Substituir Opções de Mitigação de Processo para ajudar a aplicar políticas de segurança relacionadas ao aplicativo

O Windows inclui "Opções de Mitigação de Processo" configuráveis pela política de grupo que adicionam proteções avançadas contra ataques baseados em memória, ou seja, ataques em que o malware manipula a memória para obter o controle de um sistema. Por exemplo, o malware pode tentar usar excessos de buffer para injetar código executável mal-intencionado na memória, mas as Opções de Mitigação de Processo podem impedir a execução do código mal-intencionado.

Importante

Recomendamos experimentar essas mitigações em um laboratório de teste antes de implantar em sua organização, para determinar se elas interferem nos aplicativos necessários da sua organização.

As configurações Política de Grupo neste tópico estão relacionadas a três tipos de mitigações de processo. Todos os três tipos estão ativados por padrão para aplicativos de 64 bits, mas usando as configurações de Política de Grupo descritas neste tópico, você pode configurar mais proteções. Os tipos de mitigações de processo são:

  • A DEP (Prevenção de Execução de Dados) é um recurso de proteção de memória no nível do sistema que permite que o sistema operacional marque uma ou mais páginas de memória como não executáveis, impedindo que o código seja executado dessa região de memória, para ajudar a evitar a exploração de excessos de buffer. A DEP ajuda a impedir que o código seja executado a partir de páginas de dados, como heap padrão, pilhas e pools de memória. Para obter mais informações, consulte Prevenção de Execução de Dados.
  • O SEHOP (Structured Exception Handling Overwrite Protection) foi projetado para bloquear explorações que usam a técnica de substituição SEH (Manipulador de Exceção Estruturada). Como esse mecanismo de proteção é fornecido em tempo de execução, ele ajuda a proteger os aplicativos, independentemente de terem sido compilados com as melhorias mais recentes. Para obter mais informações, consulte Proteção de substituição de exceção estruturada.
  • A ASLR (Randomização do Layout do Espaço de Endereço) carrega DLLs em endereços de memória aleatórios na hora da inicialização para atenuar o malware projetado para atacar locais de memória específicos, onde se espera que DLLs específicas sejam carregadas. Para obter mais informações, consulte Randomização do Layout do Espaço de Endereço. Para encontrar mais proteções ASLR na tabela abaixo, procure IMAGES ou ASLR.

O procedimento a seguir descreve como usar Política de Grupo para substituir as configurações individuais de Opções de Mitigação de Processo.

Para modificar opções de mitigação de processos

  1. Abra seu editor de Política de Grupo e vá para a configuração Modelos Administrativos\Sistema\Opções de Mitigação\Opções de Mitigação de Processo.

    Captura de tela do editor de Política de Grupo: Opções de mitigação do processo com a configuração habilitada e o botão Mostrar ativo.

  2. Clique em Habilitado e, em seguida, na área Opções , clique em Mostrar para abrir a caixa Mostrar Conteúdo , em que você poderá adicionar seus aplicativos e os valores de sinalizador de bit apropriados, conforme mostrado nas seções Definir o campo bit e Exemplo deste tópico.

    Importante

    Para cada aplicativo que você deseja incluir, você deve incluir:

    • Nome do valor. O nome do arquivo do aplicativo, incluindo a extensão. Por exemplo, iexplore.exe.
    • Valor. Um campo de bits com uma série de sinalizadores de bit em posições específicas. Os bits podem ser definidos como 0 (onde a configuração é forçada), 1 (em que a configuração é forçada) ou ? (onde a configuração mantém o valor anterior e existente). Definir sinalizadores de bit em posições não especificadas aqui para qualquer outra coisa que ? não possa causar um comportamento indefinido.

    Captura de tela do editor de Política de Grupo: Opções de mitigação de processo com a caixa Mostrar Conteúdo e o texto de exemplo.

Definir o campo de bits

Aqui está uma representação visual dos locais do sinalizador de bit para as várias configurações de Opções de Mitigação de Processo:

Representação visual dos locais do sinalizador de bit para as configurações opções de mitigação de processo.

Onde os sinalizadores de bit são lidos da direita para a esquerda e são definidos como:

Sinalizador Localização do bit Configuração Detalhes
A 0 PROCESS_CREATION_MITIGATION_POLICY_DEP_ENABLE (0x00000001) Ativa a DEP (Prevenção de Execução de Dados) para processos filho.
B 1 PROCESS_CREATION_MITIGATION_POLICY_DEP_ATL_THUNK_ENABLE (0x00000002) Ativa a emulação de thunk de DEP-ATL para processos filho. A emulação de thunk de DEP-ATL permite que o sistema intercepte falhas não executáveis (NX) que se originam da camada de thunk da Biblioteca de Modelos Ativos (ATL) e, em seguida, emule e manipule as instruções para que o processo possa continuar a ser executado.
C 2 PROCESS_CREATION_MITIGATION_POLICY_SEHOP_ENABLE (0x00000004) Ativa o SEHOP (Structured Exception Handler Overwrite Protection) para processos filho. O SEHOP ajuda a bloquear explorações que usam a técnica de substituição do SEH (Manipulador de Exceção Estruturada).
D 8 PROCESS_CREATION_MITIGATION_POLICY_FORCE_RELOCATE_IMAGES_ALWAYS_ON (0x00000100) Usa a configuração aslr (Randomização do Layout do Espaço de Endereço) de força para agir como se uma colisão de base de imagem tivesse acontecido em tempo de carga, recompetindo à força imagens que não são compatíveis com base dinâmica. As imagens sem a seção de realocação base não serão carregadas se forem necessárias realocações.
E 15 PROCESS_CREATION_MITIGATION_POLICY_BOTTOM_UP_ASLR_ALWAYS_ON (0x00010000) Ativa a política de randomização de baixo para cima, que inclui opções de randomização de pilha e faz com que um local aleatório seja usado como o endereço de usuário mais baixo.
F 16 PROCESS_CREATION_MITIGATION_POLICY_BOTTOM_UP_ASLR_ALWAYS_OFF (0x00020000) Desativa a política de randomização de baixo para cima, que inclui opções de randomização de pilha e faz com que um local aleatório seja usado como o endereço de usuário mais baixo.

Exemplo

Se você quiser ativar as configurações PROCESS_CREATION_MITIGATION_POLICY_DEP_ENABLE e PROCESS_CREATION_MITIGATION_POLICY_FORCE_RELOCATE_IMAGES_ALWAYS_ON , desative a configuração de PROCESS_CREATION_MITIGATION_POLICY_BOTTOM_UP_ASLR_ALWAYS_OFF e deixe todo o resto como os valores padrão, você deseja digitar um valor de ???????????????0???????1???????1.