Ativar a proteção contra exploits
Aplica-se a:
- API do Microsoft Defender para Endpoint 1
- Microsoft Defender para Endpoint Plano 2
- Microsoft Defender XDR
Quer experimentar o Microsoft Defender para Ponto Final? Inscrever-se para uma avaliação gratuita.
A Proteção contra exploit ajuda a proteger os dispositivos contra software malicioso que utiliza exploits para propagar e infetar outros dispositivos. A mitigação pode ser aplicada ao sistema operativo ou a uma aplicação individual. Muitas das funcionalidades que fazem parte do Enhanced Mitigation Experience Toolkit (EMET) estão incluídas na proteção de exploração. (O EMET atingiu o fim do suporte.)
Na auditoria, pode ver como funciona a mitigação para determinadas aplicações num ambiente de teste. Isto mostra o que teria acontecido se ativasse a proteção contra exploits no seu ambiente de produção. Desta forma, pode verificar se a proteção contra exploits não afeta negativamente as suas aplicações de linha de negócio e ver que eventos suspeitos ou maliciosos ocorrem.
Ativar a proteção contra exploits para testes
Pode definir mitigações num modo de teste para programas específicos utilizando a aplicação Segurança do Windows ou o Windows PowerShell.
Aplicação Segurança do Windows
Abrir a aplicação Segurança do Windows. Selecione o ícone de escudo na barra de tarefas ou procure a Segurança do Windowsno menu Iniciar.
Selecione o mosaico Controlo de aplicações e browsers (ou o ícone da aplicação na barra de menus à esquerda) e, em seguida, Exploit Protection.
Vá para Definições do Programa e escolha a aplicação à qual pretende aplicar proteção:
- Se a aplicação que pretende configurar já estiver listada, selecione-a e, em seguida, Editar
- Se a aplicação não estiver listada na parte superior da lista, selecione Adicionar programa para personalizar. Em seguida, escolha como pretende adicionar a aplicação.
- Utilize Adicionar por nome de programa para que a mitigação seja aplicada a qualquer processo em execução com esse nome. Especifique um ficheiro com uma extensão. Pode introduzir um caminho completo para limitar a mitigação apenas à aplicação com esse nome nessa localização.
- Utilize Selecionar o caminho de ficheiro exato para utilizar uma janela padrão do seletor de ficheiros do Explorador do Windows para encontrar e selecionar o ficheiro que pretende.
Depois de selecionar a aplicação, verá uma lista de todas as mitigações que podem ser aplicadas. Selecionar Auditoria aplicará a mitigação apenas no modo de teste. Será notificado se precisar de reiniciar o processo, a aplicação ou o Windows.
Repita este procedimento para todas as aplicações e mitigações que pretende configurar. Selecione Aplicar quando terminar de configurar a sua configuração.
PowerShell
Para definir mitigações ao nível da aplicação para o modo de teste, utilize Set-ProcessMitigation com o cmdlet Modo de auditoria .
Configure cada mitigação no seguinte formato:
Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>
Localização:
- <Âmbito>:
-Namepara indicar que as mitigações devem ser aplicadas a uma aplicação específica. Especifique o executável da aplicação após este sinalizador.
- <Ação>:
-Enablepara ativar a mitigação-Disablepara desativar a mitigação
- <Mitigação>:
- O cmdlet da mitigação, conforme definido na tabela seguinte. Cada mitigação é separada por uma vírgula.
| Mitigação | Cmdlet do modo de teste |
|---|---|
| Proteção de Código Arbitrário (ACG) | AuditDynamicCode |
| Bloquear imagens de integridade baixa | AuditImageLoad |
| Bloquear tipos de letra não fidedignos | AuditFont, FontAuditOnly |
| Proteção de integridade do código | AuditMicrosoftSigned, AuditStoreSigned |
| Desativar chamadas do sistema Win32k | AuditSystemCall |
| Não permitir processos subordinados | AuditChildProcess |
Por exemplo, para ativar o Arbitrary Code Guard (ACG) no modo de teste para uma aplicação com o nome testing.exe, execute o seguinte comando:
Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable AuditDynamicCode
Pode desativar o modo de auditoria ao substituir -Enable por -Disable.
Rever eventos de auditoria da Proteção contra exploits
Para rever as aplicações que teriam sido bloqueadas, abra o Visualizador de Eventos e filtre pelos seguintes eventos no log de Mitigações de Segurança.
| Funcionalidade | Fornecedor/origem | ID do Evento | Descrição |
|---|---|---|---|
| Proteção contra exploits | Mitigações de Segurança (Modo Kernel/Modo de Utilizador) | 1 | Auditoria ACG |
| Proteção contra exploits | Mitigações de Segurança (Modo Kernel/Modo de Utilizador) | 3 | Não permitir auditoria de processos subordinados |
| Proteção contra exploits | Mitigações de Segurança (Modo Kernel/Modo de Utilizador) | 5 | Bloquear auditoria de imagens de integridade baixa |
| Proteção contra exploits | Mitigações de Segurança (Modo Kernel/Modo de Utilizador) | 7 | Bloquear auditoria de imagens remotas |
| Proteção contra exploits | Mitigações de Segurança (Modo Kernel/Modo de Utilizador) | 9 | Desativar auditoria de chamadas do sistema win32k |
| Proteção contra exploits | Mitigações de Segurança (Modo Kernel/Modo de Utilizador) | 11 | Auditoria de proteção de integridade do código |
Consulte também
- Ativar a proteção contra exploits
- Configurar e auditar mitigações do Exploit Protection
- Importar, exportar e implementar configurações de proteção contra exploits
- Resolver problemas de Proteção contra exploits
Sugestão
Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários