Ativar a proteção contra exploits
Aplica-se a:
- API do Microsoft Defender para Endpoint 2
- API do Microsoft Defender para Endpoint 1
- Microsoft Defender XDR
Sugestão
Quer experimentar o Defender para Ponto Final? Inscrever-se para uma avaliação gratuita.
O Exploit Protection ajuda a proteger contra malware que utiliza exploits para infetar dispositivos e propagar. O Exploit Protection consiste em muitas mitigações que podem ser aplicadas ao sistema operativo ou a aplicações individuais.
Importante
O .NET 2.0 não é compatível com algumas capacidades do Exploit Protection, especificamente, a Filtragem de Endereços de Exportação (EAF) e a Filtragem de Endereços de Importação (IAF). Se tiver ativado o .NET 2.0, a utilização de EAF e IAF não é suportada.
Muitas funcionalidades do Enhanced Mitigation Experience Toolkit (EMET) estão incluídas no Exploit Protection.
Pré-requisitos
Esta secção inclui recomendações para que tenha êxito na implementação da proteção contra exploits.
Configurar a monitorização de falhas de aplicação (ID do Evento 1000 e/ou ID do Evento 1001) e/ou bloqueios (ID do Evento 1002)
Ativar a recolha completa de informações de falha de sistema do modo de utilizador
Verifique que aplicações já estão compiladas com o "Control Flow Guard" (CFG), que se concentra principalmente na mitigação de vulnerabilidades de danos na memória. Utilize a ferramenta dumpbin para ver se está compilada com o CFG. Para estas aplicações, pode ignorar a ativação da imposição para DEP, ASRL, SEHOP e ACG.
Utilize práticas de implementação seguras.
Aviso
Se não testar e não seguir as práticas de implementação seguras, pode contribuir para falhas de produtividade do utilizador final.
Práticas de implementação segura
Práticas de implementação segura (SDP): os processos e procedimentos de implementação seguros definem como efetuar e implementar alterações na carga de trabalho de forma segura. A implementação do SDP requer que pense nas implementações através da lente da gestão de riscos. Pode minimizar o risco de falhas de produtividade do utilizador final nas suas implementações e limitar os efeitos de implementações problemáticas nos seus utilizadores através da implementação do SDP.
Comece com um pequeno conjunto (por exemplo, 10 a 50) de dispositivos Windows e utilize-o como ambiente de teste para ver quais das 21 mitigações são incompatíveis com a proteção contra exploits. Remova as mitigações que não são compatíveis com a aplicação. Reiterar com as aplicações que está a direcionar. Assim que sentir que a política está pronta para produção.
Comece por enviar primeiro para o Teste de Aceitação do Utilizador (UAT) composto por administradores de TI, Administradores de segurança e pessoal de suporte técnico. Em seguida, para 1%, 5%, 10%, 25%, 50%, 75% e, finalmente, para 100% do seu ambiente.
Ativar mitigações da proteção contra exploits
Pode ativar cada mitigação separadamente através de qualquer um destes métodos:
- Aplicação Segurança do Windows
- Microsoft Intune
- Gestão de Dispositivos Móveis (MDM)
- Microsoft Configuration Manager
- Política de Grupo
- PowerShell
O Exploit Protection está configurado por predefinição no Windows 10 e no Windows 11. Pode definir cada mitigação como ativada, desativada ou valor predefinido. Algumas mitigações têm mais opções. Pode exportar definições como um ficheiro XML e implementá-las noutros dispositivos.
Também pode definir mitigações para modo de auditoria. O modo de auditoria permite-lhe testar como as mitigações funcionariam (e rever eventos) sem afetar a utilização normal do dispositivo.
Aplicação Segurança do Windows
Abra a aplicação Segurança do Windows selecionando o ícone de escudo na barra de tarefas ou procurando no menu Iniciar por Segurança.
Selecione o mosaico Controlo de aplicações e browsers (ou o ícone da aplicação na barra de menus à esquerda) e, em seguida, Definições do Exploit Protection.
Aceda a Definições do programa e selecione a aplicação à qual pretende aplicar mitigações.
- Se a aplicação que pretende configurar já estiver listada, selecione-a e, em seguida, Editar.
- Se a aplicação não estiver listada, na parte superior da lista, selecione Adicionar programa para personalizar e, em seguida, escolha como pretende adicionar a aplicação.
- Utilize Adicionar por nome de programa para que a mitigação seja aplicada a qualquer processo em execução com esse nome. Especifique um ficheiro com a respetiva extensão. Pode introduzir um caminho completo para limitar a mitigação apenas à aplicação com esse nome nessa localização.
- Utilize Selecionar o caminho de ficheiro exato para utilizar uma janela padrão do seletor de ficheiros do Explorador do Windows para encontrar e selecionar o ficheiro que pretende.
Depois de selecionar a aplicação, verá uma lista de todas as mitigações que podem ser aplicadas. Escolher Auditoria aplica a mitigação apenas no modo de auditoria. Será notificado se precisar de reiniciar o processo ou aplicação ou se precisar de reiniciar o Windows.
Repita os passos 3 a 4 para todas as aplicações e mitigações que pretende configurar.
Na secção Definições do sistema, localize a mitigação que pretende configurar e, em seguida, especifique uma das seguintes definições. As aplicações que não estão configuradas individualmente na secção Definições de programa utilizam as definições configuradas aqui.
- Ativada por predefinição: a mitigação está ativada para aplicações que não têm esta mitigação definida na secção definições do Programa específicas da aplicação
- Desativada por predefinição: a mitigação está desativada para aplicações que não têm esta mitigação definida na secção definições do Programa específicas da aplicação
- Utilizar predefinição: a mitigação está ativada ou desativada, dependendo da configuração predefinida configurada pela instalação do Windows 10 ou do Windows 11; o valor predefinido (Ativada ou Desativada) é sempre especificado junto à etiqueta Utilizar predefinição para cada mitigação
Repita o passo 6 para todas as mitigações ao nível do sistema que pretende configurar. Selecione Aplicar quando terminar de configurar a sua configuração.
Se adicionar uma aplicação à secção Definições do programa e configurar definições de mitigação individuais, estas serão honradas acima da configuração para as mesmas mitigações especificadas na secção Definições do sistema . A matriz e os exemplos seguintes ajudam a ilustrar como funcionam as predefinições:
Ativado nas Definições de programa | Ativado nas Definições de sistema | Comportamento |
---|---|---|
Sim | Não | Conforme definido nas definições de Programa |
Sim | Sim | Conforme definido nas definições de Programa |
Não | Sim | Conforme definido nas Definições de sistema |
Não | Não | Predefinição, conforme definido em Utilizar predefinição |
Exemplo 1: o Mikael configura a Prevenção de Execução de Dados na secção de definições do sistema como desativada por predefinição
O Mikael adiciona a aplicação test.exe à secção Definições de programa. Nas opções para essa aplicação, em Prevenção de Execução de Dados (DEP), Mikael ativa Ignorar definições de sistema e muda o botão para a posição Ativado. Não existem outras aplicações listadas na secção Definições de programa.
O resultado é que a DEP está ativada apenas para test.exe. Todas as outras aplicações não terão o DEP aplicado.
Exemplo 2: a Josie configura a Prevenção de Execução de Dados em definições do sistema como desativada por predefinição
A Josie adiciona a aplicação test.exe à secção Definições de programa. Nas opções para essa aplicação, em Prevenção de Execução de Dados (DEP), a Josie ativa Ignorar definições de sistema e muda o botão para a posição Ativado.
A Josie também adiciona a aplicação miles.exe à secção Definições de programa e configura a Proteção de fluxo de controlo (CFG) com Ativado. Josie também não ativa a opção Ignorar definições de sistema para a DEP ou quaisquer outras mitigações para essa aplicação.
O resultado é que a DEP está ativada para test.exe. O DEP não será ativado para nenhuma outra aplicação, incluindo miles.exe. A configuração será ativado para miles.exe.
Abra a aplicação Segurança do Windows selecionando o ícone de escudo na barra de tarefas ou procurando no menu Iniciar por Segurança do Windows.
Selecione o mosaico Controlo de aplicações e browsers (ou o ícone da aplicação na barra de menus à esquerda) e, em seguida, Exploit Protection.
Aceda a Definições do programa e selecione a aplicação à qual pretende aplicar mitigações.
- Se a aplicação que pretende configurar já estiver listada, selecione-a e, em seguida, Editar.
- Se a aplicação não estiver listada, na parte superior da lista, selecione Adicionar programa para personalizar e, em seguida, escolha como pretende adicionar a aplicação.
- Utilize Adicionar por nome de programa para que a mitigação seja aplicada a qualquer processo em execução com esse nome. Especifique um ficheiro com uma extensão. Pode introduzir um caminho completo para limitar a mitigação apenas à aplicação com esse nome nessa localização.
- Utilize Selecionar o caminho de ficheiro exato para utilizar uma janela padrão do seletor de ficheiros do Explorador do Windows para encontrar e selecionar o ficheiro que pretende.
Depois de selecionar a aplicação, verá uma lista de todas as mitigações que podem ser aplicadas. Escolher Auditoria aplica a mitigação apenas no modo de auditoria. Será notificado se precisar de reiniciar o processo ou aplicação ou se precisar de reiniciar o Windows.
Repita os passos 3 a 4 para todas as aplicações e mitigações que pretende configurar. Selecione Aplicar quando terminar de configurar a sua configuração.
Intune
Inicie sessão no portal do Azure e abra o Intune.
Aceda a Configuração do dispositivoPerfis > deConfiguração>Criar perfil.
Atribua um nome ao perfil, selecione Windows 10 e posterior, selecione modelos para Tipo de perfil e selecione Endpoint Protection em nome do modelo.
Selecione >ConfiguraraProteção contra Exploits doWindows Defender Exploit Guard>.
Carregue um ficheiro XML com as definições do Exploit Protection:
Selecione OK para guardar cada painel aberto e, em seguida, selecione Criar.
Selecione o separador Atribuições de perfil, atribua a política a Todos os Utilizadores e Todos os Dispositivos e, em seguida, selecione Guardar.
MDM
Utilize o fornecedor de serviços de configuração (CSP) ./Vendor/MSFT/Policy/Config/ExploitGuard/ExploitProtectionSettings para ativar ou desativar mitigações do Exploit Protection ou para utilizar o modo de auditoria.
Microsoft Configuration Manager
Segurança de Ponto Final
Em Microsoft Configuration Manager, aceda aEndpoint Security Attack surface reduction (Redução da superfície do Ataque de Segurança > de Ponto Final).
Selecione CriarPlataforma de Políticas> e, em Perfil, selecione Exploit Protection. Em seguida, selecione Criar.
Especifique um nome e uma descrição e, em seguida, selecione Seguinte.
Selecione Selecionar Ficheiro XML e navegue para a localização do ficheiro XML do Exploit Protection. Escolha o ficheiro e, em seguida, selecione Seguinte.
Configure as Etiquetas de âmbito e Atribuições, se necessário.
Em Rever + criar, reveja as definições de configuração e, em seguida, selecione Criar.
Ativos e Conformidade
No Microsoft Configuration Manager, aceda a Ativos e Compatibilidade>Endpoint Protection>Windows Defender Exploit Guard.
Selecione Base>Criar Política do Exploit Guard.
Especifique um nome e uma descrição, selecione Exploit Protection e depois selecione Seguinte.
Navegue para a localização do ficheiro XML do Exploit Protection e, em seguida, selecione Seguinte.
Reveja as definições e depois selecione Seguinte para criar a política.
Após a criação da política, selecione Fechar.
Política de Grupo
No dispositivo de gestão Política de Grupo, abra a Consola de Gestão do Política de Grupo. Clique com o botão direito do rato no Objeto Política de Grupo que pretende configurar e selecione Editar.
No Editor de Gestão de Políticas de Grupo, vá para Configuração do computador e selecione Modelos administrativos.
Expanda a árvore para componentes> doWindows Windows Defender Exploit Guard>Exploit Protection>Utilize um conjunto comum de definições de proteção contra exploits.
Selecione Ativado e escreva a localização do ficheiro XML e, em seguida, selecione OK.
PowerShell
Pode utilizar o verbo do PowerShell Get
ou Set
com o cmdlet ProcessMitigation
. A utilização Get
lista o estado de configuração atual de quaisquer mitigações que estejam ativadas no dispositivo. Adicione o -Name
cmdlet e o exe da aplicação para ver mitigações apenas para essa aplicação:
Get-ProcessMitigation -Name processName.exe
Importante
As mitigações ao nível do sistema que não tenham sido configuradas irão mostrar um estado de NOTSET
.
- Para as definições ao nível do sistema,
NOTSET
indica que a predefinição para essa mitigação foi aplicada. - Para definições ao nível da aplicação,
NOTSET
indica que a definição ao nível do sistema para a mitigação será aplicada. A predefinição para cada mitigação ao nível do sistema pode ser consultada na Segurança do Windows.
Utilize Set
para configurar cada mitigação no seguinte formato:
Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>
Localização:
-
<Âmbito>:
-
-Name
para indicar que as mitigações devem ser aplicadas a uma aplicação específica. Especifique o executável da aplicação após este sinalizador.-
-System
para indicar que a mitigação deve ser aplicada ao nível do sistema
-
-
-
<Ação>:
-
-Enable
para ativar a mitigação -
-Disable
para desativar a mitigação
-
-
<Mitigação>:
- O cmdlet da mitigação juntamente com quaisquer subopções (entre espaços). Cada mitigação é separada por uma vírgula.
Por exemplo, para ativar a mitigação de Prevenção de Execução de Dados (DEP) com a emulação de ATL thunk e para um executável chamado testing.exe na pasta C:\Apps\LOB\tests e para impedir esse executável de criar processos subordinados, utilize o seguinte comando:
Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable DEP, EmulateAtlThunks, DisallowChildProcessCreation
Importante
Separe cada opção de mitigação por vírgulas.
Se quisesse aplicar a DEP ao nível do sistema, utilizaria o seguinte comando:
Set-Processmitigation -System -Enable DEP
Para desativar mitigações, pode substituir -Enable
por -Disable
. No entanto, para mitigações ao nível da aplicação, esta ação força a desativação da mitigação apenas para essa aplicação.
Se precisar de restaurar a mitigação para a predefinição do sistema, também tem de incluir o cmdlet -Remove
, como no exemplo seguinte:
Set-Processmitigation -Name test.exe -Remove -Disable DEP
A tabela seguinte lista as Mitigações individuais (e Auditorias, quando disponíveis) a utilizar com os parâmetros do cmdlet -Enable
ou -Disable
.
Tipo de mitigação | Aplica-se a | Palavra-chave do parâmetro do cmdlet de mitigação | Parâmetro do cmdlet do modo de auditoria |
---|---|---|---|
Proteção do fluxo de controlo (CFG) | Ao nível do sistema e da aplicação |
CFG , StrictCFG , SuppressExports |
Auditoria não disponível |
Prevenção de Execução de Dados (DEP) | Ao nível do sistema e da aplicação |
DEP , EmulateAtlThunks |
Auditoria não disponível |
Forçar a aleatoriedade de imagens (ASLR Obrigatório) | Ao nível do sistema e da aplicação | ForceRelocateImages |
Auditoria não disponível |
Aleatorizar alocações de memória (ASLR ascendente) | Ao nível do sistema e da aplicação |
BottomUp , HighEntropy |
Auditoria não disponível |
Validar cadeias de exceção (SEHOP) | Ao nível do sistema e da aplicação |
SEHOP , SEHOPTelemetry |
Auditoria não disponível |
Validar integridade da área dinâmica para dados | Ao nível do sistema e da aplicação | TerminateOnError |
Auditoria não disponível |
Proteção de código arbitrário (ACG) | Apenas ao nível da aplicação | DynamicCode |
AuditDynamicCode |
Bloquear imagens de integridade baixa | Apenas ao nível da aplicação | BlockLowLabel |
AuditImageLoad |
Bloquear imagens remotas | Apenas ao nível da aplicação | BlockRemoteImages |
Auditoria não disponível |
Bloquear tipos de letra não fidedignos | Apenas ao nível da aplicação | DisableNonSystemFonts |
AuditFont , FontAuditOnly |
Proteção de integridade do código | Apenas ao nível da aplicação |
BlockNonMicrosoftSigned , AllowStoreSigned |
AuditMicrosoftSigned, AuditStoreSigned |
Desativar pontos de extensão | Apenas ao nível da aplicação | ExtensionPoint |
Auditoria não disponível |
Desativar chamadas do sistema Win32k | Apenas ao nível da aplicação | DisableWin32kSystemCalls |
AuditSystemCall |
Não permitir processos subordinados | Apenas ao nível da aplicação | DisallowChildProcessCreation |
AuditChildProcess |
Filtragem de endereços de exportação (EAF) | Apenas ao nível da aplicação |
EnableExportAddressFilterPlus , EnableExportAddressFilter [1] |
Auditoria não disponível [2] |
Filtragem de endereços de importação (IAF) | Apenas ao nível da aplicação | EnableImportAddressFilter |
Auditoria não disponível [2] |
Simular exceção (SimExec) | Apenas ao nível da aplicação | EnableRopSimExec |
Auditoria não disponível [2] |
Validar invocação de API (CallerCheck) | Apenas ao nível da aplicação | EnableRopCallerCheck |
Auditoria não disponível [2] |
Validar utilização de identificador | Apenas ao nível da aplicação | StrictHandle |
Auditoria não disponível |
Validar integridade da dependência da imagem | Apenas ao nível da aplicação | EnforceModuleDepencySigning |
Auditoria não disponível |
Validar integridade da pilha (StackPivot) | Apenas ao nível da aplicação | EnableRopStackPivot |
Auditoria não disponível [2] |
[1]: Utilize o seguinte formato para ativar módulos EAF para DLLs para um processo:
Set-ProcessMitigation -Name processName.exe -Enable EnableExportAddressFilterPlus -EAFModules dllName1.dll,dllName2.dll
[2]: A auditoria para esta mitigação não está disponível através de cmdlets do PowerShell.
Personalizar a notificação
Para obter informações sobre como personalizar a notificação quando uma regra é acionada e uma aplicação ou ficheiro é bloqueado, consulte Segurança do Windows.
Remover as mitigações da proteção contra exploits
Para repor (anular ou remover) as mitigações da proteção contra exploits, veja a Referência do Exploit Protection.
Consulte também
- Ativar a proteção contra exploits
- Configurar e auditar mitigações do Exploit Protection
- Importar, exportar e implementar configurações de proteção contra exploits
Sugestão
Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.