Ochrana zařízení před zneužitím
Platí pro:
- Plán 1 pro Microsoft Defender for Endpoint
- Plán 2 pro Microsoft Defender pro koncový bod
- Microsoft Defender XDR
Ochrana před zneužitím automaticky aplikuje mnoho technik zmírnění zneužití na procesy a aplikace operačního systému. Ochrana před zneužitím se podporuje od Windows 10 verze 1709, Windows 11 a Windows Serveru verze 1803.
Ochrana exploit protection funguje nejlépe s Defenderem for Endpoint , který poskytuje podrobné hlášení událostí ochrany před zneužitím a bloků v rámci obvyklých scénářů vyšetřování výstrah.
Ochranu před zneužitím můžete povolit na jednotlivých zařízeních a pak pomocí Zásady skupiny distribuovat soubor XML do více zařízení najednou.
Když se na zařízení najde zmírnění rizik, zobrazí se v Centru akcí oznámení. Oznámení můžete přizpůsobit podrobnostmi o vaší společnosti a kontaktními informacemi. Pravidla můžete také povolit jednotlivě a přizpůsobit techniky, které funkce monitoruje.
Režim auditování můžete použít také k vyhodnocení toho, jak by ochrana exploit protection měla vliv na vaši organizaci, pokud by byla povolená.
Součástí ochrany před zneužitím je řada funkcí sady nástrojů EMET (Enhanced Mitigation Experience Toolkit). Ve skutečnosti můžete převést a importovat existující konfigurační profily EMET na ochranu exploit protection. Další informace najdete v tématu Import, export a nasazení konfigurací ochrany exploit protection.
Důležité
Pokud aktuálně používáte EMET, měli byste vědět, že podpora EMET skončila 31. července 2018. Zvažte nahrazení EMET ochranou před zneužitím v Windows 10.
Upozornění
Některé technologie pro zmírnění rizik zabezpečení můžou mít s některými aplikacemi problémy s kompatibilitou. Před nasazením konfigurace do produkčního prostředí nebo zbytku sítě byste měli otestovat ochranu exploit protection ve všech scénářích použití cíle pomocí režimu auditování.
Kontrola událostí ochrany před zneužitím na portálu Microsoft Defender
Defender for Endpoint poskytuje podrobné sestavy událostí a bloků v rámci scénářů šetření výstrah.
Pomocí rozšířeného proaktivního proaktivního vyhledávání se můžete dotazovat na data Defenderu for Endpoint. Pokud používáte režim auditování, můžete pomocí rozšířeného proaktivního vyhledávání zjistit, jak může nastavení ochrany před zneužitím ovlivnit vaše prostředí.
Tady je příklad dotazu:
DeviceEvents
| where ActionType startswith 'ExploitGuard' and ActionType !contains 'NetworkProtection'
Ochrana před zneužitím a rozšířené proaktivní vyhledávání
Níže jsou uvedeny pokročilé typy akcí proaktivního vyhledávání, které jsou k dispozici pro ochranu Exploit Protection.
Název omezení rizik ochrany před zneužitím | Ochrana exploitu – Rozšířené proaktivní vyhledávání – ActionTypes |
---|---|
Ochrana proti spuštění libovolného kódu | ExploitGuardAcgAudited ExploitGuardAcgEnforced |
Nepovolit podřízené procesy | ExploitGuardChildProcessAudited ExploitGuardChildProcessBlocked |
Export filtrování adres (EAF) | ExploitGuardEafViolationAudited ExploitGuardEafViolationBlocked |
Import filtrování adres (IAF) | ExploitGuardIafViolationAudited ExploitGuardIafViolationBlocked |
Blokovat obrázky s nízkou integritou | ExploitGuardLowIntegrityImageAudited ExploitGuardLowIntegrityImageBlocked |
Ochrana integrity kódu | ExploitGuardNonMicrosoftSignedAudited ExploitGuardNonMicrosoftSignedBlocked |
• Simulace spuštění (SimExec) • Ověření volání rozhraní API (CallerCheck) • Ověření integrity zásobníku (StackPivot) |
ExploitGuardRopExploitAudited ExploitGuardRopExploitBlocked |
Blokovat vzdálené obrázky | ExploitGuardSharedBinaryAudited ExploitGuardSharedBinaryBlocked |
Zakázat systémová volání Win32k | ExploitGuardWin32SystemCallAudited ExploitGuardWin32SystemCallBlocked |
Kontrola událostí ochrany před zneužitím ve Windows Prohlížeč událostí
Můžete zkontrolovat protokol událostí Windows a zobrazit události, které se vytvoří při blokování (nebo auditování) aplikace ochranou před zneužitím:
Poskytovatel/zdroj | ID události | Popis |
---|---|---|
Security-Mitigations | 1 | ACG audit |
Security-Mitigations | 2 | Vynucení ACG |
Security-Mitigations | 3 | Nepovolit audit podřízených procesů |
Security-Mitigations | 4 | Nepovolit blokování podřízených procesů |
Security-Mitigations | 5 | Blokovat audit obrázků s nízkou integritou |
Security-Mitigations | 6 | Blokování obrázků s nízkou integritou |
Security-Mitigations | 7 | Blokovat audit vzdálených obrázků |
Security-Mitigations | 8 | Blokování vzdálených imagí |
Security-Mitigations | 9 | Zakázat audit systémových volání win32k |
Security-Mitigations | 10 | Zakázání blokování systémových volání win32k |
Security-Mitigations | 11 | Audit ochrany integrity kódu |
Security-Mitigations | 12 | Blok ochrany integrity kódu |
Security-Mitigations | 13 | Audit EAF |
Security-Mitigations | 14 | Vynucení EAF |
Security-Mitigations | 15 | Audit EAF+ |
Security-Mitigations | 16 | Vynucování EAF+ |
Security-Mitigations | 17 | Audit IAF |
Security-Mitigations | 18 | Vynucení IAF |
Security-Mitigations | 19 | Audit ROP StackPivot |
Security-Mitigations | 20 | Vynucování ROP StackPivot |
Security-Mitigations | 21 | Caller ROPKontrola auditu |
Security-Mitigations | 22 | ROP CallerCheck enforce |
Security-Mitigations | 23 | Audit ROP SimExec |
Security-Mitigations | 24 | Vynucení ROP SimExec |
WER-Diagnostics | 5 | Blok CFG |
Win32K | 260 | Nedůvěryhodné písmo |
Porovnání zmírnění rizik
Zmírnění rizik dostupná v EMET jsou nativně zahrnutá v Windows 10 (počínaje verzí 1709), Windows 11 a Windows Serveru (počínaje verzí 1803) v části Ochrana před zneužitím.
Tabulka v této části uvádí dostupnost a podporu nativních zmírnění rizik mezi EMET a ochranou před zneužitím.
Zmírnění rizik | K dispozici v rámci ochrany před zneužitím | K dispozici v EMET |
---|---|---|
Ochrana proti spuštění libovolného kódu (ACG) | Ano | Ano Jako "Kontrola ochrany paměti" |
Blokovat vzdálené obrázky | Ano | Ano Jako "Kontrola načtení knihovny" |
Blokovat nedůvěryhodná písma | Ano | Ano |
Zabránění spuštění dat (DEP) | Ano | Ano |
Export filtrování adres (EAF) | Ano | Ano |
Vynutit randomizaci obrázků (povinné ASLR) | Ano | Ano |
Omezení rizik zabezpečení nullpage | Ano Nativně zahrnuté do Windows 10 a Windows 11 Další informace najdete v tématu Zmírnění hrozeb pomocí funkcí zabezpečení Windows 10. |
Ano |
Náhodné přidělování paměti (ASLR zdola nahoru) | Ano | Ano |
Simulovat provádění (SimExec) | Ano | Ano |
Ověřit vyvolání rozhraní API (CallerCheck) | Ano | Ano |
Ověřit řetězce výjimek (SEHOP) | Ano | Ano |
Ověřit integritu zásobníku (StackPivot) | Ano | Ano |
Důvěryhodnost certifikátu (konfigurovatelné připnutí certifikátu) | Windows 10 a Windows 11 připnutí podnikového certifikátu | Ano |
Přidělení rozprašovače haldy | Neefektivní proti novějším zneužitím založeným na prohlížeči; novější zmírnění rizik poskytují lepší ochranu Další informace najdete v tématu Zmírnění hrozeb pomocí funkcí zabezpečení Windows 10. |
Ano |
Blokovat obrázky s nízkou integritou | Ano | Ne |
Ochrana integrity kódu | Ano | Ne |
Zakázat body rozšíření | Ano | Ne |
Zakázat systémová volání Win32k | Ano | Ne |
Nepovolit podřízené procesy | Ano | Ne |
Import filtrování adres (IAF) | Ano | Ne |
Ověřit použití popisovačů | Ano | Ne |
Ověřit integritu haldy | Ano | Ne |
Ověřit integritu závislosti obrázku | Ano | Ne |
Poznámka
Rozšířená omezení rizik ROP, která jsou k dispozici v nástroji EMET, jsou nahrazena službou ACG v Windows 10 a Windows 11, přičemž ostatní upřesňující nastavení EMET jsou ve výchozím nastavení povolená v rámci povolení zmírnění rizik ochrany proti ROP pro určitý proces. Další informace o tom, jak Windows 10 využívá stávající technologie EMET, najdete v tématu Zmírnění hrozeb pomocí funkcí zabezpečení Windows 10.
Viz také
- Konfigurace a auditování zmírnění rizik ochrany před zneužitím
- Řešení potíží s ochranou před zneužitím
- Optimalizace nasazení a detekce pravidel ASR
Tip
Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.