pt.phhsnews.com


pt.phhsnews.com / Como a nova proteção de exploração do Windows Defender funciona (e como configurá-la)

Como a nova proteção de exploração do Windows Defender funciona (e como configurá-la)


finalmente adiciona proteção de exploração integrada ao Windows. Você anteriormente tinha que procurar isso na forma da ferramenta EMET da Microsoft. Agora é parte do Windows Defender e é ativado por padrão

Como funciona a proteção contra exploração do Windows Defender

RELACIONADO: O que há de novo na atualização para criadores de outono do Windows 10, disponível agora

- Explorar software como o EMET (Enhanced Mitigation Experience Toolkit) da Microsoft ou o Malwarebytes Anti-Malware, mais fácil de usar, que contém um poderoso recurso anti-exploit (entre outras coisas). O EMET da Microsoft é amplamente usado em redes maiores, onde pode ser configurado por administradores de sistema, mas nunca foi instalado por padrão, requer configuração e possui uma interface confusa para usuários comuns.

Programas antivírus comuns, como o próprio Windows Defender, usam definições de vírus e heurísticas para capturar programas perigosos antes que eles possam ser executados em seu sistema. Ferramentas anti-exploit na verdade impedem que muitas técnicas de ataque populares funcionem, então esses programas perigosos não entram no seu sistema em primeiro lugar. Eles permitem certas proteções do sistema operacional e bloqueiam técnicas comuns de exploração de memória, de modo que, se for detectado um comportamento do tipo exploit, eles terminarão o processo antes que algo ruim aconteça. Em outras palavras, eles podem proteger contra muitos ataques de dia zero antes de serem corrigidos.

No entanto, eles podem causar problemas de compatibilidade, e suas configurações podem ter que ser ajustadas para diferentes programas. É por isso que o EMET era geralmente usado em redes corporativas, onde os administradores de sistemas podiam ajustar as configurações, e não em PCs domésticos. O Windows Defender agora inclui muitas dessas mesmas proteções, que foram originalmente encontradas no EMET da Microsoft. Eles são habilitados por padrão para todos e fazem parte do sistema operacional. O Windows Defender configura automaticamente as regras apropriadas para diferentes processos em execução no seu sistema. (O Malwarebytes ainda afirma que seu recurso anti-exploit é superior, e ainda recomendamos o uso do Malwarebytes, mas é bom que o Windows Defender também tenha alguns desses recursos incorporados agora.)

Esse recurso é habilitado automaticamente se você tiver atualizado a Atualização de criadores de quedas do Windows 10 e o EMET não é mais suportado. O EMET nem pode ser instalado em PCs que executam a atualização do Fall Creators. Se você já tiver o EMET instalado, ele será removido pela atualização.

RELACIONADO:

Como proteger seus arquivos do ransomware Com o novo “Acesso à Pasta Controlada” do Windows Defender A Atualização dos criadores de quedas do Windows 10 também inclui recurso de segurança relacionado chamado Acesso à Pasta Controlada. Ele é projetado para impedir o malware, permitindo que apenas programas confiáveis ​​modifiquem arquivos em suas pastas de dados pessoais, como Documentos e Imagens. Ambos os recursos fazem parte do “Windows Defender Exploit Guard”. No entanto, o Acesso à Pasta Controlada não está habilitado por padrão

Como Confirmar se a Proteção à Exploração está Ativada

Esse recurso é ativado automaticamente para todos os PCs com Windows 10. No entanto, ele também pode ser alternado para “Audit mode”, permitindo que os administradores de sistemas monitorem um log do que a Exploit Protection teria feito para confirmar que ele não causará nenhum problema antes de habilitá-lo em PCs críticos.

estiver ativado, você pode abrir o Centro de Segurança do Windows Defender. Abra o menu Iniciar, procure o Windows Defender e clique no atalho do Centro de Segurança do Windows Defender

Clique no ícone “App & browser control” em forma de janela na barra lateral. Role para baixo e você verá a seção "Exploit protection". Ele informará que esse recurso está habilitado.

Se você não vir esta seção, seu PC provavelmente ainda não atualizou para a Atualização de criadores do outono

Como configurar a proteção contra exploração do Windows Defender

Aviso

: Você provavelmente não deseja configurar esse recurso. O Windows Defender oferece muitas opções técnicas que você pode ajustar, e a maioria das pessoas não sabe o que está fazendo aqui. Esse recurso é configurado com configurações padrão inteligentes que evitam problemas e a Microsoft pode atualizar suas regras com o tempo. As opções aqui parecem ter como objetivo principal ajudar os administradores de sistemas a desenvolver regras para software e distribuí-las em uma rede corporativa. Se você quiser configurar a Proteção contra exploração, vá para o Centro de Segurança do Windows Defender> Controle de aplicativo e navegador, role para baixo e clique em "Exploit protection settings" em Proteção contra exploração.

Você verá duas guias aqui: Configurações do sistema e Programa configurações. As configurações do sistema controlam as configurações padrão usadas para todos os aplicativos, enquanto as configurações do programa controlam as configurações individuais usadas para vários programas. Em outras palavras, as configurações do programa podem substituir as configurações do sistema para programas individuais. Eles podem ser mais restritivos ou menos restritivos.

Na parte inferior da tela, você pode clicar em “Exportar configurações” para exportar suas configurações como um arquivo .xml que pode importar em outros sistemas. A documentação oficial da Microsoft oferece mais informações sobre a implantação de regras com a Diretiva de Grupo e PowerShell.

Na guia Configurações do sistema, você verá as seguintes opções: Proteção de fluxo de controle (CFG), Prevenção de execução de dados (DEP), Forçar aleatoriedade para imagens (ASLR obrigatório), alocar aleatoriamente as alocações de memória (ASLR de baixo para cima), validar cadeias de exceções (SEHOP) e validar integridade de heap. Eles estão todos por padrão, exceto a opção Forçar randomização para imagens (ASLR obrigatório). Isso é provável porque o ASLR obrigatório causa problemas em alguns programas, portanto, você pode ter problemas de compatibilidade se você o ativar, dependendo dos programas que você executa.

Novamente, você não deve tocar nessas opções a menos que saiba o que está fazendo. fazendo. Os padrões são sensatos e são escolhidos por um motivo.

RELATED:

Por que a versão de 64 bits do Windows é mais segura A interface fornece um breve resumo do que cada opção faz, mas você tem que fazer alguma pesquisa se você quiser saber mais. Nós explicamos anteriormente o que o DEP e o ASLR fazem aqui.

Clique na guia “Program settings” e você verá uma lista de diferentes programas com configurações personalizadas. As opções aqui permitem que as configurações gerais do sistema sejam substituídas. Por exemplo, se você selecionar “iexplore.exe” na lista e clicar em “Editar”, verá que a regra aqui ativa habilmente o ASLR obrigatório para o processo do Internet Explorer, mesmo que não esteja habilitado por padrão em todo o sistema.

Você não deve mexer com essas regras internas para processos como runtimebroker.exe e spoolsv.exe. A Microsoft os adicionou por um motivo.

Você pode adicionar regras personalizadas para programas individuais clicando em "Adicionar programa para personalizar". Você pode "Adicionar por nome de programa" ou "Escolher caminho de arquivo exato", mas especificar um caminho de arquivo exato é muito mais preciso.

Uma vez adicionado, você pode encontrar uma longa lista de configurações que não serão significativas para a maioria pessoas. A lista completa de configurações disponíveis aqui é: Proteção de código arbitrário (ACG), Bloqueio de imagens de baixa integridade, Bloqueio de imagens remotas, Bloqueio de fontes não confiáveis, Proteção de integridade de código, Proteção de fluxo de controle (CFG), Prevenção de execução de dados (DEP) Desativar chamadas do sistema Win32k, Não permitir processos filho, Exportar filtragem de endereço (EAF), Forçar aleatoriedade para imagens (ASLR obrigatório), Importar Filtragem de Endereço (IAF), Alocar aleatoriamente alocações de memória (ASLR de baixo para cima), Simular execução (SimExec) , Validar chamada de API (CallerCheck), Validar cadeias de exceções (SEHOP), Validar uso de identificadores, Validar integridade de heap, Validar integridade de dependência de imagem e Validar integridade de pilha (StackPivot).

Novamente, você não deve tocar nessas opções, a menos que você é um administrador do sistema que deseja bloquear um aplicativo e você realmente sabe o que está fazendo.

Como teste, ativamos todas as opções do iexplore.exe e tentamos ativá-lo. O Internet Explorer apenas mostrou uma mensagem de erro e recusou-se a ser iniciado. Nós nem sequer vimos uma notificação do Windows Defender explicando que o Internet Explorer não estava funcionando por causa de nossas configurações.

Não tente apenas restringir cegamente os aplicativos, senão causará problemas semelhantes em seu sistema. Eles serão difíceis de solucionar se você não se lembra de ter alterado as opções também.

Se você ainda usa uma versão mais antiga do Windows, como o Windows 7, pode obter recursos de proteção de exploração instalando o EMET ou o Malwarebytes da Microsoft. No entanto, o suporte para o EMET será interrompido em 31 de julho de 2018, pois a Microsoft deseja impulsionar as empresas para o Windows 10 e a Proteção contra exploração do Windows Defender.


Onde devo vender minhas coisas? eBay vs. Craigslist x Amazon

Onde devo vender minhas coisas? eBay vs. Craigslist x Amazon

Então você desempacotou um novo iPad brilhante (ou laptop, ou câmera, ou outro gadget) e é hora de se livrar do antigo. Por que não fazer alguns dólares no processo? Aqui está o problema: há tantos lugares para vender suas coisas online! A maioria das pessoas sabe que cada canal tem suas próprias vantagens e desvantagens, mas você sabia que alguns sites podem ser melhores para alguns itens do que para outros?

(how-top)

Como instalar o Android no VirtualBox

Como instalar o Android no VirtualBox

Se você está com coceira experimente o Android, mas não necessariamente quer usar todo o seu computador para a tarefa, a melhor opção é executá-lo em um máquina virtual usando o VirtualBox. Na verdade, é muito fácil de configurar e oferecerá a experiência completa do Android em questão de alguns minutos.

(how-top)