Avalar a proteção contra exploração
Aplica-se a:
- Plano 1 do Microsoft Defender para Ponto de Extremidade
- Plano 2 do Microsoft Defender para Ponto de Extremidade
- Microsoft Defender XDR
Deseja experimentar o Microsoft Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.
O Exploit Protection ajuda a proteger os dispositivos contra malware que usam a exploração de falhas para se espalhar e infectar outros dispositivos. A mitigação pode ser aplicada ao sistema operacional ou a um aplicativo individual. Muitos dos recursos que fazem parte do Kit de Ferramentas de Redução Aprimorada (EMET) estão incluídos na proteção contra exploração de falhas. (O EMET chegou ao fim do suporte.)
Na auditoria, você pode ver como a mitigação funciona para determinados aplicativos em um ambiente de teste. Isso mostra o que teria acontecido se você habilitasse a proteção contra exploração de falhas em seu ambiente de produção. Dessa forma, você pode verificar se a proteção contra exploração de falhas não afeta negativamente seus aplicativos de linha de negócios e ver quais eventos suspeitos ou mal-intencionados ocorrem.
Habilitar a proteção contra exploração de falhas para teste
Você pode definir mitigações em um modo de teste para programas específicos usando o aplicativo Segurança do Windows ou Windows PowerShell.
O aplicativo Segurança do Windows
Abra o aplicativo Segurança do Windows. Selecione o ícone de escudo na barra de tarefas ou pesquise o menu Iniciar Segurança do Windows.
Selecione o bloco Controle e navegador da Web (ou o ícone na barra de menu a esquerda) e então selecione Explorar proteção.
Vá para Configurações de programa e escolha o aplicativo ao qual você deseja aplicar proteção:
- Se o aplicativo que você quer configurar já estiver listado, escolha-o e selecione Editar
- Se o aplicativo não estiver listado na parte superior da lista, selecione Adicionar programa para personalizar. Em seguida, escolha como deseja adicionar o aplicativo.
- Use Adicione pelo nome do programa para que a mitigação seja aplicada a qualquer processo em execução com esse nome. Especifique um arquivo com uma extensão. Você pode inserir um caminho completo para limitar a mitigação apenas ao aplicativo com esse nome nesse local.
- Use Escolha o caminho exato do arquivo para usar uma janela padrão do seletor de arquivos Windows Explorer para localizar e selecionar o arquivo desejado.
Depois de selecionar o aplicativo, você verá uma lista de todas as mitigações que podem ser aplicadas. Escolher Auditoria aplicará a mitigação somente no modo de teste. Você será notificado se precisar reiniciar o processo, o aplicativo ou o Windows.
Repita esse procedimento em todos os aplicativos e mitigações que você quer configurar. Selecione Aplicar quando terminar de configurar sua configuração.
PowerShell
Para definir mitigações no nível do aplicativo para o modo de teste, use Set-ProcessMitigation com o cmdlet modo auditoria .
Configure cada mitigação no seguinte formato:
Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>
Onde:
-
<Escopo>:
-
-Namepara indicar que as mitigações devem ser aplicadas a um aplicativo específico. Especifique o executável do aplicativo após esse sinalizador.
-
-
<Ação>:
-
-Enablepara habilitar a mitigação-
-Disablepara desabilitar a mitigação
-
-
-
<Mitigação>:
- O cmdlet da mitigação, conforme definido na tabela a seguir. Cada mitigação está separada por uma vírgula.
| Atenuação | Cmdlet do modo de teste |
|---|---|
| Proteção de Código Arbitrário (ACG) | AuditDynamicCode |
| Bloquear imagens de baixa integridade | AuditImageLoad |
| Bloquear fontes não confiáveis |
AuditFont, FontAuditOnly |
| Proteção da integridade do código |
AuditMicrosoftSigned, AuditStoreSigned |
| Desabilitar chamadas do sistema Win32k | AuditSystemCall |
| Não permitir processos filho | AuditChildProcess |
Por exemplo, para habilitar o ACG (Arbitrary Code Guard) no modo de teste para um aplicativo chamado testing.exe, execute o seguinte comando:
Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable AuditDynamicCode
Você pode desabilitar o modo de auditoria substituindo -Enable por -Disable.
Examinar eventos de auditoria da proteção contra exploração de falhas
Para examinar quais aplicativos teriam sido bloqueados, abra o Visualizador de Eventos e filtre os seguintes eventos no log de Mitigações de Segurança.
| Recurso | Provedor/origem | ID do Evento | Descrição |
|---|---|---|---|
| Proteção de exploração | Mitigações de Segurança (Modo Kernel/Modo de Usuário) | 1 | Auditoria do ACG |
| Proteção de exploração | Mitigações de Segurança (Modo Kernel/Modo de Usuário) | 3 | Não permitir auditoria de processos filho |
| Proteção de exploração | Mitigações de Segurança (Modo Kernel/Modo de Usuário) | 5 | Bloquear a auditoria de imagens de baixa integridade |
| Proteção de exploração | Mitigações de Segurança (Modo Kernel/Modo de Usuário) | 7 | Bloquear a auditoria de imagens remotas |
| Proteção de exploração | Mitigações de Segurança (Modo Kernel/Modo de Usuário) | 9 | Desativar as chamadas do sistema win32k |
| Proteção de exploração | Mitigações de Segurança (Modo Kernel/Modo de Usuário) | 11 | Auditoria de proteção da integridade do código |
Confira também
- Habilitar a proteção de exploração
- Configurar e auditar as mitigações de proteção contra abusos
- Importar, exportar e implantar configurações da proteção de exploração
- Solução de problemas de proteção contra abusos
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.