Proteger dispositivos contra exploits
Aplica-se a:
A exploit protection aplica automaticamente muitas técnicas de mitigação de exploração aos processos e aplicações do sistema operativo. A proteção de exploração é suportada a partir Windows 10, versão 1709, Windows 11 e Windows Server, versão 1803.
A exploit protection funciona melhor com o Defender para Endpoint , que lhe fornece relatórios detalhados sobre eventos de exploit protection e blocos como parte dos cenários de investigação de alertas habituais.
Pode ativar a exploit protection num dispositivo individual e, em seguida, utilizar o Política de Grupo para distribuir o ficheiro XML em múltiplos dispositivos ao mesmo tempo.
Quando for encontrada uma mitigação no dispositivo, será apresentada uma notificação a partir do Centro de Ação. Pode personalizar a notificação com os detalhes da sua empresa e as informações de contacto. Também pode ativar as regras individualmente para personalizar as técnicas que a funcionalidade monitoriza.
Também pode utilizar o modo de auditoria para avaliar a forma como a proteção de exploração afetaria a sua organização se estivesse ativada.
Muitas das funcionalidades do Toolkit de Experiência de Mitigação Melhorada (EMET) estão incluídas na proteção de exploit. Na verdade, pode converter e importar os perfis de configuração EMET existentes para explorar a proteção. Para saber mais, consulte Importar, exportar e implementar configurações de proteção de exploração.
Importante
Se estiver atualmente a utilizar o EMET, deve ter em atenção que o suporte da EMET chegou ao fim do suporte a 31 de julho de 2018. Considere substituir o EMET pela exploit protection no Windows 10.
Aviso
Algumas tecnologias de mitigação de segurança podem ter problemas de compatibilidade com algumas aplicações. Deve testar a exploit protection em todos os cenários de utilização de destino ao utilizar o modo de auditoria antes de implementar a configuração num ambiente de produção ou no resto da sua rede.
Rever eventos de exploit protection no portal Microsoft 365 Defender revisão
O Defender para Ponto Final fornece relatórios detalhados sobre eventos e blocos como parte dos cenários de investigação de alertas.
Pode fazer uma consulta ao Defender para dados de Pontos Finais utilizando a Pesquisa avançada. Se estiver a utilizar o modo de auditoria, pode utilizar uma pesquisa avançada para ver como as definições de proteção de exploit podem afetar o seu ambiente.
Eis uma consulta de exemplo:
DeviceEvents
| where ActionType startswith 'ExploitGuard' and ActionType !contains 'NetworkProtection'
Rever eventos de exploit protection no Windows Visualizador de Eventos
Pode rever o registo de eventos do Windows para ver os eventos criados ao explorar blocos de proteção (ou auditorias) uma aplicação:
| Fornecedor/origem | ID do Evento | Descrição |
|---|---|---|
| Security-Mitigations | 1 | Auditoria ACG |
| Security-Mitigations | 2 | Impor ACG |
| Security-Mitigations | 3 | Não permitir auditorias de processos de crianças |
| Security-Mitigations | 4 | Não permitir o bloqueio de processos de crianças |
| Security-Mitigations | 5 | Bloquear auditoria de imagens de baixa integridade |
| Security-Mitigations | 6 | Bloquear bloco de imagens de baixa integridade |
| Security-Mitigations | 7 | Bloquear auditoria de imagens remotas |
| Security-Mitigations | 8 | Bloquear bloco de imagens remotas |
| Security-Mitigations | 9 | Desativar a auditoria de chamadas de sistema do win32k |
| Security-Mitigations | 10 | Desativar o bloqueio de chamadas de sistema win32k |
| Security-Mitigations | 11 | Auditoria do Code Integrity Guard |
| Security-Mitigations | 12 | Bloco de segurança de código |
| Security-Mitigations | 13 | Auditoria EAF |
| Security-Mitigations | 14 | Impor a EAF |
| Security-Mitigations | 15 | Auditoria EAF+ |
| Security-Mitigations | 16 | Impor EAF+ |
| Security-Mitigations | 17 | Auditoria IAF |
| Security-Mitigations | 18 | Impor IAF |
| Security-Mitigations | 19 | Auditoria ROP StackPivot |
| Security-Mitigations | 20 | Impor ROP StackPivot |
| Security-Mitigations | 21 | Auditoria de Chamadas ROPCheck |
| Security-Mitigations | 22 | Impor Por Telefone de Chamadas ROP |
| Security-Mitigations | 23 | Auditoria ROP SimExec |
| Security-Mitigations | 24 | Impor ROP SimExec |
| WER-Diagnostics | 5 | Bloco CFG |
| Win32K | 260 | Tipo de Letra Não Confiado |
Comparação de mitigação
As mitigações disponíveis na EMET são incluídas nativa no Windows 10 (a partir da versão 1709), do Windows 11 e do Windows Server (a partir da versão 1803), em Exploit protection.
A tabela nesta secção indica a disponibilidade e o suporte de mitigações nativas entre o EMET e a exploit protection.
| Mitigação | Disponível em exploit protection | Disponível em EMET |
|---|---|---|
| Proteção de código arbitrário (ACG) | Sim | Sim Como "Verificação de Proteção da Memória" |
| Bloquear imagens remotas | Sim | Sim Como "Verificação de Carregamento da Biblioteca" |
| Bloquear tipos de letra não fidedignos | Sim | Sim |
| Prevenção de Execução de Dados (DEP) | Sim | Sim |
| Filtragem de endereços de exportação (EAF) | Sim | Sim |
| Forçar a aleatoriedade de imagens (ASLR Obrigatório) | Sim | Sim |
| Mitigação de Segurança de NullPage | Sim Incluído nativo nas Windows 10 e Windows 11 Consulte Mitigar ameaças ao utilizar Windows 10 de segurança para obter mais informações |
Sim |
| Aleatorizar alocações de memória (ASLR ascendente) | Sim | Sim |
| Simular exceção (SimExec) | Sim | Sim |
| Validar invocação de API (CallerCheck) | Sim | Sim |
| Validar cadeias de exceção (SEHOP) | Sim | Sim |
| Validar integridade da pilha (StackPivot) | Sim | Sim |
| Confiança do certificado (aparelhamento de certificado configurável) | Windows 10 e Windows 11 predefinição de certificado empresarial | Sim |
| Atribuição de lote de heap | Ineficiente contra explorações baseadas no browser mais novas; as mitigações mais novas proporcionam uma melhor proteção Consulte Mitigar ameaças ao utilizar Windows 10 de segurança para obter mais informações |
Sim |
| Bloquear imagens de integridade baixa | Sim | Não |
| Proteção de integridade do código | Sim | Não |
| Desativar pontos de extensão | Sim | Não |
| Desativar chamadas do sistema Win32k | Sim | Não |
| Não permitir processos subordinados | Sim | Não |
| Filtragem de endereços de importação (IAF) | Sim | Não |
| Validar utilização de identificador | Sim | Não |
| Validar integridade da área dinâmica para dados | Sim | Não |
| Validar integridade da dependência da imagem | Sim | Não |
Nota
As mitigações de ROP Avançadas disponíveis no EMET são superadas pela ACG no Windows 10 e no Windows 11, que outras definições avançadas do EMET estão ativadas por predefinição, como parte da ativação de mitigações anti-ROP para um processo. Veja as Ameaças de mitigação através Windows 10 funcionalidades de segurança para obter mais informações sobre como Windows 10 utiliza tecnologia EMET existente.