Partilhar via


Proteger dispositivos contra exploits

Aplica-se a:

A proteção contra exploits aplica automaticamente muitas técnicas de mitigação de exploits a aplicações e processos do sistema operativo. A proteção contra exploits é suportada a partir do Windows 10, versão 1709, Windows 11 e Windows Server, versão 1803.

A proteção contra exploits funciona melhor com o Defender para Endpoint , o que lhe fornece relatórios detalhados sobre eventos e blocos de proteção contra exploits como parte dos cenários habituais de investigação de alertas.

Pode ativar a proteção contra exploits num dispositivo individual e, em seguida, utilizar Política de Grupo para distribuir o ficheiro XML por vários dispositivos ao mesmo tempo.

Quando é encontrada uma mitigação no dispositivo, é apresentada uma notificação do Centro de Ação. Pode personalizar a notificação com os detalhes da empresa e as informações de contacto. Também pode ativar as regras individualmente para personalizar as técnicas que a funcionalidade monitoriza.

Também pode utilizar o modo de auditoria para avaliar como a proteção contra exploits afetaria a sua organização se estivesse ativada.

Muitas das funcionalidades do Enhanced Mitigation Experience Toolkit (EMET) estão incluídas na proteção contra exploits. Na verdade, pode converter e importar os perfis de configuração do EMET existentes para a proteção contra exploits. Para saber mais, veja Importar, exportar e implementar configurações de proteção contra exploits.

Importante

Se estiver a utilizar o EMET, deve estar ciente de que o EMET chegou ao fim do suporte a 31 de julho de 2018. Considere substituir o EMET pela proteção contra exploits no Windows 10.

Aviso

Algumas tecnologias de mitigação de segurança podem ter problemas de compatibilidade com algumas aplicações. Deve testar a proteção de exploração em todos os cenários de utilização de destino utilizando o modo de auditoria antes de implementar a configuração num ambiente de produção ou no resto da sua rede.

Rever eventos de proteção contra exploits no portal do Microsoft Defender

O Defender para Endpoint fornece relatórios detalhados sobre eventos e blocos como parte dos cenários de investigação de alertas.

Pode consultar dados do Defender para Endpoint através da Investigação avançada. Se estiver a utilizar o modo de auditoria, pode utilizar a investigação avançada para ver como as definições de proteção contra exploits podem afetar o seu ambiente.

Eis uma consulta de exemplo:

DeviceEvents
| where ActionType startswith 'ExploitGuard' and ActionType !contains 'NetworkProtection'

Exploit Protection e investigação avançada

Seguem-se os tipos de ação de investigação avançados disponíveis para o Exploit Protection.

Nome da mitigação do Exploit Protection Exploit Protection – Investigação Avançada – ActionTypes
Proteção de código arbitrário ExploitGuardAcgAudited
ExploitGuardAcgEnforced
Não permitir processos subordinados ExploitGuardChildProcessAudited
ExploitGuardChildProcessBlocked
Filtragem de endereços de exportação (EAF) ExploitGuardEafViolationAudited
ExploitGuardEafViolationBlocked
Filtragem de endereços de importação (IAF) ExploitGuardIafViolationAudited
ExploitGuardIafViolationBlocked
Bloquear imagens de integridade baixa ExploitGuardLowIntegrityImageAudited
ExploitGuardLowIntegrityImageBlocked
Proteção de integridade do código ExploitGuardNonMicrosoftSignedAudited
ExploitGuardNonMicrosoftSignedBlocked
• Simular a execução (SimExec)
• Validar a invocação da API (CallerCheck)
• Validar a integridade da pilha (StackPivot)
ExploitGuardRopExploitAudited
ExploitGuardRopExploitBlocked
Bloquear imagens remotas ExploitGuardSharedBinaryAudited
ExploitGuardSharedBinaryBlocked
Desativar chamadas do sistema Win32k ExploitGuardWin32SystemCallAudited
ExploitGuardWin32SystemCallBlocked

Rever eventos de proteção contra exploits no Windows Visualizador de Eventos

Pode rever o registo de eventos do Windows para ver os eventos que são criados quando exploram blocos (ou auditam) uma aplicação:

Fornecedor/origem ID do Evento Descrição
Security-Mitigations 1 Auditoria ACG
Security-Mitigations 2 APLICAÇÃO ACG
Security-Mitigations 3 Não permitir a auditoria de processos subordinados
Security-Mitigations 4 Não permitir o bloqueio de processos subordinados
Security-Mitigations 5 Bloquear auditoria de imagens de integridade baixa
Security-Mitigations 6 Bloquear bloco de imagens de baixa integridade
Security-Mitigations 7 Bloquear auditoria de imagens remotas
Security-Mitigations 8 Bloquear bloco de imagens remotas
Security-Mitigations 9 Desativar auditoria de chamadas do sistema win32k
Security-Mitigations 10 Desativar o bloco de chamadas do sistema win32k
Security-Mitigations 11 Auditoria de proteção de integridade do código
Security-Mitigations 12 Bloco de proteção de integridade do código
Security-Mitigations 13 Auditoria do EAF
Security-Mitigations 14 Imposição do EAF
Security-Mitigations 15 Auditoria EAF+
Security-Mitigations 16 Impor EAF+
Security-Mitigations 17 Auditoria do IAF
Security-Mitigations 18 IAF – impor
Security-Mitigations 19 Auditoria ROP StackPivot
Security-Mitigations 20 Imposição rop stackPivot
Security-Mitigations 21 Auditoria rop callercheck
Security-Mitigations 22 Verificação do Autor da Chamada ROP– impor
Security-Mitigations 23 Auditoria ROP SimExec
Security-Mitigations 24 Impor ROP SimExec
WER-Diagnostics 5 Bloco CFG
Win32K 260 Tipo de Letra Não Fidedigno

Comparação de mitigação

As mitigações disponíveis no EMET estão incluídas nativamente no Windows 10 (a partir da versão 1709), Windows 11 e Windows Server (a partir da versão 1803), em Proteção contra exploits.

A tabela nesta secção indica a disponibilidade e o suporte de mitigações nativas entre o EMET e a proteção contra exploits.

Mitigação Disponível no âmbito da proteção contra exploits Disponível no EMET
Proteção de código arbitrário (ACG) Sim Sim
Como "Verificação da Proteção de Memória"
Bloquear imagens remotas Sim Sim
Como "Verificação da Biblioteca de Carga"
Bloquear tipos de letra não fidedignos Sim Sim
Prevenção de Execução de Dados (DEP) Sim Sim
Filtragem de endereços de exportação (EAF) Sim Sim
Forçar a aleatoriedade de imagens (ASLR Obrigatório) Sim Sim
Mitigação de Segurança de Páginas Null Sim
Incluído nativamente em Windows 10 e Windows 11
Para obter mais informações, veja Mitigar ameaças com funcionalidades de segurança Windows 10
Sim
Aleatorizar alocações de memória (ASLR ascendente) Sim Sim
Simular exceção (SimExec) Sim Sim
Validar invocação de API (CallerCheck) Sim Sim
Validar cadeias de exceção (SEHOP) Sim Sim
Validar integridade da pilha (StackPivot) Sim Sim
Confiança do certificado (afixação de certificado configurável) Windows 10 e Windows 11 fornecer afixação de certificados empresariais Sim
Alocação de spray de área dinâmica para dados Ineficaz contra exploits baseados no browser mais recentes; as mitigações mais recentes proporcionam uma melhor proteção
Para obter mais informações, veja Mitigar ameaças com funcionalidades de segurança Windows 10
Sim
Bloquear imagens de integridade baixa Sim Não
Proteção de integridade do código Sim Não
Desativar pontos de extensão Sim Não
Desativar chamadas do sistema Win32k Sim Não
Não permitir processos subordinados Sim Não
Filtragem de endereços de importação (IAF) Sim Não
Validar utilização de identificador Sim Não
Validar integridade da área dinâmica para dados Sim Não
Validar integridade da dependência da imagem Sim Não

Nota

As mitigações avançadas de ROP que estão disponíveis no EMET são substituídos pelo ACG em Windows 10 e Windows 11, que outras definições avançadas do EMET estão ativadas por predefinição, como parte da ativação das mitigações anti-ROP para um processo. Para obter mais informações sobre como Windows 10 utiliza a tecnologia EMET existente, veja As ameaças de mitigação através da utilização de funcionalidades de segurança Windows 10.

Consulte também

Sugestão

Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.