4Sep
A atualização da Fall Creators da Microsoft, finalmente, adiciona proteção de exploração integrada ao Windows. Você já teve que buscar isso na forma da ferramenta EMET da Microsoft. Agora faz parte do Windows Defender e é ativado por padrão.
Como a Proteção de Explosão do Windows Defender funciona
Nós recomendamos o uso de software anti-exploração como o Enhanced Mitigation Experience Toolkit( EMET) da Microsoft ou o Malwarebytes Anti-Malware mais fácil de usar, que contém um poderoso recurso anti-exploração( entre outras coisas).O EMET da Microsoft é amplamente utilizado em redes maiores onde pode ser configurado por administradores de sistema, mas nunca foi instalado por padrão, requer configuração e possui uma interface confusa para usuários comuns.
Programas típicos de antivírus, como o próprio Windows Defender, usam definições de vírus e heurísticas para capturar programas perigosos antes que possam ser executados em seu sistema. As ferramentas anti-exploração realmente impedem que muitas técnicas populares de ataque funcionem, de modo que esses programas perigosos não entram no seu sistema em primeiro lugar. Eles habilitam certas proteções do sistema operacional e bloqueiam técnicas comuns de exploração de memória, de modo que, se o comportamento de tipo explorador for detectado, eles finalizarão o processo antes que algo ruim aconteça. Em outras palavras, eles podem proteger contra muitos ataques de dia zero antes de serem corrigidos.
No entanto, eles podem potencialmente causar problemas de compatibilidade, e suas configurações podem ser tweaked para diferentes programas.É por isso que o EMET foi geralmente usado em redes corporativas, onde os administradores de sistema podem ajustar as configurações, e não em PCs domésticos.
O Windows Defender agora inclui muitas dessas mesmas proteções, que foram originalmente encontradas no EMET da Microsoft. Eles são habilitados por padrão para todos e fazem parte do sistema operacional. O Windows Defender configura automaticamente as regras apropriadas para diferentes processos em execução no seu sistema.(Malwarebytes ainda afirma que seu recurso anti-exploração é superior e ainda recomendamos usar Malwarebytes, mas é bom que o Windows Defender também tenha incorporado esse built-in).
Este recurso é ativado automaticamente se você atualizou para o WindowsA atualização do Fall Creators de 10, e o EMET não é mais suportado. O EMET não pode ser instalado em computadores que executem a atualização do Fall Creators. Se você já tiver instalado o EMET, ele será removido pela atualização.
A Atualização de Criadores de Outono do Windows 10 também inclui um recurso de segurança relacionado chamado Acesso de Pasta Controlada. Ele foi projetado para parar o malware, permitindo somente programas confiáveis modificar arquivos em suas pastas de dados pessoais, como Documentos e Imagens. Ambos os recursos fazem parte do "Windows Defender Exploit Guard".Contudo, o acesso à pasta controlada não está habilitado por padrão.
Como confirmar a proteção Exploit está habilitado
Esta função é ativada automaticamente para todos os PCs do Windows 10.No entanto, também pode ser alterado para "Modo Auditoria", permitindo que os administradores do sistema monitore um registro do que Exploit Protection teria feito para confirmar que não causará nenhum problema antes de habilitá-lo em computadores críticos.
Para confirmar que este recurso está habilitado, você pode abrir o Windows Defender Security Center. Abra o menu Iniciar, procure o Windows Defender e clique no atalho do Windows Defender Security Center.
Clique na tela em forma de janela "App &ícone de controle do navegador na barra lateral. Role para baixo e você verá a seção "Proteção de exploração".Ele informará que esse recurso está habilitado.
Se você não vê esta seção, seu PC provavelmente ainda não foi atualizado para a atualização do Fall Creators.
Como configurar o Exploit Protection do Windows Defender
Aviso : Você provavelmente não deseja configurar esse recurso. O Windows Defender oferece muitas opções técnicas que você pode ajustar, e a maioria das pessoas não saberá o que está fazendo aqui. Esse recurso está configurado com configurações padrão inteligentes que evitarão problemas e a Microsoft pode atualizar suas regras ao longo do tempo. As opções aqui parecem principalmente destinadas a ajudar os administradores de sistemas a desenvolver regras para o software e implantá-las em uma rede corporativa.
Se você deseja configurar a Proteção Exploit, vá para o Windows Defender Security Center & gt;App &controle do navegador, role para baixo e clique em "Exploiter configurações de proteção" sob a proteção Exploit.
Você verá duas guias aqui: configurações do sistema e configurações do programa. As configurações do sistema controlam as configurações padrão usadas para todas as aplicações, enquanto as configurações do programa controlam as configurações individuais usadas para vários programas. Em outras palavras, as configurações do programa podem substituir as configurações do sistema para programas individuais. Podem ser mais restritivos ou menos restritivos.
Na parte inferior da tela, você pode clicar em "Exportar configurações" para exportar suas configurações como um arquivo. xml que você pode importar em outros sistemas. A documentação oficial da Microsoft oferece mais informações sobre a implantação de regras com a Política de Grupo e o PowerShell.
Na guia Configurações do sistema, você verá as seguintes opções: Controle de fluxo de controle( CFG), Prevenção de Execução de Dados( DEP), Forçar aleatorização de imagens( Obrigatório ASLR), Aleatorizar alocações de memória( Bottl-up ASLR), Validar exceçãocadeias( SEHOP) e Validar a integridade do heap. Eles estão todos por padrão, exceto a opção Forçar aleatorização para imagens( Obrigatório ASLR).Isso é provável porque o ASLR obrigatório causa problemas com alguns programas, então você pode encontrar problemas de compatibilidade se você habilitar, dependendo dos programas que você executa.
Novamente, você realmente não deve tocar nessas opções, a menos que você saiba o que está fazendo. Os padrões são sensíveis e são escolhidos por um motivo.
A interface fornece um resumo muito curto do que cada opção faz, mas você terá que fazer alguma pesquisa se quiser saber mais. Nós já explicamos o que DEP e ASLR fazem aqui.
Clique na guia "Configurações do programa" e você verá uma lista de programas diferentes com configurações personalizadas. As opções aqui permitem que as configurações gerais do sistema sejam substituídas. Por exemplo, se você selecionar "iexplore.exe" na lista e clique em "Editar", verá que a regra aqui habilita vigorosamente o ASLR obrigatório para o processo do Internet Explorer, mesmo que não seja ativado por padrão no sistema.
Você não deve manipular essas regras internas para processos como runtimebroker.exe e spoolsv.exe. A Microsoft os adicionou por algum motivo.
Você pode adicionar regras personalizadas para programas individuais clicando em "Adicionar programa para personalizar".Você pode "adicionar pelo nome do programa" ou "escolher o caminho exato do arquivo", mas especificar um caminho exato do arquivo é muito mais preciso.
Uma vez adicionado, você pode encontrar uma longa lista de configurações que não serão significativas para a maioria das pessoas. A lista completa de configurações disponíveis aqui é: Proteção de código arbitrário( ACG), Bloquear imagens de baixa integridade, Bloquear imagens remotas, Bloquear fontes não confiáveis, Proteção de integridade de código, Proteção de fluxo de controle( CFG), Prevenção de execução de dados( DEP), Desativar pontos de extensãoDesativar as chamadas do sistema Win32k, não permitir processos filho, Exportar filtragem de endereços( EAF), Forçar aleatorização de imagens( Obrigatório ASLR), Importar Filtragem de Endereços( IAF), Aleatorizar alocações de memória( ASLR bottom-up), Simular a execução( SimExec), Validar a invocação da API( CallerCheck), Validar as cadeias de exceções( SEHOP), Validar o uso do controle, Validar a integridade do heap, Validar a integridade da dependência da imagem e Validar a integridade da pilha( StackPivot).
Novamente, você não deve tocar nessas opções a menos que você seja um administrador de sistema que deseja bloquear um aplicativo e você realmente sabe o que está fazendo.
Como teste, habilitamos todas as opções para iexplore.exe e tentamos iniciá-lo. O Internet Explorer apenas mostrou uma mensagem de erro e recusou-se a iniciar. Nós nem vimos uma notificação do Windows Defender explicando que o Internet Explorer não estava funcionando por causa de nossas configurações.
Não tente apenas cegamente restringir aplicativos, ou você causará problemas semelhantes no seu sistema. Eles serão difíceis de solucionar se você não se lembra de que você também alterou as opções.
Se você ainda usa uma versão mais antiga do Windows, como o Windows 7, você pode obter recursos de proteção de exploração instalando o EMET ou Malwarebytes da Microsoft. No entanto, o suporte para o EMET irá parar em 31 de julho de 2018, já que a Microsoft quer empurrar as empresas para o Windows 10 e o Windows Defender Exploit Protection.