Critérios da manutenção de segurança da Microsoft no Windows
Critérios dos serviços de segurança
- A vulnerabilidade viola a meta ou a finalidade de um limite ou de um recurso de segurança?
- A severidade da vulnerabilidade atinge o limiar para manutenção?
Limites e recursos de segurança de que a Microsoft pretende fazer a manutenção
Limites de segurança
Limite de segurança |
Meta de segurança |
A intenção é fazer a manutenção? |
Há recompensa? |
---|---|---|---|
Limite de rede |
Um ponto de extremidade de rede não autorizado não pode acessar nem adulterar o código e os dados no dispositivo de um cliente. | Sim | |
Limite de kernel |
Um processo não administrativo no modo de usuário não pode acessar nem adulterar dados e código do kernel. O limite de administrador para kernel não é um limite de segurança. | Sim | |
Limite de processo |
Um processo não autorizado no modo de usuário não pode acessar nem adulterar o código e os dados de outro processo. | Sim | |
Limite de área restrita do AppContainer |
Um processo de área restrita baseado no AppContainer não pode acessar nem adulterar o código e os dados fora da área restrita com base nos recursos do contêiner | Sim | |
Limite de usuário |
Um usuário não pode acessar nem adulterar o código e os dados de outro usuário sem autorização. | Sim | |
Limite de sessão |
Uma sessão de logon do usuário não pode acessar nem adulterar outra sessão de logon do usuário sem autorização. | Sim | |
Limite de navegador da Web |
Um site não autorizado não pode violar a política de mesma origem, nem pode acessar nem adulterar o código nativo e os dados da área restrita do navegador da Web do Microsoft Edge. | Sim | |
Limite de máquina virtual |
Uma máquina virtual convidada não autorizada do Hyper-V não pode acessar nem adulterar o código e os dados de outra máquina virtual convidada, isso inclui contêineres isolados do Hyper-V. |
Sim | |
Limite do modo de segurança virtual |
Dados e código dentro de um trustlet de VSM ou enclave não podem ser acessados nem adulterados por código em execução fora do trustlet de VSM ou enclave. | Sim |
Sem limites*
Alguns componentes e configurações do Windows não se destinam explicitamente a fornecer um limite de segurança robusto. Esses componentes são resumidos na tabela a seguir.
*Observação: a lista a seguir não é exaustiva e tem a finalidade de abordar dois componentes que costumam ser confundidos como limites. Por padrão, componentes não são considerados limites, a menos que sejam explicitamente denominados como tal.
Componente |
Explicação |
---|---|
Contêineres do Windows Server |
Os Contêineres do Windows Server fornecem isolamento de recursos usando um kernel compartilhado, mas não devem ser usados em cenários de multilocação hostil. Os cenários que envolvem a multilocação hostil devem usar contêineres isolados do Hyper-V para isolar fortemente os locatários. |
Administrador para kernel |
Processos e usuários administrativos são considerados parte da TCB (Base de Computação Confiável) para o Windows e, portanto, não são fortes isolados do limite do kernel. Os administradores têm controle da segurança de um dispositivo e podem desabilitar recursos de segurança, desinstalar atualizações de segurança e executar outras ações que tornam o isolamento do kernel ineficaz. |
Recursos de segurança
Categoria |
Recursos de segurança |
Meta de segurança |
A intenção é fazer a manutenção? |
Há recompensa? |
---|---|---|---|---|
Segurança do dispositivo |
BitLocker | Os dados criptografados no disco não podem ser obtidos quando o dispositivo está desativado. | Sim | |
Segurança do dispositivo |
Inicialização segura | Somente código autorizado pode ser executado no pré-SO, incluindo carregadores do SO, conforme definido pela política de firmware da UEFI. | Sim | |
Segurança da plataforma |
WDSG (Windows Defender System Guard) | Binários assinados incorretamente não podem ser executados nem carregados, de acordo com a política de controle de aplicativo do sistema. Bypasses que aproveitam aplicativos permitidos pela política não estão no escopo. | Sim | |
Segurança de aplicativo |
WDAC (Controle de Aplicativos do Windows Defender) | Somente código executável, incluindo scripts executados por hosts de script do Windows habilitados, que estiver de acordo com a política do dispositivo poderá ser executado. Bypasses que aproveitam aplicativos permitidos pela política não estão no escopo. Bypasses que exigem direitos administrativos não estão no escopo. | Sim | |
Controle de acesso e identidade |
Windows Hello/biometria | Um invasor não pode falsificar, fazer phishing ou violar a NGC (Credencial de Próxima Geração) para representar um usuário. | Sim | |
Controle de acesso e identidade |
Controle de Acesso a Recursos do Windows | Uma identidade (usuário, grupo) não pode acessar nem adulterar um recurso (arquivo, pipe nomeado, etc.), a menos que seja autorizado explicitamente a fazer isso | Sim | |
API de criptografia: CNG (Credencial de Próxima Geração) |
Criptografia de plataforma | Os algoritmos são implementados de acordo com a especificação (por exemplo, NIST) e não vazam dados confidenciais. | Sim | |
Atestado de integridade |
HGS (Serviço Guardião de Host) | Avaliar a identidade e a integridade de um chamador que emite ou retém declarações de integridade necessárias para operações de criptografia downstream. | Sim | |
Protocolos de autenticação |
Protocolos de autenticação | Os protocolos são implementados de acordo com a especificação e um invasor não pode adulterar nem revelar dados confidenciais, nem representar usuários que têm privilégios elevados. | Sim |
Recursos de segurança de defesa em profundidade
Categoria |
Recurso de segurança |
Meta de segurança |
A intenção é fazer a manutenção? |
Há recompensa? |
---|---|---|---|---|
Segurança do usuário |
UAC (Controle de Conta de Usuário) | Impedir alterações indesejadas em todo o sistema (arquivos, Registro, etc.) sem o consentimento do administrador | Não | Não |
Segurança do usuário |
AppLocker | Impedir a execução de aplicativos não autorizados | Não | Não |
Segurança do usuário |
Acesso controlado a pastas | Proteger o acesso e a modificação de pastas controladas por aplicativos que podem ser mal-intencionados | Não | Não |
Segurança do usuário |
MOTW (Marca da Web) | Impedir que o download de conteúdo ativo da Web aumente os privilégios quando exibido localmente | Não | Não |
Mitigações de exploração |
DEP (Prevenção de Execução de Dados) | Um invasor não pode executar código de uma memória não executável, como heaps e pilhas | Não | |
Mitigações de exploração |
ASLR (Randomização de Layout do Espaço de Endereço) | O layout do espaço de endereço virtual do processo não é previsível para um invasor (em 64 bits) | Não | |
Mitigações de exploração |
KASLR (Randomização de Layout do Espaço de Endereço do Kernel) | O layout do espaço de endereço virtual do kernel não é previsível para um invasor (em 64 bits) | Não | Não |
Mitigações de exploração |
ACG (Proteção de Código Arbitrário) | Um processo habilitado para ACG não pode modificar páginas de código nem alocar novas páginas de código particular | Não | |
Mitigações de exploração |
CIG (Proteção de Integridade de Código) | Um processo habilitado para CIG não pode carregar diretamente uma imagem executável assinada incorretamente (DLL) | Não | |
Mitigações de exploração |
CFG (Proteção de Fluxo de Controle) | O código protegido por CFG só pode fazer chamadas indiretas para destinos de chamada indireta válidos | Não | Não |
Mitigações de exploração |
Restrição de Processo Filho | Um processo filho não pode ser criado quando esta restrição está habilitada | Não | |
Mitigações de exploração |
SafeSEH/SEHOP | A integridade da cadeia do manipulador de exceção não pode ser subvertida | Não | |
Mitigações de exploração |
Randomização de heap e proteção de metadados | A integridade dos metadados de heap não pode ser subvertida e o layout das alocações de heap não é previsível para um invasor | Não | |
Mitigações de exploração |
WDEG (Windows Defender Exploit Guard) | Permitir que os aplicativos habilitem recursos adicionais de mitigação de explorações de defesa em profundidade que tornam mais difícil explorar vulnerabilidades | Não | Não |
Bloqueio de plataforma |
PPL (Leve do Processo Protegido) | Impedir que processos não PPL não administrativos acessem ou adulterem código e dados em um processo PPL por meio de funções de processo abertas | Não | Não |
Bloqueio de plataforma |
Máquinas Virtuais Blindadas | Ajudar a proteger os segredos de uma VM e seus dados contra administradores de malha mal-intencionados ou malware em execução no host contra ataques de runtime e offline | Não | Não |