Ativar a proteção contra exploits
Aplica-se a:
- API do Microsoft Defender para Endpoint 1
- Microsoft Defender para Endpoint Plano 2
- Microsoft Defender XDR
Quer experimentar o Microsoft Defender para Ponto Final? Inscrever-se para uma avaliação gratuita.
A Proteção contra exploit ajuda a proteger os dispositivos contra software malicioso que utiliza exploits para propagar e infetar outros dispositivos. A mitigação pode ser aplicada ao sistema operativo ou a uma aplicação individual. Muitas das funcionalidades que fazem parte do Enhanced Mitigation Experience Toolkit (EMET) estão incluídas na proteção de exploração. (O EMET atingiu o fim do suporte.)
Na auditoria, pode ver como funciona a mitigação para determinadas aplicações num ambiente de teste. Isto mostra o que aconteceria se ativasse a proteção contra exploits no seu ambiente de produção. Desta forma, pode verificar se a proteção contra exploits não afeta negativamente as suas aplicações de linha de negócio e ver que eventos suspeitos ou maliciosos ocorrem.
Diretrizes genéricas
As mitigações da proteção contra exploits funcionam a um nível baixo no sistema operativo e alguns tipos de software que executam operações de baixo nível semelhantes podem ter problemas de compatibilidade quando estão configurados para serem protegidos através da proteção contra exploits.
Que tipos de software não devem ser protegidos pela proteção contra exploits?
- Software antimalware e de prevenção ou deteção de intrusões
- Depuradores
- Software que processa tecnologias de gestão de direitos digitais (DRM) (ou seja, videojogos)
- Software que utiliza tecnologias anti-depuração, ocultação ou hooking
Que tipo de aplicações deve considerar ativar a proteção contra exploits?
Aplicações que recebem ou processam dados não fidedignos.
Que tipo de processos estão fora do âmbito da proteção contra exploits?
Serviços
- Serviços de sistema
- Serviços de rede
Mitigações de proteção contra exploits ativadas por predefinição
Mitigação | Ativado por predefinição |
---|---|
Prevenção de Execução de Dados (DEP) | Aplicações de 64 bits e 32 bits |
Validar cadeias de exceção (SEHOP) | Aplicações de 64 bits |
Validar integridade da área dinâmica para dados | Aplicações de 64 bits e 32 bits |
Mitigações preteridas de "Definições do programa"
Mitigações de "Definições do programa" | Motivo |
---|---|
Filtragem de endereços de exportação (EAF) | Problemas de compatibilidade da aplicação |
Filtragem de endereços de importação (IAF) | Problemas de compatibilidade da aplicação |
Simular exceção (SimExec) | Substituído por Arbitrary Code Guard (ACG) |
Validar invocação de API (CallerCheck) | Substituído por Arbitrary Code Guard (ACG) |
Validar integridade da pilha (StackPivot) | Substituído por Arbitrary Code Guard (ACG) |
Melhores práticas de aplicações do Office
Em vez de utilizar o Exploit Protection para aplicações do Office, como o Outlook, Word, Excel, PowerPoint e OneNote, considere utilizar uma abordagem mais moderna para evitar a utilização indevida: Regras de Redução da Superfície de Ataque (regras ASR):
- Bloquear conteúdo executável do cliente de e-mail e do webmail
- Impedir que as aplicações do Office criem conteúdos executáveis
- Bloquear a criação de processos subordinados em todas as aplicações do Office
- Bloquear a criação de processos subordinados na aplicação de comunicação do Office
- Bloquear a injeção de código nas aplicações do Office noutros processos
- Bloquear a execução de scripts potencialmente ocultados
- Bloquear chamadas à API Win32 a partir de macros do Office
Para o Adobe Reader, utilize a seguinte regra ASR:
• Impedir o Adobe Reader de criar processos subordinados
Lista de compatibilidade de aplicações
A tabela seguinte lista produtos específicos que têm problemas de compatibilidade com as mitigações incluídas na proteção contra exploits. Tem de desativar mitigações incompatíveis específicas se quiser proteger o produto através da proteção contra exploits. Tenha em atenção que esta lista tem em consideração as predefinições das versões mais recentes do produto. Os problemas de compatibilidade podem ser introduzidos quando aplica determinados suplementos ou outros componentes ao software padrão.
Produto | Mitigação da proteção contra exploits |
---|---|
.NET 2.0/3.5 | EAF/IAF |
Consola do 7-Zip/GUI/Gestor de Ficheiros | EAF |
Processadores AMD 62xx | EAF |
Avecto (Beyond Trust) Power Broker | EAF, EAF+, Stack Pivot |
Determinados controladores de vídeo AMD (ATI) | SISTEMA ASLR=AlwaysOn |
DropBox | EAF |
Excel Power Query, Power View, Power Map e PowerPivot | EAF |
Google Chrome | EAF+ |
Immidio Flex+ | EAF |
Componentes Web do Microsoft Office (OWC) | DEP do Sistema=AlwaysOn |
Microsoft PowerPoint | EAF |
Microsoft Teams | EAF+ |
Oracle Javaǂ | Heapspray |
Pitney Bowes Print Audit 6 | SimExecFlow |
A versão do Siebel CRM é 8.1.1.9 | SEHOP |
Skype | EAF |
SolarWinds Syslogd Manager | EAF |
Leitor multimédia do Windows | MandatoryASLR, EAF |
ǂ As mitigações do EMET podem ser incompatíveis com o Oracle Java quando são executadas através de definições que reservam uma grande parte da memória para a máquina virtual (ou seja, através da opção -Xms).
Ativar as definições do sistema de proteção contra exploits para testes
Estas definições do sistema exploit protection estão ativadas por predefinição, exceto para a Aleatoriedade de Esquema de Espaço de Endereços Obrigatório (ASLR) no Windows 10 e posterior, Windows Server 2019 e posterior, e na versão 1803 core do Windows Server e posterior.
Definições do sistema | Definição |
---|---|
Proteção do fluxo de controlo (CFG) | Utilizar predefinição (Ativado) |
Prevenção de Execução de Dados (DEP) | Utilizar predefinição (Ativado) |
Forçar a aleatoriedade para imagens (ASRL Obrigatório) | Utilizar predefinição (Desativado) |
Aleatorizar alocações de memória (ASRL inferior para cima) | Utilizar predefinição (Ativado) |
ASRL de alta entropia | Utilizar predefinição (Ativado) |
Validar cadeias de exceção (SEHOP) | Utilizar predefinição (Ativado) |
O exemplo de xml está disponível abaixo
<?xml version="1.0" encoding="UTF-8"?>
<MitigationPolicy>
<SystemConfig>
<DEP Enable="true" EmulateAtlThunks="false" />
<ASLR ForceRelocateImages="false" RequireInfo="false" BottomUp="true" HighEntropy="true" />
<ControlFlowGuard Enable="true" SuppressExports="false" />
<SEHOP Enable="true" TelemetryOnly="false" />
<Heap TerminateOnError="true" />
</SystemConfig>
</MitigationPolicy>
Ativar as definições do programa exploit protection para testes
Sugestão
Recomendamos vivamente que reveja a abordagem moderna para mitigações de vulnerabilidades, que consiste em utilizar as regras de Redução da Superfície de Ataque (regras ASR).
Pode definir mitigações num modo de teste para programas específicos utilizando a aplicação Segurança do Windows ou o Windows PowerShell.
Aplicação Segurança do Windows
Abrir a aplicação Segurança do Windows. Selecione o ícone de escudo na barra de tarefas ou procure a Segurança do Windowsno menu Iniciar.
Selecione o mosaico Controlo de aplicações e browsers (ou o ícone da aplicação na barra de menus à esquerda) e, em seguida, Exploit Protection.
Vá para Definições do Programa e escolha a aplicação à qual pretende aplicar proteção:
Se a aplicação que pretende configurar já estiver listada, selecione-a e, em seguida, selecione Editar.
Se a aplicação não estiver listada na parte superior da lista, selecione Adicionar programa para personalizar. Em seguida, escolha como pretende adicionar a aplicação.
- Utilize Adicionar por nome de programa para que a mitigação seja aplicada a qualquer processo em execução com esse nome. Especifique um ficheiro com uma extensão. Pode introduzir um caminho completo para limitar a mitigação apenas à aplicação com esse nome nessa localização.
- Utilize Selecionar o caminho de ficheiro exato para utilizar uma janela padrão do seletor de ficheiros do Explorador do Windows para encontrar e selecionar o ficheiro que pretende.
Depois de selecionar a aplicação, verá uma lista de todas as mitigações que podem ser aplicadas. Escolher Auditoria aplica a mitigação apenas no modo de teste. Será notificado se precisar de reiniciar o processo, a aplicação ou o Windows.
Repita este procedimento para todas as aplicações e mitigações que pretende configurar. Selecione Aplicar quando terminar de configurar a sua configuração.
PowerShell
Para definir mitigações ao nível da aplicação para o modo de teste, utilize Set-ProcessMitigation
com o cmdlet Modo de auditoria .
Configure cada mitigação no seguinte formato:
Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>
Localização:
-
<Âmbito>:
-
-Name
para indicar que as mitigações devem ser aplicadas a uma aplicação específica. Especifique o executável da aplicação após este sinalizador.
-
-
<Ação>:
-
-Enable
para ativar a mitigação-
-Disable
para desativar a mitigação
-
-
-
<Mitigação>:
- O cmdlet da mitigação, conforme definido na tabela seguinte. Cada mitigação é separada por uma vírgula.
Mitigação | Cmdlet do modo de teste |
---|---|
Proteção de Código Arbitrário (ACG) | AuditDynamicCode |
Bloquear imagens de integridade baixa | AuditImageLoad |
Bloquear tipos de letra não fidedignos |
AuditFont , FontAuditOnly |
Proteção de integridade do código |
AuditMicrosoftSigned , AuditStoreSigned |
Desativar chamadas do sistema Win32k | AuditSystemCall |
Não permitir processos subordinados | AuditChildProcess |
Por exemplo, para ativar o Arbitrary Code Guard (ACG) no modo de teste para uma aplicação com o nome testing.exe, execute o seguinte comando:
Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable AuditDynamicCode
Pode desativar o modo de auditoria ao substituir -Enable
por -Disable
.
Rever eventos de auditoria da Proteção contra exploits
Para rever quais as aplicações que seriam bloqueadas, abra Visualizador de Eventos e filtre os seguintes eventos no registo de Security-Mitigations.
Funcionalidade | Fornecedor/origem | ID do Evento | Descrição |
---|---|---|---|
Proteção contra exploits | Mitigações de Segurança (Modo Kernel/Modo de Utilizador) | 1 | Auditoria ACG |
Proteção contra exploits | Mitigações de Segurança (Modo Kernel/Modo de Utilizador) | 3 | Não permitir auditoria de processos subordinados |
Proteção contra exploits | Mitigações de Segurança (Modo Kernel/Modo de Utilizador) | 5 | Bloquear auditoria de imagens de integridade baixa |
Proteção contra exploits | Mitigações de Segurança (Modo Kernel/Modo de Utilizador) | 7 | Bloquear auditoria de imagens remotas |
Proteção contra exploits | Mitigações de Segurança (Modo Kernel/Modo de Utilizador) | 9 | Desativar auditoria de chamadas do sistema win32k |
Proteção contra exploits | Mitigações de Segurança (Modo Kernel/Modo de Utilizador) | 11 | Auditoria de proteção de integridade do código |
Consulte também
- Ativar a proteção contra exploits
- Configurar e auditar mitigações do Exploit Protection
- Importar, exportar e implementar configurações de proteção contra exploits
- Resolver problemas de Proteção contra exploits
Sugestão
Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.