Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Observação
Algumas capacidades do Controlo de Aplicações para Empresas só estão disponíveis em versões específicas do Windows. Saiba mais sobre a disponibilidade das funcionalidades do Controlo de Aplicações.
A Microsoft tem requisitos rigorosos para o código em execução no kernel. Assim, os atores maliciosos estão a recorrer à exploração de vulnerabilidades em controladores de kernel legítimos e assinados para executar software maligno no kernel. Uma das muitas vantagens da plataforma Windows é a nossa forte colaboração com fornecedores independentes de hardware (IHVs) e OEMs. A Microsoft trabalha em estreita colaboração com os nossos IHVs e a comunidade de segurança para garantir o nível mais elevado de segurança de controladores para os nossos clientes. Quando são encontradas vulnerabilidades nos controladores, trabalhamos com os nossos parceiros para garantir que são rapidamente corrigidos e implementados no ecossistema. A lista de bloqueios de controladores vulneráveis foi concebida para ajudar a proteger sistemas contra controladores não desenvolvidos pela Microsoft em todo o ecossistema do Windows com qualquer um dos seguintes atributos:
- Vulnerabilidades de segurança conhecidas que podem ser exploradas por atacantes para elevar privilégios no kernel do Windows
- Comportamentos maliciosos (software maligno) ou certificados utilizados para assinar software maligno
- Comportamentos que não são maliciosos, mas contornam o Modelo de Segurança do Windows e podem ser explorados por atacantes para elevar privilégios no kernel do Windows
Os controladores podem ser submetidos à Microsoft para análise de segurança na página Submissão de Controlador Inteligência de Segurança da Microsoft. Para obter mais informações sobre a submissão de controladores, veja Melhorar a segurança do kernel com o novo Centro de Relatórios de Controladores Vulneráveis e Maliciosos da Microsoft. Para comunicar um problema ou pedir uma alteração à lista de bloqueios, incluindo atualizar uma regra de bloco depois de um controlador ser corrigido, visite o portal Inteligência de Segurança da Microsoft.
Observação
Bloquear controladores pode fazer com que dispositivos ou software falhem e, em casos raros, levar a um ecrã azul. Não é garantido que a lista de bloqueios de controladores vulneráveis bloqueie todos os controladores com vulnerabilidades. A Microsoft tenta equilibrar os riscos de segurança de controladores vulneráveis com o potencial impacto na compatibilidade e fiabilidade para produzir a lista de bloqueios. Como sempre, a Microsoft recomenda a utilização de uma abordagem explícita da lista de permissões para a segurança sempre que possível.
Lista de bloqueios de controladores vulneráveis da Microsoft
Com Windows 11 atualização de 2022, a lista de bloqueio de controladores vulneráveis está ativada por predefinição para todos os dispositivos e pode ser ativada ou desativada através da aplicação Segurança do Windows. Exceto no Windows Server 2016, a lista de bloqueios de controladores vulneráveis também é imposta quando a integridade da memória (também conhecida como integridade de código protegida por hipervisor ou HVCI), Controlo de Aplicações Inteligentes ou modo S está ativa. Os utilizadores podem optar ativamente por participar no HVCI com a aplicação Segurança do Windows e o HVCI está ativado por predefinição para a maioria dos novos dispositivos Windows 11.
Observação
Segurança do Windows é atualizado separadamente do SO e é enviado de imediato. A versão com o botão de alternar da lista de bloqueio de controladores vulnerável está na cadência de validação final e será enviada para todos os clientes muito em breve. Inicialmente, só poderá ver o estado de configuração e o botão de alternar aparecerá desativado. A capacidade de ativar ou desativar o botão de alternar será disponibilizada com uma futura atualização do Windows.
Para utilizadores do Windows Insider, a opção para ativar ou desativar a lista de bloqueios de controladores vulneráveis da Microsoft com Segurança do Windows definições fica desativada quando o HVCI, o Controlo de Aplicações Inteligentes ou o modo S estão ativados. Tem de desativar o HVCI ou o Controlo de Aplicações Inteligentes, ou sair do modo S e reiniciar o dispositivo antes de poder desativar a lista de bloqueios de controladores vulneráveis da Microsoft.
A lista de bloqueios é atualizada com cada nova versão principal do Windows, normalmente 1 a 2 vezes por ano. A lista de bloqueios mais atual também está agora disponível para utilizadores Windows 10 20H2 e Windows 11 21H2 como uma atualização opcional do Windows Update. Ocasionalmente, a Microsoft publicará atualizações futuras através da manutenção regular do Windows.
Os clientes que querem sempre a lista de bloqueio de controladores mais atualizada também podem utilizar o Controlo de Aplicações para Empresas para aplicar a lista de bloqueios de controladores recomendada mais recente. Para sua comodidade, fornecemos uma transferência da lista de bloqueios de controladores vulneráveis mais atualizada, juntamente com instruções para aplicá-la no seu computador no final deste artigo.
Bloquear controladores vulneráveis com o Controlo de Aplicações
A Microsoft recomenda ativar o HVCI ou o modo S para proteger os seus dispositivos contra ameaças de segurança. Se esta definição não for possível, a Microsoft recomenda bloquear esta lista de controladores na sua política de Controlo de Aplicações para Empresas existente. Bloquear controladores de kernel sem testes suficientes pode fazer com que dispositivos ou software falhem e, em casos raros, ecrã azul. Recomenda-se validar primeiro esta política no modo de auditoria e rever os eventos do bloco de auditoria.
Importante
A Microsoft também recomenda ativar a regra de Redução da Superfície de Ataque (ASR) Bloquear o abuso de controladores assinados vulneráveis explorados para impedir que uma aplicação escreva um controlador com assinatura vulnerável no disco. A regra do ASR não bloqueia o carregamento de um controlador já existente no sistema. No entanto, ativar a lista de bloqueios de controladores vulneráveis da Microsoft ou aplicar esta política de Controlo de Aplicações impedirá o carregamento do controlador existente.
Passos para transferir e aplicar o binário da lista de bloqueios de controladores vulneráveis
Se preferir aplicar a lista de bloqueios de controladores vulneráveis, siga estes passos:
- Transferir a ferramenta de atualização da política de Controlo de Aplicações
- Transferir e extrair os binários vulneráveis da lista de bloqueio de controladores
- Selecione a versão apenas de auditoria ou a versão imposta e mude o nome do ficheiro para SiPolicy.p7b
- Copiar SiPolicy.p7b para %windir%\system32\CodeIntegrity
- Execute a ferramenta de atualização da política de Controlo de Aplicações que transferiu no Passo 1 acima para ativar e atualizar todas as políticas de Controlo de Aplicações no seu computador
Para marcar que a política foi aplicada com êxito no computador:
- Abra o Visualizador de Eventos
- Navegar para Registos de Aplicações e Serviços – Microsoft – Windows – Integridade do Código – Operacional
- Selecione Filtrar Registo Atual...
- Substitua "<Todos os IDs de Evento"> por "3099" e selecione OK.
- Procure um evento 3099 em que policyNameBuffer e PolicyIdBuffer correspondam às definições Name e Id PolicyInfo encontradas na parte inferior do XML da Política de Controlo de Aplicações da lista de bloqueios neste artigo. NOTA: o seu computador poderá ter mais do que um evento 3099 se também estiverem presentes outras políticas de Controlo de Aplicações.
Observação
Se já estiverem a ser executados controladores vulneráveis que sejam bloqueados pela política, tem de reiniciar o computador para que esses controladores sejam bloqueados. Os processos em execução não são encerrados ao ativar uma nova política de Controlo de Aplicações sem reinício.
XML da lista de bloqueios de controladores vulneráveis
O ficheiro de política xml da lista de bloqueios recomendado pode ser transferido a partir do Centro de Transferências da Microsoft.
Esta política contém a opção Permitir Todas as regras. Se a sua versão do Windows suportar várias políticas de Controlo de Aplicações, recomendamos que implemente esta política juntamente com quaisquer políticas de Controlo de Aplicações existentes. Se planear intercalar esta política com outra política, poderá ter de remover as regras Permitir Tudo antes de a intercalar se a outra política aplicar uma lista de permissões explícita. Para obter mais informações, veja Criar uma Política de Negação de Controlo de Aplicações.
Observação
Para utilizar esta política com Windows Server 2016, tem de converter o XML de política num dispositivo com um sistema operativo mais recente.