Avaliar a proteção de exploração

Aplica-se a:

Deseja experimentar o Microsoft Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.

A proteção de exploração ajuda a proteger dispositivos contra malware que usa explorações para propagar e infectar outros dispositivos. A mitigação pode ser aplicada ao sistema operacional ou a um aplicativo individual. Muitos dos recursos que fazem parte da Experiência de Mitigação Aprimorada Toolkit (EMET) estão incluídos na proteção de exploração. (O EMET atingiu o fim do suporte.)

Na auditoria, você pode ver como a mitigação funciona para determinados aplicativos em um ambiente de teste. Isso mostra o que teria ocorrido se você tivesse habilitado a proteção de exploração em seu ambiente de produção. Dessa forma, você pode verificar se a proteção de exploração não afeta adversamente seus aplicativos de linha de negócios e ver quais eventos suspeitos ou mal-intencionados ocorrem.

Dica

Você também pode visitar o site de cenários de demonstração do Microsoft Defender no demo.wd.microsoft.com para ver como funciona a proteção de exploração.

Habilitar a proteção de exploração para testes

Você pode definir mitigações em um modo de teste para programas específicos usando o aplicativo Segurança do Windows ou Windows PowerShell.

Segurança do Windows app

  1. Abra o aplicativo Segurança do Windows. Selecione o ícone de escudo na barra de tarefas ou pesquise o menu iniciar para Segurança do Windows.

  2. Selecione o & de controle do navegador (ou o ícone do aplicativo na barra de menus esquerda) e selecione Exploit protection.

  3. Vá para Configurações do programa e escolha o aplicativo ao qual você deseja aplicar proteção:

    1. Se o aplicativo que você deseja configurar já estiver listado, selecione-o e selecione Editar
    2. Se o aplicativo não estiver listado na parte superior da lista, selecione Adicionar programa para personalizar. Em seguida, escolha como deseja adicionar o aplicativo.
      • Use Adicionar por nome de programa para que a mitigação seja aplicada a qualquer processo em execução com esse nome. Especifique um arquivo com uma extensão. Você pode inserir um caminho completo para limitar a mitigação apenas ao aplicativo com esse nome nesse local.
      • Use Escolher o caminho exato do arquivo para usar uma janela Windows seletor de arquivos do Explorer padrão para encontrar e selecionar o arquivo que você deseja.
  4. Depois de selecionar o aplicativo, você verá uma lista de todas as mitigações que podem ser aplicadas. Escolher Auditoria aplicará a mitigação somente no modo de auditoria. Você será notificado se precisar reiniciar o processo, aplicativo ou Windows.

  5. Repita este procedimento para todos os aplicativos e mitigações que você deseja configurar. Selecione Aplicar quando terminar de configurar sua configuração.

PowerShell

Para definir mitigações no nível do aplicativo para o modo de auditoria, use Set-ProcessMitigation com o cmdlet modo de auditoria.

Configure cada mitigação no seguinte formato:

Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>

Onde:

  • <Scope>:
    • -Name para indicar que as mitigações devem ser aplicadas a um aplicativo específico. Especifique o executável do aplicativo após esse sinalizador.
  • <Action>:
    • -Enable para habilitar a mitigação
      • -Disable para desabilitar a mitigação
  • <Mitigation>:
    • O cmdlet da mitigação conforme definido na tabela a seguir. Cada mitigação é separada com uma vírgula.
Atenuação Cmdlet do modo de auditoria
Proteção de Código Arbitrário (ACG) AuditDynamicCode
Bloquear imagens de baixa integridade AuditImageLoad
Bloquear fontes não confiáveis AuditFont, FontAuditOnly
Proteção da integridade do código AuditMicrosoftSigned, AuditStoreSigned
Desabilitar chamadas do sistema Win32k AuditSystemCall
Não permitir processos filho AuditChildProcess

Por exemplo, para habilitar o AcG (Arbitrary Code Guard) no modo de auditoria para um aplicativo chamado testing.exe, execute o seguinte comando:

Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable AuditDynamicCode

Você pode desabilitar o modo de auditoria substituindo por -Enable -Disable .

Revisar eventos de auditoria de proteção de exploração

Para revisar quais aplicativos teriam sido bloqueados, abra o Visualizador de Eventos e filtre os seguintes eventos no log Security-Mitigations.

Recurso Provedor/origem ID do Evento Descrição
Proteção de exploração Security-Mitigations (Modo kernel/modo de usuário) 1 Auditoria do ACG
Proteção de exploração Security-Mitigations (Modo kernel/modo de usuário) 3 Não permitir auditoria de processos filho
Proteção de exploração Security-Mitigations (Modo kernel/modo de usuário) 5 Bloquear a auditoria de imagens de baixa integridade
Proteção de exploração Security-Mitigations (Modo kernel/modo de usuário) 7 Bloquear a auditoria de imagens remotas
Proteção de exploração Security-Mitigations (Modo kernel/modo de usuário) 9 Desativar as chamadas do sistema win32k
Proteção de exploração Security-Mitigations (Modo kernel/modo de usuário) 11 Auditoria de proteção da integridade do código

Confira também