Ativar a proteção contra exploits

  • Artigo

Aplica-se a:

Sugestão

Quer experimentar o Defender para Ponto Final? Inscrever-se para uma avaliação gratuita.

O Exploit Protection ajuda a proteger contra malware que utiliza exploits para infetar dispositivos e propagar. O Exploit Protection consiste em muitas mitigações que podem ser aplicadas ao sistema operativo ou a aplicações individuais.

Importante

O .NET 2.0 não é compatível com algumas capacidades do Exploit Protection, especificamente, a Filtragem de Endereços de Exportação (EAF) e a Filtragem de Endereços de Importação (IAF). Se tiver ativado o .NET 2.0, a utilização de EAF e IAF não é suportada.

Muitas funcionalidades do Enhanced Mitigation Experience Toolkit (EMET) estão incluídas no Exploit Protection.

Pode ativar cada mitigação separadamente através de qualquer um destes métodos:

O Exploit Protection está configurado por predefinição no Windows 10 e no Windows 11. Pode definir cada mitigação como ativada, desativada ou valor predefinido. Algumas mitigações têm mais opções. Pode exportar definições como um ficheiro XML e implementá-las noutros dispositivos.

Também pode definir mitigações para modo de auditoria. O modo de auditoria permite-lhe testar como as mitigações funcionariam (e rever eventos) sem afetar a utilização normal do dispositivo.

Aplicação Segurança do Windows

  1. Abra a aplicação Segurança do Windows selecionando o ícone de escudo na barra de tarefas ou procurando no menu Iniciar por Segurança.

  2. Selecione o mosaico Controlo de aplicações e browsers (ou o ícone da aplicação na barra de menus à esquerda) e, em seguida, Definições do Exploit Protection.

  3. Aceda a Definições do programa e selecione a aplicação à qual pretende aplicar mitigações.

    • Se a aplicação que pretende configurar já estiver listada, selecione-a e, em seguida, Editar.
    • Se a aplicação não estiver listada, na parte superior da lista, selecione Adicionar programa para personalizar e, em seguida, escolha como pretende adicionar a aplicação.
    • Utilize Adicionar por nome de programa para que a mitigação seja aplicada a qualquer processo em execução com esse nome. Especifique um ficheiro com a respetiva extensão. Pode introduzir um caminho completo para limitar a mitigação apenas à aplicação com esse nome nessa localização.
    • Utilize Selecionar o caminho de ficheiro exato para utilizar uma janela padrão do seletor de ficheiros do Explorador do Windows para encontrar e selecionar o ficheiro que pretende.

  4. Depois de selecionar a aplicação, verá uma lista de todas as mitigações que podem ser aplicadas. Selecionar Auditar aplicará a mitigação apenas no modo de auditoria. Será notificado se precisar de reiniciar o processo ou aplicação ou se precisar de reiniciar o Windows.

  5. Repita os passos 3 a 4 para todas as aplicações e mitigações que pretende configurar.

  6. Na secção Definições do sistema, localize a mitigação que pretende configurar e, em seguida, especifique uma das seguintes definições. As aplicações que não estão configuradas individualmente na secção Definições de programa utilizam as definições configuradas aqui.

    • Ativada por predefinição: a mitigação está ativada para aplicações que não têm esta mitigação definida na secção definições do Programa específicas da aplicação
    • Desativada por predefinição: a mitigação está desativada para aplicações que não têm esta mitigação definida na secção definições do Programa específicas da aplicação
    • Utilizar predefinição: a mitigação está ativada ou desativada, dependendo da configuração predefinida configurada pela instalação do Windows 10 ou do Windows 11; o valor predefinido (Ativada ou Desativada) é sempre especificado junto à etiqueta Utilizar predefinição para cada mitigação

  7. Repita o passo 6 para todas as mitigações ao nível do sistema que pretende configurar. Selecione Aplicar quando terminar de configurar a sua configuração.

Se adicionar uma aplicação à secção Definições do programa e configurar definições de mitigação individuais, estas serão honradas acima da configuração para as mesmas mitigações especificadas na secção Definições do sistema . A matriz e os exemplos seguintes ajudam a ilustrar como funcionam as predefinições:

Ativado nas Definições de programa Ativado nas Definições de sistema Comportamento
Sim Não Conforme definido nas definições de Programa
Sim Sim Conforme definido nas definições de Programa
Não Sim Conforme definido nas Definições de sistema
Não Não Predefinição, conforme definido em Utilizar predefinição

Exemplo 1: o Mikael configura a Prevenção de Execução de Dados na secção de definições do sistema como desativada por predefinição

O Mikael adiciona a aplicação test.exe à secção Definições de programa. Nas opções para essa aplicação, em Prevenção de Execução de Dados (DEP), Mikael ativa Ignorar definições de sistema e muda o botão para a posição Ativado. Não existem outras aplicações listadas na secção Definições de programa.

O resultado é que a DEP está ativada apenas para test.exe. Todas as outras aplicações não terão o DEP aplicado.

Exemplo 2: a Josie configura a Prevenção de Execução de Dados em definições do sistema como desativada por predefinição

A Josie adiciona a aplicação test.exe à secção Definições de programa. Nas opções para essa aplicação, em Prevenção de Execução de Dados (DEP), a Josie ativa Ignorar definições de sistema e muda o botão para a posição Ativado.

A Josie também adiciona a aplicação miles.exe à secção Definições de programa e configura a Proteção de fluxo de controlo (CFG) com Ativado. Josie também não ativa a opção Ignorar definições de sistema para a DEP ou quaisquer outras mitigações para essa aplicação.

O resultado é que a DEP está ativada para test.exe. O DEP não será ativado para nenhuma outra aplicação, incluindo miles.exe. A configuração será ativado para miles.exe.

  1. Abra a aplicação Segurança do Windows selecionando o ícone de escudo na barra de tarefas ou procurando no menu Iniciar por Segurança do Windows.

  2. Selecione o mosaico Controlo de aplicações e browsers (ou o ícone da aplicação na barra de menus à esquerda) e, em seguida, Exploit Protection.

  3. Aceda a Definições do programa e selecione a aplicação à qual pretende aplicar mitigações.

    • Se a aplicação que pretende configurar já estiver listada, selecione-a e, em seguida, Editar.
    • Se a aplicação não estiver listada, na parte superior da lista, selecione Adicionar programa para personalizar e, em seguida, escolha como pretende adicionar a aplicação.
      • Utilize Adicionar por nome de programa para que a mitigação seja aplicada a qualquer processo em execução com esse nome. Especifique um ficheiro com uma extensão. Pode introduzir um caminho completo para limitar a mitigação apenas à aplicação com esse nome nessa localização.
      • Utilize Selecionar o caminho de ficheiro exato para utilizar uma janela padrão do seletor de ficheiros do Explorador do Windows para encontrar e selecionar o ficheiro que pretende.

  4. Depois de selecionar a aplicação, verá uma lista de todas as mitigações que podem ser aplicadas. Selecionar Auditar aplicará a mitigação apenas no modo de auditoria. Será notificado se precisar de reiniciar o processo ou aplicação ou se precisar de reiniciar o Windows.

  5. Repita os passos 3 a 4 para todas as aplicações e mitigações que pretende configurar. Selecione Aplicar quando terminar de configurar a sua configuração.

Intune

  1. Inicie sessão no portal do Azure e abra o Intune.

  2. Aceda aConfiguração do dispositivo Perfis> de Configuração>Create perfil.

  3. Atribua um nome ao perfil, selecione Windows 10 e posterior, selecione modelos para Tipo de perfil e selecione Endpoint Protection em nome do modelo.

    O perfil Criar proteção de ponto final

  4. Selecione Configurar>Windows Defender Exploit Guard>Exploit Protection.

  5. Carregue um ficheiro XML com as definições do Exploit Protection:

    A definição Ativar proteção de rede no Intune

  6. Selecione OK para guardar cada painel aberto e, em seguida, selecione Criar.

  7. Selecione o separador Atribuições de perfil, atribua a política a Todos os Utilizadores e Todos os Dispositivos e, em seguida, selecione Guardar.

MDM

Utilize o fornecedor de serviços de configuração (CSP) ./Vendor/MSFT/Policy/Config/ExploitGuard/ExploitProtectionSettings para ativar ou desativar mitigações do Exploit Protection ou para utilizar o modo de auditoria.

Microsoft Configuration Manager

Segurança de Ponto Final

  1. Em Microsoft Configuration Manager, aceda aEndpoint Security Attack surface reduction (Redução da superfície do Ataque de Segurança > de Ponto Final).

  2. Selecione Create Plataforma de Políticas> e, em Perfil, selecione Exploit Protection. Em seguida, selecione Criar.

  3. Especifique um nome e uma descrição e, em seguida, selecione Seguinte.

  4. Selecione Selecionar Ficheiro XML e navegue para a localização do ficheiro XML do Exploit Protection. Escolha o ficheiro e, em seguida, selecione Seguinte.

  5. Configure as Etiquetas de âmbito e Atribuições, se necessário.

  6. Em Rever + criar, reveja as definições de configuração e, em seguida, selecione Criar.

Ativos e Conformidade

  1. No Microsoft Configuration Manager, aceda a Ativos eEndpoint Protection> de Conformidade >Windows Defender Exploit Guard.

  2. Selecione Base>Create Política do Exploit Guard.

  3. Especifique um nome e uma descrição, selecione Exploit Protection e depois selecione Seguinte.

  4. Navegue para a localização do ficheiro XML do Exploit Protection e, em seguida, selecione Seguinte.

  5. Reveja as definições e depois selecione Seguinte para criar a política.

  6. Após a criação da política, selecione Fechar.

Política de Grupo

  1. No dispositivo de gestão da Política de Grupo, abra a Consola de Gestão de Política de Grupo, clique com o botão direito do rato no Objeto de Política de Grupo que pretende configurar e clique em Editar.

  2. No Editor de Gestão de Políticas de Grupo, vá para Configuração do computador e selecione Modelos administrativos.

  3. Expanda a árvore para componentes> do Windows Windows Defender Exploit Guard>Exploit Protection>Utilize um conjunto comum de definições de proteção contra exploits.

  4. Selecione Ativado e escreva a localização do ficheiro XML e, em seguida, selecione OK.

PowerShell

Pode utilizar o verbo do PowerShell Get ou Set com o cmdlet ProcessMitigation. Utilizar Get irá lista o estado de configuração atual de quaisquer mitigações que tenham sido ativadas no dispositivo - adicione o cmdlet -Name e o exe da aplicação para ver mitigações apenas para essa aplicação:

Get-ProcessMitigation -Name processName.exe

Importante

As mitigações ao nível do sistema que não tenham sido configuradas irão mostrar um estado de NOTSET.

  • Para as definições ao nível do sistema, NOTSET indica que a predefinição para essa mitigação foi aplicada.
  • Para definições ao nível da aplicação, NOTSET indica que a definição ao nível do sistema para a mitigação será aplicada. A predefinição para cada mitigação ao nível do sistema pode ser consultada na Segurança do Windows.

Utilize Set para configurar cada mitigação no seguinte formato:

Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>

Localização:

  • <Âmbito>:
    • -Name para indicar que as mitigações devem ser aplicadas a uma aplicação específica. Especifique o executável da aplicação após este sinalizador.
      • -System para indicar que a mitigação deve ser aplicada ao nível do sistema
  • <Ação>:
    • -Enable para ativar a mitigação
    • -Disable para desativar a mitigação
  • <Mitigação>:
    • O cmdlet da mitigação juntamente com quaisquer subopções (entre espaços). Cada mitigação é separada por uma vírgula.

Por exemplo, para ativar a mitigação de Prevenção de Execução de Dados (DEP) com a emulação de ATL thunk e para um executável chamado testing.exe na pasta C:\Apps\LOB\tests e para impedir esse executável de criar processos subordinados, utilize o seguinte comando:

Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable DEP, EmulateAtlThunks, DisallowChildProcessCreation

Importante

Separe cada opção de mitigação por vírgulas.

Se quisesse aplicar a DEP ao nível do sistema, utilizaria o seguinte comando:

Set-Processmitigation -System -Enable DEP

Para desativar mitigações, pode substituir -Enable por -Disable. No entanto, para mitigações ao nível da aplicação, esta ação força a desativação da mitigação apenas para essa aplicação.

Se precisar de restaurar a mitigação para a predefinição do sistema, também tem de incluir o cmdlet -Remove, como no exemplo seguinte:

Set-Processmitigation -Name test.exe -Remove -Disable DEP

A tabela seguinte lista as Mitigações individuais (e Auditorias, quando disponíveis) a utilizar com os parâmetros do cmdlet -Enable ou -Disable.

Tipo de mitigação Aplica-se a Palavra-chave do parâmetro do cmdlet de mitigação Parâmetro do cmdlet do modo de auditoria
Proteção do fluxo de controlo (CFG) Ao nível do sistema e da aplicação CFG, StrictCFG, SuppressExports Auditoria não disponível
Prevenção de Execução de Dados (DEP) Ao nível do sistema e da aplicação DEP, EmulateAtlThunks Auditoria não disponível
Forçar a aleatoriedade de imagens (ASLR Obrigatório) Ao nível do sistema e da aplicação ForceRelocateImages Auditoria não disponível
Aleatorizar alocações de memória (ASLR ascendente) Ao nível do sistema e da aplicação BottomUp, HighEntropy Auditoria não disponível
Validar cadeias de exceção (SEHOP) Ao nível do sistema e da aplicação SEHOP, SEHOPTelemetry Auditoria não disponível
Validar integridade da área dinâmica para dados Ao nível do sistema e da aplicação TerminateOnError Auditoria não disponível
Proteção de código arbitrário (ACG) Apenas ao nível da aplicação DynamicCode AuditDynamicCode
Bloquear imagens de integridade baixa Apenas ao nível da aplicação BlockLowLabel AuditImageLoad
Bloquear imagens remotas Apenas ao nível da aplicação BlockRemoteImages Auditoria não disponível
Bloquear tipos de letra não fidedignos Apenas ao nível da aplicação DisableNonSystemFonts AuditFont, FontAuditOnly
Proteção de integridade do código Apenas ao nível da aplicação BlockNonMicrosoftSigned, AllowStoreSigned AuditMicrosoftSigned, AuditStoreSigned
Desativar pontos de extensão Apenas ao nível da aplicação ExtensionPoint Auditoria não disponível
Desativar chamadas do sistema Win32k Apenas ao nível da aplicação DisableWin32kSystemCalls AuditSystemCall
Não permitir processos subordinados Apenas ao nível da aplicação DisallowChildProcessCreation AuditChildProcess
Filtragem de endereços de exportação (EAF) Apenas ao nível da aplicação EnableExportAddressFilterPlus, EnableExportAddressFilter[1] Auditoria não disponível [2]
Filtragem de endereços de importação (IAF) Apenas ao nível da aplicação EnableImportAddressFilter Auditoria não disponível [2]
Simular exceção (SimExec) Apenas ao nível da aplicação EnableRopSimExec Auditoria não disponível [2]
Validar invocação de API (CallerCheck) Apenas ao nível da aplicação EnableRopCallerCheck Auditoria não disponível [2]
Validar utilização de identificador Apenas ao nível da aplicação StrictHandle Auditoria não disponível
Validar integridade da dependência da imagem Apenas ao nível da aplicação EnforceModuleDepencySigning Auditoria não disponível
Validar integridade da pilha (StackPivot) Apenas ao nível da aplicação EnableRopStackPivot Auditoria não disponível [2]

[1]: Utilize o seguinte formato para ativar módulos EAF para DLLs para um processo:

Set-ProcessMitigation -Name processName.exe -Enable EnableExportAddressFilterPlus -EAFModules dllName1.dll,dllName2.dll

[2]: A auditoria para esta mitigação não está disponível através de cmdlets do PowerShell.

Personalizar a notificação

Para obter informações sobre como personalizar a notificação quando uma regra é acionada e uma aplicação ou ficheiro é bloqueado, consulte Segurança do Windows.

Consulte também

Sugestão

Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.