Avalar a proteção contra exploração
Aplica-se a:
- Plano 1 do Microsoft Defender para Ponto de Extremidade
- Plano 2 do Microsoft Defender para Ponto de Extremidade
- Microsoft Defender XDR
Deseja experimentar o Microsoft Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.
O Exploit Protection ajuda a proteger os dispositivos contra malware que usam a exploração de falhas para se espalhar e infectar outros dispositivos. A mitigação pode ser aplicada ao sistema operacional ou a um aplicativo individual. Muitos dos recursos que fazem parte do Kit de Ferramentas de Redução Aprimorada (EMET) estão incluídos na proteção contra exploração de falhas. (O EMET chegou ao fim do suporte.)
Na auditoria, você pode ver como a mitigação funciona para determinados aplicativos em um ambiente de teste. Isto mostra o que aconteceria se ativasse a proteção contra exploits no seu ambiente de produção. Dessa forma, você pode verificar se a proteção contra exploração de falhas não afeta negativamente seus aplicativos de linha de negócios e ver quais eventos suspeitos ou mal-intencionados ocorrem.
Diretrizes genéricas
As mitigações da proteção contra exploits funcionam a um nível baixo no sistema operativo e alguns tipos de software que executam operações de baixo nível semelhantes podem ter problemas de compatibilidade quando estão configurados para serem protegidos através da proteção contra exploits.
Que tipos de software não devem ser protegidos pela proteção contra exploits?
- Software antimalware e de prevenção ou deteção de intrusões
- Depuradores
- Software que processa tecnologias de gestão de direitos digitais (DRM) (ou seja, videojogos)
- Software que utiliza tecnologias anti-depuração, ocultação ou hooking
Que tipo de aplicações deve considerar ativar a proteção contra exploits?
Aplicações que recebem ou processam dados não fidedignos.
Que tipo de processos estão fora do âmbito da proteção contra exploits?
Serviços
- Serviços de sistema
- Serviços de rede
Mitigações de proteção contra exploits ativadas por predefinição
| Atenuação | Habilitada por padrão |
|---|---|
| Prevenção de Execução de Dados (DEP) | Aplicações de 64 bits e 32 bits |
| Validar as correntes de exceção (SEHOP) | Aplicações de 64 bits |
| Validar integridade da pilha | Aplicações de 64 bits e 32 bits |
Mitigações preteridas de "Definições do programa"
| Mitigações de "Definições do programa" | Reason |
|---|---|
| Filtragem de endereços de exportação (EAF) | Problemas de compatibilidade da aplicação |
| Filtragem de endereços de importação (IAF) | Problemas de compatibilidade da aplicação |
| Simular a execução (SimExec) | Substituído por Arbitrary Code Guard (ACG) |
| Validar a invocação da API (CallerCheck) | Substituído por Arbitrary Code Guard (ACG) |
| Validar a integridade da pilha (StackPivot) | Substituído por Arbitrary Code Guard (ACG) |
Melhores práticas de aplicações do Office
Em vez de utilizar o Exploit Protection para aplicações do Office, como o Outlook, Word, Excel, PowerPoint e OneNote, considere utilizar uma abordagem mais moderna para evitar a utilização indevida: Regras de Redução da Superfície de Ataque (regras ASR):
- Bloquear conteúdo executável do cliente de e-mail e do webmail
- Impedir que as aplicações do Office criem conteúdos executáveis
- Bloquear a criação de processos subordinados em todas as aplicações do Office
- Bloquear a criação de processos subordinados na aplicação de comunicação do Office
- Bloquear a injeção de código nas aplicações do Office noutros processos
- Bloquear a execução de scripts potencialmente ocultados
- Bloquear chamadas à API Win32 a partir de macros do Office
Para o Adobe Reader, utilize a seguinte regra ASR:
• Impedir o Adobe Reader de criar processos subordinados
Lista de compatibilidade de aplicações
A tabela seguinte lista produtos específicos que têm problemas de compatibilidade com as mitigações incluídas na proteção contra exploits. Tem de desativar mitigações incompatíveis específicas se quiser proteger o produto através da proteção contra exploits. Tenha em atenção que esta lista tem em consideração as predefinições das versões mais recentes do produto. Os problemas de compatibilidade podem ser introduzidos quando aplica determinados suplementos ou outros componentes ao software padrão.
| Produto | Mitigação da proteção contra exploits |
|---|---|
| .NET 2.0/3.5 | EAF/IAF |
| Consola do 7-Zip/GUI/Gestor de Ficheiros | EAF |
| Processadores AMD 62xx | EAF |
| Avecto (Beyond Trust) Power Broker | EAF, EAF+, Stack Pivot |
| Determinados controladores de vídeo AMD (ATI) | SISTEMA ASLR=AlwaysOn |
| DropBox | EAF |
| Excel Power Query, Power View, Power Map e PowerPivot | EAF |
| Google Chrome | EAF+ |
| Immidio Flex+ | EAF |
| Microsoft Office Web Components (OWC) | DEP do Sistema=AlwaysOn |
| Microsoft PowerPoint | EAF |
| Microsoft Teams | EAF+ |
| Oracle Javaǂ | Heapspray |
| Pitney Bowes Print Audit 6 | SimExecFlow |
| A versão do Siebel CRM é 8.1.1.9 | SEHOP |
| Skype | EAF |
| SolarWinds Syslogd Manager | EAF |
| Windows Media Player | MandatoryASLR, EAF |
ǂ As mitigações do EMET podem ser incompatíveis com o Oracle Java quando são executadas através de definições que reservam uma grande parte da memória para a máquina virtual (ou seja, através da opção -Xms).
Ativar as definições do sistema de proteção contra exploits para testes
Estas definições do sistema exploit protection estão ativadas por predefinição, exceto para a Aleatoriedade de Esquema de Espaço de Endereços Obrigatório (ASLR) no Windows 10 e posterior, Windows Server 2019 e posterior, e na versão 1803 core do Windows Server e posterior.
| Configurações do sistema | Setting |
|---|---|
| Proteção de fluxo de controle (CFG) | Utilizar predefinição (Ativado) |
| Prevenção de Execução de Dados (DEP) | Utilizar predefinição (Ativado) |
| Forçar a aleatoriedade para imagens (ASRL Obrigatório) | Utilizar predefinição (Desativado) |
| Aleatorizar alocações de memória (ASRL inferior para cima) | Utilizar predefinição (Ativado) |
| ASRL de alta entropia | Utilizar predefinição (Ativado) |
| Validar as correntes de exceção (SEHOP) | Utilizar predefinição (Ativado) |
O exemplo de xml está disponível abaixo
<?xml version="1.0" encoding="UTF-8"?>
<MitigationPolicy>
<SystemConfig>
<DEP Enable="true" EmulateAtlThunks="false" />
<ASLR ForceRelocateImages="false" RequireInfo="false" BottomUp="true" HighEntropy="true" />
<ControlFlowGuard Enable="true" SuppressExports="false" />
<SEHOP Enable="true" TelemetryOnly="false" />
<Heap TerminateOnError="true" />
</SystemConfig>
</MitigationPolicy>
Ativar as definições do programa exploit protection para testes
Dica
Recomendamos vivamente que reveja a abordagem moderna para mitigações de vulnerabilidades, que consiste em utilizar as regras de Redução da Superfície de Ataque (regras ASR).
Você pode definir mitigações em um modo de teste para programas específicos usando o aplicativo Segurança do Windows ou Windows PowerShell.
O aplicativo Segurança do Windows
Abra o aplicativo Segurança do Windows. Selecione o ícone de escudo na barra de tarefas ou pesquise o menu Iniciar Segurança do Windows.
Selecione o bloco Controle e navegador da Web (ou o ícone na barra de menu a esquerda) e então selecione Explorar proteção.
Vá para Configurações de programa e escolha o aplicativo ao qual você deseja aplicar proteção:
Se a aplicação que pretende configurar já estiver listada, selecione-a e, em seguida, selecione Editar.
Se a aplicação não estiver listada na parte superior da lista, selecione Adicionar programa para personalizar. Em seguida, escolha como deseja adicionar o aplicativo.
- Use Adicione pelo nome do programa para que a mitigação seja aplicada a qualquer processo em execução com esse nome. Especifique um arquivo com uma extensão. Você pode inserir um caminho completo para limitar a mitigação apenas ao aplicativo com esse nome nesse local.
- Use Escolha o caminho exato do arquivo para usar uma janela padrão do seletor de arquivos Windows Explorer para localizar e selecionar o arquivo desejado.
Depois de selecionar o aplicativo, você verá uma lista de todas as mitigações que podem ser aplicadas. Escolher Auditoria aplica a mitigação apenas no modo de teste. Será notificado se precisar de reiniciar o processo, a aplicação ou o Windows.
Repita esse procedimento em todos os aplicativos e mitigações que você quer configurar. Selecione Aplicar quando terminar de configurar sua configuração.
PowerShell
Para definir mitigações ao nível da aplicação para o modo de teste, utilize Set-ProcessMitigation com o cmdlet Modo de auditoria .
Configure cada mitigação no seguinte formato:
Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>
Onde:
-
<Âmbito>:
-
-Namepara indicar que as mitigações devem ser aplicadas a um aplicativo específico. Especifique o executável do aplicativo após esse sinalizador.
-
-
<Ação>:
-
-Enablepara habilitar a mitigação-
-Disablepara desabilitar a mitigação
-
-
-
<Mitigação>:
- O cmdlet da mitigação, conforme definido na tabela a seguir. Cada mitigação está separada por uma vírgula.
| Atenuação | Cmdlet do modo de teste |
|---|---|
| Proteção de Código Arbitrário (ACG) | AuditDynamicCode |
| Bloquear imagens de baixa integridade | AuditImageLoad |
| Bloquear fontes não confiáveis |
AuditFont, FontAuditOnly |
| Proteção da integridade do código |
AuditMicrosoftSigned, AuditStoreSigned |
| Desabilitar chamadas do sistema Win32k | AuditSystemCall |
| Não permitir processos filho | AuditChildProcess |
Por exemplo, para ativar o Arbitrary Code Guard (ACG) no modo de teste para uma aplicação com o nome testing.exe, execute o seguinte comando:
Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable AuditDynamicCode
Você pode desabilitar o modo de auditoria substituindo -Enable por -Disable.
Examinar eventos de auditoria da proteção contra exploração de falhas
Para rever quais as aplicações que seriam bloqueadas, abra Visualizador de Eventos e filtre os seguintes eventos no registo de Security-Mitigations.
| Recurso | Provedor/origem | ID do Evento | Descrição |
|---|---|---|---|
| Proteção de exploração | Mitigações de Segurança (Modo Kernel/Modo de Usuário) | 1 | Auditoria do ACG |
| Proteção de exploração | Mitigações de Segurança (Modo Kernel/Modo de Usuário) | 3 | Não permitir auditoria de processos filho |
| Proteção de exploração | Mitigações de Segurança (Modo Kernel/Modo de Usuário) | 5 | Bloquear a auditoria de imagens de baixa integridade |
| Proteção de exploração | Mitigações de Segurança (Modo Kernel/Modo de Usuário) | 7 | Bloquear a auditoria de imagens remotas |
| Proteção de exploração | Mitigações de Segurança (Modo Kernel/Modo de Usuário) | 9 | Desativar as chamadas do sistema win32k |
| Proteção de exploração | Mitigações de Segurança (Modo Kernel/Modo de Usuário) | 11 | Auditoria de proteção da integridade do código |
Confira também
- Habilitar a proteção de exploração
- Configurar e auditar as mitigações de proteção contra abusos
- Importar, exportar e implantar configurações da proteção de exploração
- Solução de problemas de proteção contra abusos
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.