Proteger dispositivos contra abusos
Aplica-se a:
- Plano 1 do Microsoft Defender para Ponto de Extremidade
- Plano 2 do Microsoft Defender para Ponto de Extremidade
- Microsoft Defender XDR
O Exploit Protection aplica automaticamente muitas técnicas de mitigação de exploração a aplicativos e processos do sistema operacional. O Exploit Protection tem suporte a partir do Windows 10, versão 1709, Windows 11 e Windows Server, versão 1803.
A proteção contra abusos funciona melhor com o Defender para Ponto de extremidade, que fornece relatórios detalhados sobre eventos e bloqueios de proteção contra abusos como parte dos usuais cenários de investigação de alerta.
Você pode ativar a proteção contra abusos em um dispositivo individual e, em seguida, usar a Política de Grupo para distribuir o arquivo XML para vários dispositivos de uma vez.
Quando é encontrada uma mitigação no dispositivo, é apresentada uma notificação do Centro de Ação. Você pode personalizar a notificação com os detalhes da sua empresa e informações de contato. Você também pode ativar as regras individualmente para personalizar quais técnicas o recurso monitora.
Você também pode usar o modo de auditoria para avaliar como o Exploit Protection afetaria sua organização se fosse ativado.
Muitos dos recursos do Kit de Ferramentas de Redução Aprimorada (EMET) estão incluídos na proteção contra abusos. Na verdade, você pode converter e importar seus perfis de configurações existentes do EMET na proteção contra abusos. Para saber mais, consulte Importar, exportar e implantar configurações de proteção contra abusos.
Importante
Se você estiver usando o EMET no momento, deve estar ciente de que o EMET chegou ao fim do suporte em 31 de julho de 2018. Considere a substituição do EMET com proteção contra abusos no Windows 10.
Aviso
Algumas tecnologias de atenuação de segurança podem ter problemas de compatibilidade com alguns aplicativos. Você deve testar a proteção contra abusos em todos os cenários de uso de destino usando o modo de auditoria antes de implantar a configuração em um ambiente de produção ou no resto da sua rede.
Rever eventos de proteção contra exploits no portal do Microsoft Defender
O Defender para Ponto de extremidade fornece relatórios detalhados sobre eventos e bloqueios como parte dos seus cenários de investigação de alerta.
Você pode consultar o Defender para dados de ponto de extremidade usando a Busca avançada. Se estiver usando o modo de auditoria, você pode usar a busca avançada para ver como as configurações de proteção contra abusos podem afetar seu ambiente.
Veja um exemplo de consulta:
DeviceEvents
| where ActionType startswith 'ExploitGuard' and ActionType !contains 'NetworkProtection'
Exploit Protection e investigação avançada
Seguem-se os tipos de ação de investigação avançados disponíveis para o Exploit Protection.
Nome da mitigação do Exploit Protection | Exploit Protection – Investigação Avançada – ActionTypes |
---|---|
Proteção de código arbitrária | ExploitGuardAcgAudited ExploitGuardAcgEnforced |
Não permitir processos filho | ExploitGuardChildProcessAudited ExploitGuardChildProcessBlocked |
Filtragem de endereços de exportação (EAF) | ExploitGuardEafViolationAudited ExploitGuardEafViolationBlocked |
Filtragem de endereços de importação (IAF) | ExploitGuardIafViolationAudited ExploitGuardIafViolationBlocked |
Bloquear imagens de baixa integridade | ExploitGuardLowIntegrityImageAudited ExploitGuardLowIntegrityImageBlocked |
Proteção da integridade do código | ExploitGuardNonMicrosoftSignedAudited ExploitGuardNonMicrosoftSignedBlocked |
• Simular a execução (SimExec) • Validar a invocação da API (CallerCheck) • Validar a integridade da pilha (StackPivot) |
ExploitGuardRopExploitAudited ExploitGuardRopExploitBlocked |
Bloquear imagens remotas | ExploitGuardSharedBinaryAudited ExploitGuardSharedBinaryBlocked |
Desabilitar chamadas do sistema Win32k | ExploitGuardWin32SystemCallAudited ExploitGuardWin32SystemCallBlocked |
Examinar eventos de proteção contra abusos no Visualizador de Eventos do Windows
Você pode revisar o log de eventos do Windows para ver os eventos que são criados quando a proteção contra abusos bloqueia (ou audita) um aplicativo:
Provedor/origem | ID do Evento | Descrição |
---|---|---|
Atenuações de Segurança | 1 | Auditoria do ACG |
Atenuações de Segurança | 2 | Imposição do ACG |
Atenuações de Segurança | 3 | Não permitir auditoria de processos filho |
Atenuações de Segurança | 4 | Não permitir bloqueio de processos filho |
Atenuações de Segurança | 5 | Bloquear a auditoria de imagens de baixa integridade |
Atenuações de Segurança | 6 | Bloquear o bloco de imagens de baixa integridade |
Atenuações de Segurança | 7 | Bloquear a auditoria de imagens remotas |
Atenuações de Segurança | 8 | Bloquear o bloco de imagens remotas |
Atenuações de Segurança | 9 | Desativar as chamadas do sistema win32k |
Atenuações de Segurança | 10 | Desativar o bloco de chamadas do sistema win32k |
Atenuações de Segurança | 11 | Auditoria de proteção da integridade do código |
Atenuações de Segurança | 12 | Bloquear a proteção da integridade do código |
Atenuações de Segurança | 13 | Auditoria da EAF |
Atenuações de Segurança | 14 | Imposição da EAF |
Atenuações de Segurança | 15 | Auditoria + EAF |
Atenuações de Segurança | 16 | Imposição + EAF |
Atenuações de Segurança | 17 | Auditoria da IAF |
Atenuações de Segurança | 18 | Imposição da IAF |
Atenuações de Segurança | 19 | Auditoria do ROP StackPivot |
Atenuações de Segurança | 20 | Imposição do ROP StackPivot |
Atenuações de Segurança | 21 | Auditoria do ROP CallerCheck |
Atenuações de Segurança | 22 | Imposição do ROP CallerCheck |
Atenuações de Segurança | 23 | Auditoria do ROP SimExec |
Atenuações de Segurança | 24 | Imposição do SimExec ROP |
Diagnóstico do WER | 5 | Bloco CFG |
Win32K | 260 | Fonte Não Confiável |
Comparação de atenuação
As mitigações disponíveis no EMET estão incluídas nativamente no Windows 10 (a partir da versão 1709), Windows 11 e Windows Server (a partir da versão 1803), sob o Exploit Protection.
A tabela nesta seção indica a disponibilidade e o suporte de atenuações nativas entre o EMET e a proteção contra abusos.
Atenuação | Disponível sob proteção contra abusos | Disponível em EMET |
---|---|---|
Proteção de código arbitrário (ACG) | Sim | Sim Como "Verificação de Proteção de Memória" |
Bloquear imagens remotas | Sim | Sim Como "Verificar a Biblioteca de Carregamento" |
Bloquear fontes não confiáveis | Sim | Sim |
Prevenção de Execução de Dados (DEP) | Sim | Sim |
Filtragem de endereços de exportação (EAF) | Sim | Sim |
Forçar a aleatorização para imagens (ASLR obrigatória) | Sim | Sim |
Mitigação de Segurança NullPage | Sim Incluído nativamente no Windows 10 e no Windows 11 Para obter mais informações, veja Mitigar ameaças com funcionalidades de segurança Windows 10 |
Sim |
Tornar aleatória as alocações de memória (ASLR de baixo para cima) | Sim | Sim |
Simular a execução (SimExec) | Sim | Sim |
Validar a invocação da API (CallerCheck) | Sim | Sim |
Validar as correntes de exceção (SEHOP) | Sim | Sim |
Validar a integridade da pilha (StackPivot) | Sim | Sim |
Certificado de confiança (fixação do certificado configurável) | Windows 10 e o Windows 11 fornecem a anexação de certificados corporativos | Sim |
Alocação de irrigação de pilha | Ineficaz contra abusos baseados no navegador mais recente; atenuações mais recentes fornecem melhor proteção Para obter mais informações, veja Mitigar ameaças com funcionalidades de segurança Windows 10 |
Sim |
Bloquear imagens de baixa integridade | Sim | Não |
Proteção da integridade do código | Sim | Não |
Desabilitar os pontos de extensão | Sim | Não |
Desabilitar chamadas do sistema Win32k | Sim | Não |
Não permitir processos filho | Sim | Não |
Filtragem de endereços de importação (IAF) | Sim | Não |
Validar o uso do identificador | Sim | Não |
Validar integridade da pilha | Sim | Não |
Validar a integridade da dependência da imagem | Sim | Não |
Observação
As mitigações ROP Avançadas que estão disponíveis no EMET são substituídas pelo ACG no Windows 10 e no Windows 11, cujas outras configurações avançadas de EMET são ativadas por padrão, como parte da ativação das mitigações anti-ROP para um processo. Para obter mais informações sobre como Windows 10 utiliza a tecnologia EMET existente, veja As ameaças de mitigação através da utilização de funcionalidades de segurança Windows 10.
Confira também
- Configurar e auditar as mitigações de proteção contra abusos
- Solução de problemas de proteção contra abusos
- Otimizar a implantação e detecção da regra ASR
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.