Sdílet prostřednictvím


Ochrana zařízení před zneužitím

Platí pro:

Ochrana před zneužitím automaticky aplikuje mnoho technik zmírnění zneužití na procesy a aplikace operačního systému. Ochrana před zneužitím se podporuje od Windows 10 verze 1709, Windows 11 a Windows Serveru verze 1803.

Ochrana exploit protection funguje nejlépe s Defenderem for Endpoint , který poskytuje podrobné hlášení událostí ochrany před zneužitím a bloků v rámci obvyklých scénářů vyšetřování výstrah.

Ochranu před zneužitím můžete povolit na jednotlivých zařízeních a pak pomocí Zásady skupiny distribuovat soubor XML do více zařízení najednou.

Když se na zařízení najde zmírnění rizik, zobrazí se v Centru akcí oznámení. Oznámení můžete přizpůsobit podrobnostmi o vaší společnosti a kontaktními informacemi. Pravidla můžete také povolit jednotlivě a přizpůsobit techniky, které funkce monitoruje.

Režim auditování můžete použít také k vyhodnocení toho, jak by ochrana exploit protection měla vliv na vaši organizaci, pokud by byla povolená.

Součástí ochrany před zneužitím je řada funkcí sady nástrojů EMET (Enhanced Mitigation Experience Toolkit). Ve skutečnosti můžete převést a importovat existující konfigurační profily EMET na ochranu exploit protection. Další informace najdete v tématu Import, export a nasazení konfigurací ochrany exploit protection.

Důležité

Pokud aktuálně používáte EMET, měli byste vědět, že podpora EMET skončila 31. července 2018. Zvažte nahrazení EMET ochranou před zneužitím v Windows 10.

Upozornění

Některé technologie pro zmírnění rizik zabezpečení můžou mít s některými aplikacemi problémy s kompatibilitou. Před nasazením konfigurace do produkčního prostředí nebo zbytku sítě byste měli otestovat ochranu exploit protection ve všech scénářích použití cíle pomocí režimu auditování.

Kontrola událostí ochrany před zneužitím na portálu Microsoft Defender

Defender for Endpoint poskytuje podrobné sestavy událostí a bloků v rámci scénářů šetření výstrah.

Pomocí rozšířeného proaktivního proaktivního vyhledávání se můžete dotazovat na data Defenderu for Endpoint. Pokud používáte režim auditování, můžete pomocí rozšířeného proaktivního vyhledávání zjistit, jak může nastavení ochrany před zneužitím ovlivnit vaše prostředí.

Tady je příklad dotazu:

DeviceEvents
| where ActionType startswith 'ExploitGuard' and ActionType !contains 'NetworkProtection'

Ochrana před zneužitím a rozšířené proaktivní vyhledávání

Níže jsou uvedeny pokročilé typy akcí proaktivního vyhledávání, které jsou k dispozici pro ochranu Exploit Protection.

Název omezení rizik ochrany před zneužitím Ochrana exploitu – Rozšířené proaktivní vyhledávání – ActionTypes
Ochrana proti spuštění libovolného kódu ExploitGuardAcgAudited
ExploitGuardAcgEnforced
Nepovolit podřízené procesy ExploitGuardChildProcessAudited
ExploitGuardChildProcessBlocked
Export filtrování adres (EAF) ExploitGuardEafViolationAudited
ExploitGuardEafViolationBlocked
Import filtrování adres (IAF) ExploitGuardIafViolationAudited
ExploitGuardIafViolationBlocked
Blokovat obrázky s nízkou integritou ExploitGuardLowIntegrityImageAudited
ExploitGuardLowIntegrityImageBlocked
Ochrana integrity kódu ExploitGuardNonMicrosoftSignedAudited
ExploitGuardNonMicrosoftSignedBlocked
• Simulace spuštění (SimExec)
• Ověření volání rozhraní API (CallerCheck)
• Ověření integrity zásobníku (StackPivot)
ExploitGuardRopExploitAudited
ExploitGuardRopExploitBlocked
Blokovat vzdálené obrázky ExploitGuardSharedBinaryAudited
ExploitGuardSharedBinaryBlocked
Zakázat systémová volání Win32k ExploitGuardWin32SystemCallAudited
ExploitGuardWin32SystemCallBlocked

Kontrola událostí ochrany před zneužitím ve Windows Prohlížeč událostí

Můžete zkontrolovat protokol událostí Windows a zobrazit události, které se vytvoří při blokování (nebo auditování) aplikace ochranou před zneužitím:

Poskytovatel/zdroj ID události Popis
Security-Mitigations 1 ACG audit
Security-Mitigations 2 Vynucení ACG
Security-Mitigations 3 Nepovolit audit podřízených procesů
Security-Mitigations 4 Nepovolit blokování podřízených procesů
Security-Mitigations 5 Blokovat audit obrázků s nízkou integritou
Security-Mitigations 6 Blokování obrázků s nízkou integritou
Security-Mitigations 7 Blokovat audit vzdálených obrázků
Security-Mitigations 8 Blokování vzdálených imagí
Security-Mitigations 9 Zakázat audit systémových volání win32k
Security-Mitigations 10 Zakázání blokování systémových volání win32k
Security-Mitigations 11 Audit ochrany integrity kódu
Security-Mitigations 12 Blok ochrany integrity kódu
Security-Mitigations 13 Audit EAF
Security-Mitigations 14 Vynucení EAF
Security-Mitigations 15 Audit EAF+
Security-Mitigations 16 Vynucování EAF+
Security-Mitigations 17 Audit IAF
Security-Mitigations 18 Vynucení IAF
Security-Mitigations 19 Audit ROP StackPivot
Security-Mitigations 20 Vynucování ROP StackPivot
Security-Mitigations 21 Caller ROPKontrola auditu
Security-Mitigations 22 ROP CallerCheck enforce
Security-Mitigations 23 Audit ROP SimExec
Security-Mitigations 24 Vynucení ROP SimExec
WER-Diagnostics 5 Blok CFG
Win32K 260 Nedůvěryhodné písmo

Porovnání zmírnění rizik

Zmírnění rizik dostupná v EMET jsou nativně zahrnutá v Windows 10 (počínaje verzí 1709), Windows 11 a Windows Serveru (počínaje verzí 1803) v části Ochrana před zneužitím.

Tabulka v této části uvádí dostupnost a podporu nativních zmírnění rizik mezi EMET a ochranou před zneužitím.

Zmírnění rizik K dispozici v rámci ochrany před zneužitím K dispozici v EMET
Ochrana proti spuštění libovolného kódu (ACG) Ano Ano
Jako "Kontrola ochrany paměti"
Blokovat vzdálené obrázky Ano Ano
Jako "Kontrola načtení knihovny"
Blokovat nedůvěryhodná písma Ano Ano
Zabránění spuštění dat (DEP) Ano Ano
Export filtrování adres (EAF) Ano Ano
Vynutit randomizaci obrázků (povinné ASLR) Ano Ano
Omezení rizik zabezpečení nullpage Ano
Nativně zahrnuté do Windows 10 a Windows 11
Další informace najdete v tématu Zmírnění hrozeb pomocí funkcí zabezpečení Windows 10.
Ano
Náhodné přidělování paměti (ASLR zdola nahoru) Ano Ano
Simulovat provádění (SimExec) Ano Ano
Ověřit vyvolání rozhraní API (CallerCheck) Ano Ano
Ověřit řetězce výjimek (SEHOP) Ano Ano
Ověřit integritu zásobníku (StackPivot) Ano Ano
Důvěryhodnost certifikátu (konfigurovatelné připnutí certifikátu) Windows 10 a Windows 11 připnutí podnikového certifikátu Ano
Přidělení rozprašovače haldy Neefektivní proti novějším zneužitím založeným na prohlížeči; novější zmírnění rizik poskytují lepší ochranu
Další informace najdete v tématu Zmírnění hrozeb pomocí funkcí zabezpečení Windows 10.
Ano
Blokovat obrázky s nízkou integritou Ano Ne
Ochrana integrity kódu Ano Ne
Zakázat body rozšíření Ano Ne
Zakázat systémová volání Win32k Ano Ne
Nepovolit podřízené procesy Ano Ne
Import filtrování adres (IAF) Ano Ne
Ověřit použití popisovačů Ano Ne
Ověřit integritu haldy Ano Ne
Ověřit integritu závislosti obrázku Ano Ne

Poznámka

Rozšířená omezení rizik ROP, která jsou k dispozici v nástroji EMET, jsou nahrazena službou ACG v Windows 10 a Windows 11, přičemž ostatní upřesňující nastavení EMET jsou ve výchozím nastavení povolená v rámci povolení zmírnění rizik ochrany proti ROP pro určitý proces. Další informace o tom, jak Windows 10 využívá stávající technologie EMET, najdete v tématu Zmírnění hrozeb pomocí funkcí zabezpečení Windows 10.

Viz také

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.