77e5-3df2-4cf1-b95a-636979351e5b,26190899-1602-49e8-8b27-eb1d0a1ce869,7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c -AttackSurfaceReductionRules_Actions Enabled,Enabled,Enabled,Enabled,Enabled,Enabled,Enabled,Enabled,Enabled,Enabled,Enabled,Enabled,Enabled,Enabled,Enabled,Enabled,Enabled,AuditMode,AuditMode

Os nomes das regras do ASR e os valores GUID associados estão listados na secção Ficheiros de teste .

Verificar a configuração

Para verificar o estado das regras do ASR, execute o seguinte comando numa janela elevada do PowerShell:

$p = Get-MpPreference

$ids     = @($p.AttackSurfaceReductionRules_Ids)
$actions = @($p.AttackSurfaceReductionRules_Actions)

for ($i = 0; $i -lt [Math]::Min($ids.Count, $actions.Count); $i++) {
    [pscustomobject]@{
        RuleId = $ids[$i]
        Action = $actions[$i]
    }
}

Os estados de regras disponíveis estão descritos na tabela seguinte:

Modo Texto
valor		 Numérico
valor
Desligado Desabilitado 0
Ativado no Modo de bloqueio Habilitado 1
Ativado no Modo de auditoria AuditMode 2
Não configurado Não Configurado 5
Ativado no modo de Aviso Avisar 6

Testar ficheiros

A tabela seguinte associa os nomes das regras ASR aos valores GUID correspondentes.

Dica

As ligações de nome de regra são ligações para ficheiros de teste disponíveis. Alguns ficheiros de teste contêm várias exploits que acionam múltiplas regras ASR.

As ligações de valor GUID são ligações para os detalhes da regra.

Valor GUID Nome da regra
01443614-cd74-433a-b99e-2ecdc07bfc25 Bloquear a execução de ficheiros executáveis, a menos que cumpram um critério de prevalência, idade ou lista fidedigna
26190899-1602-49e8-8b27-eb1d0a1ce869 Bloquear a criação de processos subordinados na aplicação de comunicação do Office
33ddedf1-c6e0-47cb-833e-de6133960387 Bloquear o reinício da máquina no Modo de Segurança
3b576869-a4ec-4529-8536-b80a7769e899 Impedir que as aplicações do Office criem conteúdos executáveis
56a863a9-875e-4185-98a7-b882c64b5ce5 Bloquear o abuso de controladores assinados vulneráveis explorados (Dispositivo)
5beb7efe-fd9a-4556-801d-275e5ffc04cc Bloquear a execução de scripts potencialmente ocultados
75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84 Bloquear a injeção de código nas aplicações do Office noutros processos
7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c Impedir o Adobe Reader de criar processos subordinados
92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b Bloquear chamadas à API Win32 a partir de macros do Office
9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 Bloquear o roubo de credenciais do subsistema da autoridade de segurança local do Windows
a8f5898e-1dc8-49a9-9878-85004b8a61e6 Bloquear a criação de Webshell para Servidores
b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 Bloquear processos não fidedignos e não assinados executados a partir de USB
be9ba2d9-53ea-4cdc-84e5-9b1eeee46550 Bloquear conteúdo executável do cliente de e-mail e do webmail
c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb Bloquear a utilização de ferramentas de sistema copiadas ou representadas
c1db55ab-c21a-4637-bb3f-a12568109d35 Utilizar proteção avançada contra ransomware
d1e49aac-8f56-4280-b9ba-993a6d77406c Bloquear criações de processos com origem nos comandos PSExec e WMI
d3e037e1-3eb8-44c8-a917-57927947596d Bloquear o JavaScript ou o VBScript de iniciar conteúdo executável transferido
d4f940ab-401b-4efc-aadc-ad5f3c50688a Bloquear a criação de processos subordinados em todas as aplicações do Office
e6db77e5-3df2-4cf1-b95a-636979351e5b Bloquear a persistência através da subscrição de eventos WMI

Cenários

Configurar

  1. Execute o seguinte comando numa janela elevada do PowerShell para definir a política de execução como Unrestricted:

    Set-ExecutionPolicy Unrestricted

  2. Transfira, extraia e execute este script de configuração.

    Em alternativa, pode efetuar os seguintes passos manuais:

    1. Crie a pasta C:\Demo.
    2. Guarde este ficheiro limpo em C:\Demo.
    3. Ative todas as regras com o comando do PowerShell.

Cenário 1: a redução da superfície de ataque bloqueia um ficheiro de teste com múltiplas vulnerabilidades

  1. Ative todas as regras no Modo de bloqueio com o comando do PowerShell.
  2. Transfira e abra os ficheiros/documentos de teste. Se lhe for pedido, ative a edição e o conteúdo.

Resultado esperado:

Deverá ver imediatamente uma notificação "Ação bloqueada".

Cenário 2: a regra ASR bloqueia o ficheiro de teste com a vulnerabilidade correspondente

  1. Configure a regra individual que pretende testar. Por exemplo, para ativar a regra Bloquear todas as aplicações do Office de criar processos subordinados , execute o seguinte comando numa janela elevada do PowerShell:

    Add-MpPreference -AttackSurfaceReductionRules_Ids d4f940ab-401b-4efc-aadc-ad5f3c50688a -AttackSurfaceReductionRules_Actions Enabled

  2. Transfira e abra o ficheiro/documento de teste da regra que pretende testar. Se lhe for pedido, ative a edição e o conteúdo. Por exemplo:

    Bloquear a criação de processos subordinados em todas as aplicações do Office

Resultado esperado:

Deverá ver imediatamente uma notificação "Ação bloqueada".

Cenário 3: A regra ASR bloqueia a execução de ficheiros não fidedignos a partir de unidades USB

Dica

Esta regra do ASR está disponível no Windows 10 versão 1709 (outubro de 2017) ou posterior.

  1. Ative a opção Bloquear processos não fidedignos e não assinados que são executados a partir da regra ASR USB ao executar o seguinte comando numa janela elevada do PowerShell:

    Add-MpPreference -AttackSurfaceReductionRules_Ids b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 -AttackSurfaceReductionRules_Actions Enabled

  2. Transfira o seguinte ficheiro para uma pen USB (diretamente ou copie-o para a pen USB depois de o transferir para outro local):

    Bloquear a Execução de executáveis não fidedignos ou não assinados dentro de suportes de dados USB amovíveis

  3. Execute o ficheiro a partir da pen USB.

Resultado esperado:

Deverá ver imediatamente uma notificação "Ação bloqueada".

Cenário 4: O que aconteceria sem a redução da superfície de ataque

  1. Desative todas as regras de redução da superfície de ataque com o comando do PowerShell na secção Limpeza .

  2. Transfira qualquer ficheiro/documento de teste. Se lhe for pedido, ative a edição e o conteúdo.

Resultado esperado:

  • Os ficheiros em C:\Demo estão encriptados e deverá receber uma mensagem de aviso.
  • Execute novamente o ficheiro de teste para desencriptar os ficheiros.

Limpar

Transfira, extraia e execute este script de limpo.

Em alternativa, pode executar o seguinte comando numa janela elevada do PowerShell para desativar todas as regras do ASR:

Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-cd74-433a-b99e-2ecdc07bfc25,33ddedf1-c6e0-47cb-833e-de6133960387,3b576869-a4ec-4529-8536-b80a7769e899,56a863a9-875e-4185-98a7-b882c64b5ce5,5beb7efe-fd9a-4556-801d-275e5ffc04cc,75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84,92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b,9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2,a8f5898e-1dc8-49a9-9878-85004b8a61e6,b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4,be9ba2d9-53ea-4cdc-84e5-9b1eeee46550,c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb,c1db55ab-c21a-4637-bb3f-a12568109d35,d1e49aac-8f56-4280-b9ba-993a6d77406c,d3e037e1-3eb8-44c8-a917-57927947596d,d4f940ab-401b-4efc-aadc-ad5f3c50688a,e6db77e5-3df2-4cf1-b95a-636979351e5b,26190899-1602-49e8-8b27-eb1d0a1ce869,7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c -AttackSurfaceReductionRules_Actions Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled

Limpe a encriptação C:\Demo ao executar o ficheiro encriptar/desencriptar.

Conteúdo relacionado

  • Last updated on