Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Observação
Algumas capacidades do Controlo de Aplicações para Empresas só estão disponíveis em versões específicas do Windows. Saiba mais sobre a disponibilidade das funcionalidades do Controlo de Aplicações.
A Microsoft tem requisitos rigorosos para o código em execução no kernel. Assim, os atores maliciosos estão a recorrer à exploração de vulnerabilidades em controladores de kernel legítimos e assinados para executar software maligno no kernel. Uma das muitas vantagens da plataforma Windows é a nossa forte colaboração com fornecedores independentes de hardware (IHVs) e OEMs. A Microsoft trabalha em estreita colaboração com os nossos IHVs e a comunidade de segurança para garantir o nível mais elevado de segurança de controladores para os nossos clientes. Quando são encontradas vulnerabilidades nos controladores, trabalhamos com os nossos parceiros para garantir que são rapidamente corrigidos e implementados no ecossistema. A lista de bloqueios de controladores vulneráveis foi concebida para ajudar a proteger sistemas contra controladores não desenvolvidos pela Microsoft em todo o ecossistema do Windows com qualquer um dos seguintes atributos:
- Vulnerabilidades de segurança conhecidas que um atacante pode explorar para elevar privilégios no kernel do Windows
- Comportamentos maliciosos (software maligno) ou certificados utilizados para assinar software maligno
- Comportamentos que não são maliciosos, mas contornam o Modelo de Segurança do Windows e um atacante podem explorar para elevar privilégios no kernel do Windows
Os controladores podem ser submetidos à Microsoft para análise de segurança na página Submissão de Controlador Inteligência de Segurança da Microsoft. Para obter mais informações sobre a submissão de controladores, veja Melhorar a segurança do kernel com o novo Centro de Relatórios de Controladores Vulneráveis e Maliciosos da Microsoft. Para comunicar um problema ou pedir uma alteração à lista de bloqueios, incluindo atualizar uma regra de bloco assim que estiver disponível uma versão fixa de um controlador, visite o portal do Inteligência de Segurança da Microsoft.
Observação
Bloquear controladores pode fazer com que dispositivos ou software falhem e, em casos raros, levar a um ecrã azul. Não é garantido que a lista de bloqueios de controladores vulneráveis bloqueie todos os controladores com vulnerabilidades. Quando produzimos a lista de bloqueios, a Microsoft tenta equilibrar os riscos de segurança de controladores vulneráveis com o potencial efeito na compatibilidade e fiabilidade. A lista de bloqueios incluída neste artigo e nos ficheiros transferíveis associados normalmente contém um conjunto mais completo de controladores vulneráveis conhecidos do que a versão no SO e fornecida por Windows Update. Muitas vezes, é necessário reter alguns blocos para evitar quebrar as funcionalidades existentes enquanto trabalhamos com os nossos parceiros que estão a envolver os seus utilizadores a atualizar para versões corrigidas. Como sempre, a Microsoft recomenda a utilização de uma abordagem de lista de permissões explícita à segurança sempre que possível, mas quando isso não for viável, a utilização desta lista de bloqueios é uma ferramenta crítica para perturbar os atores maliciosos.
Lista de bloqueios de controladores vulneráveis da Microsoft
Desde a atualização de Windows 11 2022, a lista de bloqueio de controladores vulneráveis está ativada por predefinição para todos os dispositivos e pode ser ativada ou desativada através da aplicação Segurança do Windows. Exceto no Windows Server 2016, a lista de bloqueios de controladores vulneráveis também é imposta quando a integridade da memória, também conhecida como integridade de código protegida por hipervisor (HVCI), Controlo de Aplicações Inteligentes ou modo S está ativa. Os utilizadores podem optar ativamente por participar no HVCI com a aplicação Segurança do Windows e o HVCI está ativado por predefinição para a maioria dos novos dispositivos Windows 11.
A lista de bloqueios é atualizada trimestralmente. Além disso, as atualizações da lista de bloqueios são fornecidas através das atualizações mensais do Windows como parte do processo de manutenção padrão para ajudar a proteger os clientes.
Os clientes que querem sempre a lista de bloqueio de controladores mais atualizada também podem utilizar o Controlo de Aplicações para Empresas para aplicar a lista de bloqueios de controladores recomendada mais recente incluída neste artigo. Para sua comodidade, fornecemos uma transferência da lista de bloqueios de controladores vulneráveis mais atualizada, juntamente com instruções para aplicá-la no seu computador no final deste artigo.
Bloquear controladores vulneráveis com o Controlo de Aplicações
A Microsoft recomenda ativar o HVCI ou o modo S para proteger os seus dispositivos contra ameaças de segurança. Se esta definição não for possível, a Microsoft recomenda bloquear esta lista de controladores na sua política de Controlo de Aplicações para Empresas existente. Bloquear controladores de kernel sem testes suficientes pode fazer com que dispositivos ou software falhem e, em casos raros, ecrã azul. Primeiro, deve validar esta política no modo de auditoria e rever os eventos do bloco de auditoria antes de implementar uma versão imposta.
Importante
A Microsoft também recomenda ativar a regra Redução da Superfície de Ataque (ASR) Bloquear o abuso de controladores assinados vulneráveis explorados para impedir que uma aplicação escreva um controlador com assinatura vulnerável no disco. A regra do ASR não bloqueia o carregamento de um controlador já existente no sistema. No entanto, ativar a lista de bloqueios de controladores vulneráveis da Microsoft ou aplicar esta política de Controlo de Aplicações impede o carregamento do controlador existente.
Passos para transferir e aplicar o binário da lista de bloqueios de controladores vulneráveis
Se preferir aplicar a lista de bloqueios de controladores vulneráveis, siga estes passos:
- Transferir a ferramenta de atualização da política de Controlo de Aplicações
- Transferir e extrair os binários vulneráveis da lista de bloqueio de controladores
- Selecione a versão apenas de auditoria ou a versão imposta e mude o nome do ficheiro para SiPolicy.p7b
- Copiar SiPolicy.p7b para %windir%\system32\CodeIntegrity
- Execute a ferramenta de atualização da política de Controlo de Aplicações que transferiu no Passo 1 acima para ativar e atualizar todas as políticas de Controlo de Aplicações no seu computador
Para marcar que a política foi aplicada com êxito no computador:
- Abra o Visualizador de Eventos
- Navegar para Registos de Aplicações e Serviços – Microsoft – Windows – Integridade do Código – Operacional
- Selecione Filtrar Registo Atual...
- Substitua "<Todos os IDs de Evento"> por "3099" e selecione OK.
- Deverá encontrar um evento 3099 em que PolicyNameBuffer e PolicyIdBuffer correspondem ao Nome e ID das definições policyInfo encontradas no XML da Política de Controlo de Aplicações da lista de bloqueios neste artigo. NOTA: o seu computador poderá ter mais de um evento 3099 se existirem outras políticas de Controlo de Aplicações.
Observação
Se já estiverem a ser executados controladores vulneráveis que a política bloqueie, tem de reiniciar o computador para que esses controladores sejam bloqueados. Os processos em execução não são interrompidos ao ativar uma nova política de Controlo de Aplicações sem reinício.
XML da lista de bloqueios de controladores vulneráveis
O ficheiro de política xml da lista de bloqueios recomendado pode ser transferido a partir do Centro de Transferências da Microsoft.
Esta política contém a opção Permitir Todas as regras. Se a sua versão do Windows suportar várias políticas de Controlo de Aplicações, recomendamos que implemente esta política juntamente com quaisquer políticas de Controlo de Aplicações existentes. Se planear intercalar esta política com outra política, remova as regras Permitir Tudo antes de intercalá-la se a outra política aplicar uma lista de permissões explícita. Para obter mais informações, veja Criar uma Política de Negação de Controlo de Aplicações.
Observação
Para utilizar esta política com Windows Server 2016, tem de converter o XML de política num dispositivo com um sistema operativo mais recente. As políticas disponíveis na ligação do Centro de Transferências da Microsoft fornecida anteriormente neste artigo também incluem versões para Windows Server 2016.