Connection Information

To perform the requested action, WordPress needs to access your web server. Please enter your FTP credentials to proceed. If you do not your credentials, you should your web host.

Connection Type

Connection Information

To perform the requested action, WordPress needs to access your web server. Please enter your FTP credentials to proceed. If you do not your credentials, you should your web host.

Connection Type

▷ Como a Microsoft bloqueia drivers vulneráveis ​​e mal-intencionados no Defender, ferramentas de segurança de terceiros e no Windows 11
Blogs4

Como a Microsoft bloqueia drivers vulneráveis ​​e mal-intencionados no Defender, ferramentas de segurança de terceiros e no Windows 11

Nota: O seguinte artigo irá ajudá-lo com: Como a Microsoft bloqueia drivers vulneráveis ​​e mal-intencionados no Defender, ferramentas de segurança de terceiros e no Windows 11

Os drivers de dispositivo têm tantos privilégios no Windows que, se comprometidos, podem ser usados ​​como forma de atacar o sistema e até mesmo desativar o software antimalware. Ataques recentes de malware como RobbinHood, Uroburos, Derusbi, GrayFish e Sauron usaram vulnerabilidades de driver para entrar nos sistemas. Agora o Windows 11 tem mais proteções contra isso.

VEJO: Política de instalação de software (TechRepublic)

Embora existam alguns drivers maliciosos que são deliberadamente criados para comprometer PCs, a maioria dos problemas vem de um pequeno número de drivers legítimos com falhas acidentais, disse David Weston, vice-presidente de Enterprise and OS Security da Microsoft.

“O que vemos com muito mais frequência do que drivers maliciosos são apenas drivers vulneráveis. Digamos que este driver de impressora existe desde 2006, ele tem um estouro de buffer nele: invasores que têm o de nível de o trazem com eles em ataques e o carregam como uma maneira de obter uma interface ou API no kernel. Eles pegam um driver que é confiável, que vai ar por qualquer lista confiável, carrega-o e depois o usa para derrubar o antivírus na máquina.”

Ampliando o que está bloqueado

A Microsoft bloqueia automaticamente o pequeno subconjunto de drivers que são conhecidos por terem problemas e que são frequentemente explorados assim em qualquer PC que tenha o Modo S ou o recurso de segurança baseado em virtualização HVCI (Hypervisor-Protected Code Integrity) ativado.

Além de drivers conhecidos por terem sido usados ​​por malware, há também o que Weston chama de drivers vulneráveis, que agora você pode escolher bloquear.

“A Lista de Bloqueios de Drivers Maliciosos é o nível mais alto de risco. Vimos isso ser usado por malware em estado selvagem; não há nenhuma dúvida sobre se isso precisa ser bloqueado. Depois, há a Lista de Bloqueios de Drivers Vulneráveis. Pense nisso como subir o funil: sabemos que eles são vulneráveis [to attack], não necessariamente os vimos usados ​​especificamente para hackear pessoas, mas eles poderiam, então vamos bloqueá-lo. Agora, você pode ter um dispositivo que precise deles, e é por isso que o tornamos opcional. Não queremos inibir sua experiência ou fazer com que você tome a decisão sobre funcionalidade versus segurança, então apenas recomendamos.”

Por que a Microsoft simplesmente não revoga os drivers comprometidos para que eles não possam ser executados no Windows? A revogação leva tempo e, às vezes, negociação. “A Lista de Bloqueios de Drivers Maliciosos é a nossa maneira de organizar isso de uma maneira muito mais rápida e menos impactante do que a revogação”, explicou Weston. “Pense em alguns dos casos de motorista recentemente em que um certificado vazou de um fornecedor gigante. Se revogarmos isso, os dispositivos de todos podem parar de funcionar. Precisamos de mais mecanismos de precisão para bloquear enquanto trabalhamos para uma abordagem mais longa de revogação. A Lista de Bloqueios de Drivers Vulneráveis ​​permite que o usuário faça isso com uma lista muito precisa que a Microsoft validou. Analisamos coisas como quantos dispositivos parariam de funcionar? Nós trabalhamos com um fornecedor para ter uma correção? Achamos que a lista é um bom equilíbrio para pessoas que querem segurança, mas também querem a confiança de que a Microsoft fez a telemetria e a análise.”

HVCI e a Lista de Bloqueios de Drivers Vulneráveis ​​da Microsoft estão entre as opções de segurança de hardware que agora estão ativadas por padrão em muitos PCs com Windows 11 – e esse é um dos motivos para os requisitos de sistema mais rígidos para o Windows 11. Mas eles também estão disponíveis em versões anteriores do Windows e para o Windows Server 2016 e posterior. O Windows Defender Application Control, que permite criar políticas para quais aplicativos e drivers podem ser executados em um PC, não está mais apenas à versão Enterprise do Windows. (O WDAC não precisa do HVCI para ser executado, mas o uso do HVCI para proteger o WDAC torna mais difícil para um invasor desativar essas proteções.)

Na próxima versão do Windows 11, o HVCI será habilitado por padrão em um conjunto mais amplo de dispositivos que executam o Windows 11 e que ativa a lista de bloqueio. Quando o Windows 11 foi lançado, ele só ativou o HCVI para os mais recentes processadores AMD e Intel de 12ª geração; agora, qualquer processador com a segurança de hardware correta integrada terá o HVCI ativado, incluindo processadores de 8ª geração.

Você também pode ativar a lista de bloqueio em si mesmo na seção Core isolar do Windows Security App – e o mesmo controle deslizante permite desativá-la se um de seus dispositivos parar de funcionar (embora você queira trabalhar na substituição ou atualização de dispositivos que precisam desses drivers vulneráveis ​​para evitar riscos a longo prazo).

As organizações que desejam uma lista de bloqueio mais agressiva do que a abordagem medida da Microsoft podem adicionar seus próprios drivers à lista usando o WDAC Policy Wizard.

Weston vê a nova lista como “ampliando a rede do que bloqueamos e facilitando”. No ado, os es de TI podiam obter a lista de drivers do MSDN ou TechNet, copiá-la em um arquivo XML e implantá-la; agora está integrado e, cada vez mais, aplicado por padrão.

Construindo em listas de bloqueio

A API Device Health Attestation no Windows é uma maneira não apenas de ferramentas de segurança da Microsoft, mas de opções de terceiros, como AirWatch e Mobile Iron, para proteger o agente de segurança em execução no sistema do tipo de adulteração que drivers maliciosos permitem que os invasores façam. O novo serviço de Atestado do Azure expande isso para que os desenvolvedores que usam o Azure possam definir políticas para gerenciar implantações de aplicativos com base no estado dos componentes no PC, sem precisar usar um serviço de MDM como o Intune.

“Se você tem um aplicativo em contêiner e quer dizer: ‘Ei, antes que meu aplicativo em contêiner seja implantado, quero saber coisas sobre esse sistema’, você pode fazer isso”, explica Weston. Isso pode ser a integração com o Azure AD ou um provedor de identidade Open ID Connect, ou pode estar analisando quais são as políticas de integridade de código no dispositivo. “Você pode dizer que quero essa lista de permissões específica ou quero essa lista de bloqueio específica e, se não estiver lá, não quero que meu aplicativo seja executado.”

Isso pode permitir que você verifique o estado de um PC antes de permitir, digamos, que o software de o remoto seja usado. Ou pode permitir que um estúdio de jogos defina políticas anti-fraude, sugeriu ele. “Eles podem dizer que vou usar o serviço de Atestado do Azure para garantir que a lista de bloqueios que bloqueia todos os drivers de trapaça esteja na máquina. Você pode criar um anti-fraude muito leve e de alta segurança dizendo: vou configurar uma política HVCI que será aplicada pelo hipervisor e, antes que meu jogo comece, quero ter certeza de que a política foi carregada no sistema .”

Procure mais código de exemplo e orientações sobre como usá-lo em breve, bem como integração mais simples com provedores de identidade de terceiros.

Sistemas mais limpos precisam de instalações limpas

Ativar HVCI e WDAC (ou implantar novos dispositivos que tenham esses recursos ativados por padrão) é onde Weston sugere começar. Mas como qualquer lista de bloqueio é, por definição, incompleta, a solução a longo prazo é inverter a abordagem e permitir apenas software seguro conhecido. “Sabemos que a maneira de parar o malware não é [play] whack-a-mole. É reduzir o número de coisas que podem ser executadas no seu dispositivo para exatamente o que você precisa.”

Essa é a teoria por trás do recurso de controle de aplicativo inteligente que vem na próxima versão do Windows 11 como uma extensão do WDAC que traz o valor central do Windows 10 S Mode (“dezenas de milhões de usuários e nenhum malware generalizado”) para um usuário muito mais amplo base. Isso restringe os usuários a apenas aplicativos assinados, executando um serviço de de código do Azure que torna o código de ível e revoga imediatamente quaisquer certificados de usados ​​para malware por meio do serviço Defender, com isenções que permitem aos usuários instalar aplicativos não assinados que já foram usados ​​por outros pessoas para obter uma reputação como segura.

Assim como o HVCI, as listas de bloqueio de drivers e os outros recursos de segurança que estão ativados por padrão no Windows 11, o controle de aplicativos inteligentes só estará ativado por padrão se você comprar um novo PC com Windows 11 ou fizer uma instalação limpa.

“Precisamos ser capazes de executar o driver profiler e ter certeza de que não bloqueamos um de seus drivers de inicialização, o que seria ruim; precisamos executar o sysprep”, explicou Weston. Espere que a Microsoft comece a ser mais explícita sobre isso no futuro, para garantir que as pessoas estejam recebendo as proteções incorporadas ao Windows 11.