Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
A proteção contra exploits aplica automaticamente muitas técnicas de mitigação de exploits a aplicações e processos do sistema operativo. A proteção contra exploits é suportada a partir do Windows 10, versão 1709, Windows 11 e Windows Server, versão 1803.
A proteção contra exploits funciona melhor com o Defender para Endpoint , o que lhe fornece relatórios detalhados sobre eventos e blocos de proteção contra exploits como parte dos cenários habituais de investigação de alertas.
Pode ativar a proteção contra exploits num dispositivo individual e, em seguida, utilizar Política de Grupo para distribuir o ficheiro XML por vários dispositivos ao mesmo tempo.
Quando é encontrada uma mitigação no dispositivo, é apresentada uma notificação do Centro de Ação. Pode personalizar a notificação com os detalhes da empresa e as informações de contacto. Também pode ativar as regras individualmente para personalizar as técnicas que a funcionalidade monitoriza.
Também pode utilizar o modo de auditoria para avaliar como a proteção contra exploits afetaria a sua organização se estivesse ativada.
Muitas das funcionalidades do Enhanced Mitigation Experience Toolkit (EMET) estão incluídas na proteção contra exploits. Na verdade, pode converter e importar os perfis de configuração do EMET existentes para a proteção contra exploits. Para saber mais, veja Importar, exportar e implementar configurações de proteção contra exploits.
Importante
Se estiver a utilizar o EMET, é importante ter em atenção que oEMET chegou ao fim do suporte a 31 de julho de 2018. Considere substituir o EMET pela proteção contra exploits no Windows 10.
Aviso
Algumas tecnologias de mitigação de segurança podem ter problemas de compatibilidade com algumas aplicações. Deve testar a proteção de exploração em todos os cenários de utilização de destino utilizando o modo de auditoria antes de implementar a configuração num ambiente de produção ou no resto da sua rede.
Rever eventos de proteção contra exploits no portal do Microsoft Defender
O Defender para Endpoint fornece relatórios detalhados sobre eventos e blocos como parte dos cenários de investigação de alertas.
Pode consultar dados do Defender para Endpoint através da Investigação avançada. Se estiver a utilizar o modo de auditoria, pode utilizar a investigação avançada para ver como as definições de proteção contra exploits podem afetar o seu ambiente.
Eis uma consulta de exemplo:
DeviceEvents
| where ActionType startswith 'ExploitGuard' and ActionType !contains 'NetworkProtection'
Exploit Protection e investigação avançada
Os tipos de ação de investigação avançados disponíveis para o Exploit Protection são os seguintes:
| Nome da mitigação do Exploit Protection | Exploit Protection – Investigação Avançada – ActionTypes |
|---|---|
| Proteção de código arbitrário | ExploitGuardAcgAudited ExploitGuardAcgEnforced |
| Não permitir processos subordinados | ExploitGuardChildProcessAudited ExploitGuardChildProcessBlocked |
| Filtragem de endereços de exportação (EAF) | ExploitGuardEafViolationAudited ExploitGuardEafViolationBlocked |
| Filtragem de endereços de importação (IAF) | ExploitGuardIafViolationAudited ExploitGuardIafViolationBlocked |
| Bloquear imagens de integridade baixa | ExploitGuardLowIntegrityImageAudited ExploitGuardLowIntegrityImageBlocked |
| Proteção de integridade do código | ExploitGuardNonMicrosoftSignedAudited ExploitGuardNonMicrosoftSignedBlocked |
| • Simular a execução (SimExec) • Validar a invocação da API (CallerCheck) • Validar a integridade da pilha (StackPivot) |
ExploitGuardRopExploitAudited ExploitGuardRopExploitBlocked |
| Bloquear imagens remotas | ExploitGuardSharedBinaryAudited ExploitGuardSharedBinaryBlocked |
| Desativar chamadas do sistema Win32k | ExploitGuardWin32SystemCallAudited ExploitGuardWin32SystemCallBlocked |
Rever eventos de proteção contra exploits no Windows Visualizador de Eventos
Pode rever o registo de eventos do Windows para ver os eventos que são criados quando exploram blocos (ou auditam) uma aplicação:
| Fornecedor/origem | ID do Evento | Descrição |
|---|---|---|
| Security-Mitigations | 1 | Auditoria ACG |
| Security-Mitigations | 2 | APLICAÇÃO ACG |
| Security-Mitigations | 3 | Não permitir a auditoria de processos subordinados |
| Security-Mitigations | 4 | Não permitir o bloqueio de processos subordinados |
| Security-Mitigations | 5 | Bloquear auditoria de imagens de integridade baixa |
| Security-Mitigations | 6 | Bloquear bloco de imagens de baixa integridade |
| Security-Mitigations | 7 | Bloquear auditoria de imagens remotas |
| Security-Mitigations | 8 | Bloquear bloco de imagens remotas |
| Security-Mitigations | 9 | Desativar auditoria de chamadas do sistema win32k |
| Security-Mitigations | 10 | Desativar o bloco de chamadas do sistema win32k |
| Security-Mitigations | 11 | Auditoria de proteção de integridade do código |
| Security-Mitigations | 12 | Bloco de proteção de integridade do código |
| Security-Mitigations | 13 | Auditoria do EAF |
| Security-Mitigations | 14 | Imposição do EAF |
| Security-Mitigations | 15 | Auditoria EAF+ |
| Security-Mitigations | 16 | Impor EAF+ |
| Security-Mitigations | 17 | Auditoria do IAF |
| Security-Mitigations | 18 | IAF – impor |
| Security-Mitigations | 19 | Auditoria ROP StackPivot |
| Security-Mitigations | 20 | Imposição rop stackPivot |
| Security-Mitigations | 21 | Auditoria rop callercheck |
| Security-Mitigations | 22 | Verificação do Autor da Chamada ROP– impor |
| Security-Mitigations | 23 | Auditoria ROP SimExec |
| Security-Mitigations | 24 | Impor ROP SimExec |
| WER-Diagnostics | 5 | Bloco CFG |
| Win32K | 260 | Tipo de Letra Não Fidedigno |
Comparação de mitigação
As mitigações disponíveis no EMET estão incluídas nativamente no Windows 10 (a partir da versão 1709), Windows 11 e Windows Server (a partir da versão 1803), em Proteção contra exploits.
A tabela nesta secção indica a disponibilidade e o suporte de mitigações nativas entre o EMET e a proteção contra exploits.
| Mitigação | Disponível no âmbito da proteção contra exploits | Disponível no EMET |
|---|---|---|
| Proteção de código arbitrário (ACG) | Sim | Sim Como "Verificação da Proteção de Memória" |
| Bloquear imagens remotas | Sim | Sim Como "Verificação da Biblioteca de Carga" |
| Bloquear tipos de letra não fidedignos | Sim | Sim |
| Prevenção de Execução de Dados (DEP) | Sim | Sim |
| Filtragem de endereços de exportação (EAF) | Sim | Sim |
| Forçar a aleatoriedade de imagens (ASLR Obrigatório) | Sim | Sim |
| Mitigação de Segurança de Páginas Null | Sim Incluído nativamente em Windows 10 e Windows 11 Para obter mais informações, veja Mitigar ameaças com funcionalidades de segurança Windows 10 |
Sim |
| Aleatorizar alocações de memória (ASLR ascendente) | Sim | Sim |
| Simular exceção (SimExec) | Sim | Sim |
| Validar invocação de API (CallerCheck) | Sim | Sim |
| Validar cadeias de exceção (SEHOP) | Sim | Sim |
| Validar integridade da pilha (StackPivot) | Sim | Sim |
| Confiança do certificado (afixação de certificado configurável) | Windows 10 e Windows 11 fornecer afixação de certificados empresariais | Sim |
| Alocação de spray de área dinâmica para dados | Ineficaz contra exploits baseados no browser mais recentes; as mitigações mais recentes proporcionam uma melhor proteção Para obter mais informações, veja Mitigar ameaças com funcionalidades de segurança Windows 10 |
Sim |
| Bloquear imagens de integridade baixa | Sim | Não |
| Proteção de integridade do código | Sim | Não |
| Desativar pontos de extensão | Sim | Não |
| Desativar chamadas do sistema Win32k | Sim | Não |
| Não permitir processos subordinados | Sim | Não |
| Filtragem de endereços de importação (IAF) | Sim | Não |
| Validar utilização de identificador | Sim | Não |
| Validar integridade da área dinâmica para dados | Sim | Não |
| Validar integridade da dependência da imagem | Sim | Não |
Nota
As mitigações avançadas de ROP que estão disponíveis no EMET são substituídos pelo ACG em Windows 10 e Windows 11, que outras definições avançadas do EMET estão ativadas por predefinição, como parte da ativação das mitigações anti-ROP para um processo. Para obter mais informações sobre como Windows 10 utiliza a tecnologia EMET existente, veja As ameaças de mitigação através da utilização de funcionalidades de segurança Windows 10.
Consulte também
- Configurar e auditar mitigações do Exploit Protection
- Resolver problemas de Proteção contra exploits
- Otimizar a implementação e as deteções de regras do ASR
Sugestão
Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.