Da Microsoft Atualização de criadores de outono finalmente adiciona proteção de exploit integrada ao Windows. Anteriormente, você precisava buscar isso na forma da ferramenta EMET da Microsoft. Agora faz parte do Windows Defender e é ativado por padrão.
Como funciona a proteção contra exploração do Windows Defender
RELACIONADOS: O que há de novo na atualização para criadores de outono do Windows 10, já disponível
Há muito que recomendamos usando software anti-exploit como o Enhanced Mitigation Experience Toolkit (EMET) da Microsoft ou o mais amigável Malwarebytes Anti-Malware , que contém um poderoso recurso anti-exploit (entre outras coisas). EMET da Microsoft é amplamente usado em redes maiores onde pode ser configurado por administradores de sistema, mas nunca foi instalado por padrão, requer configuração e tem uma interface confusa para usuários comuns.
Programas antivírus típicos, como Windows Defender em si, use definições de vírus e heurísticas para detectar programas perigosos antes que eles possam ser executados em seu sistema. Na verdade, as ferramentas anti-exploit impedem que muitas técnicas populares de ataque funcionem, de modo que esses programas perigosos não entrem em seu sistema em primeiro lugar. Eles habilitam certas proteções do sistema operacional e bloqueiam técnicas comuns de exploração de memória, de modo que, se um comportamento semelhante a exploração for detectado, eles encerrarão o processo antes que algo de ruim aconteça. Em outras palavras, eles podem proteger contra muitos ataques de dia zero antes de serem corrigidos.
No entanto, eles podem causar problemas de compatibilidade e suas configurações podem precisar ser ajustadas para diferentes programas. É por isso que o EMET era geralmente usado em redes corporativas, onde os administradores de sistema podiam ajustar as configurações, e não em PCs domésticos.
O Windows Defender agora inclui muitas dessas mesmas proteções, que foram originalmente encontradas no EMET da Microsoft. Eles são ativados por padrão para todos e fazem parte do sistema operacional. O Windows Defender configura automaticamente as regras apropriadas para diferentes processos em execução no seu sistema. ( O Malwarebytes ainda afirma que seu recurso anti-exploit é superior , e ainda recomendamos o uso do Malwarebytes, mas é bom que o Windows Defender tenha um pouco disso integrado agora também.)
Este recurso é habilitado automaticamente se você atualizou para o Windows 10’s Fall Creators Update e o EMET não é mais compatível. O EMET nem mesmo pode ser instalado em PCs que executam o Fall Creators Update. Se você já instalou o EMET, ele será removido pela atualização .
RELACIONADOS: Como proteger seus arquivos de ransomware com o novo "Acesso a pastas controladas" do Windows Defender
A atualização de criadores de outono do Windows 10 também inclui um recurso de segurança relacionado chamado Acesso a pasta controlada . Ele foi projetado para impedir malware, permitindo apenas que programas confiáveis modifiquem arquivos em suas pastas de dados pessoais, como Documentos e Imagens. Ambos os recursos fazem parte do “Windows Defender Exploit Guard”. No entanto, o acesso controlado à pasta não é habilitado por padrão.
Como confirmar se a proteção de exploração está ativada
Este recurso é habilitado automaticamente para todos os PCs com Windows 10. No entanto, ele também pode ser alternado para o “modo de auditoria”, permitindo que os administradores do sistema monitorem um registro do que o Exploit Protection teria feito para confirmar que não causaria problemas antes de habilitá-lo em PCs críticos.
Para confirmar se esse recurso está habilitado, você pode abrir a Central de Segurança do Windows Defender. Abra o menu Iniciar, procure Windows Defender e clique no atalho da Central de Segurança do Windows Defender.
Clique no ícone em forma de janela “App & navegador control” na barra lateral. Role para baixo e você verá a seção "Proteção contra exploração". Ele irá informá-lo de que esse recurso está ativado.
Se você não vê esta seção, seu PC provavelmente ainda não foi atualizado para a atualização de criadores de outono.
Como configurar a proteção de exploração do Windows Defender
Atenção : Você provavelmente não deseja configurar este recurso. O Windows Defender oferece muitas opções técnicas que você pode ajustar, e a maioria das pessoas não saberá o que estão fazendo aqui. Este recurso é configurado com configurações padrão inteligentes que evitarão causar problemas e a Microsoft pode atualizar suas regras com o tempo. As opções aqui parecem ter como objetivo principal ajudar os administradores de sistema a desenvolver regras para software e implementá-las em uma rede corporativa.
Se você deseja configurar a proteção contra exploit, vá para Windows Defender Security Center> Controle de aplicativo e navegador, role para baixo e clique em “Configurações de proteção contra exploit” em Proteção contra exploit.
Você verá duas guias aqui: Configurações do sistema e configurações do programa. As configurações do sistema controlam as configurações padrão usadas para todos os aplicativos, enquanto as configurações do programa controlam as configurações individuais usadas para vários programas. Em outras palavras, as configurações do programa podem substituir as configurações do sistema para programas individuais. Eles podem ser mais restritivos ou menos restritivos.
Na parte inferior da tela, você pode clicar em “Exportar configurações” para exportar suas configurações como um arquivo .xml que pode ser importado em outros sistemas. A documentação oficial da Microsoft oferece mais informações sobre implantação de regras com a Política de Grupo e PowerShell.
Na guia Configurações do sistema, você verá as seguintes opções: Protetor de fluxo de controle (CFG), Prevenção de execução de dados (DEP), Forçar randomização para imagens (ASLR obrigatório), Randomizar alocações de memória (ASLR ascendente), Validar cadeias de exceção (SEHOP) e Validar integridade de heap. Eles estão todos ativados por padrão, exceto a opção Forçar randomização para imagens (ASLR obrigatório). Provavelmente isso ocorre porque o ASLR obrigatório causa problemas com alguns programas, então você pode ter problemas de compatibilidade se ativá-lo, dependendo dos programas que executa.
Novamente, você realmente não deve tocar nessas opções, a menos que saiba o que está fazendo. Os padrões são razoáveis e escolhidos por um motivo.
RELACIONADOS: Por que a versão de 64 bits do Windows é mais segura
A interface fornece um breve resumo do que cada opção faz, mas você terá que fazer algumas pesquisas se quiser saber mais. Já explicamos o que DEP e ASLR fazem aqui .
Clique na guia “Configurações do programa” e você verá uma lista de diferentes programas com configurações personalizadas. As opções aqui permitem que as configurações gerais do sistema sejam substituídas. Por exemplo, se você selecionar “iexplore.exe” na lista e clicar em “Editar”, você verá que a regra aqui habilita o ASLR obrigatório para o processo do Internet Explorer, mesmo que não seja habilitado por padrão em todo o sistema.
Você não deve adulterar essas regras integradas para processos como runtimebroker.exe e spoolsv.exe . A Microsoft os adicionou por um motivo.
Você pode adicionar regras personalizadas para programas individuais clicando em “Adicionar programa para personalizar”. Você pode “Adicionar por nome de programa” ou “Escolher caminho de arquivo exato”, mas especificar um caminho de arquivo exato é muito mais preciso.
Uma vez adicionado, você pode encontrar uma longa lista de configurações que não serão significativas para a maioria das pessoas. A lista completa de configurações disponíveis aqui é: Proteção de código arbitrário (ACG), Bloquear imagens de baixa integridade, Bloquear imagens remotas, Bloquear fontes não confiáveis, Proteção de integridade de código, Proteção de fluxo de controle (CFG), Prevenção de execução de dados (DEP), Desativar pontos de extensão , Desabilitar chamadas de sistema Win32k, Não permitir processos filho, Filtragem de endereço de exportação (EAF), Forçar randomização para imagens (ASLR obrigatório), Filtragem de endereço de importação (IAF), Alocação de memória aleatória (ASLR de baixo para cima), Simular execução (SimExec) , Validar invocação de API (CallerCheck), Validar cadeias de exceção (SEHOP), Validar uso de identificador, Validar integridade de heap, Validar integridade de dependência de imagem e Validar integridade de pilha (StackPivot).
Novamente, você não deve tocar nessas opções, a menos que seja um administrador de sistema que deseja bloquear um aplicativo e realmente saiba o que está fazendo.
Como teste, habilitamos todas as opções do iexplore.exe e tentamos iniciá-lo. O Internet Explorer apenas mostrou uma mensagem de erro e se recusou a iniciar. Nem vimos uma notificação do Windows Defender explicando que o Internet Explorer não estava funcionando por causa de nossas configurações.
Não tente restringir cegamente os aplicativos, ou você causará problemas semelhantes em seu sistema. Eles serão difíceis de solucionar se você não se lembrar de que alterou as opções também.
Se você ainda usa uma versão mais antiga do Windows, como o Windows 7, pode obter recursos de proteção contra exploits instalando EMET da Microsoft ou Malwarebytes . No entanto, o suporte para EMET será interrompido em 31 de julho de 2018, já que a Microsoft deseja impulsionar as empresas para o Windows 10 e a proteção contra exploração do Windows Defender.
