Compartilhar via


Proteger dispositivos contra abusos

Aplica-se a:

O Exploit Protection aplica automaticamente muitas técnicas de mitigação de exploração a aplicativos e processos do sistema operacional. O Exploit Protection tem suporte a partir do Windows 10, versão 1709, Windows 11 e Windows Server, versão 1803.

A proteção contra abusos funciona melhor com o Defender para Ponto de extremidade, que fornece relatórios detalhados sobre eventos e bloqueios de proteção contra abusos como parte dos usuais cenários de investigação de alerta.

Você pode ativar a proteção contra abusos em um dispositivo individual e, em seguida, usar a Política de Grupo para distribuir o arquivo XML para vários dispositivos de uma vez.

Quando é encontrada uma mitigação no dispositivo, é apresentada uma notificação do Centro de Ação. Você pode personalizar a notificação com os detalhes da sua empresa e informações de contato. Você também pode ativar as regras individualmente para personalizar quais técnicas o recurso monitora.

Você também pode usar o modo de auditoria para avaliar como o Exploit Protection afetaria sua organização se fosse ativado.

Muitos dos recursos do Kit de Ferramentas de Redução Aprimorada (EMET) estão incluídos na proteção contra abusos. Na verdade, você pode converter e importar seus perfis de configurações existentes do EMET na proteção contra abusos. Para saber mais, consulte Importar, exportar e implantar configurações de proteção contra abusos.

Importante

Se você estiver usando o EMET no momento, deve estar ciente de que o EMET chegou ao fim do suporte em 31 de julho de 2018. Considere a substituição do EMET com proteção contra abusos no Windows 10.

Aviso

Algumas tecnologias de atenuação de segurança podem ter problemas de compatibilidade com alguns aplicativos. Você deve testar a proteção contra abusos em todos os cenários de uso de destino usando o modo de auditoria antes de implantar a configuração em um ambiente de produção ou no resto da sua rede.

Rever eventos de proteção contra exploits no portal do Microsoft Defender

O Defender para Ponto de extremidade fornece relatórios detalhados sobre eventos e bloqueios como parte dos seus cenários de investigação de alerta.

Você pode consultar o Defender para dados de ponto de extremidade usando a Busca avançada. Se estiver usando o modo de auditoria, você pode usar a busca avançada para ver como as configurações de proteção contra abusos podem afetar seu ambiente.

Veja um exemplo de consulta:

DeviceEvents
| where ActionType startswith 'ExploitGuard' and ActionType !contains 'NetworkProtection'

Exploit Protection e investigação avançada

Seguem-se os tipos de ação de investigação avançados disponíveis para o Exploit Protection.

Nome da mitigação do Exploit Protection Exploit Protection – Investigação Avançada – ActionTypes
Proteção de código arbitrária ExploitGuardAcgAudited
ExploitGuardAcgEnforced
Não permitir processos filho ExploitGuardChildProcessAudited
ExploitGuardChildProcessBlocked
Filtragem de endereços de exportação (EAF) ExploitGuardEafViolationAudited
ExploitGuardEafViolationBlocked
Filtragem de endereços de importação (IAF) ExploitGuardIafViolationAudited
ExploitGuardIafViolationBlocked
Bloquear imagens de baixa integridade ExploitGuardLowIntegrityImageAudited
ExploitGuardLowIntegrityImageBlocked
Proteção da integridade do código ExploitGuardNonMicrosoftSignedAudited
ExploitGuardNonMicrosoftSignedBlocked
• Simular a execução (SimExec)
• Validar a invocação da API (CallerCheck)
• Validar a integridade da pilha (StackPivot)
ExploitGuardRopExploitAudited
ExploitGuardRopExploitBlocked
Bloquear imagens remotas ExploitGuardSharedBinaryAudited
ExploitGuardSharedBinaryBlocked
Desabilitar chamadas do sistema Win32k ExploitGuardWin32SystemCallAudited
ExploitGuardWin32SystemCallBlocked

Examinar eventos de proteção contra abusos no Visualizador de Eventos do Windows

Você pode revisar o log de eventos do Windows para ver os eventos que são criados quando a proteção contra abusos bloqueia (ou audita) um aplicativo:

Provedor/origem ID do Evento Descrição
Atenuações de Segurança 1 Auditoria do ACG
Atenuações de Segurança 2 Imposição do ACG
Atenuações de Segurança 3 Não permitir auditoria de processos filho
Atenuações de Segurança 4 Não permitir bloqueio de processos filho
Atenuações de Segurança 5 Bloquear a auditoria de imagens de baixa integridade
Atenuações de Segurança 6 Bloquear o bloco de imagens de baixa integridade
Atenuações de Segurança 7 Bloquear a auditoria de imagens remotas
Atenuações de Segurança 8 Bloquear o bloco de imagens remotas
Atenuações de Segurança 9 Desativar as chamadas do sistema win32k
Atenuações de Segurança 10 Desativar o bloco de chamadas do sistema win32k
Atenuações de Segurança 11 Auditoria de proteção da integridade do código
Atenuações de Segurança 12 Bloquear a proteção da integridade do código
Atenuações de Segurança 13 Auditoria da EAF
Atenuações de Segurança 14 Imposição da EAF
Atenuações de Segurança 15 Auditoria + EAF
Atenuações de Segurança 16 Imposição + EAF
Atenuações de Segurança 17 Auditoria da IAF
Atenuações de Segurança 18 Imposição da IAF
Atenuações de Segurança 19 Auditoria do ROP StackPivot
Atenuações de Segurança 20 Imposição do ROP StackPivot
Atenuações de Segurança 21 Auditoria do ROP CallerCheck
Atenuações de Segurança 22 Imposição do ROP CallerCheck
Atenuações de Segurança 23 Auditoria do ROP SimExec
Atenuações de Segurança 24 Imposição do SimExec ROP
Diagnóstico do WER 5 Bloco CFG
Win32K 260 Fonte Não Confiável

Comparação de atenuação

As mitigações disponíveis no EMET estão incluídas nativamente no Windows 10 (a partir da versão 1709), Windows 11 e Windows Server (a partir da versão 1803), sob o Exploit Protection.

A tabela nesta seção indica a disponibilidade e o suporte de atenuações nativas entre o EMET e a proteção contra abusos.

Atenuação Disponível sob proteção contra abusos Disponível em EMET
Proteção de código arbitrário (ACG) Sim Sim
Como "Verificação de Proteção de Memória"
Bloquear imagens remotas Sim Sim
Como "Verificar a Biblioteca de Carregamento"
Bloquear fontes não confiáveis Sim Sim
Prevenção de Execução de Dados (DEP) Sim Sim
Filtragem de endereços de exportação (EAF) Sim Sim
Forçar a aleatorização para imagens (ASLR obrigatória) Sim Sim
Mitigação de Segurança NullPage Sim
Incluído nativamente no Windows 10 e no Windows 11
Para obter mais informações, veja Mitigar ameaças com funcionalidades de segurança Windows 10
Sim
Tornar aleatória as alocações de memória (ASLR de baixo para cima) Sim Sim
Simular a execução (SimExec) Sim Sim
Validar a invocação da API (CallerCheck) Sim Sim
Validar as correntes de exceção (SEHOP) Sim Sim
Validar a integridade da pilha (StackPivot) Sim Sim
Certificado de confiança (fixação do certificado configurável) Windows 10 e o Windows 11 fornecem a anexação de certificados corporativos Sim
Alocação de irrigação de pilha Ineficaz contra abusos baseados no navegador mais recente; atenuações mais recentes fornecem melhor proteção
Para obter mais informações, veja Mitigar ameaças com funcionalidades de segurança Windows 10
Sim
Bloquear imagens de baixa integridade Sim Não
Proteção da integridade do código Sim Não
Desabilitar os pontos de extensão Sim Não
Desabilitar chamadas do sistema Win32k Sim Não
Não permitir processos filho Sim Não
Filtragem de endereços de importação (IAF) Sim Não
Validar o uso do identificador Sim Não
Validar integridade da pilha Sim Não
Validar a integridade da dependência da imagem Sim Não

Observação

As mitigações ROP Avançadas que estão disponíveis no EMET são substituídas pelo ACG no Windows 10 e no Windows 11, cujas outras configurações avançadas de EMET são ativadas por padrão, como parte da ativação das mitigações anti-ROP para um processo. Para obter mais informações sobre como Windows 10 utiliza a tecnologia EMET existente, veja As ameaças de mitigação através da utilização de funcionalidades de segurança Windows 10.

Confira também

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.