Proteger dispositivos contra exploits
Aplica-se a:
- API do Microsoft Defender para Endpoint 1
- Microsoft Defender para Endpoint Plano 2
- Microsoft Defender XDR
A proteção contra exploits aplica automaticamente muitas técnicas de mitigação de exploits a aplicações e processos do sistema operativo. A proteção contra exploits é suportada a partir do Windows 10, versão 1709, Windows 11 e Windows Server, versão 1803.
A proteção contra exploits funciona melhor com o Defender para Endpoint , o que lhe fornece relatórios detalhados sobre eventos e blocos de proteção contra exploits como parte dos cenários habituais de investigação de alertas.
Pode ativar a proteção contra exploits num dispositivo individual e, em seguida, utilizar Política de Grupo para distribuir o ficheiro XML por vários dispositivos ao mesmo tempo.
Quando é encontrada uma mitigação no dispositivo, é apresentada uma notificação do Centro de Ação. Pode personalizar a notificação com os detalhes da empresa e as informações de contacto. Também pode ativar as regras individualmente para personalizar as técnicas que a funcionalidade monitoriza.
Também pode utilizar o modo de auditoria para avaliar como a proteção contra exploits afetaria a sua organização se estivesse ativada.
Muitas das funcionalidades do Enhanced Mitigation Experience Toolkit (EMET) estão incluídas na proteção contra exploits. Na verdade, pode converter e importar os perfis de configuração do EMET existentes para a proteção contra exploits. Para saber mais, veja Importar, exportar e implementar configurações de proteção contra exploits.
Importante
Se estiver a utilizar o EMET, deve estar ciente de que o EMET chegou ao fim do suporte a 31 de julho de 2018. Considere substituir o EMET pela proteção contra exploits no Windows 10.
Aviso
Algumas tecnologias de mitigação de segurança podem ter problemas de compatibilidade com algumas aplicações. Deve testar a proteção de exploração em todos os cenários de utilização de destino utilizando o modo de auditoria antes de implementar a configuração num ambiente de produção ou no resto da sua rede.
Rever eventos de proteção contra exploits no portal do Microsoft Defender
O Defender para Endpoint fornece relatórios detalhados sobre eventos e blocos como parte dos cenários de investigação de alertas.
Pode consultar dados do Defender para Endpoint através da Investigação avançada. Se estiver a utilizar o modo de auditoria, pode utilizar a investigação avançada para ver como as definições de proteção contra exploits podem afetar o seu ambiente.
Eis uma consulta de exemplo:
DeviceEvents
| where ActionType startswith 'ExploitGuard' and ActionType !contains 'NetworkProtection'
Exploit Protection e investigação avançada
Seguem-se os tipos de ação de investigação avançados disponíveis para o Exploit Protection.
Nome da mitigação do Exploit Protection | Exploit Protection – Investigação Avançada – ActionTypes |
---|---|
Proteção de código arbitrário | ExploitGuardAcgAudited ExploitGuardAcgEnforced |
Não permitir processos subordinados | ExploitGuardChildProcessAudited ExploitGuardChildProcessBlocked |
Filtragem de endereços de exportação (EAF) | ExploitGuardEafViolationAudited ExploitGuardEafViolationBlocked |
Filtragem de endereços de importação (IAF) | ExploitGuardIafViolationAudited ExploitGuardIafViolationBlocked |
Bloquear imagens de integridade baixa | ExploitGuardLowIntegrityImageAudited ExploitGuardLowIntegrityImageBlocked |
Proteção de integridade do código | ExploitGuardNonMicrosoftSignedAudited ExploitGuardNonMicrosoftSignedBlocked |
• Simular a execução (SimExec) • Validar a invocação da API (CallerCheck) • Validar a integridade da pilha (StackPivot) |
ExploitGuardRopExploitAudited ExploitGuardRopExploitBlocked |
Bloquear imagens remotas | ExploitGuardSharedBinaryAudited ExploitGuardSharedBinaryBlocked |
Desativar chamadas do sistema Win32k | ExploitGuardWin32SystemCallAudited ExploitGuardWin32SystemCallBlocked |
Rever eventos de proteção contra exploits no Windows Visualizador de Eventos
Pode rever o registo de eventos do Windows para ver os eventos que são criados quando exploram blocos (ou auditam) uma aplicação:
Fornecedor/origem | ID do Evento | Descrição |
---|---|---|
Security-Mitigations | 1 | Auditoria ACG |
Security-Mitigations | 2 | APLICAÇÃO ACG |
Security-Mitigations | 3 | Não permitir a auditoria de processos subordinados |
Security-Mitigations | 4 | Não permitir o bloqueio de processos subordinados |
Security-Mitigations | 5 | Bloquear auditoria de imagens de integridade baixa |
Security-Mitigations | 6 | Bloquear bloco de imagens de baixa integridade |
Security-Mitigations | 7 | Bloquear auditoria de imagens remotas |
Security-Mitigations | 8 | Bloquear bloco de imagens remotas |
Security-Mitigations | 9 | Desativar auditoria de chamadas do sistema win32k |
Security-Mitigations | 10 | Desativar o bloco de chamadas do sistema win32k |
Security-Mitigations | 11 | Auditoria de proteção de integridade do código |
Security-Mitigations | 12 | Bloco de proteção de integridade do código |
Security-Mitigations | 13 | Auditoria do EAF |
Security-Mitigations | 14 | Imposição do EAF |
Security-Mitigations | 15 | Auditoria EAF+ |
Security-Mitigations | 16 | Impor EAF+ |
Security-Mitigations | 17 | Auditoria do IAF |
Security-Mitigations | 18 | IAF – impor |
Security-Mitigations | 19 | Auditoria ROP StackPivot |
Security-Mitigations | 20 | Imposição rop stackPivot |
Security-Mitigations | 21 | Auditoria rop callercheck |
Security-Mitigations | 22 | Verificação do Autor da Chamada ROP– impor |
Security-Mitigations | 23 | Auditoria ROP SimExec |
Security-Mitigations | 24 | Impor ROP SimExec |
WER-Diagnostics | 5 | Bloco CFG |
Win32K | 260 | Tipo de Letra Não Fidedigno |
Comparação de mitigação
As mitigações disponíveis no EMET estão incluídas nativamente no Windows 10 (a partir da versão 1709), Windows 11 e Windows Server (a partir da versão 1803), em Proteção contra exploits.
A tabela nesta secção indica a disponibilidade e o suporte de mitigações nativas entre o EMET e a proteção contra exploits.
Mitigação | Disponível no âmbito da proteção contra exploits | Disponível no EMET |
---|---|---|
Proteção de código arbitrário (ACG) | Sim | Sim Como "Verificação da Proteção de Memória" |
Bloquear imagens remotas | Sim | Sim Como "Verificação da Biblioteca de Carga" |
Bloquear tipos de letra não fidedignos | Sim | Sim |
Prevenção de Execução de Dados (DEP) | Sim | Sim |
Filtragem de endereços de exportação (EAF) | Sim | Sim |
Forçar a aleatoriedade de imagens (ASLR Obrigatório) | Sim | Sim |
Mitigação de Segurança de Páginas Null | Sim Incluído nativamente em Windows 10 e Windows 11 Para obter mais informações, veja Mitigar ameaças com funcionalidades de segurança Windows 10 |
Sim |
Aleatorizar alocações de memória (ASLR ascendente) | Sim | Sim |
Simular exceção (SimExec) | Sim | Sim |
Validar invocação de API (CallerCheck) | Sim | Sim |
Validar cadeias de exceção (SEHOP) | Sim | Sim |
Validar integridade da pilha (StackPivot) | Sim | Sim |
Confiança do certificado (afixação de certificado configurável) | Windows 10 e Windows 11 fornecer afixação de certificados empresariais | Sim |
Alocação de spray de área dinâmica para dados | Ineficaz contra exploits baseados no browser mais recentes; as mitigações mais recentes proporcionam uma melhor proteção Para obter mais informações, veja Mitigar ameaças com funcionalidades de segurança Windows 10 |
Sim |
Bloquear imagens de integridade baixa | Sim | Não |
Proteção de integridade do código | Sim | Não |
Desativar pontos de extensão | Sim | Não |
Desativar chamadas do sistema Win32k | Sim | Não |
Não permitir processos subordinados | Sim | Não |
Filtragem de endereços de importação (IAF) | Sim | Não |
Validar utilização de identificador | Sim | Não |
Validar integridade da área dinâmica para dados | Sim | Não |
Validar integridade da dependência da imagem | Sim | Não |
Nota
As mitigações avançadas de ROP que estão disponíveis no EMET são substituídos pelo ACG em Windows 10 e Windows 11, que outras definições avançadas do EMET estão ativadas por predefinição, como parte da ativação das mitigações anti-ROP para um processo. Para obter mais informações sobre como Windows 10 utiliza a tecnologia EMET existente, veja As ameaças de mitigação através da utilização de funcionalidades de segurança Windows 10.
Consulte também
- Configurar e auditar mitigações do Exploit Protection
- Resolver problemas de Proteção contra exploits
- Otimizar a implementação e as deteções de regras do ASR
Sugestão
Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.