Como funciona a proteção contra exploração do Windows Defender
Recomendamos há muito tempo o uso de software anti-exploit como o EMET (Enhanced Mitigation Experience Toolkit) da Microsoft ou o Malwarebytes Anti-Malware, mais amigável ao usuário, que contém um poderoso recurso anti-exploração (entre outras coisas). O EMET da Microsoft é amplamente usado em redes maiores, nas quais pode ser configurado por administradores de sistema, mas nunca foi instalado por padrão, requer configuração e tem uma interface confusa para usuários comuns.
Os programas antivírus comuns, como o próprio Windows Defender, usam definições de vírus e heurísticas para detectar programas perigosos antes que possam ser executados no sistema. Ferramentas anti-exploração realmente impedem que muitas técnicas de ataque populares funcionem, portanto, esses programas perigosos não entram no seu sistema em primeiro lugar. Eles permitem certas proteções do sistema operacional e bloqueiam técnicas comuns de exploração de memória, de modo que, se for detectado um comportamento semelhante a uma exploração, eles terminarão o processo antes que algo de ruim aconteça. Em outras palavras, eles podem proteger contra muitos ataques de dia zero antes que eles sejam corrigidos.
No entanto, eles podem causar problemas de compatibilidade, e suas configurações podem ter que ser ajustadas para diferentes programas. É por isso que o EMET era geralmente usado em redes corporativas, onde os administradores de sistemas podiam ajustar as configurações e não em PCs domésticos.
O Windows Defender agora inclui muitas dessas mesmas proteções, encontradas originalmente no EMET da Microsoft. Eles são ativados por padrão para todos e fazem parte do sistema operacional. O Windows Defender configura automaticamente as regras apropriadas para diferentes processos em execução no seu sistema. (O Malwarebytes ainda afirma que seu recurso anti-exploit é superior, e ainda recomendamos o uso do Malwarebytes, mas é bom que o Windows Defender também tenha alguns desses recursos incorporados agora.)
Esse recurso é ativado automaticamente se você tiver atualizado para a Atualização para criadores de quedas do Windows 10 e o EMET não for mais suportado. O EMET nem pode ser instalado em computadores que executam a atualização do Fall Creators. Se você já tiver o EMET instalado, ele será removido pela atualização.
A Atualização para criadores de quedas do Windows 10 também inclui um recurso de segurança relacionado chamado Acesso a pastas controladas. Ele é projetado para impedir o malware, permitindo que apenas programas confiáveis modifiquem arquivos em suas pastas de dados pessoais, como Documentos e Imagens. Ambos os recursos fazem parte do “Windows Defender Exploit Guard”. No entanto, o Acesso à Pasta Controlada não está ativado por padrão.
Como confirmar a proteção contra exploração está habilitada
Esse recurso é ativado automaticamente para todos os PCs com Windows 10. No entanto, ele também pode ser alternado para o "Modo de auditoria", permitindo que os administradores do sistema monitorem um registro do que a Proteção de exploração teria feito para confirmar que ele não causará problemas antes de ativá-lo em PCs essenciais.
Para confirmar que esse recurso está habilitado, você pode abrir o Centro de Segurança do Windows Defender. Abra o menu Iniciar, pesquise o Windows Defender e clique no atalho do Windows Defender Security Center.
Se você não vir esta seção, provavelmente seu PC ainda não atualizou para a Atualização de criadores de outono.
Como configurar a proteção contra exploração do Windows Defender
Aviso: Você provavelmente não deseja configurar esse recurso. O Windows Defender oferece muitas opções técnicas que você pode ajustar e a maioria das pessoas não sabe o que está fazendo aqui. Esse recurso é configurado com configurações padrão inteligentes que evitam problemas e a Microsoft pode atualizar suas regras com o tempo. As opções aqui parecem ter como objetivo principal ajudar os administradores de sistemas a desenvolver regras para o software e implementá-las em uma rede corporativa.
Se você quiser configurar a Proteção contra exploração, vá para o Centro de Segurança do Windows Defender> Controle de aplicativo e navegador, role para baixo e clique em "Explorar configurações de proteção" em Proteção contra exploração.
Na parte inferior da tela, você pode clicar em “Exportar configurações” para exportar suas configurações como um arquivo.xml que você pode importar em outros sistemas. A documentação oficial da Microsoft oferece mais informações sobre como implantar regras com a Diretiva de Grupo e o PowerShell.
Novamente, você realmente não deveria tocar nessas opções, a menos que saiba o que está fazendo. Os padrões são sensatos e são escolhidos por um motivo.
A interface fornece um breve resumo do que cada opção faz, mas você precisará fazer algumas pesquisas se quiser saber mais. Já explicamos o que a DEP e a ASLR fazem aqui.
Você não deve adulterar essas regras internas para processos como runtimebroker.exe e spoolsv.exe. A Microsoft os adicionou por um motivo.
Você pode adicionar regras personalizadas para programas individuais clicando em "Adicionar programa para personalizar". Você pode "Adicionar pelo nome do programa" ou "Escolher o caminho exato do arquivo", mas especificar um caminho de arquivo exato é muito mais preciso.
Novamente, você não deve tocar nessas opções, a menos que seja um administrador do sistema que deseja bloquear um aplicativo e realmente sabe o que está fazendo.
Não tente apenas restringir cegamente os aplicativos ou você terá problemas semelhantes em seu sistema. Eles serão difíceis de solucionar se você não se lembra de ter alterado as opções também.
