Minimize as ameaças usando recursos de segurança do Windows 10
Aplica-se a:
- Windows 10
Este tópico fornece uma visão geral de algumas ameaças de software e firmware enfrentadas no cenário de segurança atual e as mitigações oferecidas pelo Windows 10 em resposta a essas ameaças. Para obter informações sobre os tipos de proteção relacionados oferecidos pela Microsoft, consulte Tópicos relacionados.
| Seção | Conteúdo |
|---|---|
| O cenário de ameaças à segurança | Descreve a natureza atual do cenário de ameaça à segurança e define como o Windows 10 foi projetado para atenuar vulnerabilidades de software e ameaças semelhantes. |
| Mitigações configuráveis do Windows 10 | Fornece tabelas de mitigações de ameaças configuráveis com links para obter mais informações. Recursos do produto, como o Device Guard aparecem na Tabela 1, e as opções de proteção de memória, como prevenção de execução de dados aparecem na tabela 2. |
| Mitigações integradas ao Windows 10 | Fornece descrições de mitigações de Windows 10 que não exigem nenhuma configuração, elas são incorporadas ao sistema operacional. Por exemplo, as proteções de heap e as proteções de pool de Kernel estão integradas ao Windows 10. |
| Entendendo o Windows 10 com relação ao Enhanced Mitigation Experience Toolkit | Descreve como mitigações no Enhanced Mitigation Experience Toolkit (EMET) correspondem aos recursos integrados do Windows 10 e como converter as configurações do EMET em políticas de redução de risco para o Windows 10. |
Este tópico se concentra em mitigações de pré-violação destinadas à proteção do dispositivo e resistência a ameaças. Essas proteções funcionam com outras defesas de segurança no Windows 10, conforme apresentado na ilustração a seguir:
Figura 1. Proteção contra dispositivos e resistência a ameaças como parte das defesas de segurança Windows 10
O cenário de ameaças à segurança
O cenário de ameaças à segurança de hoje é de ameaças agressivas e tenazes. Nos anos anteriores, invasores mal-intencionados se concentravam principalmente em receber o reconhecimento da comunidade por meio de seus ataques ou a emoção de colocar temporariamente um sistema offline. Desde então, os motivos do invasor mudaram para ganhar dinheiro, incluindo manter dispositivos e dados reféns até que o proprietário pague o resgate exigido. Ataques modernos cada vez mais se concentram no roubo de propriedade intelectual em grande escala; na degradação do sistema visado que pode resultar em perda financeira; e agora até mesmo o cyberterrorismo que ameaça a segurança de indivíduos, empresas e interesses nacionais em todo o mundo. Esses invasores são geralmente indivíduos altamente treinados e especialistas em segurança, alguns dos quais estão a serviço de nações que possuem grandes orçamentos e recursos humanos aparentemente ilimitados. Ameaças como essas exigem uma abordagem que pode superar esse desafio.
Em reconhecimento a este cenário, a atualização do Windows 10 Creator (Windows 10, versão 1703) inclui vários recursos de segurança que foram criados para tornar difícil (e cara) localizar e explorar muitas vulnerabilidades de software. Esses recursos são projetados para:
Eliminar classes inteiras de vulnerabilidades
Interromper técnicas de exploração
Conter os danos e evitar a persistência
Limitar o intervalo de oportunidade para explorar
As seções a seguir fornecem mais detalhes sobre mitigações de segurança no Windows 10, versão 1703.
Mitigações configuráveis do Windows 10
As mitigações do Windows 10 que você pode configurar estão listadas nas duas tabelas a seguir. A primeira tabela abrange uma ampla gama de proteções para dispositivos e usuários em toda a empresa e a segunda tabela faz uma busca detalhada em proteções específicas de memória, como Prevenção de Execução de Dados. Opções de proteção de memória oferecem mitigações específicas contra malware que tenta manipular memória para obter o controle de um sistema.
Tabela 1 Windows 10 mitigações que você pode configurar
| Mitigação e ameaça correspondente | Descrição e links |
|---|---|
| Windows Defender SmartScreen Ajuda a impedir que aplicativos mal-intencionados Sejam baixados |
O Windows Defender SmartScreen pode verificar a reputação de um aplicativo baixado, usando um serviço que a Microsoft mantém. A primeira vez que um usuário executa um app que se origina da Internet (ainda que o usuário tenha copiado de outro computador), o SmartScreen verifica se o app não tem uma reputação ou é conhecido por ser mal-intencionado e responde de acordo. Obter mais informações: Windows Defender SmartScreen, posteriormente neste tópico |
| Credential Guard Ajuda a impedir que os invasores tenham acesso ao sistema por meio de ataques Pass-the-Hash ou Pass-the-Ticket |
O Credential Guard usa segurança baseada em virtualização para isolar segredos, como hashes de senha NTLM e tíquetes de concessão de tíquete Kerberos, de maneira que apenas o software do sistema com privilégios possa acessá-los. O Credential Guard está incluído no Windows 10 Enterprise e Windows Server 2016. Obter mais informações: Proteger credenciais de domínio derivadas com o Credential Guard |
| Anexação de certificado empresarial Ajuda a impedir ataques a intermediários que usam PKI |
A anexação de certificado empresarial permite que você proteja seus nomes de domínio interno de encadear certificados indesejados ou certificados emitidos de modo fraudulento. Com a fixação de certificado empresarial, você pode "fixar" (associar) um certificado X.509 e sua chave pública para sua Autoridade de Certificação, raiz ou folha. Obter mais informações: Anexação de Certificado Empresarial |
| Device Guard Ajuda a impedir que um dispositivo execute malware ou outros aplicativos não confiáveis |
O Device Guard inclui uma política de Integridade de Código que você cria; uma lista de permissões de aplicativos confiáveis , os únicos aplicativos autorizados a serem executados em sua organização. O Device Guard também inclui uma poderosa mitigação do sistema chamada HVCI (integridade de código protegida por hipervisor), que usa a VBS (segurança baseada em virtualização) para proteger o processo de validação de código do modo kernel do Windows. O HVCI tem requisitos de hardware específicos e funciona com as políticas de integridade de código para ajudar a impedir ataques, ainda que tenham acesso ao kernel. O Device Guard está incluído no Windows 10 Enterprise e no Windows Server 2016. Obter mais informações: Introdução ao Device Guard |
| Microsoft Defender Antivírus, ajuda a manter os dispositivos livres de vírus e outros malware |
Windows 10 inclui Microsoft Defender Antivírus, uma solução anti-malware de caixa de entrada robusta. Microsoft Defender Antivírus foi aprimorado significativamente desde que foi introduzido no Windows 8. Mais informações: Microsoft Defender Antivírus, posteriormente neste tópico |
| Bloqueio de fontes não confiáveis ajuda a impedir que fontes sejam usadas em ataques de elevação de privilégio |
Bloquear fontes não confiáveis é uma configuração que permite a você impedir que usuários carreguem fontes que são "não confiáveis" em sua rede, o que pode mitigar ataques de elevação de privilégio associados à análise de arquivos de fonte. No entanto, a partir do Windows 10, versão 1703, essa mitigação é menos importante, porque a análise de fonte é isolada em uma área restrita de AppContainer (para obter uma lista descrevendo isso e outras proteções de pool de kernel, consulte proteções de pool de Kernel, posteriormente neste tópico). Obter mais informações: Bloquear fontes não confiáveis em uma empresa |
| Proteções de memória ajudam a impedir malware de usar técnicas de manipulação de memória como saturações de buffer |
Essas mitigações, listadas na tabela 2, ajudam a proteger contra ataques baseados em memória, em que o malware ou outro código manipula a memória para assumir o controle de um sistema (por exemplo, um malware que tenta usar saturações de buffer para injetar código executável mal-intencionado em memória. Observação: Um subconjunto de aplicativos não poderá ser executado se algumas dessas mitigações forem definidas como suas configurações mais restritivas. Testar pode ajudá-lo a maximizar a proteção enquanto ainda permite que esses aplicativos sejam executados. Obter mais informações: Tabela 2, mais adiante neste tópico. |
| Inicialização segura UEFI ajuda a proteger a plataforma de kits de inicialização e rootkits |
A inicialização segura Unified Extensible Firmware Interface (UEFI) é um padrão de segurança firmware integrado ao computadores pelos fabricantes a partir do Windows 8. Ela ajuda a proteger o processo de inicialização e o firmware contra falsificação, por exemplo, de um invasor fisicamente presente ou de formas de malware que são executadas no início do processo de inicialização ou no kernel, após a inicialização. Mais informações: UEFI e Inicialização Segura |
| Antimalware de Início Antecipado (ELAM) ajuda a proteger a plataforma de rootkits disfarçados de drivers |
O ELAM (Early Launch Antimalware) foi projetado para permitir que a solução anti-malware comece antes de todos os drivers e aplicativos que não são da Microsoft. Se o malware modificar um driver relacionado à inicialização, a ELAM detectará a mudança e o Windows impedirá o driver de iniciar, bloqueando, dessa forma, os rootkits baseados no driver. Obter mais informações: Antimalware de Início Antecipado |
| Atestado de Integridade do Dispositivo ajuda a impedir que dispositivos comprometidos acessando o de uma organização organização |
O DHA (Atestado de Integridade do Dispositivo) oferece uma forma de confirmar que dispositivos que estão tentando se conectar à rede da organização estão em estado íntegro, não comprometidos por malware. Quando o DHA foi configurado, as medidas reais de dados de inicialização de um dispositivo podem ser verificadas em relação aos dados de inicialização "saudáveis" esperados. Se a verificação indica que um dispositivo é não íntegro, o dispositivo pode ser impedido de acessar a rede. Obter mais informações: Controlar a integridade dos dispositivos baseados no Windows 10 e Atestado de Integridade do Dispositivo |
Mitigações configuráveis do Windows 10 projetadas para ajudar a proteger contra manipulação de memória exigem entendimento profundo dessas ameaças e mitigações e conhecimento sobre como o sistema operacional e os aplicativos tratam a memória. O processo padrão para maximizar esses tipos de mitigações é trabalhar em um laboratório de teste para descobrir se uma determinada configuração interfere em todos os aplicativos que você usa para que você possa implantar as configurações que maximizam a proteção, enquanto ainda permite que aplicativos sejam executados corretamente.
Como um profissional de TI, você pode solicitar que desenvolvedores de aplicativos e fornecedores de software forneçam aplicativos que incluam uma proteção extra chamada CFG (Control Flow Guard). Nenhuma configuração é necessária no sistema operacional — a proteção é compilada aos aplicativos. Mais informações podem ser encontradas em Proteção do Fluxo de Controle.
Mitigações de Windows 10 configuráveis da Tabela 2 projetadas para ajudar a proteger contra explorações de memória
| Mitigação e ameaça correspondente | Descrição |
|---|---|
| Prevenção de Execução de Dados (DEP) ajuda a impedir exploração de saturações de buffer |
Prevenção de execução de dados (DEP) é um recurso de proteção de memória em nível de sistema disponível nos sistemas operacionais Windows. A DEP permite que o sistema operacional marque uma ou mais páginas de memória como não-executáveis, o que impede que o código seja executado a partir dessa região da memória para ajudar a evitar a exploração de saturações do buffer. A DEP ajuda a impedir que o código seja executado a partir de páginas de dados, como heap padrão, pilhas e pools de memória. Embora alguns aplicativos tenham problemas de compatibilidade com o DEP, a maioria dos aplicativos não. Obter mais informações: Prevenção de Execução de Dados, posteriormente neste tópico. Política de Grupo configurações: o DEP está ativado por padrão para aplicativos de 64 bits, mas você pode configurar mais proteções DEP usando as configurações de Política de Grupo descritas em Opções de Mitigação de Processo de Substituição para ajudar a impor políticas de segurança relacionadas ao aplicativo. |
| SEHOP ajuda a impedir que substituição de manipulação de exceções estruturadas |
SEHOP (Manipulador de exceção estruturado que substitui a proteção) foi projetado para ajudar a bloquear explorações que usam a técnica de substituição do SEH (manipulador de exceção estruturado). Como esse mecanismo de proteção é fornecido em tempo de execução, ele ajuda a proteger os aplicativos, independentemente de terem sido compilados com as melhorias mais recentes. Alguns aplicativos têm problemas de compatibilidade com SEHOP, então certifique-se de testar o ambiente. Obter mais informações: Manipulador de exceção estruturado que substitui a proteção, posteriormente neste tópico. Política de Grupo configuração: o SEHOP está ativado por padrão para aplicativos de 64 bits, mas você pode configurar mais proteções SEHOP usando a configuração de Política de Grupo descrita em Opções de Mitigação de Processo de Substituição para ajudar a impor políticas de segurança relacionadas ao aplicativo. |
| ASLR ajuda a mitigar ataques de malware com base em locais de memória esperados |
Address Space Layout Randomization (ASLR) carrega DLLs em endereços de memória aleatórios no momento da inicialização. Esse carregamento - de DLLs específicas - ajuda a mitigar o malware projetado para atacar locais de memória específicos. Obter mais informações: Address Space Layout Randomization, posteriormente neste tópico. Política de Grupo configurações: o ASLR está ativado por padrão para aplicativos de 64 bits, mas você pode configurar mais proteções ASLR usando as configurações de Política de Grupo descritas em Opções de Mitigação de Processo de Substituição para ajudar a impor políticas de segurança relacionadas ao aplicativo. |
Windows Defender SmartScreen
O Windows Defender SmartScreen notifica os usuários caso eles cliquem nos sites de malware e phishing relatados, além de ajudar a protegê-los contra downloads não seguros ou a tomar decisões informadas sobre downloads.
Para Windows 10, a Microsoft aprimorou a funcionalidade de proteção smartscreen (agora chamada Windows Defender SmartScreen) integrando suas habilidades de reputação de aplicativo ao próprio sistema operacional, o que permite que Windows Defender SmartScreen marcar a reputação dos arquivos baixados da Internet e avisa os usuários quando eles estão prestes a executar um arquivo baixado de alto risco. Na primeira vez que um usuário executa um aplicativo que se origina da Internet, Windows Defender SmartScreen verifica a reputação do aplicativo usando assinaturas digitais e outros fatores em relação a um serviço que a Microsoft mantém. Se o aplicativo não tiver reputação ou for conhecido por ser mal-intencionado, Windows Defender SmartScreen avisará o usuário ou bloqueará totalmente a execução, dependendo de como o administrador configurou Microsoft Intune ou Política de Grupo configurações.
Para obter mais informações, consulte Microsoft Defender visão geral do SmartScreen.
Microsoft Defender Antivírus
Microsoft Defender Antivírus no Windows 10 usa uma abordagem multifaceta para melhorar o antivírus:
Proteção entregue na nuvem ajuda a detectar e bloquear novo malware em segundos, mesmo que o malware não tenha sido visto antes. O serviço, disponível a partir do Windows 10, versão 1703, usa recursos distribuídos e aprendizado de máquina para fornecer proteção a pontos de extremidade a uma taxa que é muito mais rápido do que atualizações de assinaturas tradicionais.
O Contexto local avançado aprimora a forma como o malware é identificado. Windows 10 informa Microsoft Defender Antivírus não apenas sobre conteúdo como arquivos e processos, mas também de onde o conteúdo veio, de onde foi armazenado e muito mais. As informações sobre a origem e o histórico permitem que Microsoft Defender Antivírus aplique diferentes níveis de escrutínio a diferentes conteúdos.
Sensores globais extensos ajudam a manter Microsoft Defender Antivírus atual e ciente até mesmo do malware mais recente. Esse status atualizado é realizado de duas maneiras: coletando os dados de contexto local avançados dos pontos de extremidade e analisando centralmente esses dados.
A verificação de adulteração ajuda a proteger Microsoft Defender o próprio Antivírus contra ataques de malware. Por exemplo, o Microsoft Defender Antivírus usa Processos Protegidos, o que impede que processos não confiáveis tentem violar componentes do Microsoft Defender Antivírus, suas chaves de registro e assim por diante. (Processos protegidos são descritos posteriormente neste tópico.)
Os recursos de nível empresarial fornecem aos profissionais de TI as ferramentas e as opções de configuração necessárias para tornar Microsoft Defender Antivírus uma solução anti-malware de classe empresarial.
Para obter mais informações, consulte Windows Defender no Windows 10 e Visão geral do Windows Defender para o Windows Server.
Para obter informações sobre Microsoft Defender para Ponto de Extremidade, um serviço que ajuda as empresas a detectar, investigar e responder a ataques avançados e direcionados em suas redes, consulte Microsoft Defender para Ponto de Extremidade (recursos) e Microsoft Defender para Ponto de Extremidade (documentação).
Prevenção de Execução de Dados
O malware depende da sua capacidade de inserir uma carga mal-intencionada na memória para que ela seja executada posteriormente. Não seria ótimo se você pudesse impedir que o malware fosse executado se ele escrevesse em uma área alocada exclusivamente para o armazenamento de informações?
A DEP (Prevenção de Execução de Dados) faz exatamente isso, reduzindo consideravelmente o intervalo de memória que código malicioso pode usar para seu benefício. O DEP usa o bit No eXecute em CPUs modernos para marcar blocos de memória como somente leitura para que esses blocos não possam ser usados para executar código mal-intencionado que pode ser inserido por meio de uma exploração de vulnerabilidade.
Para usar o Gerenciador de tarefas para ver os aplicativos que usam DEP
Abra o Gerenciador de tarefas: pressione Ctrl + Alt + Del e selecione Gerenciador de tarefas, ou pesquise na tela inicial.
Clique em Mais Detalhes (se necessário) e, em seguida, clique na guia Detalhes .
Clique com botão direito do mouse em qualquer título de coluna e, em seguida, clique em Selecionar Colunas.
Na caixa de diálogo Selecionar Colunas , marque a última caixa de seleção Prevenção de Execução de Dados .
Clique em OK.
Agora você pode ver quais processos possuem DEP habilitada.
Figura 2. Processos nos quais a DEP foi habilitada no Windows 10
Você pode usar o Painel de Controle para exibir ou alterar as configurações da DEP.
Para usar o Painel de Controle para exibir ou alterar as configurações da DEP em um computador individual
Abra o Painel de Controle, sistema: clique em Iniciar, digite Sistema de Painel de Controle, e pressione ENTER.
Clique em Configurações avançadas do sistema e clique na guia Avançado.
Na caixa Desempenho, clique em Configurações.
Em Opções de Desempenho, clique na guia Prevenção de Execução de Dados.
Selecione uma opção:
Ativar a DEP somente para programas e serviços essenciais do Windows
Ativar a DEP para todos os programas e serviços, exceto aqueles que eu selecionar. Se você escolher essa opção, use os botões Adicionar e Remover para criar a lista de exceções para as quais o DEP não será ativado.
Para usar Política de Grupo para controlar as configurações da DEP
Você pode usar a configuração Política de Grupo chamada Opções de Mitigação de Processo para controlar as configurações da DEP. Alguns aplicativos têm problemas de compatibilidade com a DEP, então certifique-se de testar o ambiente. Para usar a configuração da Política de Grupo, acesse Substituir opções de mitigação de processo para ajudar a impor políticas de segurança específicas relacionadas ao app.
Manipulador de exceção estruturado que substitui a proteção
O SEHOP (Structured Exception Handling Overwrite Protection) ajuda a impedir que os invasores possam usar código mal-intencionado para explorar o SEH ( Tratamento de Exceção Estruturada ), que é essencial para o sistema e permite que aplicativos (não mal-intencionados) lidem com exceções adequadamente. Como esse mecanismo de proteção é fornecido em tempo de execução, ele ajuda a proteger os aplicativos, independentemente de terem sido compilados com as melhorias mais recentes.
Você pode usar a configuração Política de Grupo chamada Opções de Mitigação de Processo para controlar a configuração do SEHOP. Alguns aplicativos têm problemas de compatibilidade com SEHOP, então certifique-se de testar o ambiente. Para usar a configuração da Política de Grupo, acesse Substituir opções de mitigação de processo para ajudar a impor políticas de segurança específicas relacionadas ao app.
ASLR (Address Space Layout Randomization)
Uma das técnicas mais comuns usadas para obter acesso a um sistema é encontrar uma vulnerabilidade em um processo privilegiado que já está em execução, adivinhar ou encontrar um local na memória onde códigos e dados importantes do sistema foram colocados, e substituir essas informações por uma carga mal intencionada. Qualquer malware que pudesse gravar diretamente na memória do sistema poderia substituí-lo em locais conhecidos e previsíveis.
A ASLR (Randomização de Layout de Espaço de Endereço) torna esse tipo de ataque muito mais difícil porque ela torna aleatório a forma e o local em que os dados são armazenados na memória. Com o ASLR, é mais difícil para o malware encontrar o local específico que ele precisa atacar. A Figura 3 ilustra como a ASLR funciona, mostrando como os locais de diferentes componentes essenciais do Windows podem mudar na memória entre as reinicializações.
Figura 3. ASLR no trabalho
Windows 10 se aplica a ASLR holisticamente em todo o sistema e aumenta o nível de entropia muitas vezes em comparação com versões anteriores do Windows para combater ataques sofisticados como a pulverização de pilha. Processos de sistemas e aplicativos de 64 bits podem tirar proveito de um espaço de memória muito maior, o que torna ainda mais difícil para o malware prever onde o Windows 10 armazena os dados vitais. Quando usada em sistemas que tenham TPMs, a randomização de memória ASLR será cada vez mais exclusiva em todos os dispositivos, o que torna ainda mais difícil que uma exploração bem-sucedida que funciona em um sistema funcione confiavelmente em outro.
Você pode usar a configuração Política de Grupo chamada Opções de Mitigação de Processo para controlar as configurações do ASLR ("Forçar ASLR" e "ASLR de baixo para cima"), conforme descrito em Substituir Opções de Mitigação de Processo para ajudar a impor políticas de segurança relacionadas ao aplicativo.
Mitigações integradas ao Windows 10
O Windows 10 oferece muitas mitigações de ameaças para se proteger contra explorações que estão integradas ao sistema operacional e não precisam de configuração dentro do sistema operacional. A tabela subsequente descreve algumas dessas mitigações.
O CFG (Control Flow Guard) é uma mitigação que não precisa de configuração dentro do sistema operacional, mas exige que um desenvolvedor de aplicativos configure a mitigação no aplicativo quando ele é compilado. O CFG é integrado ao Microsoft Edge, IE11 e outras áreas no Windows 10 e pode ser incorporado a muitos outros aplicativos quando eles são compilados.
Mitigações de Windows 10 da Tabela 3 para proteger contra explorações de memória – nenhuma configuração necessária
| Mitigação e ameaça correspondente | Descrição |
|---|---|
| Proteção do SMB para os compartilhamentos SYSVOL e NETLOGON ajuda a mitigar ataques a intermediários |
As conexões de cliente com os compartilhamentos padrão SYSVOL e NETLOGON dos Serviços de Domínio do Active Directory em controladores de domínio agora exigem a assinatura do protocolo SMB e autenticação mútua (como Kerberos). Obter mais informações: Melhorias em proteção do SMB para os compartilhamentos SYSVOL e NETLOGON, posteriormente neste tópico. |
| Processos protegidos ajudam a impedir que um processo adultere outro processo |
Com o recurso Processos Protegidos, Windows 10 impede que processos não confiáveis interajam ou alterem os processos que foram assinados especialmente. Obter mais informações: Processos Protegidos, posteriormente neste tópico. |
| Proteções de aplicativos universais do Windows aplicativos baixáveis e executáveis na área restrita de AppContainer |
Aplicativos universais do Windows são analisados cuidadosamente antes de serem disponibilizados, além de serem executados em uma área restrita de AppContainer com privilégios e recursos limitados. Obter mais informações: Proteções de aplicativos universais do Windows, posteriormente neste tópico. |
| Proteções de heap ajudam a evitar exploração de heap |
Windows 10 inclui proteções para o heap, como o uso de estruturas de dados internas que ajudam a proteger contra a corrupção da memória usada pelo heap. Obter mais informações: Proteções de heap do Windows, posteriormente neste tópico. |
| Proteções de pool de kernel ajudam a evitar a exploração de memória de pool usada pelo kernel |
O Windows 10 inclui proteções para a memória de pool usada pelo kernel. Por exemplo, desvincular seguro protege contra saturações de pool que são combinados com operações desvinculadas que podem ser usadas para criar um ataque. Obter mais informações: Proteções de pool de Kernel, posteriormente neste tópico. |
| Proteção de Fluxo de Controle ajuda a mitigar explorações com base em em fluxo entre locais de código na memória |
O CFG (Control Flow Guard) é uma mitigação que não requer nenhuma configuração dentro do sistema operacional, mas, em vez disso, é incorporada ao software quando ele é compilado. Ele é integrado ao Microsoft Edge, IE11 e outras áreas no Windows 10. A CFG pode ser integrada a aplicativos escritos em C ou C++ ou aplicativos compilados usando o Visual Studio 2015. Para esse aplicativo, o CFG pode detectar a tentativa de um invasor de alterar o fluxo de código pretendido. Se essa tentativa ocorrer, o CFG encerrará o aplicativo. Você pode solicitar que fornecedores de software entreguem aplicativos do Windows compilados à CFG habilitada. Obter mais informações: Proteção de Fluxo de Controle, posteriormente neste tópico. |
| Proteções integradas ao Microsoft Edge (o navegador) ajudam a mitigar diversas ameaças |
O Windows 10 inclui um navegador totalmente novo, Microsoft Edge, projetado com várias melhorias de segurança. Obter mais informações: Microsoft Edge e Internet Explorer 11, posteriormente neste tópico. |
Melhorias em proteção do SMB para os compartilhamentos SYSVOL e NETLOGON
No Windows 10 e no Windows Server 2016, as conexões de cliente com os compartilhamentos padrão SYSVOL e NETLOGON dos Serviços de Domínio do Active Directory em controladores de domínio exigem a assinatura do protocolo do bloco de mensagens de servidor (SMB) e autenticação mútua (como Kerberos). Esse requisito reduz a probabilidade de ataques de homem no meio. Se a assinatura SMB e a autenticação mútua não estiverem disponíveis, um computador que executa Windows 10 ou Windows Server 2016 não processará Política de Grupo e scripts baseados em domínio.
Observação
Os valores do Registro para essas configurações não estão presentes por padrão, mas as regras de proteção ainda se aplicam até serem substituídas pela Política de Grupo ou outros valores do Registro. Para obter mais informações sobre essas melhorias de segurança, (também conhecidas como proteção UNC), consulte o artigo da Base de Conhecimento Microsoft 3000483 e MS15-011 e MS15-014: política de grupo de proteção.
Processos protegidos
A maioria dos controles de segurança são projetados para impedir o ponto inicial de infecção. No entanto, apesar de todos os melhores controles de prevenção, o malware pode eventualmente encontrar uma maneira de infectar o sistema. Assim, algumas proteções são criadas para estabelecer limites ao malware que atinge o dispositivo. Processos protegidos criam limites desse tipo.
Com processos protegidos, Windows 10 impede que processos não confiáveis interajam ou alterem os processos que foram assinados especialmente. Os Processos Protegidos definem os níveis de confiança dos processos. Processos menos confiáveis são impedidos de interagir e, portanto, atacar processos mais confiáveis. Windows 10 usa processos protegidos de forma mais ampla em todo o sistema operacional e, como em Windows 8.1, os implementa de uma maneira que pode ser usada por fornecedores anti-malware de terceiros, conforme descrito em Proteção dos Serviços Anti-Malware. Essa facilidade de uso ajuda a tornar o sistema e as soluções anti-malware menos suscetíveis à adulteração por malware que consegue entrar no sistema.
Proteções de aplicativos universais do Windows
Quando os usuários baixam aplicativos Universais do Windows da Microsoft Store, é improvável que eles encontrem malware porque todos os aplicativos passam por um processo de triagem cuidadoso antes de serem disponibilizados na loja. Os aplicativos que as organizações compilam e distribuem por meio de processos de sideload precisam ser analisados internamente para garantir que atendam aos requisitos de segurança da organização.
Independentemente de como os usuários adquirirem os aplicativos Universais do Windows, eles podem usá-los com mais confiança. Os aplicativos universais do Windows são executados em uma área restrita de AppContainer com privilégios e recursos limitados. Por exemplo, os aplicativos Universais do Windows não têm acesso no nível do sistema, têm interações estritamente controladas com outros aplicativos, e não têm acesso aos dados, a menos que o usuário conceda explicitamente a permissão ao aplicativo.
Além disso, todos os aplicativos Universais do Windows seguem o princípio de segurança de privilégios mínimos. Os aplicativos recebem somente os privilégios mínimos de que precisam para realizar suas tarefas legítimas, portanto, mesmo que um invasor explore um aplicativo, os danos que a exploração pode causar são muito limitados e devem estar contidos em uma área restrita. A Microsoft Store exibe os recursos exatos que o aplicativo requer (por exemplo, acesso à câmera), juntamente com a classificação etária e o editor do aplicativo.
Proteções de heap do Windows
A pilha é um local na memória que o Windows usa para armazenar dados dinâmicos do aplicativo. O Windows 10 continua a aprimorar os designs de pilha em versões anteriores do Windows, reduzindo mais o risco de explorações de pilha que poderiam ser usadas como parte de um ataque.
O Windows 10 tem diversas melhorias importantes para a segurança do heap:
Proteção de metadados de heap para estruturas internas de dados que o heap usa, para melhorar proteções contra corrupção de memória.
Randomização de alocação de heap, ou seja, o uso de locais e tamanhos aleatórios para alocações de memória de heap, tornando mais difícil para um invasor prever o local da memória crítica para substituir. Especificamente, o Windows 10 adiciona um deslocamento aleatório ao endereço de uma pilha recém-alocada, o que torna a alocação muito menos previsível.
Páginas de proteção de heap antes e depois de blocos de memória, que funcionam como fios de viagem. Se um invasor tentar gravar após um bloco de memória (uma técnica comum conhecida como estouro de buffer), ele terá que substituir uma página de proteção. Qualquer tentativa de modificar uma página de proteção é considerada ums corrupção da memória, e o Windows 10 responde instantaneamente encerrando o aplicativo.
Proteções de pool de kernel
O kernel do sistema operacional no Windows deixa de lado dois pools de memória, um que permanece na memória física ("pool nãopagado") e um que pode ser paged dentro e fora da memória física ("pool de páginas"). Há muitas mitigações que foram adicionadas ao longo do tempo, como codificação de ponteiro de cota de processo; lookaside, delay free e cookies de página de pool; e verificações de limites do PoolIndex. Windows 10 adiciona várias proteções de "endurecimento de pool", como verificações de integridade, que ajudam a proteger o pool de kernel contra ataques mais avançados.
Além de proteção do pool, o Windows 10 inclui outros recursos de proteção do kernel:
DEP de Kernel e ASLR de Kernel: siga os mesmos princípios da Prevenção de Execução de Dados e do Address Space Layout Randomization, descritos anteriormente neste tópico.
A Análise de fonte no AppContainer: isola a análise de fonte em uma área restrita de AppContainer.
Desabilitação do NT Virtual DOS Machine (NTVDM): O módulo de kernel NTVDM antigo (para executar aplicativos de 16 bits) está desabilitado por padrão, o que neutraliza as vulnerabilidades associadas. (Habilitação de NTVDM diminui a proteção contra desreferência Null e outras explorações).
SMEP (Prevenção de Execução de Modo supervisor): ajuda a impedir que o kernel (o "supervisor") execute o código em páginas de usuário, uma técnica comum usada pelos invasores para a elevação do privilégio (EOP) do kernel local. Essa configuração requer o suporte ao processador encontrado no Intel Ivy Bridge ou em processadores posteriores ou ARM com suporte a PXN.
Desvincular seguro: ajuda a proteger contra saturações de pool combinadas com operações desvinculadas para criar um ataque. Windows 10 inclui a desvinculação segura global, que estende a desvinculação segura do heap e do pool de kernel a todo o uso de LIST_ENTRY e inclui o mecanismo "FastFail" para habilitar o término rápido e seguro do processo.
Reservas de memória: Os 64 KB mais baixos da memória de processo são reservados para o sistema. Os aplicativos não têm permissão para alocar essa parte da memória. Essa alocação para o sistema torna mais difícil para o malware usar técnicas como "desreferência NULL" para substituir estruturas críticas de dados do sistema na memória.
Proteção de fluxo de controle
Quando os aplicativos são carregados na memória, eles são alocados espaço com base no tamanho do código, na memória solicitada e em outros fatores. Quando um aplicativo começa a executar código, ele chama o outro código localizado em outros endereços de memória. As relações entre os locais de código são bem conhecidas, elas são escritas no próprio código, mas, antes de Windows 10, o fluxo entre esses locais não foi imposto, o que deu aos invasores a oportunidade de alterar o fluxo para atender às suas necessidades.
Esse tipo de ameaça é reduzido no Windows 10 por meio do recurso CFG (Proteção de Fluxo de Controle). Quando um aplicativo confiável que foi compilado para usar CFG chama o código, o CFG verifica se o local do código chamado é confiável para execução. Se o local não for confiável, o aplicativo será encerrado imediatamente como um risco potencial de segurança.
Um administrador não pode configurar o CFG; em vez disso, um desenvolvedor de aplicativos pode aproveitar o CFG configurando-o quando o aplicativo é compilado. Pense em pedir aos desenvolvedores de aplicativos e aos fornecedores de software que forneçam aplicativos Windows confiáveis compilados ao CFG habilitado. Por exemplo, ele pode ser habilitado para aplicativos escritos em C ou C++ ou aplicativos compilados usando o Visual Studio 2015. Para obter informações sobre como habilitar o CFG para um projeto do Visual Studio 2015, consulte Proteção de Fluxo de Controle.
Os navegadores são um ponto de entrada fundamental para ataques, portanto, o Microsoft Edge, o IE e outros recursos do Windows aproveitam ao máximo o CFG.
Microsoft Edge e Internet Explorer 11
A segurança do navegador é um componente crítico de qualquer estratégia de segurança e por um bom motivo: o navegador é a interface do usuário para a Internet, um ambiente com muitos sites mal-intencionados e conteúdo esperando para atacar. A maioria dos usuários não pode executar pelo menos parte de seu trabalho sem um navegador, e muitos usuários dependem de um. Essa realidade tornou o navegador o caminho comum do qual os hackers mal intencionados iniciam seus ataques.
Todos os navegadores permitem uma quantidade de extensibilidade para fazer coisas além do escopo original do navegador. Dois exemplos comuns são extensões Flash e Java que permitem que seus respectivos aplicativos sejam executados dentro de um navegador. A segurança de Windows 10 para fins de navegação na Web e aplicativos, especialmente para esses dois tipos de conteúdo, é uma prioridade.
O Windows 10 incluiu um navegador totalmente novo, Microsoft Edge. O Microsoft Edge é mais seguro de várias maneiras, especialmente:
Superfície de ataque menor; Não há suporte para extensões de binários não Microsoft. Vários componentes do navegador com superfícies de ataque vulnerável foram removidos do Microsoft Edge. Componentes que foram removidos incluem modos de documento herdados e mecanismos de script, BHOs (Objetos Auxiliares de Navegador), controles ActiveX e Java. No entanto, o Microsoft Edge dá suporte a conteúdo em Flash e à visualização de PDF por padrão através de extensões internas.
Executa processos de 64 bits. Um computador de 64 bits executando uma versão mais antiga do Windows geralmente é executado no modo de compatibilidade de 32 bits para dar suporte a extensões mais antigas e menos seguras. Quando o Microsoft Edge é executado em um computador de 64 bits, ele executa processos de 64 bits somente, os quais são muito mais seguros contra explorações.
Inclui a MemGC (Coleta de Lixo de Memória). Esse recurso ajuda a proteger contra problemas de UAF (uso após livre).
Projetado como um aplicativo Universal do Windows. O Microsoft Edge é inerentemente compartimentalizado e é executado em um AppContainer que protege o navegador do sistema, dados e outros aplicativos. O IE11 no Windows 10 também pode tirar proveito da mesma tecnologia AppContainer por meio do Modo de Proteção Avançado. No entanto, como o IE11 pode executar ActiveX e BHOs, o navegador e a área restrita ficam suscetíveis a uma variedade muito maior de ataques do que o Microsoft Edge.
Simplifica tarefas de configuração de segurança Como o Microsoft Edge usa uma estrutura de aplicativo simplificada e uma configuração de área restrita única, há menos configurações de segurança necessárias. Além disso, as configurações padrão do Microsoft Edge se alinham com as práticas recomendadas de segurança, tornando-a mais segura por padrão.
Além do Microsoft Edge, a Microsoft inclui o IE11 em Windows 10, principalmente para compatibilidade com sites e com extensões binárias que não funcionam com o Microsoft Edge. Você não pode configurá-lo como o navegador primário, mas sim como uma alternância opcional ou automática. Nós recomendamos o uso do Microsoft Edge como navegador da web principal porque ele fornece compatibilidade com a Web moderna e a melhor segurança possível.
Para sites que exigem compatibilidade IE11, incluindo os sites que exigem extensões binárias e plug-ins, habilite o modo Enterprise e use a Lista de Sites do Modo Empresarial para definir quais sites têm a dependência. Com essa configuração, quando o Microsoft Edge identifica um site que requer o IE11, os usuários serão automaticamente transferidos para o IE11.
Funções que fornecedores de software podem usar para criar mitigações em aplicativos
Algumas das proteções disponíveis no Windows 10 são fornecidas por meio das funções que podem ser chamadas de aplicativos ou outro software. Esse software é menos provável que forneça abertura para explorações. Se você estiver trabalhando com um fornecedor de software, poderá solicitar que eles incluam essas funções orientadas à segurança no aplicativo. A tabela a seguir lista alguns tipos de mitigações e as funções correspondentes voltadas à segurança, as quais podem ser usadas em aplicativos.
Observação
CFG (Proteção de Fluxo de Controle) também é uma mitigação importante que um desenvolvedor pode incluir no software quando compilado. Para obter mais informações, consulte Proteção de Fluxo de Controle, anteriormente neste tópico.
Tabela 4 Funções disponíveis para desenvolvedores para criar mitigações em aplicativos
| Atenuação | Função |
|---|---|
| Restrição de código dinâmico MemProt | Função UpdateProcThreadAttribute [PROCESS_CREATION_MITIGATION_POLICY_PROHIBIT_DYNAMIC_CODE_ALWAYS_ON] |
| Restrições de carregamento de imagem LoadLib | Função UpdateProcThreadAttribute [PROCESS_CREATION_MITIGATION_POLICY_IMAGE_LOAD_NO_REMOTE_ALWAYS_ON] |
| Restrição de processo filho para restringir a capacidade de criar processos filho | Função UpdateProcThreadAttribute [PROC_THREAD_ATTRIBUTE_CHILD_PROCESS_POLICY] |
| Restrição de Integridade do Código para restringir o carregamento de imagem | Função SetProcessMitigationPolicy [ProcessSignaturePolicy] |
| Win32k System Call Disable Restriction para restringir a capacidade de usar NTUser e GDI | Função SetProcessMitigationPolicy [ProcessSystemCallDisablePolicy] |
| ASLR de alta entropia para até 1 TB de variação nas alocações de memória | Função UpdateProcThreadAttribute [PROCESS_CREATION_MITIGATION_POLICY_HIGH_ENTROPY_ASLR_ALWAYS_ON] |
| Verificações de identificador estrito para gerar uma exceção imediata após a referência de identificador incorreto | Função UpdateProcThreadAttribute [PROCESS_CREATION_MITIGATION_POLICY_STRICT_HANDLE_CHECKS_ALWAYS_ON] |
| Desabilitar o ponto de extensão para bloquear o uso de determinados pontos de extensão de terceiros | Função UpdateProcThreadAttribute [PROCESS_CREATION_MITIGATION_POLICY_EXTENSION_POINT_DISABLE_ALWAYS_ON] |
| Encerrar heap em corrupção para proteger o sistema contra um heap corrompido | Função UpdateProcThreadAttribute [PROCESS_CREATION_MITIGATION_POLICY_HEAP_TERMINATE_ALWAYS_ON] |
Entendendo o Windows 10 com relação ao Enhanced Mitigation Experience Toolkit
Você já pode estar familiarizado com o EMET (Enhanced Mitigation Experience Toolkit), que desde 2009 oferece várias mitigações de exploração e uma interface para configurar essas mitigações. Você pode usar esta seção para entender como as mitigações emET se relacionam com essas mitigações no Windows 10. Muitas das mitigações da EMET foram incorporadas a Windows 10, algumas com melhorias extras. No entanto, algumas mitigações emET têm um custo de alto desempenho ou parecem ser relativamente ineficazes contra ameaças modernas e, portanto, não foram trazidas para Windows 10.
Como muitos dos mecanismos de segurança e mitigação da EMET já existem em Windows 10 e foram aprimorados, particularmente os avaliados como com alta eficácia na mitigação de bypasss conhecidos, a versão 5.5x foi anunciada como a versão principal final do EMET (consulte Kit de Ferramentas de Experiência de Mitigação Aprimorada).
A tabela a seguir lista os recursos EMET com relação aos recursos do Windows 10.
Recursos EMET da Tabela 5 em relação aos recursos de Windows 10
| Recursos EMET específicos | Como esses recursos EMET são mapeados para Windows 10 recursos |
|---|---|
| DEP, SEHOP e ASLR são incluídos no Windows 10 como recursos configuráveis. Consulte Tabela 2, anterior neste tópico. Você pode instalar o módulo Do PowerShell processMitigations para converter suas configurações emET para esses recursos em políticas que podem ser aplicadas a Windows 10. | |
| LoadLib e MemProt são compatíveis ao Windows 10, para todos os aplicativos que são escritos para usar essas funções. Consulte a Tabela 4, anteriormente neste tópico. | |
| Página null | As mitigações para essa ameaça são incorporadas a Windows 10, conforme descrito no item "Reservas de memória" nas proteções de pool do Kernel, anteriormente neste tópico. |
| Windows 10 não inclui mitigações que mapeiam especificamente para esses recursos EMET porque têm baixo impacto no cenário atual de ameaças e não aumentam significativamente a dificuldade de explorar vulnerabilidades. A Microsoft permanece comprometida em monitorar o ambiente de segurança, conforme novas explorações aparecem, e a tomar medidas para proteger o sistema operacional com relação a essas explorações. | |
| Atenuados no Windows 10 com aplicativos compilados à Proteção de Fluxo de Controle, conforme descrito em Proteção de Fluxo de Controle, anteriormente neste tópico. |
Converter um arquivo de configurações de EMET XML em políticas de mitigação do Windows 10
Um dos pontos fortes do EMET é que ele permite importar e exportar configurações para mitigações emET como um arquivo de configurações XML para implantação direta. Para gerar as políticas de mitigação para Windows 10 a partir de um arquivo de configurações de EMET XML, você pode instalar o módulo ProcessMitigations PowerShell. Em uma sessão do PowerShell com privilégios elevados, execute este cmdlet:
Install-Module -Name ProcessMitigations
O cmdlet Get-ProcessMitigation obtém as configurações atuais de mitigação a partir do registro ou de um processo em execução, ou ele pode salvar todas as configurações para um arquivo XML.
Para obter as configurações atuais em todas as instâncias em execução do notepad.exe:
Get-ProcessMitigation -Name notepad.exe -RunningProcess
Para obter as configurações atuais no registro para notepad.exe:
Get-ProcessMitigation -Name notepad.exe
Para obter as configurações atuais para o processo de execução com pid 1304:
Get-ProcessMitigation -Id 1304
Para obter todas as configurações da mitigação de processo do registro e salvá-las no arquivo xml settings.xml:
Get-ProcessMitigation -RegistryConfigFilePath settings.xml
O cmdlet Set-ProcessMitigation pode habilitar e desabilitar processos de mitigação ou defini-los em massa a partir de um arquivo XML.
Para obter a mitigação de processo atual para "notepad.exe" do registro e, em seguida, habilitar MicrosoftSignedOnly e desabilitar MandatoryASLR:
Set-ProcessMitigation -Name Notepad.exe -Enable MicrosoftSignedOnly -Disable MandatoryASLR
Para definir as mitigações de processo de um arquivo XML (que pode ser gerado a partir de get-ProcessMitigation -RegistryConfigFilePath settings.xml):
Set-ProcessMitigation -PolicyFilePath settings.xml
Para definir o padrão do sistema como MicrosoftSignedOnly:
Set-ProcessMitigation -System -Enable MicrosoftSignedOnly
O cmdlet ConvertTo-ProcessMitigationPolicy converte formatos de arquivo de política de mitigação. A sintaxe é:
ConvertTo-ProcessMitigationPolicy -EMETFilePath <String> -OutputFilePath <String> [<CommonParameters>]
Exemplos:
Converter configurações EMET em configurações do Windows 10: você pode executar ConvertTo-ProcessMitigationPolicy e fornecer um arquivo de configurações de EMET XML como entrada, o que irá gerar um arquivo de resultados das configurações de mitigação do Windows 10. Por exemplo:
ConvertTo-ProcessMitigationPolicy -EMETFilePath policy.xml -OutputFilePath result.xmlAudite e modifique as configurações convertidas (o arquivo de saída): mais cmdlets permitem aplicar, enumerar, habilitar, desabilitar e salvar configurações no arquivo de saída. Por exemplo, este cmdlet habilita SEHOP e desabilita as configurações do registro MandatoryASLR e DEPATL para o bloco de notas:
Set-ProcessMitigation -Name notepad.exe -Enable SEHOP -Disable MandatoryASLR,DEPATLConverter configurações de ASR (redução de superfície de ataque) em um arquivo de política de integridade de código: se o arquivo de entrada contiver quaisquer configurações para a mitigação de ASR (redução de superfície de ataque) da EMET, o conversor também criará um arquivo de política de Integridade de Código. Nesse caso, você pode concluir o processo de mesclagem, auditoria e implantação da política de Integridade do Código. Para obter mais informações, consulte Implantando políticas de WDAC (Controle de Aplicativo Windows Defender). Essa conclusão permitirá proteções em Windows 10 equivalentes às proteções ASR da EMET.
Converter configurações de Confiança de Certificado em regras de fixação de certificado empresarial: se você tiver um arquivo XML "Certificado Confiável" em EMET (arquivo de regras de fixação), também poderá usar ConvertTo-ProcessMitigationPolicy para converter o arquivo de regras de fixação em um arquivo de regras de fixação de certificado empresarial. Em seguida, você pode concluir a habilitação desse arquivo, conforme descrito em Anexação de Certificado Empresarial. Por exemplo:
ConvertTo-ProcessMitigationPolicy -EMETfilePath certtrustrules.xml -OutputFilePath enterprisecertpinningrules.xml
Produtos relacionados ao EMET
MCS (Serviços de consultoria Microsoft) e Suporte da Microsoft/Premier Field Engineering (PFE) oferecem uma variedade de opções para o EMET, suporte para EMET e relatórios relacionados ao EMET e auditoria de produtos, como o Serviço de Relatório Empresarial (ERS) do EMET. Para todos os clientes corporativos que usam esses produtos hoje ou que estão interessados em recursos semelhantes, recomendamos avaliar Microsoft Defender para Ponto de Extremidade.
Tópicos relacionados
- Segurança e garantia no Windows Server 2016
- Microsoft Defender para Ponto de Extremidade – recursos
- Microsoft Microsoft Defender para Ponto de Extremidade - documentação
- Descrição do Serviço de Proteção Avançada Contra ameaças do Exchange Online
- Microsoft Defender para Office 365
- Centro de Proteção contra Malware da Microsoft
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de