O Kaspersky Embedded Systems Security for Windows oferece a capacidade de proteger a memória do processo contra exploits. Este recurso é implementado no componente de Prevenção de Exploits. Você pode alterar o status da atividade do componente e definir configurações de proteção da memória do processo.
O componente protege a memória do processo contra exploits ao inserir um Agente de Proteção de Processo (“Agente de Proteção”) externo no processo protegido.
Um Agente de Proteção de Processo é um módulo do Kaspersky Embedded Systems Security for Windows dinamicamente carregado que é inserido em processos protegidos para monitorar a sua integridade e reduzir o risco de eles serem explorados.
A operação do Agente dentro do processo protegido exige a inicialização e a interrupção do processo: o carregamento inicial do Agente em um processo acrescentado à lista de processos protegidos só é possível se o processo for reiniciado. Além disso, depois que um processo foi removido da lista de processos protegidos, o Agente poderá ser descarregado somente depois que o processo foi reiniciado.
O Agente deve ser interrompido para descarregá-lo dos processos protegidos: se o componente de Prevenção de Exploits for desinstalado, o aplicativo congelará o ambiente e forçará o Agente a ser descarregado dos processos protegidos. Se durante a desinstalação do componente o Agente for introduzido em algum dos processos protegidos, você deverá encerrar o processo afetado. Pode ser necessário reiniciar o dispositivo protegido (por exemplo, se o processo do sistema estiver sendo protegido).
Se for detectada evidência de um ataque de exploit em um processo protegido, o Kaspersky Embedded Systems Security for Windows executará uma das seguintes ações:
É possível interromper a proteção do processo usando um dos seguintes métodos:
Serviço de Kaspersky Security Exploit Prevention
O Serviço de Kaspersky Security Exploit Prevention é necessário no dispositivo protegido para que o componente de Prevenção de Exploits seja eficaz. Este serviço e o componente de Prevenção de Exploits fazem parte da instalação recomendada. Durante a instalação do serviço no dispositivo protegido, o processo kavfswh é criado e iniciado. Ele comunica as informações sobre os processos protegidos do componente para o Agente de Proteção.
Depois que o Serviço de Kaspersky Security Exploit Prevention for interrompido, o Kaspersky Embedded Systems Security for Windows continua a proteger os processos adicionados à lista de processos protegidos. Ele também será carregado nos processos recém-adicionados e aplicará todas as técnicas disponíveis de prevenção de exploits para proteger a memória do processo.
Se o dispositivo estiver executando o sistema operacional Windows 10 ou posterior, o aplicativo não continuará protegendo processos e a memória do processo depois que o Serviço de Kaspersky Security Exploit Prevention for interrompido.
Se o Serviço de Kaspersky Security Exploit Prevention for interrompido, o aplicativo não receberá informações sobre os eventos que ocorrem com os processos protegidos (inclusive informações sobre ataques de exploits e o encerramento de processos). Além disso, o Agente não será capaz de receber informações sobre novas configurações de proteção e a adição de novos processos à lista de processos protegidos.
Modo de Prevenção de Exploits
É possível selecionar um dos seguintes modos para configurar ações executadas para reduzir os riscos de que vulnerabilidades sejam exploradas em processos protegidos:
Após detecção de uma tentativa de exploração de uma vulnerabilidade em um processo crítico do sistema operacional protegido, o Kaspersky Embedded Systems Security for Windows encerrará o processo, independentemente do modo indicado nas configurações do componente de Prevenção de Exploits.
Se esse modo for selecionado, o Kaspersky Embedded Systems Security for Windows cria eventos para registrar em log todas as tentativas de explorar vulnerabilidades. Selecionado por padrão.