Partilhar via


Ativar a proteção contra exploits

Aplica-se a:

Quer experimentar o Microsoft Defender para Ponto Final? Inscrever-se para uma avaliação gratuita.

A Proteção contra exploit ajuda a proteger os dispositivos contra software malicioso que utiliza exploits para propagar e infetar outros dispositivos. A mitigação pode ser aplicada ao sistema operativo ou a uma aplicação individual. Muitas das funcionalidades que fazem parte do Enhanced Mitigation Experience Toolkit (EMET) estão incluídas na proteção de exploração. (O EMET atingiu o fim do suporte.)

Na auditoria, pode ver como funciona a mitigação para determinadas aplicações num ambiente de teste. Isto mostra o que aconteceria se ativasse a proteção contra exploits no seu ambiente de produção. Desta forma, pode verificar se a proteção contra exploits não afeta negativamente as suas aplicações de linha de negócio e ver que eventos suspeitos ou maliciosos ocorrem.

Diretrizes genéricas

As mitigações da proteção contra exploits funcionam a um nível baixo no sistema operativo e alguns tipos de software que executam operações de baixo nível semelhantes podem ter problemas de compatibilidade quando estão configurados para serem protegidos através da proteção contra exploits.

Que tipos de software não devem ser protegidos pela proteção contra exploits?

  • Software antimalware e de prevenção ou deteção de intrusões
  • Depuradores
  • Software que processa tecnologias de gestão de direitos digitais (DRM) (ou seja, videojogos)
  • Software que utiliza tecnologias anti-depuração, ocultação ou hooking

Que tipo de aplicações deve considerar ativar a proteção contra exploits?

Aplicações que recebem ou processam dados não fidedignos.

Que tipo de processos estão fora do âmbito da proteção contra exploits?

Serviços

  • Serviços de sistema
  • Serviços de rede

Mitigações de proteção contra exploits ativadas por predefinição

Mitigação Ativado por predefinição
Prevenção de Execução de Dados (DEP) Aplicações de 64 bits e 32 bits
Validar cadeias de exceção (SEHOP) Aplicações de 64 bits
Validar integridade da área dinâmica para dados Aplicações de 64 bits e 32 bits

Mitigações preteridas de "Definições do programa"

Mitigações de "Definições do programa" Motivo
Filtragem de endereços de exportação (EAF) Problemas de compatibilidade da aplicação
Filtragem de endereços de importação (IAF) Problemas de compatibilidade da aplicação
Simular exceção (SimExec) Substituído por Arbitrary Code Guard (ACG)
Validar invocação de API (CallerCheck) Substituído por Arbitrary Code Guard (ACG)
Validar integridade da pilha (StackPivot) Substituído por Arbitrary Code Guard (ACG)

Melhores práticas de aplicações do Office

Em vez de utilizar o Exploit Protection para aplicações do Office, como o Outlook, Word, Excel, PowerPoint e OneNote, considere utilizar uma abordagem mais moderna para evitar a utilização indevida: Regras de Redução da Superfície de Ataque (regras ASR):

Para o Adobe Reader, utilize a seguinte regra ASR:

Impedir o Adobe Reader de criar processos subordinados

Lista de compatibilidade de aplicações

A tabela seguinte lista produtos específicos que têm problemas de compatibilidade com as mitigações incluídas na proteção contra exploits. Tem de desativar mitigações incompatíveis específicas se quiser proteger o produto através da proteção contra exploits. Tenha em atenção que esta lista tem em consideração as predefinições das versões mais recentes do produto. Os problemas de compatibilidade podem ser introduzidos quando aplica determinados suplementos ou outros componentes ao software padrão.

Produto Mitigação da proteção contra exploits
.NET 2.0/3.5 EAF/IAF
Consola do 7-Zip/GUI/Gestor de Ficheiros EAF
Processadores AMD 62xx EAF
Avecto (Beyond Trust) Power Broker EAF, EAF+, Stack Pivot
Determinados controladores de vídeo AMD (ATI) SISTEMA ASLR=AlwaysOn
DropBox EAF
Excel Power Query, Power View, Power Map e PowerPivot EAF
Google Chrome EAF+
Immidio Flex+ EAF
Componentes Web do Microsoft Office (OWC) DEP do Sistema=AlwaysOn
Microsoft PowerPoint EAF
Microsoft Teams EAF+
Oracle Javaǂ Heapspray
Pitney Bowes Print Audit 6 SimExecFlow
A versão do Siebel CRM é 8.1.1.9 SEHOP
Skype EAF
SolarWinds Syslogd Manager EAF
Leitor multimédia do Windows MandatoryASLR, EAF

ǂ As mitigações do EMET podem ser incompatíveis com o Oracle Java quando são executadas através de definições que reservam uma grande parte da memória para a máquina virtual (ou seja, através da opção -Xms).

Ativar as definições do sistema de proteção contra exploits para testes

Estas definições do sistema exploit protection estão ativadas por predefinição, exceto para a Aleatoriedade de Esquema de Espaço de Endereços Obrigatório (ASLR) no Windows 10 e posterior, Windows Server 2019 e posterior, e na versão 1803 core do Windows Server e posterior.

Definições do sistema Definição
Proteção do fluxo de controlo (CFG) Utilizar predefinição (Ativado)
Prevenção de Execução de Dados (DEP) Utilizar predefinição (Ativado)
Forçar a aleatoriedade para imagens (ASRL Obrigatório) Utilizar predefinição (Desativado)
Aleatorizar alocações de memória (ASRL inferior para cima) Utilizar predefinição (Ativado)
ASRL de alta entropia Utilizar predefinição (Ativado)
Validar cadeias de exceção (SEHOP) Utilizar predefinição (Ativado)

O exemplo de xml está disponível abaixo

<?xml version="1.0" encoding="UTF-8"?>
<MitigationPolicy>
  <SystemConfig>
    <DEP Enable="true" EmulateAtlThunks="false" />
    <ASLR ForceRelocateImages="false" RequireInfo="false" BottomUp="true" HighEntropy="true" />
    <ControlFlowGuard Enable="true" SuppressExports="false" />
    <SEHOP Enable="true" TelemetryOnly="false" />
    <Heap TerminateOnError="true" />
  </SystemConfig>
</MitigationPolicy>

Ativar as definições do programa exploit protection para testes

Sugestão

Recomendamos vivamente que reveja a abordagem moderna para mitigações de vulnerabilidades, que consiste em utilizar as regras de Redução da Superfície de Ataque (regras ASR).

Pode definir mitigações num modo de teste para programas específicos utilizando a aplicação Segurança do Windows ou o Windows PowerShell.

Aplicação Segurança do Windows

  1. Abrir a aplicação Segurança do Windows. Selecione o ícone de escudo na barra de tarefas ou procure a Segurança do Windowsno menu Iniciar.

  2. Selecione o mosaico Controlo de aplicações e browsers (ou o ícone da aplicação na barra de menus à esquerda) e, em seguida, Exploit Protection.

  3. Vá para Definições do Programa e escolha a aplicação à qual pretende aplicar proteção:

    1. Se a aplicação que pretende configurar já estiver listada, selecione-a e, em seguida, selecione Editar.

    2. Se a aplicação não estiver listada na parte superior da lista, selecione Adicionar programa para personalizar. Em seguida, escolha como pretende adicionar a aplicação.

      • Utilize Adicionar por nome de programa para que a mitigação seja aplicada a qualquer processo em execução com esse nome. Especifique um ficheiro com uma extensão. Pode introduzir um caminho completo para limitar a mitigação apenas à aplicação com esse nome nessa localização.
      • Utilize Selecionar o caminho de ficheiro exato para utilizar uma janela padrão do seletor de ficheiros do Explorador do Windows para encontrar e selecionar o ficheiro que pretende.
  4. Depois de selecionar a aplicação, verá uma lista de todas as mitigações que podem ser aplicadas. Escolher Auditoria aplica a mitigação apenas no modo de teste. Será notificado se precisar de reiniciar o processo, a aplicação ou o Windows.

  5. Repita este procedimento para todas as aplicações e mitigações que pretende configurar. Selecione Aplicar quando terminar de configurar a sua configuração.

PowerShell

Para definir mitigações ao nível da aplicação para o modo de teste, utilize Set-ProcessMitigation com o cmdlet Modo de auditoria .

Configure cada mitigação no seguinte formato:

Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>

Localização:

  • <Âmbito>:
    • -Name para indicar que as mitigações devem ser aplicadas a uma aplicação específica. Especifique o executável da aplicação após este sinalizador.
  • <Ação>:
    • -Enable para ativar a mitigação
      • -Disable para desativar a mitigação
  • <Mitigação>:
    • O cmdlet da mitigação, conforme definido na tabela seguinte. Cada mitigação é separada por uma vírgula.
Mitigação Cmdlet do modo de teste
Proteção de Código Arbitrário (ACG) AuditDynamicCode
Bloquear imagens de integridade baixa AuditImageLoad
Bloquear tipos de letra não fidedignos AuditFont, FontAuditOnly
Proteção de integridade do código AuditMicrosoftSigned, AuditStoreSigned
Desativar chamadas do sistema Win32k AuditSystemCall
Não permitir processos subordinados AuditChildProcess

Por exemplo, para ativar o Arbitrary Code Guard (ACG) no modo de teste para uma aplicação com o nome testing.exe, execute o seguinte comando:

Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable AuditDynamicCode

Pode desativar o modo de auditoria ao substituir -Enable por -Disable.

Rever eventos de auditoria da Proteção contra exploits

Para rever quais as aplicações que seriam bloqueadas, abra Visualizador de Eventos e filtre os seguintes eventos no registo de Security-Mitigations.

Funcionalidade Fornecedor/origem ID do Evento Descrição
Proteção contra exploits Mitigações de Segurança (Modo Kernel/Modo de Utilizador) 1 Auditoria ACG
Proteção contra exploits Mitigações de Segurança (Modo Kernel/Modo de Utilizador) 3 Não permitir auditoria de processos subordinados
Proteção contra exploits Mitigações de Segurança (Modo Kernel/Modo de Utilizador) 5 Bloquear auditoria de imagens de integridade baixa
Proteção contra exploits Mitigações de Segurança (Modo Kernel/Modo de Utilizador) 7 Bloquear auditoria de imagens remotas
Proteção contra exploits Mitigações de Segurança (Modo Kernel/Modo de Utilizador) 9 Desativar auditoria de chamadas do sistema win32k
Proteção contra exploits Mitigações de Segurança (Modo Kernel/Modo de Utilizador) 11 Auditoria de proteção de integridade do código

Consulte também

Sugestão

Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.