Habilitar a proteção de exploração

Aplica-se a:

• Plano 2 do Microsoft Defender para Ponto de Extremidade
• Plano 1 do Microsoft Defender para Ponto de Extremidade
• Microsoft Defender XDR

Dica

Deseja experimentar o Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.

O Exploit protection ajuda a proteger contra malware que usa explorações para infectar dispositivos e se espalhar. O Exploit Protection consiste em uma série de mitigações que podem ser aplicadas ao sistema operacional ou a aplicativos individuais.

Importante

O .NET 2.0 não é compatível com alguns recursos de proteção contra exploração, especificamente, EAF (Export Address Filtering) e IAF (Import Address Filtering). Se você habilitou o .NET 2.0, não há suporte para o uso de EAF e IAF.

Muitos dos recursos do Kit de Ferramentas de Redução Aprimorada (EMET) estão incluídos na proteção contra abusos.

Você pode habilitar cada mitigação separadamente usando qualquer um destes métodos:

• O aplicativo Segurança do Windows
• Microsoft Intune
• Gerenciamento de dispositivos móveis (MDM)
• Microsoft Configuration Manager
• Política de grupo
• PowerShell

O Exploit Protection está configurado por padrão no Windows 10 e no Windows 11. Você pode definir cada mitigação como ativado, desativado ou com seu valor padrão. Algumas mitigações têm mais opções. Você pode exportar essas configurações como um arquivo XML e implantá-las em outros dispositivos.

Você também pode definir mitigações como modo de resposta. O modo de Auditoria permite testar como as mitigações funcionariam (e revisar eventos) sem afetar o uso normal do dispositivo.

O aplicativo Segurança do Windows

1. Abra o aplicativo Segurança do Windows selecionando o ícone de escudo na barra de tarefas ou pesquisando menu Iniciar Segurança.

2. Selecione o controle de navegador e aplicação (ou o ícone do aplicativo na barra de menus à esquerda) e selecioneConfigurações do Exploit Protection.

3. Vá para Configurações de programa e escolha o aplicativo ao qual você deseja aplicar mitigações.

   • Se o aplicativo que você deseja configurar já estiver listado, escolha-o e selecione Editar.
   • Se o aplicativo não estiver listado, na parte superior da lista, selecione Adicionar programa para personalizar e escolha como você deseja adicionar o aplicativo.
   • Use Adicione pelo nome do programa para que a mitigação seja aplicada a qualquer processo em execução com esse nome. Especifique um arquivo com sua extensão. Você pode inserir um caminho completo para limitar a mitigação apenas ao aplicativo com esse nome nesse local.
   • Use Escolha o caminho exato do arquivo para usar uma janela padrão do seletor de arquivos Windows Explorer para localizar e selecionar o arquivo desejado.

4. Depois de selecionar o aplicativo, você verá uma lista de todas as mitigações que podem ser aplicadas. Escolher Auditoria aplicará a mitigação somente no modo de auditoria. Você será notificado se precisar reiniciar o processo ou o aplicativo ou se precisar reiniciar o Windows.

5. Repita as etapas 3 a 4 para todos os aplicativos e mitigações que você deseja configurar.

6. Na seção As configurações do sistema localize a mitigação que você deseja definir e especifique uma das configurações a seguir. Os aplicativos que não estão configurados individualmente na seção Configurações do programa usam as configurações definidas aqui.

   • Ativado por padrão: A mitigação está ativada para aplicativos que não têm essa mitigação definida na seção específica de Configurações de programa
   • Desativado por padrão: A mitigação está desabilitada para aplicativos que não tem essa mitigação definida na seção específica de Configurações de programa
   • Uso padrão: A mitigação está tanto habilitada quanto desabilitada, dependendo da configuração padrão que está configurada na instalação do Windows 10 ou Windows 11; o valor padrão (Ativado ou Desativado) está sempre especificado próximo ao rótulo de Uso padrão para cada atenuação

7. Repita a etapa 6 para todas as mitigações no nível do sistema que você deseja configurar. Selecione Aplicar quando terminar de configurar sua configuração.

Se você adicionar um aplicativo à seção Configurações do Programa e configurar configurações de mitigação individuais lá, elas serão honradas acima da configuração para as mesmas mitigações especificadas na seção Configurações do Sistema . A matriz e os exemplos a seguir ajudam a ilustrar como os padrões funcionam:

Habilitado em Configurações do programa	Habilitado em Configurações do sistema	Comportamento
Sim	Não	Conforme definido em Configurações do programa
Sim	Sim	Conforme definido em Configurações do programa
Não	Sim	Conforme definido em Configurações do sistema
Não	Não	Padrão conforme definido na opção Uso padrão

Exemplo 1: Marcos configura a Prevenção de Execução de Dados na seção de configurações do sistema como desativada por padrão

Marcos adiciona o aplicativo test.exe à seção de Configurações do programa. Nas opções para aquele aplicativo, na Prevenção de Execução de Dados(PED), Marcos ativa a opção de Substituir as definições de sistema e muda a opção para Ativada. Não há outros aplicativos listados na seção Configurações do programa.

O resultado é que o DEP é habilitado somente para test.exe. Todos os outros aplicativos não terão DEP aplicado.

Exemplo 2: Pedro configura a Prevenção de Execução de Dados nas configurações do sistema como desativadas por padrão

Pedro adiciona o aplicativo test.exe à seção de Configurações do aplicativo. Nas opções para esse aplicativo, na Prevenção de Execução de Dados (DEP), Pedro Habilita a opção Recuperar as configurações do sistema e define a opção para Ativa.

Pedro também adiciona o aplicativo miles.exe à seção de Configuração do aplicativo e configura a Guarda de fluxo de controla (GFC) para Ativado. Pedro não ativa a opção de Substituir as configurações do sistema para DEP ou quaisquer outras mitigações para este app.

O resultado é que o DEP está habilitado para test.exe. O DEP não será habilitado para nenhum outro aplicativo, incluindo miles.exe. O CFG será habilitado para miles.exe.

1. Abra o aplicativo Segurança do Windows selecionando o ícone de escudo na barra de tarefas ou pesquisando o menu Iniciar para Segurança do Windows.

2. Selecione o bloco Controle e navegador da Web (ou o ícone na barra de menu a esquerda) e então selecione Explorar proteção.

3. Vá para Configurações de programa e escolha o aplicativo ao qual você deseja aplicar mitigações.
   

   • Se o aplicativo que você deseja configurar já estiver listado, escolha-o e selecione Editar.
   • Se o aplicativo não estiver listado, na parte superior da lista, selecione Adicionar programa para personalizar e escolha como você deseja adicionar o aplicativo.
     
     • Use Adicione pelo nome do programa para que a mitigação seja aplicada a qualquer processo em execução com esse nome. Especifique um arquivo com uma extensão. Você pode inserir um caminho completo para limitar a mitigação apenas ao aplicativo com esse nome nesse local.
     • Use Escolha o caminho exato do arquivo para usar uma janela padrão do seletor de arquivos Windows Explorer para localizar e selecionar o arquivo desejado.

4. Depois de selecionar o aplicativo, você verá uma lista de todas as mitigações que podem ser aplicadas. Escolher Auditoria aplicará a mitigação somente no modo de auditoria. Você será notificado se precisar reiniciar o processo ou o aplicativo ou se precisar reiniciar o Windows.

5. Repita as etapas 3 a 4 para todos os aplicativos e mitigações que você deseja configurar. Selecione Aplicar quando terminar de configurar sua configuração.

Intune

1. Entre no Portal do azure e abra o Intune.

2. Acesse Perfil de configuração>de> dispositivo Create perfil.

3. Nomeie o perfil, escolha Windows 10 e posterior, selecione modelos para tipo de perfil e escolha Proteção do Ponto de Extremidade no nome do modelo.

   

4. Selecione Configurar>Windows Defender Explorar Proteçãode Exploração do Guarda>.

5. Carregue um Arquivo XML com uma configuração de Exploit Protection:

   

6. Selecione OK para salvar cada folha aberta e escolha Criar.

7. Selecione o perfil Tarefas e atribua a política a Todos os Usuários e Todos os dispositivos e selecione Salvar.

MDM

Use a configuração de provedor de serviços de Internet (CPS) ./Vendor/MSFT/Policy/Config/ExploitGuard/ExploitProtectionSettings para habilitar ou desabilitar mitigações de proteção contra exploração ou usar o modo de auditoria.

Microsoft Configuration Manager

Segurança do ponto de extremidade

1. Em Microsoft Configuration Manager, vá pararedução da superfície de ataque de segurança> do ponto de extremidade.

2. Selecione Create Policy>Platform e, para Perfil, escolha Explorar Proteção. Selecione Criar.

3. Especifique um nome e uma descrição e escolha Avançar.

4. Escolha Selecione Arquivo XML e navegue até o local do arquivo XML de proteção contra exploração. Selecione o arquivo e escolha Avançar.

5. Configure Marcas de escopo e Atribuições se necessário.

6. Em Revisar e criar, analise suas definições de configuração e depois escolha Criar.

Ativos e Conformidade

1. Em Microsoft Configuration Manager, acesse Assets e Compliance>Endpoint Protection>Windows Defender Exploit Guard.

2. Selecione Home>Create Exploit Guard Policy.

3. Especifique um nome e uma descrição, seleciona Exploit protection, e escolha Avançar.

4. Navegue até o local do arquivo XML do Exploit Protection e selecione Avançar.

5. Examine as configurações e escolha Avançar para criar a política.

6. Depois que a política for criada, selecione Fechar.

Política de Grupo

1. No computador de gerenciamento de Política de Grupo, abra o Console de Gerenciamento de Política de Grupo, clique com o botão direito do mouse no Objeto de Política de Grupo que deseja configurar e selecione Editar.

2. No Editor de Gerenciamento de Política de Grupo, acesse Configuração do Computador e selecione Modelos Administrativos.

3. Expanda a árvore para componentes> do Windows Windows Defender ExploreProteção de Exploração> do Guarda >Use um conjunto comum de configurações de proteção de exploração.

4. Selecione Habilitado e digite a localização do Arquivo XML, e depois escolha OK.

PowerShell

Você pode usar o verbo do PowerShell Get ou Set com o cmdlet ProcessMitigation. Usar Get listará o status de configuração atual de quaisquer mitigações que foram habilitadas no dispositivo – adicione o cmdlet -Name e o app exe para ver mitigações apenas para esse aplicativo:

Get-ProcessMitigation -Name processName.exe

Importante

Mitigações no nível do sistema que não foram configuradas mostrarão um status de NOTSET.

• Para configurações no nível do sistema, NOTSET indica que a configuração padrão para essa mitigação foi aplicada.
• Para configurações no nível do aplicativo, NOTSET indica que a configuração no nível do sistema para a mitigação será aplicada. A configuração padrão para cada mitigação no nível do sistema pode ser vista no Segurança do Windows.

Use Set para configurar cada mitigação no seguinte formato:

Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>

Onde:

• <Escopo>:
  • -Name para indicar que as mitigações devem ser aplicadas a um aplicativo específico. Especifique o executável do aplicativo após esse sinalizador.
    • -System para indicar que a mitigação deve ser aplicada no nível do sistema
• <Ação>:
  • -Enable para habilitar a mitigação
  • -Disable para desabilitar a mitigação
• <Mitigação>:
  • A mitigação do cmdlet juntamente com quaisquer subopções (entre espaços). Cada mitigação está separada por uma vírgula.

Por exemplo, para habilitar a mitigação de Prevenção de Execução de Dados (DEP) com emulação de conversão de ATL e para um executável chamado testing.exe na pasta C:\Apps\LOB\tests, e para impedir que esse executável crie processos filho, você usaria o seguinte comando:

Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable DEP, EmulateAtlThunks, DisallowChildProcessCreation

Importante

Separe cada opção de mitigação por vírgulas.

Se você quisesse aplicar o DEP no nível do sistema, usaria o seguinte comando:

Set-Processmitigation -System -Enable DEP

Para desabilitar mitigações, você pode substituir -Enable por -Disable. No entanto, para mitigações no nível do aplicativo, essa ação força a mitigação a ser desabilitada somente para esse aplicativo.

Se precisar restaurar a mitigação de volta para o padrão do sistema, você precisará incluir o -Remove cmdlet também, como no exemplo a seguir:

Set-Processmitigation -Name test.exe -Remove -Disable DEP

As lista das tabelas a seguir, as Mitigações individuais (a Auditorias, quando disponíveis) a serem usadas com o -Enable ou -Disable parâmetros cmdlet.

Tipo de mitigação	Aplicável a	Palavra-chave de parâmetro de cmdlet de mitigação	Parâmetro de cmdlet do modo de Auditoria
Proteção de fluxo de controle (CFG)	Sistema e nível do aplicativo	CFG, StrictCFG, SuppressExports	Auditoria não disponível
Prevenção de Execução de Dados (DEP)	Sistema e nível do aplicativo	DEP, EmulateAtlThunks	Auditoria não disponível
Forçar a aleatorização para imagens (ASLR obrigatória)	Sistema e nível do aplicativo	ForceRelocateImages	Auditoria não disponível
Tornar aleatória as alocações de memória (ASLR de baixo para cima)	Sistema e nível do aplicativo	BottomUp, HighEntropy	Auditoria não disponível
Validar as correntes de exceção (SEHOP)	Sistema e nível do aplicativo	SEHOP, SEHOPTelemetry	Auditoria não disponível
Validar integridade da pilha	Sistema e nível do aplicativo	TerminateOnError	Auditoria não disponível
Proteção de código arbitrário (ACG)	Somente no nível do aplicativo	DynamicCode	AuditDynamicCode
Bloquear imagens de baixa integridade	Somente no nível do aplicativo	BlockLowLabel	AuditImageLoad
Bloquear imagens remotas	Somente no nível do aplicativo	BlockRemoteImages	Auditoria não disponível
Bloquear fontes não confiáveis	Somente no nível do aplicativo	DisableNonSystemFonts	AuditFont, FontAuditOnly
Proteção da integridade do código	Somente no nível do aplicativo	BlockNonMicrosoftSigned, AllowStoreSigned	AuditMicrosoftSigned, AuditStoreSigned
Desabilitar os pontos de extensão	Somente no nível do aplicativo	ExtensionPoint	Auditoria não disponível
Desabilitar chamadas do sistema Win32k	Somente no nível do aplicativo	DisableWin32kSystemCalls	AuditSystemCall
Não permitir processos filho	Somente no nível do aplicativo	DisallowChildProcessCreation	AuditChildProcess
Filtragem de endereços de exportação (EAF)	Somente no nível do aplicativo	EnableExportAddressFilterPlus, EnableExportAddressFilter[1]	Auditoria não disponível [2]
Filtragem de endereços de importação (IAF)	Somente no nível do aplicativo	EnableImportAddressFilter	Auditoria não disponível [2]
Simular a execução (SimExec)	Somente no nível do aplicativo	EnableRopSimExec	Auditoria não disponível [2]
Validar a invocação da API (CallerCheck)	Somente no nível do aplicativo	EnableRopCallerCheck	Auditoria não disponível [2]
Validar o uso do identificador	Somente no nível do aplicativo	StrictHandle	Auditoria não disponível
Validar a integridade da dependência da imagem	Somente no nível do aplicativo	EnforceModuleDepencySigning	Auditoria não disponível
Validar a integridade da pilha (StackPivot)	Somente no nível do aplicativo	EnableRopStackPivot	Auditoria não disponível [2]

[1]: Use o seguinte formato para habilitar módulos EAF para DLLs para um processo:

Set-ProcessMitigation -Name processName.exe -Enable EnableExportAddressFilterPlus -EAFModules dllName1.dll,dllName2.dll

[2]: A auditoria para essa mitigação não está disponível por meio de cmdlets do PowerShell.

Personalizar a notificação

Para obter informações sobre como personalizar a notificação quando uma regra é disparada e um aplicativo ou arquivo é bloqueado, consulte Segurança do Windows.

Confira também

• Avalar a proteção contra exploração
• Configurar e auditar as mitigações de proteção contra abusos
• Importar, exportar e implantar configurações da proteção de exploração

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.