Ativar a proteção contra exploits
Aplica-se a:
- API do Microsoft Defender para Endpoint 1
- Microsoft Defender para Endpoint Plano 2
- Microsoft Defender XDR
Quer experimentar o Microsoft Defender para Ponto Final? Inscrever-se para uma avaliação gratuita.
A Proteção contra exploit ajuda a proteger os dispositivos contra software malicioso que utiliza exploits para propagar e infetar outros dispositivos. A mitigação pode ser aplicada ao sistema operativo ou a uma aplicação individual. Muitas das funcionalidades que fazem parte do Enhanced Mitigation Experience Toolkit (EMET) estão incluídas na proteção de exploração. (O EMET atingiu o fim do suporte.)
Na auditoria, pode ver como funciona a mitigação para determinadas aplicações num ambiente de teste. Isto mostra o que aconteceria se ativasse a proteção contra exploits no seu ambiente de produção. Desta forma, pode verificar se a proteção contra exploits não afeta negativamente as suas aplicações de linha de negócio e ver que eventos suspeitos ou maliciosos ocorrem.
As mitigações da proteção contra exploits funcionam a um nível baixo no sistema operativo e alguns tipos de software que executam operações de baixo nível semelhantes podem ter problemas de compatibilidade quando estão configurados para serem protegidos através da proteção contra exploits.
- Software antimalware e de prevenção ou deteção de intrusões
- Depuradores
- Software que processa tecnologias de gestão de direitos digitais (DRM) (ou seja, videojogos)
- Software que utiliza tecnologias anti-depuração, ocultação ou hooking
Aplicações que recebem ou processam dados não fidedignos.
Serviços
- Serviços de sistema
- Serviços de rede
A tabela seguinte lista produtos específicos que têm problemas de compatibilidade com as mitigações incluídas na proteção contra exploits. Tem de desativar mitigações incompatíveis específicas se quiser proteger o produto através da proteção contra exploits. Tenha em atenção que esta lista tem em consideração as predefinições das versões mais recentes do produto. Os problemas de compatibilidade podem ser introduzidos quando aplica determinados suplementos ou outros componentes ao software padrão.
Produto | Mitigação da proteção contra exploits |
---|---|
.NET 2.0/3.5 | EAF/IAF |
Consola do 7-Zip/GUI/Gestor de Ficheiros | EAF |
Processadores AMD 62xx | EAF |
Avecto (Beyond Trust) Power Broker | EAF, EAF+, Stack Pivot |
Determinados controladores de vídeo AMD (ATI) | SISTEMA ASLR=AlwaysOn |
DropBox | EAF |
Excel Power Query, Power View, Power Map e PowerPivot | EAF |
Google Chrome | EAF+ |
Immidio Flex+ | Célula 4 |
Componentes Web do Microsoft Office (OWC) | DEP do Sistema=AlwaysOn |
Microsoft PowerPoint | EAF |
Microsoft Teams | EAF+ |
Oracle Javaǂ | Heapspray |
Pitney Bowes Print Audit 6 | SimExecFlow |
A versão do Siebel CRM é 8.1.1.9 | SEHOP |
Skype | EAF |
SolarWinds Syslogd Manager | EAF |
Leitor multimédia do Windows | MandatoryASLR, EAF |
ǂ As mitigações do EMET podem ser incompatíveis com o Oracle Java quando são executadas através de definições que reservam uma grande parte da memória para a máquina virtual (ou seja, através da opção -Xms).
Pode definir mitigações num modo de teste para programas específicos utilizando a aplicação Segurança do Windows ou o Windows PowerShell.
Abrir a aplicação Segurança do Windows. Selecione o ícone de escudo na barra de tarefas ou procure a Segurança do Windowsno menu Iniciar.
Selecione o mosaico Controlo de aplicações e browsers (ou o ícone da aplicação na barra de menus à esquerda) e, em seguida, Exploit Protection.
Vá para Definições do Programa e escolha a aplicação à qual pretende aplicar proteção:
Se a aplicação que pretende configurar já estiver listada, selecione-a e, em seguida, selecione Editar.
Se a aplicação não estiver listada na parte superior da lista, selecione Adicionar programa para personalizar. Em seguida, escolha como pretende adicionar a aplicação.
- Utilize Adicionar por nome de programa para que a mitigação seja aplicada a qualquer processo em execução com esse nome. Especifique um ficheiro com uma extensão. Pode introduzir um caminho completo para limitar a mitigação apenas à aplicação com esse nome nessa localização.
- Utilize Selecionar o caminho de ficheiro exato para utilizar uma janela padrão do seletor de ficheiros do Explorador do Windows para encontrar e selecionar o ficheiro que pretende.
Depois de selecionar a aplicação, verá uma lista de todas as mitigações que podem ser aplicadas. Escolher Auditoria aplica a mitigação apenas no modo de teste. Será notificado se precisar de reiniciar o processo, a aplicação ou o Windows.
Repita este procedimento para todas as aplicações e mitigações que pretende configurar. Selecione Aplicar quando terminar de configurar a sua configuração.
Para definir mitigações ao nível da aplicação para o modo de teste, utilize Set-ProcessMitigation
com o cmdlet Modo de auditoria .
Configure cada mitigação no seguinte formato:
Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>
Localização:
-
<Âmbito>:
-
-Name
para indicar que as mitigações devem ser aplicadas a uma aplicação específica. Especifique o executável da aplicação após este sinalizador.
-
-
<Ação>:
-
-Enable
para ativar a mitigação-
-Disable
para desativar a mitigação
-
-
-
<Mitigação>:
- O cmdlet da mitigação, conforme definido na tabela seguinte. Cada mitigação é separada por uma vírgula.
Mitigação | Cmdlet do modo de teste |
---|---|
Proteção de Código Arbitrário (ACG) | AuditDynamicCode |
Bloquear imagens de integridade baixa | AuditImageLoad |
Bloquear tipos de letra não fidedignos |
AuditFont , FontAuditOnly |
Proteção de integridade do código |
AuditMicrosoftSigned , AuditStoreSigned |
Desativar chamadas do sistema Win32k | AuditSystemCall |
Não permitir processos subordinados | AuditChildProcess |
Por exemplo, para ativar o Arbitrary Code Guard (ACG) no modo de teste para uma aplicação com o nome testing.exe, execute o seguinte comando:
Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable AuditDynamicCode
Pode desativar o modo de auditoria ao substituir -Enable
por -Disable
.
Para rever quais as aplicações que seriam bloqueadas, abra Visualizador de Eventos e filtre os seguintes eventos no registo de Security-Mitigations.
Funcionalidade | Fornecedor/origem | ID do Evento | Descrição |
---|---|---|---|
Proteção contra exploits | Mitigações de Segurança (Modo Kernel/Modo de Utilizador) | 1 | Auditoria ACG |
Proteção contra exploits | Mitigações de Segurança (Modo Kernel/Modo de Utilizador) | 3 | Não permitir auditoria de processos subordinados |
Proteção contra exploits | Mitigações de Segurança (Modo Kernel/Modo de Utilizador) | 5 | Bloquear auditoria de imagens de integridade baixa |
Proteção contra exploits | Mitigações de Segurança (Modo Kernel/Modo de Utilizador) | 7 | Bloquear auditoria de imagens remotas |
Proteção contra exploits | Mitigações de Segurança (Modo Kernel/Modo de Utilizador) | 9 | Desativar auditoria de chamadas do sistema win32k |
Proteção contra exploits | Mitigações de Segurança (Modo Kernel/Modo de Utilizador) | 11 | Auditoria de proteção de integridade do código |
- Ativar a proteção contra exploits
- Configurar e auditar mitigações do Exploit Protection
- Importar, exportar e implementar configurações de proteção contra exploits
- Resolver problemas de Proteção contra exploits
Gorjeta
Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.