Proteger dispositivos contra abusos
Aplica-se a:
- Plano 1 do Microsoft Defender para Ponto de Extremidade
- Plano 2 do Microsoft Defender para Ponto de Extremidade
- Microsoft Defender XDR
O Exploit Protection aplica automaticamente muitas técnicas de mitigação de exploração a aplicativos e processos do sistema operacional. O Exploit Protection tem suporte a partir do Windows 10, versão 1709, Windows 11 e Windows Server, versão 1803.
A proteção contra abusos funciona melhor com o Defender para Ponto de extremidade, que fornece relatórios detalhados sobre eventos e bloqueios de proteção contra abusos como parte dos usuais cenários de investigação de alerta.
Você pode ativar a proteção contra abusos em um dispositivo individual e, em seguida, usar a Política de Grupo para distribuir o arquivo XML para vários dispositivos de uma vez.
Quando uma mitigação é encontrada no dispositivo, uma notificação é exibida na Central de Ações. Você pode personalizar a notificação com os detalhes da sua empresa e informações de contato. Você também pode ativar as regras individualmente para personalizar quais técnicas o recurso monitora.
Você também pode usar o modo de auditoria para avaliar como o Exploit Protection afetaria sua organização se fosse ativado.
Muitos dos recursos do Kit de Ferramentas de Redução Aprimorada (EMET) estão incluídos na proteção contra abusos. Na verdade, você pode converter e importar seus perfis de configurações existentes do EMET na proteção contra abusos. Para saber mais, consulte Importar, exportar e implantar configurações de proteção contra abusos.
Importante
Se você estiver usando o EMET no momento, deve estar ciente de que o EMET chegou ao fim do suporte em 31 de julho de 2018. Considere a substituição do EMET com proteção contra abusos no Windows 10.
Aviso
Algumas tecnologias de atenuação de segurança podem ter problemas de compatibilidade com alguns aplicativos. Você deve testar a proteção contra abusos em todos os cenários de uso de destino usando o modo de auditoria antes de implantar a configuração em um ambiente de produção ou no resto da sua rede.
Examinar eventos de proteção de exploração no portal do Microsoft Defender
O Defender para Ponto de extremidade fornece relatórios detalhados sobre eventos e bloqueios como parte dos seus cenários de investigação de alerta.
Você pode consultar o Defender para dados de ponto de extremidade usando a Busca avançada. Se estiver usando o modo de auditoria, você pode usar a busca avançada para ver como as configurações de proteção contra abusos podem afetar seu ambiente.
Veja um exemplo de consulta:
DeviceEvents
| where ActionType startswith 'ExploitGuard' and ActionType !contains 'NetworkProtection'
Examinar eventos de proteção contra abusos no Visualizador de Eventos do Windows
Você pode revisar o log de eventos do Windows para ver os eventos que são criados quando a proteção contra abusos bloqueia (ou audita) um aplicativo:
| Provedor/origem | ID do Evento | Descrição |
|---|---|---|
| Atenuações de Segurança | 1 | Auditoria do ACG |
| Atenuações de Segurança | 2 | Imposição do ACG |
| Atenuações de Segurança | 3 | Não permitir auditoria de processos filho |
| Atenuações de Segurança | 4 | Não permitir bloqueio de processos filho |
| Atenuações de Segurança | 5 | Bloquear a auditoria de imagens de baixa integridade |
| Atenuações de Segurança | 6 | Bloquear o bloco de imagens de baixa integridade |
| Atenuações de Segurança | 7 | Bloquear a auditoria de imagens remotas |
| Atenuações de Segurança | 8 | Bloquear o bloco de imagens remotas |
| Atenuações de Segurança | 9 | Desativar as chamadas do sistema win32k |
| Atenuações de Segurança | 10 | Desativar o bloco de chamadas do sistema win32k |
| Atenuações de Segurança | 11 | Auditoria de proteção da integridade do código |
| Atenuações de Segurança | 12 | Bloquear a proteção da integridade do código |
| Atenuações de Segurança | 13 | Auditoria da EAF |
| Atenuações de Segurança | 14 | Imposição da EAF |
| Atenuações de Segurança | 15 | Auditoria + EAF |
| Atenuações de Segurança | 16 | Imposição + EAF |
| Atenuações de Segurança | 17 | Auditoria da IAF |
| Atenuações de Segurança | 18 | Imposição da IAF |
| Atenuações de Segurança | 19 | Auditoria do ROP StackPivot |
| Atenuações de Segurança | 20 | Imposição do ROP StackPivot |
| Atenuações de Segurança | 21 | Auditoria do ROP CallerCheck |
| Atenuações de Segurança | 22 | Imposição do ROP CallerCheck |
| Atenuações de Segurança | 23 | Auditoria do ROP SimExec |
| Atenuações de Segurança | 24 | Imposição do SimExec ROP |
| Diagnóstico do WER | 5 | Bloco CFG |
| Win32K | 260 | Fonte Não Confiável |
Comparação de atenuação
As mitigações disponíveis no EMET estão incluídas nativamente no Windows 10 (a partir da versão 1709), Windows 11 e Windows Server (a partir da versão 1803), sob o Exploit Protection.
A tabela nesta seção indica a disponibilidade e o suporte de atenuações nativas entre o EMET e a proteção contra abusos.
| Atenuação | Disponível sob proteção contra abusos | Disponível em EMET |
|---|---|---|
| Proteção de código arbitrário (ACG) | Sim | Sim Como "Verificação de Proteção de Memória" |
| Bloquear imagens remotas | Sim | Sim Como "Verificar a Biblioteca de Carregamento" |
| Bloquear fontes não confiáveis | Sim | Sim |
| Prevenção de Execução de Dados (DEP) | Sim | Sim |
| Filtragem de endereços de exportação (EAF) | Sim | Sim |
| Forçar a aleatorização para imagens (ASLR obrigatória) | Sim | Sim |
| Mitigação de Segurança NullPage | Sim Incluído nativamente no Windows 10 e no Windows 11 Para obter mais informações, consulte Mitigar ameaças usando Windows 10 recursos de segurança |
Sim |
| Tornar aleatória as alocações de memória (ASLR de baixo para cima) | Sim | Sim |
| Simular a execução (SimExec) | Sim | Sim |
| Validar a invocação da API (CallerCheck) | Sim | Sim |
| Validar as correntes de exceção (SEHOP) | Sim | Sim |
| Validar a integridade da pilha (StackPivot) | Sim | Sim |
| Certificado de confiança (fixação do certificado configurável) | Windows 10 e o Windows 11 fornecem a anexação de certificados corporativos | Sim |
| Alocação de irrigação de pilha | Ineficaz contra abusos baseados no navegador mais recente; atenuações mais recentes fornecem melhor proteção Para obter mais informações, consulte Mitigar ameaças usando Windows 10 recursos de segurança |
Sim |
| Bloquear imagens de baixa integridade | Sim | Não |
| Proteção da integridade do código | Sim | Não |
| Desabilitar os pontos de extensão | Sim | Não |
| Desabilitar chamadas do sistema Win32k | Sim | Não |
| Não permitir processos filho | Sim | Não |
| Filtragem de endereços de importação (IAF) | Sim | Não |
| Validar o uso do identificador | Sim | Não |
| Validar integridade da pilha | Sim | Não |
| Validar a integridade da dependência da imagem | Sim | Não |
Observação
As mitigações ROP Avançadas que estão disponíveis no EMET são substituídas pelo ACG no Windows 10 e no Windows 11, cujas outras configurações avançadas de EMET são ativadas por padrão, como parte da ativação das mitigações anti-ROP para um processo. Para obter mais informações sobre como Windows 10 emprega a tecnologia EMET existente, consulte as ameaças de mitigação usando Windows 10 recursos de segurança.
Confira também
- Configurar e auditar as mitigações de proteção contra abusos
- Solução de problemas de proteção contra abusos
- Otimizar a implantação e detecção da regra ASR
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de