Partilhar via

Ativar a proteção contra exploits

  • Aplica-se a: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

O Exploit Protection ajuda a proteger contra malware que utiliza exploits para infetar dispositivos e propagar. O Exploit Protection consiste em muitas mitigações que podem ser aplicadas ao sistema operativo ou a aplicações individuais.

Importante

O .NET 2.0 não é compatível com algumas capacidades do Exploit Protection, especificamente, a Filtragem de Endereços de Exportação (EAF) e a Filtragem de Endereços de Importação (IAF). Se tiver ativado o .NET 2.0, a utilização de EAF e IAF não é suportada.

Muitas funcionalidades do Enhanced Mitigation Experience Toolkit (EMET) estão incluídas no Exploit Protection.

Pré-requisitos

Esta secção inclui recomendações para que tenha êxito na implementação da proteção contra exploits.

Aviso

Se não testar e não passar por práticas de implementação seguras, pode contribuir para falhas de produtividade do utilizador final.

Práticas de implementação segura

Práticas de implementação segura (SDP): os processos e procedimentos de implementação seguros definem como efetuar e implementar alterações na carga de trabalho de forma segura. A implementação do SDP requer que pense nas implementações através da lente da gestão de riscos. Pode minimizar o risco de falhas de produtividade do utilizador final nas suas implementações e limitar os efeitos de implementações problemáticas nos seus utilizadores através da implementação do SDP.

Comece com um pequeno conjunto (por exemplo, 10 a 50) de dispositivos Windows e utilize-o como ambiente de teste para ver quais das 21 mitigações são incompatíveis com a proteção contra exploits. Remova as mitigações que não são compatíveis com a aplicação. Reiterar com as aplicações que está a direcionar. Assim que sentir que a política está pronta para produção.

Comece por enviar primeiro para o Teste de Aceitação do Utilizador (UAT) composto por administradores de TI, Administradores de segurança e pessoal de suporte técnico. Em seguida, para 1%, 5%, 10%, 25%, 50%, 75% e, finalmente, para 100% do seu ambiente.

Ativar mitigações da proteção contra exploits

Pode ativar cada mitigação separadamente através de qualquer um destes métodos:

O Exploit Protection está configurado por predefinição no Windows 10 e no Windows 11. Pode definir cada mitigação como ativada, desativada ou valor predefinido. Algumas mitigações têm mais opções. Pode exportar definições como um ficheiro XML e implementá-las noutros dispositivos.

Também pode definir mitigações para modo de auditoria. O modo de auditoria permite-lhe testar como as mitigações funcionariam (e rever eventos) sem afetar a utilização normal do dispositivo.

Aplicação Segurança do Windows

  1. Abra a aplicação Segurança do Windows selecionando o ícone de escudo na barra de tarefas ou procurando no menu Iniciar por Segurança.

  2. Selecione o mosaico Controlo de aplicações e browsers (ou o ícone da aplicação na barra de menus à esquerda) e, em seguida, Definições do Exploit Protection.

  3. Aceda a Definições do programa e selecione a aplicação à qual pretende aplicar mitigações.

    • Se a aplicação que pretende configurar já estiver listada, selecione-a e, em seguida, Editar.
    • Se a aplicação não estiver listada, na parte superior da lista, selecione Adicionar programa para personalizar e, em seguida, escolha como pretende adicionar a aplicação.
    • Utilize Adicionar por nome de programa para que a mitigação seja aplicada a qualquer processo em execução com esse nome. Especifique um ficheiro com a respetiva extensão. Pode introduzir um caminho completo para limitar a mitigação apenas à aplicação com esse nome nessa localização.
    • Utilize Selecionar o caminho de ficheiro exato para utilizar uma janela padrão do seletor de ficheiros do Explorador do Windows para encontrar e selecionar o ficheiro que pretende.

  4. Depois de selecionar a aplicação, verá uma lista de todas as mitigações que podem ser aplicadas. Escolher Auditoria aplica a mitigação apenas no modo de auditoria. Será notificado se precisar de reiniciar o processo ou aplicação ou se precisar de reiniciar o Windows.

  5. Repita os passos 3 a 4 para todas as aplicações e mitigações que pretende configurar.

  6. Na secção Definições do sistema, localize a mitigação que pretende configurar e, em seguida, especifique uma das seguintes definições. As aplicações que não estão configuradas individualmente na secção Definições de programa utilizam as definições configuradas aqui.

    • Ativada por predefinição: a mitigação está ativada para aplicações que não têm esta mitigação definida na secção definições do Programa específicas da aplicação
    • Desativada por predefinição: a mitigação está desativada para aplicações que não têm esta mitigação definida na secção definições do Programa específicas da aplicação
    • Utilizar predefinição: a mitigação está ativada ou desativada, dependendo da configuração predefinida configurada pela instalação do Windows 10 ou do Windows 11; o valor predefinido (Ativada ou Desativada) é sempre especificado junto à etiqueta Utilizar predefinição para cada mitigação

  7. Repita o passo 6 para todas as mitigações ao nível do sistema que pretende configurar. Selecione Aplicar quando terminar de configurar a sua configuração.

Se adicionar uma aplicação à secção Definições do programa e configurar definições de mitigação individuais, estas serão honradas acima da configuração para as mesmas mitigações especificadas na secção Definições do sistema . A matriz e os exemplos seguintes ajudam a ilustrar como funcionam as predefinições:

Ativado nas Definições de programa Ativado nas Definições de sistema Comportamento
Sim Não Conforme definido nas definições de Programa
Sim Sim Conforme definido nas definições de Programa
Não Sim Conforme definido nas Definições de sistema
Não Não Predefinição, conforme definido em Utilizar predefinição

Exemplo 1: o Mikael configura a Prevenção de Execução de Dados na secção de definições do sistema como desativada por predefinição

O Mikael adiciona a aplicação test.exe à secção Definições de programa. Nas opções para essa aplicação, em Prevenção de Execução de Dados (DEP), Mikael ativa Ignorar definições de sistema e muda o botão para a posição Ativado. Não existem outras aplicações listadas na secção Definições de programa.

O resultado é que a DEP está ativada apenas para test.exe. Todas as outras aplicações não terão o DEP aplicado.

Exemplo 2: a Josie configura a Prevenção de Execução de Dados em definições do sistema como desativada por predefinição

A Josie adiciona a aplicação test.exe à secção Definições de programa. Nas opções para essa aplicação, em Prevenção de Execução de Dados (DEP), a Josie ativa Ignorar definições de sistema e muda o botão para a posição Ativado.

A Josie também adiciona a aplicação miles.exe à secção Definições de programa e configura a Proteção de fluxo de controlo (CFG) com Ativado. Josie também não ativa a opção Ignorar definições de sistema para a DEP ou quaisquer outras mitigações para essa aplicação.

O resultado é que a DEP está ativada para test.exe. O DEP não será ativado para nenhuma outra aplicação, incluindo miles.exe. A configuração será ativado para miles.exe.

  1. Abra a aplicação Segurança do Windows selecionando o ícone de escudo na barra de tarefas ou procurando no menu Iniciar por Segurança do Windows.

  2. Selecione o mosaico Controlo de aplicações e browsers (ou o ícone da aplicação na barra de menus à esquerda) e, em seguida, Exploit Protection.

  3. Aceda a Definições do programa e selecione a aplicação à qual pretende aplicar mitigações.

    • Se a aplicação que pretende configurar já estiver listada, selecione-a e, em seguida, Editar.
    • Se a aplicação não estiver listada, na parte superior da lista, selecione Adicionar programa para personalizar e, em seguida, escolha como pretende adicionar a aplicação.
      • Utilize Adicionar por nome de programa para que a mitigação seja aplicada a qualquer processo em execução com esse nome. Especifique um ficheiro com uma extensão. Pode introduzir um caminho completo para limitar a mitigação apenas à aplicação com esse nome nessa localização.
      • Utilize Selecionar o caminho de ficheiro exato para utilizar uma janela padrão do seletor de ficheiros do Explorador do Windows para encontrar e selecionar o ficheiro que pretende.

  4. Depois de selecionar a aplicação, verá uma lista de todas as mitigações que podem ser aplicadas. Escolher Auditoria aplica a mitigação apenas no modo de auditoria. Será notificado se precisar de reiniciar o processo ou aplicação ou se precisar de reiniciar o Windows.

  5. Repita os passos 3 a 4 para todas as aplicações e mitigações que pretende configurar. Selecione Aplicar quando terminar de configurar a sua configuração.

Microsoft Intune

Para configurar a proteção contra exploits através de uma política de redução da superfície de Ataque de Segurança de Ponto Final Microsoft Intune, consulte Criar uma política de segurança de ponto final (abre-se num novo separador na documentação do Intune). Ao criar a política, utilize estas definições:

  • Tipo de política: Redução da superfície de ataque
  • Plataforma: Windows 10, Windows 11 e Windows Server
  • Perfil: Exploit Protection
  • Definições de configuração: defina Definições do Exploit Protection como Configurado e, em seguida, navegue para e selecione o ficheiro XML de proteção contra exploits

Para obter mais informações sobre como criar um ficheiro XML de proteção contra exploits, veja Importar, exportar e implementar configurações de proteção contra exploits.

Para obter mais informações sobre as políticas de redução da superfície de ataque no Microsoft Intune, consulte Política de redução da superfície de ataque para segurança de pontos finais no Intune.

MDM

Utilize o fornecedor de serviços de configuração (CSP) ./Vendor/MSFT/Policy/Config/ExploitGuard/ExploitProtectionSettings para ativar ou desativar mitigações do Exploit Protection ou para utilizar o modo de auditoria.

Microsoft Configuration Manager

Segurança de Ponto Final

  1. Em Microsoft Configuration Manager, aceda aEndpoint Security Attack surface reduction (Redução da superfície do Ataque de Segurança > de Ponto Final).

  2. Selecione CriarPlataforma de Políticas> e, em Perfil, selecione Exploit Protection. Em seguida, selecione Criar.

  3. Especifique um nome e uma descrição e, em seguida, selecione Seguinte.

  4. Selecione Selecionar Ficheiro XML e navegue para a localização do ficheiro XML do Exploit Protection. Escolha o ficheiro e, em seguida, selecione Seguinte.

  5. Configure as Etiquetas de âmbito e Atribuições, se necessário.

  6. Em Rever + criar, reveja as definições de configuração e, em seguida, selecione Criar.

Ativos e Conformidade

  1. No Microsoft Configuration Manager, aceda a Ativos e Compatibilidade>Endpoint Protection>Windows Defender Exploit Guard.

  2. Selecione Base>Criar Política do Exploit Guard.

  3. Especifique um nome e uma descrição, selecione Exploit Protection e depois selecione Seguinte.

  4. Navegue para a localização do ficheiro XML do Exploit Protection e, em seguida, selecione Seguinte.

  5. Reveja as definições e depois selecione Seguinte para criar a política.

  6. Após a criação da política, selecione Fechar.

Política de Grupo

  1. No dispositivo de gestão Política de Grupo, abra a Consola de Gestão do Política de Grupo. Clique com o botão direito do rato no Objeto Política de Grupo que pretende configurar e selecione Editar.

  2. No Editor de Gestão de Políticas de Grupo, vá para Configuração do computador e selecione Modelos administrativos.

  3. Expanda a árvore para componentes> doWindows Windows Defender Exploit Guard>Exploit Protection>Utilize um conjunto comum de definições de proteção contra exploits.

  4. Selecione Ativado e escreva a localização do ficheiro XML e, em seguida, selecione OK.

PowerShell

Pode utilizar o verbo do PowerShell Get ou Set com o cmdlet ProcessMitigation. A utilização Get lista o estado de configuração atual de quaisquer mitigações que estejam ativadas no dispositivo. Adicione o -Name cmdlet e o exe da aplicação para ver mitigações apenas para essa aplicação:

Get-ProcessMitigation -Name processName.exe

Importante

As mitigações ao nível do sistema que não tenham sido configuradas irão mostrar um estado de NOTSET.

  • Para as definições ao nível do sistema, NOTSET indica que a predefinição para essa mitigação foi aplicada.
  • Para definições ao nível da aplicação, NOTSET indica que a definição ao nível do sistema para a mitigação será aplicada. A predefinição para cada mitigação ao nível do sistema pode ser consultada na Segurança do Windows.

Utilize Set para configurar cada mitigação no seguinte formato:

Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>

Localização:

  • <Âmbito>:
    • -Name para indicar que as mitigações devem ser aplicadas a uma aplicação específica. Especifique o executável da aplicação após este sinalizador.
      • -System para indicar que a mitigação deve ser aplicada ao nível do sistema
  • <Ação>:
    • -Enable para ativar a mitigação
    • -Disable para desativar a mitigação
  • <Mitigação>:
    • O cmdlet da mitigação juntamente com quaisquer subopções (entre espaços). Cada mitigação é separada por uma vírgula.

Por exemplo, para ativar a mitigação de Prevenção de Execução de Dados (DEP) com a emulação de ATL thunk e para um executável chamado testing.exe na pasta C:\Apps\LOB\tests e para impedir esse executável de criar processos subordinados, utilize o seguinte comando:

Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable DEP, EmulateAtlThunks, DisallowChildProcessCreation

Importante

Separe cada opção de mitigação por vírgulas.

Se quisesse aplicar a DEP ao nível do sistema, utilizaria o seguinte comando:

Set-Processmitigation -System -Enable DEP

Para desativar mitigações, pode substituir -Enable por -Disable. No entanto, para mitigações ao nível da aplicação, esta ação força a desativação da mitigação apenas para essa aplicação.

Se precisar de restaurar a mitigação para a predefinição do sistema, também tem de incluir o cmdlet -Remove, como no exemplo seguinte:

Set-Processmitigation -Name test.exe -Remove -Disable DEP

A tabela seguinte lista as Mitigações individuais (e Auditorias, quando disponíveis) a utilizar com os parâmetros do cmdlet -Enable ou -Disable.

Tipo de mitigação Aplica-se a Palavra-chave do parâmetro do cmdlet de mitigação Parâmetro do cmdlet do modo de auditoria
Proteção do fluxo de controlo (CFG) Ao nível do sistema e da aplicação CFG, StrictCFG, SuppressExports Auditoria não disponível
Prevenção de Execução de Dados (DEP) Ao nível do sistema e da aplicação DEP, EmulateAtlThunks Auditoria não disponível
Forçar a aleatoriedade de imagens (ASLR Obrigatório) Ao nível do sistema e da aplicação ForceRelocateImages Auditoria não disponível
Aleatorizar alocações de memória (ASLR ascendente) Ao nível do sistema e da aplicação BottomUp, HighEntropy Auditoria não disponível
Validar cadeias de exceção (SEHOP) Ao nível do sistema e da aplicação SEHOP, SEHOPTelemetry Auditoria não disponível
Validar integridade da área dinâmica para dados Ao nível do sistema e da aplicação TerminateOnError Auditoria não disponível
Proteção de código arbitrário (ACG) Apenas ao nível da aplicação DynamicCode AuditDynamicCode
Bloquear imagens de integridade baixa Apenas ao nível da aplicação BlockLowLabel AuditImageLoad
Bloquear imagens remotas Apenas ao nível da aplicação BlockRemoteImages Auditoria não disponível
Bloquear tipos de letra não fidedignos Apenas ao nível da aplicação DisableNonSystemFonts AuditFont, FontAuditOnly
Proteção de integridade do código Apenas ao nível da aplicação BlockNonMicrosoftSigned, AllowStoreSigned AuditMicrosoftSigned, AuditStoreSigned
Desativar pontos de extensão Apenas ao nível da aplicação ExtensionPoint Auditoria não disponível
Desativar chamadas do sistema Win32k Apenas ao nível da aplicação DisableWin32kSystemCalls AuditSystemCall
Não permitir processos subordinados Apenas ao nível da aplicação DisallowChildProcessCreation AuditChildProcess
Filtragem de endereços de exportação (EAF) Apenas ao nível da aplicação EnableExportAddressFilterPlus, EnableExportAddressFilter[1] Auditoria não disponível [2]
Filtragem de endereços de importação (IAF) Apenas ao nível da aplicação EnableImportAddressFilter Auditoria não disponível [2]
Simular exceção (SimExec) Apenas ao nível da aplicação EnableRopSimExec Auditoria não disponível [2]
Validar invocação de API (CallerCheck) Apenas ao nível da aplicação EnableRopCallerCheck Auditoria não disponível [2]
Validar utilização de identificador Apenas ao nível da aplicação StrictHandle Auditoria não disponível
Validar integridade da dependência da imagem Apenas ao nível da aplicação EnforceModuleDepencySigning Auditoria não disponível
Validar integridade da pilha (StackPivot) Apenas ao nível da aplicação EnableRopStackPivot Auditoria não disponível [2]

[1]: Utilize o seguinte formato para ativar módulos EAF para DLLs para um processo:

Set-ProcessMitigation -Name processName.exe -Enable EnableExportAddressFilterPlus -EAFModules dllName1.dll,dllName2.dll

[2]: A auditoria para esta mitigação não está disponível através de cmdlets do PowerShell.

Personalizar a notificação

Para obter informações sobre como personalizar a notificação quando uma regra é acionada e uma aplicação ou ficheiro é bloqueado, consulte Segurança do Windows.

Remover as mitigações da proteção contra exploits

Para repor (anular ou remover) as mitigações da proteção contra exploits, veja a Referência do Exploit Protection.

Consulte também

  • Last updated on