Pagina inicial » como » Como funciona a nova proteção de exploração do Windows Defender (e como configurá-la)

    Como funciona a nova proteção de exploração do Windows Defender (e como configurá-la)

    A Atualização de criadores de quedas da Microsoft finalmente adiciona proteção de exploração integrada ao Windows. Anteriormente, você precisou procurar isso na forma da ferramenta EMET da Microsoft. Agora faz parte do Windows Defender e é ativado por padrão.

    Como funciona a proteção contra exploração do Windows Defender

    Há muito tempo recomendamos o uso de software anti-exploit como o EMET (Enhanced Mitigation Experience Toolkit) da Microsoft ou o Malwarebytes Anti-Malware, mais amigável ao usuário, que contém um poderoso recurso anti-exploit (entre outras coisas). O EMET da Microsoft é amplamente usado em redes maiores, onde pode ser configurado por administradores de sistema, mas nunca foi instalado por padrão, requer configuração e possui uma interface confusa para usuários comuns..

    Programas antivírus típicos, como o próprio Windows Defender, usam definições de vírus e heurísticas para capturar programas perigosos antes que possam ser executados no sistema. Ferramentas anti-exploit na verdade impedem que muitas técnicas de ataque populares funcionem, então esses programas perigosos não entram no seu sistema em primeiro lugar. Eles habilitam certas proteções do sistema operacional e bloqueiam técnicas comuns de exploração de memória, de modo que, se for detectado um comportamento de exploração, eles terminarão o processo antes que algo de ruim aconteça. Em outras palavras, eles podem proteger contra muitos ataques de dia zero antes de serem corrigidos.

    No entanto, eles podem causar problemas de compatibilidade, e suas configurações podem ter que ser ajustadas para diferentes programas. É por isso que o EMET era geralmente usado em redes corporativas, onde os administradores de sistemas podiam ajustar as configurações e não em PCs domésticos..

    O Windows Defender agora inclui muitas dessas mesmas proteções, que foram originalmente encontradas no EMET da Microsoft. Eles são habilitados por padrão para todos e fazem parte do sistema operacional. O Windows Defender configura automaticamente regras apropriadas para diferentes processos em execução no seu sistema. (O Malwarebytes ainda afirma que seu recurso anti-exploit é superior, e ainda recomendamos o uso do Malwarebytes, mas é bom que o Windows Defender também tenha alguns desses recursos embutidos agora.)

    Esse recurso é ativado automaticamente se você tiver atualizado para a Atualização de criadores de quedas do Windows 10 e o EMET não for mais suportado. O EMET nem pode ser instalado em PCs que executam a Atualização do Fall Creators. Se você já tiver o EMET instalado, ele será removido pela atualização.

    A Atualização para criadores de quedas do Windows 10 também inclui um recurso de segurança relacionado denominado Acesso a pastas controladas. Ele é projetado para impedir o malware, permitindo que apenas programas confiáveis ​​modifiquem arquivos em suas pastas de dados pessoais, como Documentos e Imagens. Ambos os recursos fazem parte do “Windows Defender Exploit Guard”. No entanto, o Acesso à Pasta Controlada não está ativado por padrão.

    Como confirmar a proteção contra exploração está habilitada

    Esse recurso é ativado automaticamente para todos os PCs com Windows 10. No entanto, ele também pode ser alternado para o "Modo de auditoria", permitindo que os administradores de sistemas monitorem um registro do que a Exploit Protection teria feito para confirmar que ele não causará nenhum problema antes de habilitá-lo em PCs críticos..

    Para confirmar que esse recurso está habilitado, você pode abrir o Centro de Segurança do Windows Defender. Abra o menu Iniciar, pesquise o Windows Defender e clique no atalho do Centro de Segurança do Windows Defender.

    Clique no ícone “App & browser control” em forma de janela na barra lateral. Role para baixo e você verá a seção "Exploit protection". Ele informará que esse recurso está ativado.

    Se você não vir esta seção, provavelmente seu PC ainda não atualizou para a Atualização de criadores de outono.

    Como configurar a proteção contra exploração do Windows Defender

    Aviso: Você provavelmente não deseja configurar esse recurso. O Windows Defender oferece muitas opções técnicas que você pode ajustar, e a maioria das pessoas não sabe o que está fazendo aqui. Esse recurso é configurado com configurações padrão inteligentes que evitam problemas e a Microsoft pode atualizar suas regras com o tempo. As opções aqui parecem ter como objetivo principal ajudar os administradores de sistemas a desenvolver regras para o software e implementá-las em uma rede corporativa..

    Se você quiser configurar a Proteção contra exploração, vá para o Centro de Segurança do Windows Defender> App e controle do navegador, role a tela para baixo e clique em "Explorar configurações de proteção" em Proteção contra exploração..

    Você verá duas guias aqui: Configurações do sistema e Configurações do programa. As configurações do sistema controlam as configurações padrão usadas para todos os aplicativos, enquanto as configurações do programa controlam as configurações individuais usadas para vários programas. Em outras palavras, as configurações do programa podem substituir as configurações do sistema para programas individuais. Eles poderiam ser mais restritivos ou menos restritivos.

    Na parte inferior da tela, você pode clicar em “Exportar configurações” para exportar suas configurações como um arquivo .xml que você pode importar em outros sistemas. A documentação oficial da Microsoft oferece mais informações sobre como implantar regras com a Diretiva de Grupo e o PowerShell.

    Na guia Configurações do sistema, você verá as seguintes opções: Proteção de fluxo de controle (CFG), Prevenção de execução de dados (DEP), Forçar randomização para imagens (ASLR obrigatório), Alocar aleatoriamente alocações de memória (ASLR de baixo para cima), Validar cadeias de exceções (SEHOP) e validar integridade heap. Eles estão todos por padrão, exceto a opção Forçar randomização para imagens (ASLR obrigatório). Isso é provável porque o ASLR obrigatório causa problemas em alguns programas, portanto, você pode ter problemas de compatibilidade se ativá-lo, dependendo dos programas executados.

    Novamente, você realmente não deveria tocar nessas opções a menos que você saiba o que está fazendo. Os padrões são sensatos e são escolhidos por um motivo.

    A interface fornece um breve resumo do que cada opção faz, mas você terá que fazer alguma pesquisa se quiser saber mais. Nós já explicamos o que DEP e ASLR fazem aqui.

    Clique na guia "Configurações do programa" e você verá uma lista de diferentes programas com configurações personalizadas. As opções aqui permitem que as configurações gerais do sistema sejam substituídas. Por exemplo, se você selecionar “iexplore.exe” na lista e clicar em “Editar”, verá que a regra aqui força habilmente o ASLR obrigatório para o processo do Internet Explorer, mesmo que não esteja habilitado por padrão em todo o sistema.

    Você não deve mexer com essas regras internas para processos como runtimebroker.exe e spoolsv.exe. A Microsoft os adicionou por um motivo.

    Você pode adicionar regras personalizadas para programas individuais clicando em "Adicionar programa para personalizar". Você pode "Adicionar por nome do programa" ou "Escolha o caminho exato do arquivo", mas especificar um caminho de arquivo exato é muito mais preciso.

    Uma vez adicionada, você pode encontrar uma longa lista de configurações que não serão significativas para a maioria das pessoas. A lista completa de configurações disponíveis aqui é: Proteção de código arbitrário (ACG), Bloqueio de imagens de baixa integridade, Bloqueio de imagens remotas, Bloqueio de fontes não confiáveis, Proteção de integridade de código, Proteção de fluxo de controle (CFG), Prevenção de execução de dados (DEP) Desabilitar chamadas do sistema Win32k, Não permitir processos filho, Exportar filtragem de endereço (EAF), Forçar randomização para imagens (ASLR obrigatório), Importar filtragem de endereço (IAF), Alocar aleatoriamente alocações de memória (ASLR de baixo para cima), Simular execução (SimExec) , Validar chamada de API (CallerCheck), Validar cadeias de exceções (SEHOP), Validar uso de identificadores, Validar integridade de heap, Validar integridade de dependência de imagem e Validar integridade de pilha (StackPivot).

    Novamente, você não deve tocar nessas opções, a menos que seja um administrador do sistema que deseja bloquear um aplicativo e realmente sabe o que está fazendo.

    Como teste, ativamos todas as opções do iexplore.exe e tentamos ativá-lo. O Internet Explorer apenas mostrou uma mensagem de erro e recusou-se a ser iniciado. Nós nem sequer vimos uma notificação do Windows Defender explicando que o Internet Explorer não estava funcionando por causa de nossas configurações.

    Não tente cegamente restringir aplicativos ou você causará problemas semelhantes em seu sistema. Eles serão difíceis de solucionar se você não se lembra de ter alterado as opções também.

    Se você ainda usa uma versão mais antiga do Windows, como o Windows 7, pode obter recursos de proteção contra exploração instalando o EMET da Microsoft ou o Malwarebytes. No entanto, o suporte para o EMET será interrompido em 31 de julho de 2018, já que a Microsoft deseja impulsionar as empresas para o Windows 10 e a Proteção contra exploração do Windows Defender..

    Como o Windows usa o Agendador de tarefas para tarefas do sistema
    Como você pode ser infectado através do seu navegador e como se proteger
    Como o Windows 8.1 integra o SkyDrive Everywhere
    Artigo seguinte
    Como funciona o som espacial “Windows Sonic”
    Artigo anterior
    Como o sistema de backup do Windows 8 difere do Windows 7