Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Aplica-se a: Windows Server 2025
O recurso de segurança Proteção de pilha imposta por hardware foi introduzido para proteger os processos do modo de usuário e ajudar a evitar o sequestro na pilha no Windows 10. A proteção de pilha imposta por hardware agora se estende ao modo kernel, que protege as pilhas no kernel contra ataques baseados em programação orientada a retorno (ROP). O ROP é uma maneira comum de os invasores sequestrarem o fluxo de execução de um programa e continuarem sua cadeia de ataque para executar o código desejado pelo invasor.
Agora que as pilhas do modo de usuário estão protegidas e impedem a modificação do endereço de retorno do código do modo kernel, os invasores não podem explorar vulnerabilidades de segurança de memória. Os clientes já estão vendo como a proteção de pilha imposta por hardware do modo kernel impede que drivers associados a vírus e malware executem sua carga maliciosa.
A Proteção de Pilha Imposta por Hardware no modo kernel está desativada por padrão, mas os clientes podem ativá-la se os pré-requisitos forem atendidos. Este artigo fornece mais informações sobre a Proteção de Pilha Imposta por Hardware no modo Kernel e mostra como habilitar o recurso no Aplicativo de Segurança do Windows e por meio da Política de Grupo.
Pré-requisitos
- Atualização do Windows 11 2022 ou mais recente
- Aplicativo Segurança do Windows versão 1000.25330.0.9000 ou mais recente
- Hardware que suporta Intel Control-flow Enforcement Technology (CET) ou AMD Shadow Stacks.
- Para Intel, processadores Intel Core Mobile de 11ª geração e AMD Zen 3 Core (e mais recente).
- A segurança baseada em virtualização (VBS) e a integridade de código imposta pelo hipervisor (HVCI) estão habilitadas.
Usar pilhas de sombra para impor a integridade do fluxo de controle
Com a Proteção de Pilha Imposta por Hardware no modo kernel, todas as pilhas de kernel têm uma pilha de sombra correspondente para impor a integridade de seu fluxo de controle. Se os invasores explorarem uma vulnerabilidade de segurança de memória, a próxima etapa será redirecionar o fluxo de controle de um programa para o local desejado pelo invasor.
As pilhas de sombra evitam o sequestro de fluxo de controle. O Windows usa o Control Flow Guard para impor a integridade em chamadas indiretas e a Proteção de Pilha imposta por hardware para impor a integridade em retornos para proteger contra explorações que visam redirecionar o fluxo de execução de um programa. O Control Flow Guard utiliza um bitmap para anotar destinos de salto válidos, para evitar que uma chamada indireta comprometida redirecione o fluxo de controle para locais arbitrários.
A pilha de sombra mantém uma pilha secundária (protegida por hardware) para todas as pilhas de chamadas e, sempre que uma instrução CALL ou RET envia ou coloca um valor na pilha, uma entrada correspondente reside na pilha de sombra. Quando ocorre uma incompatibilidade de endereço de retorno, o sistema aciona uma tela azul para evitar um comportamento não intencional de controle do programa.
Para obter mais informações, consulte a postagem no blog sobre Noções básicas sobre a proteção de pilha imposta por hardware.
Habilitar a proteção de pilha imposta por hardware no modo kernel na Segurança do Windows
A VBS (Segurança Baseada em Virtualização) e a HVCI (Integridade de Código Imposta pelo Hipervisor) são pré-requisitos para a Proteção de Pilha Imposta por Hardware no modo kernel, você deve primeiro garantir que esses recursos estejam habilitados antes de continuar. Eles são habilitados automaticamente em sistemas Windows que atendem aos requisitos mínimos de hardware.
Habilite o VBS e o HVCI com as seguintes etapas:
Abra o aplicativo Segurança do Windows.
Navegue até Detalhes > de isolamento do núcleo de segurança > do dispositivo Integridade da memória.
Ative o recurso.
Depois de fazer essa alteração, você precisa reiniciar o dispositivo.
Ativar a proteção de pilha imposta por hardware no modo kernel
Abra o aplicativo Segurança do Windows.
Navegue até Detalhes > de isolamento do núcleo de segurança > do dispositivo, Proteção de pilha imposta por hardware no modo kernel.
Ative o recurso.
Habilitar a proteção de pilha imposta por hardware no modo kernel no Editor de Diretiva de Grupo Local
Para clientes corporativos, a Proteção de Pilha imposta por Hardware no modo kernel pode ser habilitada usando a Política de Grupo.
Abra o Editor de Política de Grupo Local.
Navegue até Modelos > administrativos de configuração > do computador Proteção de > dispositivo do sistema > Ative a segurança baseada em virtualização.
Confirme se a segurança baseada em virtualização está habilitada.
Em Opções , localize Proteção de pilha imposta por hardware no modo kernel. Selecione Ativado no modo de imposição.
Escolha Aplicar. Então OK.
Drivers incompatíveis
Há um pequeno conjunto de drivers que ainda não são compatíveis. Os drivers que exibem comportamento potencialmente mal-intencionado, como sequestro de endereços de retorno para contornar as políticas de fluxo de controle, não são compatíveis e são adicionados à lista de bloqueios de driver vulnerável para proteção de pilha imposta por hardware no modo kernel. Depois de trabalhar com fornecedores de driver para executar a ofuscação de código de maneira compatível com a pilha de sombra, esses drivers são permitidos.
Para fornecer uma boa experiência do usuário e evitar telas azuis do computador, o Windows mantém uma lista de bloqueios de driver conhecido e incompatível para proteção de pilha imposta por hardware no modo kernel. Esses são drivers conhecidos por sequestrar endereços de retorno no kernel. Quando esse recurso está ativado, o driver não tem permissão para carregar (em vez de uma tela azul quando um sequestro de endereço de retorno é tentado). Além disso, se o sistema já tiver um driver instalado na lista de bloqueios, esse recurso não será ativado. Você pode habilitar esse recurso desinstalando o driver associado.
Revise drivers incompatíveis
O recurso não pode ser habilitado até que as incompatibilidades sejam resolvidas, seja com uma versão atualizada do fornecedor do driver ou removendo o aplicativo que instalou o driver. Para ver a lista de drivers incompatíveis, selecione "Revisar drivers incompatíveis".
Determinados aplicativos usam drivers incompatíveis com a Proteção de Pilha imposta por Hardware no modo kernel. Por exemplo, aplicativos que usam mecanismos de ofuscação para proteger o IP e ofuscar o fluxo de controle, que são incompatíveis com pilhas de sombra. Quando o driver inseguro tenta carregar com esse recurso de segurança ativado, você vê um prompt dizendo "Um driver não pode carregar neste dispositivo".
Opcionalmente, você pode desativar o recurso de segurança, embora isso diminua a segurança do seu dispositivo. Você sempre pode reativar esse recurso no aplicativo Segurança do Windows.