Bloqueio de scripts de comportamento de aplicativo

Regras de proteção de arquivo podem bloquear as maneiras mais comuns pelas quais os pontos de extremidade são infectados por um malware ou ransomware — quando um usuário é enganado (geralmente por um e-mail de phishing) para abrir um anexo ou baixar da internet um arquivo contendo um vírus. A maioria desses arquivos que os usuários são ludibriados a abrir são de tipos conhecidos, como documentos do Word com macros, arquivos .JS (JavaScript) e outros tipos de script.

Usando regras de proteção de arquivo, você pode definir regras para impedir que arquivos .JS e outros scripts sejam usados pelos usuários (note que isso não limita o uso de JavaScript nos navegadores pelos usuários). Ao bloquear o uso de scripts (que a maioria dos usuários não precisa usar), uma grande parcela desse vetor de ataque pode ser eliminada.

É muito provável que os usuários não precisem executar scripts em seus computadores; no entanto, em alguns casos, aplicativos legítimos de terceiros podem precisar executar scripts. Por esse motivo, recomenda-se que você comece a usar as regras de proteção de arquivo em modo de aprendizado (ou seja, configurar o modo de comportamento do aplicativo como aprendizado). Nesse modo, o agente EPS aprende quais aplicativos estão executando scripts e não bloqueia o uso deles depois de você mudar para o modo de bloqueio.

Por exemplo, usando regras de proteção de arquivo, é possível configurar a seguinte regra: Não permitir que WSCRIPT e CSCRIPT executem arquivos *.JS. Uma vez aplicada, os usuários não poderão usar o mecanismo de script da Microsoft (WSCRIPT/CSCRIPT) para executar arquivos .JS. Certifique-se de habilitar a opção Permitir que arquivos confiáveis ignorem a regra para ignorar essa proteção em aplicativos que foram descobertos usando-se o WSCRIPT para executar arquivos .JS durante o período de aprendizado.

Bloqueio da cadeia de execução e da origem na internet

Na 2017.1, foram adicionadas duas novas opções de proteção de arquivo que ajudam a bloquear a execução de scripts pelos usuários no navegador ou no aplicativo de e-mail, mesmo que os scripts sejam baixados dentro de um arquivo zip.

  • Aplicar se o processo estiver na cadeia de execução
  • Aplicar somente a arquivos baixados da internet

Quando a opção Aplicar se o processo estiver na cadeia de execução está habilitada, qualquer programa na "cadeia de execução" pode ser monitorado. Por exemplo, se um usuário executa o Chrome e abre um arquivo .JS baixado pelo Chrome (ou seja, o usuário clica duas vezes no arquivo .JS após ele ser baixado pelo Chrome), a cadeia de execução será Chrome > WSCRIPT > .JS. Quando essa opção está habilitada, o "programa monitorado" pode ser o Chrome, e os "arquivos protegidos" podem ser *.JS. Isso garantirá que qualquer arquivo JS executado a partir do Chrome seja bloqueado.

Na 2017.1, existe também uma nova regra pronta de proteção de arquivos, concebida para impedir a execução de scripts a partir de um navegador ou aplicativo de correio. Essa regra impede que um conjunto definido de navegadores e mensageiros execute CMD, CSCRIPT, WSCRIPT e PowerShell. Ela bloqueará qualquer tentativa de se executar um script pelo navegador ou aplicativo de correio (isso se aplica somente a scripts executados "fora" do navegador — não a JavaScript executado no navegador como parte de um site).

Há um caso comum em que usar Aplicar se o processo estiver na cadeia de execução não bloqueará a execução dos scripts — quando o script estiver em um arquivo zip e o usuário extrair o zip usando o extrator de ZIP nativo do Windows (não um aplicativo de terceiros). No entanto, essa regra procurará bloquear um arquivo zip anexado se o usuário abri-lo com o WINZIP e depois executar um script que estava dentro desse arquivo zip.

Para resolver o problema acima, uma segunda opção, Aplicar somente a arquivos baixados da internet, está disponível. Por padrão, toda arquivo baixado por um navegador é sinalizado pelo navegador como "baixado da internet". Esse sinalizador permanece com o arquivo mesmo se este for copiado (note que esse sinalizador se aplica somente a arquivos em um sistema de arquivos NTFS). Quando essa opção está habilitada, a regra será aplicada somente a arquivos que tenham esse sinalizador habilitado.

Uma nova regra pronta usa esse recurso para impedir a execução de scripts a partir de arquivos baixados da internet por um navegador ("Impedir acesso a scripts baixados"). Quando o usuário baixar um arquivo zip da internet (.BAT, .CMD, .JS, .VBS), a execução do script será bloqueada, mesmo se o zip tiver sido extraído usando-se o aplicativo zip nativo do Windows, e mesmo que que o arquivo tenha sido salvo no disco e extraído em um estágio posterior.

Para habilitar as opções de cadeia de execução ou de origem na internet em uma regra de proteção de arquivos
  1. Clique em Ferramentas > Segurança e conformidade > Configurações de agente.
  2. Na árvore, em Configurações de agente > Minhas configurações de agente > Segurança > Endpoint Security, clique com o botão direito em Nova ou clique duas vezes em uma configuração existente.
  3. Na página Política padrão, selecione a configuração de controle de aplicativo a ser modificada e edite-a.
  4. Na página Regras de proteção de arquivos, modifique ou adicione a regra desejada.
  5. Você verá as opções Aplicar se o processo estiver na cadeia de execução e Aplicar somente a arquivos baixados da internet na página de configuração da regra.