O que é o novo recurso “Bloquear comportamentos suspeitos” no Windows 10?

A atualização de outubro de 2018 do Windows 10 inclui um novo recurso de segurança “Block Suspicious Behaviors”. Essa proteção está desativada por padrão, mas você pode ativá-la para proteger o seu PC de uma variedade de ameaças.

O que “bloquear comportamentos suspeitos” faz?

Este recurso tem um nome muito vago. No entanto, a documentação da Microsoft esclarece que “Block Suspicious Behaviors” é apenas um nome amigável para a “tecnologia de redução de superfície de ataque do Windows Defender Exploit Guard”. Esse recurso de segurança foi introduzido na Atualização dos Criadores de Outono , mas estava disponível apenas no Windows 10 Enterprise . Na atualização de outubro de 2018, agora está disponível para todos por meio de uma opção na Segurança do Windows.

Quando você habilita esse recurso, o Windows 10 ativa uma variedade de regras de segurança. Essas regras desabilitam recursos normalmente usados ​​apenas por malware, ajudando a proteger seu PC de ataques.

Aqui estão algumas das regras de redução da superfície de ataque:

  • Bloquear conteúdo executável de cliente de e-mail e webmail
  • Impedir que aplicativos do Office criem processos filho
  • Impedir que aplicativos do Office criem conteúdo executável
  • Impedir que aplicativos do Office injetem código em outros processos
  • Bloquear JavaScript ou VBScript de iniciar conteúdo executável baixado
  • Bloquear a execução de scripts potencialmente ofuscados
  • Bloquear chamadas de API Win32 da macro do Office
  • Bloquear o roubo de credenciais do subsistema de autoridade de segurança local do Windows (lsass.exe)
  • Bloquear criações de processos originadas de comandos PSExec e WMI
  • Bloqueie processos não confiáveis ​​e não assinados executados em USB
  • Impedir que aplicativos de comunicação do Office criem processos filho
Recomendado:  O que há de novo na atualização para criadores do Windows 10

Essas são ações suspeitas que podem ser usadas por aplicativos maliciosos. Por exemplo, essas regras bloqueiam arquivos executáveis ​​que chegam por e-mail, evitam que aplicativos do Office façam coisas específicas e interrompem comportamentos de macro perigosos . Com essas regras habilitadas, o Windows protege as credenciais contra roubo, impede a execução de executáveis ​​suspeitos em unidades USB e se recusa a executar scripts que parecem disfarçados para contornar o software antivírus.

Você encontrará uma lista completa das regras de redução da superfície de ataque no site de suporte da Microsoft. As organizações podem personalizar quais regras são usadas por meio da política de grupo , mas os PCs do consumidor médio obtêm um conjunto de regras único para todos. Não está claro exatamente quais regras são usadas quando você habilita essa opção na Segurança do Windows.

Isso faz parte do Windows Defender Exploit Guard

A Redução da Superfície de Ataque faz parte do Windows Defender Exploit Guard , que também inclui Exploit Protection, Network Protection e Controlled Folder Access .

Isso é importante esclarecer – “Bloquear comportamentos suspeitos” não é o mesmo recurso que Proteção contra Exploit , que protege seu PC contra uma variedade de técnicas comuns de exploit. Por exemplo, o Exploit Protection protege contra técnicas comuns de exploração de memória usadas por ataques de dia zero e encerra qualquer processo que os use. O Exploit Protection funciona como o software Enhanced Mitigation Experience Toolkit (EMET) da Microsoft . A redução da superfície de ataque desabilita recursos potencialmente perigosos em um nível superior.

A proteção contra exploração está habilitada por padrão e você pode ajustá-la de qualquer lugar no aplicativo de segurança do Windows. A Redução da Superfície de Ataque ou “Bloquear Comportamentos Suspeitos” ainda não está habilitado por padrão.

Recomendado:  MagSafe não é apenas para iPhones: também é ótimo para Android

Como habilitar “bloquear comportamentos suspeitos”

Você pode habilitar esse recurso no aplicativo Windows Security – anteriormente denominado Windows Defender Security Center.

Para localizá-lo, acesse Configurações> Atualização e segurança> Segurança do Windows> Abra a Segurança do Windows ou apenas abra o atalho “Segurança do Windows” no menu Iniciar.

Clique na opção “Proteção contra vírus e ameaças” e, em seguida, clique no link “Gerenciar configurações” na seção “Configurações de proteção contra vírus e ameaças”.

Clique no botão em “Bloquear comportamentos suspeitos” para ativar ou desativar esse recurso.

Se Bloquear Comportamentos Suspeitos bloquear uma ação que você precisa executar regularmente, você pode retornar aqui e desativá-la. No entanto, os comportamentos bloqueados não são comuns no uso normal do PC.