Vyhodnocení ochrany před zneužitím
Platí pro:
- Plán 1 pro Microsoft Defender for Endpoint
- Plán 2 pro Microsoft Defender pro koncový bod
- Microsoft Defender XDR
Chcete vyzkoušet Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,
Ochrana před zneužitím pomáhá chránit zařízení před malwarem, který využívá zneužití k šíření a infikování dalších zařízení. Zmírnění rizik je možné použít buď pro operační systém, nebo pro jednotlivé aplikace. Mnoho funkcí, které byly součástí sady Enhanced Mitigation Experience Toolkit (EMET), jsou součástí ochrany před zneužitím. (EMET dosáhl konce podpory.)
V auditování můžete zjistit, jak funguje zmírnění rizik u určitých aplikací v testovacím prostředí. To ukazuje, co by se stalo, kdybyste v produkčním prostředí povolili ochranu před zneužitím. Tímto způsobem můžete ověřit, že ochrana před zneužitím nepříznivě neovlivňuje vaše obchodní aplikace, a zjistit, ke kterým podezřelým nebo škodlivým událostem dochází.
Obecné pokyny
Omezení rizik ochrany před zneužitím fungují v operačním systému na nízké úrovni a některé druhy softwaru, který provádí podobné operace na nízké úrovni, můžou mít problémy s kompatibilitou, když jsou nakonfigurované tak, aby byly chráněny pomocí ochrany exploit protection.
Jaké druhy softwaru by neměly být chráněny ochranou před zneužitím?
- Antimalwarový software pro ochranu před neoprávněným vniknutím nebo detekci
- Ladící programy
- Software, který zpracovává technologie správy digitálních práv (DRM) (to znamená videohry)
- Software, který používá technologie proti ladění, obfuskaci nebo zachytávání
Jaký typ aplikací byste měli zvážit povolení ochrany před zneužitím?
Aplikace, které přijímají nebo zpracovávají nedůvěryhodná data.
Jaké typy procesů jsou mimo rozsah ochrany před zneužitím?
Služby
- Systémové služby
- Síťové služby
Omezení rizik ochrany před zneužitím povolená ve výchozím nastavení
| Zmírnění rizik | Ve výchozím nastavení povoleno |
|---|---|
| Zabránění spuštění dat (DEP) | 64bitové a 32bitové aplikace |
| Ověřit řetězce výjimek (SEHOP) | 64bitové aplikace |
| Ověřit integritu haldy | 64bitové a 32bitové aplikace |
Zastaralá zmírnění rizik nastavení programu
| Zmírnění rizik nastavení programu | Důvod |
|---|---|
| Export filtrování adres (EAF) | Problémy s kompatibilitou aplikací |
| Import filtrování adres (IAF) | Problémy s kompatibilitou aplikací |
| Simulovat provádění (SimExec) | Nahrazeno sadou ACG (Arbitrary Code Guard) |
| Ověřit vyvolání rozhraní API (CallerCheck) | Nahrazeno sadou ACG (Arbitrary Code Guard) |
| Ověřit integritu zásobníku (StackPivot) | Nahrazeno sadou ACG (Arbitrary Code Guard) |
Osvědčené postupy pro aplikace Office
Místo použití ochrany před zneužitím pro aplikace Office, jako jsou Outlook, Word, Excel, PowerPoint a OneNote, zvažte použití modernějšího přístupu, který zabrání jejich zneužití: Pravidla omezení potenciální oblasti útoku (pravidla ASR):
- Blokování spustitelného obsahu z e-mailového klienta a webové pošty
- Blokování aplikací Office ve vytváření spustitelného obsahu
- Blokovat vytváření podřízených procesů všem aplikacím Office
- Blokovat komunikační aplikaci Office ve vytváření podřízených procesů
- Blokování vkládání kódu do jiných procesů aplikací Office
- Blokování spouštění potenciálně obfuskovaných skriptů
- Blokování volání rozhraní API Win32 z maker Office
Pro Adobe Reader použijte následující pravidlo ASR:
• Blokovat aplikaci Adobe Reader ve vytváření podřízených procesů
Seznam kompatibility aplikací
Následující tabulka uvádí konkrétní produkty, u kterých dochází k problémům s kompatibilitou se zmírněními rizik zahrnutými v ochraně před zneužitím. Pokud chcete produkt chránit pomocí ochrany před zneužitím, musíte zakázat konkrétní nekompatibilní zmírnění rizik. Mějte na paměti, že tento seznam bere v úvahu výchozí nastavení pro nejnovější verze produktu. Problémy s kompatibilitou můžou nastává, když na standardní software použijete určité doplňky nebo jiné komponenty.
| Produkt | Zmírnění rizik ochrany před zneužitím |
|---|---|
| .NET 2.0/3.5 | EAF/IAF |
| konzola 7-Zip/ grafické uživatelské rozhraní / Správce souborů | EAF |
| Procesory AMD 62xx | EAF |
| Avecto (Beyond Trust) Power Broker | EAF, EAF+, Stack Pivot |
| Některé ovladače videa AMD (ATI) | System ASLR=AlwaysOn |
| DropBox | EAF |
| Excel Power Query, Power View, Power Map a PowerPivot | EAF |
| Google Chrome | EAF+ |
| Immidio Flex+ | EAF |
| Microsoft Office Web Components (OWC) | System DEP=AlwaysOn |
| Microsoft PowerPoint | EAF |
| Microsoft Teams | EAF+ |
| Oracle Javaǂ | Heapspray |
| Pitney Bowes Print Audit 6 | SimExecFlow |
| Siebel CRM verze je 8.1.1.9 | SEHOP |
| Skype | EAF |
| SolarWinds Syslogd Manager | EAF |
| Přehrávač médií Windows | PovinnéASLR, EAF |
ǂ Zmírnění rizik EMET můžou být nekompatibilní s Oracle Javou, pokud jsou spuštěna pomocí nastavení, která vyhračují velký kus paměti pro virtuální počítač (tj. pomocí možnosti -Xms).
Povolení nastavení systému ochrany před zneužitím pro testování
Tato systémová nastavení ochrany exploit protection jsou ve výchozím nastavení povolená s výjimkou povinného náhodného rozložení adresního prostoru (ASLR) ve Windows 10 a novějších verzích, Windows Serveru 2019 a novějších verzích a v edici Jádra Windows Serveru verze 1803 a novějších.
| Nastavení systému | Nastavení |
|---|---|
| Ochrana toku řízení (CFG) | Použít výchozí (Zapnuto) |
| Zabránění spuštění dat (DEP) | Použít výchozí (Zapnuto) |
| Vynucení náhodného přehodování obrázků (povinný seznam ASRL) | Použít výchozí (Vypnuto) |
| Náhodné přidělení paměti (ASRL zdola nahoru) | Použít výchozí (Zapnuto) |
| Vysoká entropie ASRL | Použít výchozí (Zapnuto) |
| Ověřit řetězce výjimek (SEHOP) | Použít výchozí (Zapnuto) |
Ukázka XML je k dispozici níže.
<?xml version="1.0" encoding="UTF-8"?>
<MitigationPolicy>
<SystemConfig>
<DEP Enable="true" EmulateAtlThunks="false" />
<ASLR ForceRelocateImages="false" RequireInfo="false" BottomUp="true" HighEntropy="true" />
<ControlFlowGuard Enable="true" SuppressExports="false" />
<SEHOP Enable="true" TelemetryOnly="false" />
<Heap TerminateOnError="true" />
</SystemConfig>
</MitigationPolicy>
Povolení nastavení programu ochrany před zneužitím pro testování
Tip
Důrazně doporučujeme, abyste si prostudovali moderní přístup ke zmírnění ohrožení zabezpečení, kterým je použití pravidel omezení potenciální oblasti útoku (pravidla ASR).
Zmírnění rizik můžete nastavit v testovacím režimu pro konkrétní programy pomocí aplikace Zabezpečení Windows nebo Windows PowerShell.
Aplikace zabezpečení Windows
Otevřít aplikaci Zabezpečení Windows. Vyberte ikonu štítu na hlavním panelu nebo v nabídce Start vyhledejte Zabezpečení Windows.
Vyberte dlaždici Řízení aplikací a prohlížečů (nebo ikonu aplikace na levém řádku nabídek) a pak vyberte Ochrana Exploit Protection.
Přejděte do Nastavení programu a zvolte aplikaci, u které chcete použít ochranu:
Pokud už aplikace, kterou chcete nakonfigurovat, je uvedená, vyberte ji a pak vyberte Upravit.
Pokud aplikace není uvedená v horní části seznamu, vyberte Přidat program, který chcete přizpůsobit. Pak zvolte, jak chcete aplikaci přidat.
- Pokud chcete, aby se zmírnění rizik použilo u všech spuštěných procesů s tímto názvem, použijte příkaz Přidat podle názvu programu. Zadejte soubor s příponou. Můžete zadat úplnou cestu, abyste omezení rizik omezili jenom na aplikaci s tímto názvem v daném umístění.
- Pokud chcete k vyhledání a výběru požadovaného souboru použít standardní okno pro výběr Průzkumník Windows souboru, použijte možnost Zvolit přesnou cestu k souboru.
Po výběru aplikace se zobrazí seznam všech omezení rizik, která je možné použít. Volba Audit použije omezení rizik pouze v testovacím režimu. Pokud potřebujete proces, aplikaci nebo Windows restartovat, budete upozorněni.
Tento postup opakujte pro všechny aplikace a omezení rizik, která chcete nakonfigurovat. Až dokončíte nastavení konfigurace, vyberte Použít.
PowerShell
Pokud chcete nastavit zmírnění rizik na úrovni aplikace do testovacího režimu, použijte Set-ProcessMitigation rutinu režimu auditování .
Nakonfigurujte každé zmírnění rizik v následujícím formátu:
Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>
Kde:
-
<Obor>:
-
-Name, aby bylo zřejmé, že by se omezení rizik měla použít pro konkrétní aplikaci. Po tomto příznaku zadejte spustitelný soubor aplikace.
-
-
<Akce>:
-
-Enablepro povolení zmírnění rizik-
-Disablepro zakázání zmírnění rizik
-
-
-
<Zmírnění rizik>:
- Rutina zmírnění rizik definovaná v následující tabulce. Každé zmírnění rizik je odděleno čárkou.
| Zmírnění rizik | Rutina testovacího režimu |
|---|---|
| Ochrana proti spuštění libovolného kódu (ACG) | AuditDynamicCode |
| Blokovat obrázky s nízkou integritou | AuditImageLoad |
| Blokovat nedůvěryhodná písma |
AuditFont, FontAuditOnly |
| Ochrana integrity kódu |
AuditMicrosoftSigned, AuditStoreSigned |
| Zakázat systémová volání Win32k | AuditSystemCall |
| Nepovolit podřízené procesy | AuditChildProcess |
Pokud například chcete povolit ochranu ACG (Arbitrary Code Guard) v testovacím režimu pro aplikaci s názvemtesting.exe, spusťte následující příkaz:
Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable AuditDynamicCode
Režim auditování můžete zakázat nahrazením -Enable za -Disable.
Kontrola událostí auditováním ochrany před zneužitím
Pokud chcete zkontrolovat, které aplikace by se blokovaly, otevřete Prohlížeč událostí a v protokolu Security-Mitigations vyfiltrujte následující události.
| Funkce | Poskytovatel/zdroj | ID události | Popis |
|---|---|---|---|
| Ochrana před zneužitím | Omezení zabezpečení (Režim jádra/Uživatelský režim) | 1 | ACG audit |
| Ochrana před zneužitím | Omezení zabezpečení (Režim jádra/Uživatelský režim) | 3 | Nepovolit audit podřízených procesů |
| Ochrana před zneužitím | Omezení zabezpečení (Režim jádra/Uživatelský režim) | 5 | Blokovat audit obrázků s nízkou integritou |
| Ochrana před zneužitím | Omezení zabezpečení (Režim jádra/Uživatelský režim) | 7 | Blokovat audit vzdálených obrázků |
| Ochrana před zneužitím | Omezení zabezpečení (Režim jádra/Uživatelský režim) | 9 | Zakázat audit systémových volání win32k |
| Ochrana před zneužitím | Omezení zabezpečení (Režim jádra/Uživatelský režim) | 11 | Audit ochrany integrity kódu |
Viz také
- Povolení ochrany před zneužitím
- Konfigurace a auditování zmírnění rizik ochrany před zneužitím
- Import, export a nasazení konfigurací ochrany před zneužitím
- Řešení potíží s ochranou před zneužitím
Tip
Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.