O que “Bloquear comportamentos suspeitos” faz?
Esse recurso tem um nome bem vago. No entanto, a documentação da Microsoft esclarece que "Block Suspicious Behaviors" é apenas um nome amigável para a "tecnologia de redução de superfície de ataque do Windows Defender Exploit Guard". Esse recurso de segurança foi introduzido na Atualização do Fall Creators, mas estava disponível apenas no Windows 10 Enterprise. Na Atualização de outubro de 2018, agora está disponível para todos por meio de uma opção no Windows Security.
Quando você ativa esse recurso, o Windows 10 ativa várias regras de segurança. Essas regras desabilitam recursos normalmente usados apenas por malware, ajudando a proteger seu PC contra ataques.
Aqui estão algumas das regras de redução da superfície de ataque:
- Bloquear conteúdo executável do cliente de email e do webmail
- Bloquear aplicativos do Office da criação de processos filhos
- Bloquear aplicativos do Office da criação de conteúdo executável
- Bloquear aplicativos do Office de injetar código em outros processos
- Bloquear JavaScript ou VBScript ao iniciar o conteúdo executável baixado
- Bloqueie a execução de scripts potencialmente ofuscados
- Bloquear chamadas de API do Win32 da macro do Office
- Bloqueio de credenciais de roubo do subsistema de autoridade de segurança local do Windows (lsass.exe)
- Bloquear criações de processos originados dos comandos PSExec e WMI
- Bloquear processos não confiáveis e não assinados executados a partir de USB
- Bloquear aplicativos de comunicação do Office a partir da criação de processos filhos
Estas são ações suspeitas que podem ser usadas por aplicativos mal-intencionados. Por exemplo, essas regras bloqueiam arquivos executáveis que chegam por email, impedem que aplicativos do Office façam coisas específicas e interrompem comportamentos perigosos de macro. Com essas regras habilitadas, o Windows protege as credenciais contra roubo, impede que executáveis suspeitos em unidades USB sejam executados e se recusa a executar scripts que parecem disfarçados para contornar o software antivírus.
Você encontrará uma lista completa das regras de redução da superfície de ataque no site de suporte da Microsoft. As organizações podem personalizar quais regras são usadas por meio da política de grupo, mas os PCs comuns dos consumidores recebem um conjunto de regras de tamanho único. Não está claro exatamente quais regras são usadas quando você ativa essa opção no Windows Security.
Esta é parte do Windows Defender Exploit Guard
A redução de superfície de ataque faz parte do Windows Defender Exploit Guard, que também inclui proteção contra exploração, proteção de rede e acesso a pastas controladas.
É importante esclarecer: "Bloquear Comportamentos Suspeitos" não é o mesmo recurso da Proteção contra Exploit, que protege seu computador contra várias técnicas comuns de exploração. Por exemplo, a Proteção contra exploração protege contra técnicas comuns de exploração de memória usadas pelos ataques de dia zero e finaliza qualquer processo que as use. A Proteção contra exploração funciona como o software Enhanced Mitigation Experience Toolkit (EMET) da Microsoft. Redução de superfície de ataque desativa recursos potencialmente perigosos em um nível mais alto.
A Proteção contra exploração é ativada por padrão e você pode ajustá-la de outro lugar no aplicativo Segurança do Windows. A redução de superfície de ataque, ou "Bloquear comportamentos suspeitos", ainda não está ativada por padrão.
Como ativar o "Bloqueio de comportamentos suspeitos"
Você pode ativar esse recurso no aplicativo Segurança do Windows - anteriormente denominado Centro de Segurança do Windows Defender.
Para encontrá-lo, vá para Configurações> Atualização e segurança> Segurança do Windows> Abrir segurança do Windows ou simplesmente inicie o atalho "Segurança do Windows" no menu Iniciar.
