Evaluer beskyttelse mod udnyttelse
Gælder for:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
Vil du opleve Microsoft Defender for Endpoint? Tilmeld dig en gratis prøveversion.
Exploit Protection hjælper med at beskytte mod malware, der bruger udnyttelser til at inficere andre enheder og sprede sig. Reduktion kan anvendes på enten operativsystemet eller på en individuel app. Mange funktioner fra EMET (Enhanced Mitigation Experience Toolkit) er inkluderet i Exploit Protection. (EMET'et har nået ophør af support).
I overvågning kan du se, hvordan reduktion fungerer for visse apps i et testmiljø. Dette viser, hvad der ville ske, hvis du aktiverer beskyttelse mod udnyttelse i dit produktionsmiljø. På denne måde kan du tjekke, at Exploit Protection ikke påvirker dine line of business-apps negativt, og se, hvilke mistænkelige eller skadelige hændelser der forekommer.
Generiske retningslinjer
Udnyttelse af beskyttelsesmitigeringer fungerer på et lavt niveau i operativsystemet, og nogle typer software, der udfører lignende handlinger på lavt niveau, kan have kompatibilitetsproblemer, når de er konfigureret til at blive beskyttet ved hjælp af udnyttelsesbeskyttelse.
Hvilke typer software bør ikke beskyttes af udnyttelsesbeskyttelse?
- Antimalware- og intrusionsforebyggelses- eller registreringssoftware
- Fejlfindingsprogrammer
- Software, der håndterer DRM-teknologier (Digital Rights Management) (dvs. videospil)
- Software, der bruger antifejlfindings-, forsnægtelses- eller hookingteknologier
Hvilken type programmer skal du overveje at aktivere beskyttelse mod udnyttelse?
Programmer, der modtager eller håndterer data, der ikke er tillid til.
Hvilken type processer er uden for området for udnyttelsesbeskyttelse?
Tjenester
- Systemtjenester
- Netværkstjenester
Udnyt de beskyttelsesmitigeringer, der er aktiveret som standard
| Afhjælpning | Aktiveret som standard |
|---|---|
| Forhindring af datakørsel (DEP) | 64-bit- og 32-bit-programmer |
| Valider undtagelseskæder (SEHOP) | 64-bit programmer |
| Valider heap-integriteten | 64-bit- og 32-bit-programmer |
Frarådede afhjælpninger af "Programindstillinger"
| Afhjælpninger af "Programindstillinger" | Årsag |
|---|---|
| Eksportadressefiltrering (EAF) | Problemer med programkompatibilitet |
| Importadressefiltrering (IAF) | Problemer med programkompatibilitet |
| Simuler udførelse (SimExec) | Erstattet med arbitrær code guard (ACG) |
| Valider API-aktivering (CallerCheck) | Erstattet med arbitrær code guard (ACG) |
| Valider stakintegritet (StackPivot) | Erstattet med arbitrær code guard (ACG) |
Bedste praksis for Office-programmer
I stedet for at bruge Exploit Protection til Office-programmer som Outlook, Word, Excel, PowerPoint og OneNote kan du overveje at bruge en mere moderne tilgang til at forhindre misbrug: REGLER for reduktion af angrebsoverflader (ASR-regler):
- Bloker eksekverbart indhold fra mailklient og webmail
- Bloker Office-programmer fra at oprette eksekverbart indhold
- Bloker alle Office-programmer, så de ikke kan oprette underordnede processer
- Bloker Office-kommunikationsprogram fra oprettelse af underordnede processer
- Bloker Office-programmer fra at indsætte kode i andre processer
- Bloker udførelse af potentielt slørede scripts
- Bloker Win32 API-kald fra Office-makroer
Brug følgende ASR-regel for Adobe Reader:
• Bloker Adobe Reader fra at oprette underordnede processer
Google Chrome anbefaler ikke længere at aktivere Exploit Protection (EMET), fordi den er overflødig eller erstattet af indbyggede angrebsmitigeringer.
Liste over programkompatibilitet
I følgende tabel vises bestemte produkter, der har kompatibilitetsproblemer med de afhjælpninger, der er inkluderet i beskyttelse mod udnyttelse. Du skal deaktivere specifikke inkompatible afhjælpninger, hvis du vil beskytte produktet ved hjælp af beskyttelse mod udnyttelse. Vær opmærksom på, at denne liste tager højde for standardindstillingerne for de nyeste versioner af produktet. Kompatibilitetsproblemer kan introduceres, når du anvender visse tilføjelsesprogrammer eller andre komponenter på standardsoftwaren.
| Produkt | Afhjælpning af udnyttelse af beskyttelse |
|---|---|
| .NET 2.0/3.5 | EAF/IAF |
| 7-Zip Konsol/GUI/Filstyring | EAF |
| AMD 62xx-processorer | EAF |
| Avecto (Beyond Trust) Power Broker | EAF, EAF+, Stack Pivot |
| Visse AMD-skærmdrivere (ATI) | System ASLR=AlwaysOn |
| DropBox | EAF |
| Excel Power Query, Power View, Power Map og PowerPivot | EAF |
| Google Chrome (anbefales ikke længere) | EAF+ |
| Immidio Flex+ | EAF |
| Microsoft Office Web Components (OWC) | System-DEP=AlwaysOn |
| Microsoft PowerPoint | EAF |
| Microsoft Teams | EAF+ |
| Oracle Javaǂ | Heapspray |
| Pitney Bowes Print Audit 6 | SimExecFlow |
| Siebel CRM version er 8.1.1.9 | SEHOP |
| Skype | EAF |
| SolarWinds Syslogd Manager | EAF |
| Windows-medieafspiller | ObligatoriskASLR, EAF |
ǂ EMET-afhjælpninger kan være inkompatible med Oracle Java, når de køres ved hjælp af indstillinger, der reserverer en stor del af hukommelsen til den virtuelle maskine (dvs. ved hjælp af indstillingen -Xms).
Aktivér systemindstillinger for udnyttelse af beskyttelse til test
Disse systemindstillinger for Exploit Protection er aktiveret som standard med undtagelse af ASLR (Obligatorisk Address Space Layout Randomization) på Windows 10 og nyere, Windows Server 2019 og nyere og Windows Server version 1803 core edition og nyere.
| Systemindstillinger | Indstilling |
|---|---|
| Kontrolflowbeskyttelse (CFG) | Brug standard (slået til) |
| Forhindring af datakørsel (DEP) | Brug standard (slået til) |
| Gennemtving randomisering af billeder (obligatorisk ASRL) | Brug standard (fra) |
| Randomiser hukommelsesallokeringer (bottom-up ASRL) | Brug standard (slået til) |
| Høj entropi ASRL | Brug standard (slået til) |
| Valider undtagelseskæder (SEHOP) | Brug standard (slået til) |
XML-eksemplet er tilgængeligt nedenfor
<?xml version="1.0" encoding="UTF-8"?>
<MitigationPolicy>
<SystemConfig>
<DEP Enable="true" EmulateAtlThunks="false" />
<ASLR ForceRelocateImages="false" RequireInfo="false" BottomUp="true" HighEntropy="true" />
<ControlFlowGuard Enable="true" SuppressExports="false" />
<SEHOP Enable="true" TelemetryOnly="false" />
<Heap TerminateOnError="true" />
</SystemConfig>
</MitigationPolicy>
Aktivér indstillinger for beskyttelsesprogram til udnyttelse til test
Tip
Vi anbefaler på det kraftigste, at du gennemgår den moderne tilgang til afhjælpning af sårbarheder, som er at bruge ASR-regler (Attack Surface Reduction rules).
Du kan angive reduktioner i en testtilstand for bestemte programmer ved hjælp af Windows Sikkerhed-appen eller Windows PowerShell.
Windows Sikkerhed app
Åbn Windows Sikkerhed-appen. Åbn Windows Sikkerhed-appen ved enten at vælge skjoldikonet på proceslinjen eller ved at søge i menuen Start efter Windows Sikkerhed.
Vælg feltetApp- og browserstyring (eller appikonet på venstre menulinje), og vælg derefter Exploit Protection.
Gå til Programindstillinger, og vælg den app, du vil anvende beskyttelse på:
Hvis den app, du vil konfigurere, allerede er angivet, skal du markere den og derefter vælge Rediger.
Hvis appen ikke er angivet øverst på listen, skal du vælge Tilføj program, der skal tilpasses. Vælg derefter, hvordan du vil tilføje appen.
- Brug Tilføj efter programnavn for at anvende afhjælpningen på alle kørende processer med dette navn. Angiv en fil med et filtypenavn. Du kan angive en komplet sti for kun at begrænse afhjælpningen til den app, der har det pågældende navn på den pågældende placering.
- Brug Vælg nøjagtig filsti til at bruge et standardvindue til Windows Stifinder filvælger til at finde og vælge den ønskede fil.
Når du har valgt appen, får du vist en liste over alle de afhjælpninger, der kan anvendes. Hvis du vælger Overvågning , anvendes afhjælpningen kun i testtilstand. Du får besked, hvis du har brug for at genstarte processen, appen eller Windows.
Gentag trin 3-4 for alle de apps og reduktioner, du vil konfigurere. Vælg Anvend, når du er færdig med at konfigurere din konfiguration.
PowerShell
Hvis du vil angive afhjælpninger på appniveau til testtilstand, skal du bruge Set-ProcessMitigation med cmdlet'en Overvågningstilstand .
Konfigurer hver reduktion i følgende format:
Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>
Hvor:
-
<Område>:
-
-Namefor at angive, at afhjælpningerne skal anvendes på en bestemt app. Angiv appens eksekverbare fil efter dette flag.
-
-
<Handling>:
-
-Enablefor at aktivere afhjælpningen-
-Disablefor at deaktivere afhjælpningen
-
-
-
<Afhjælpning>:
- Reduktionens cmdlet som defineret i følgende tabel. Hver afhjælpning er adskilt med et komma.
| Reduktion | Cmdlet til testtilstand |
|---|---|
| ACG (Arbitrary Code Guard) | AuditDynamicCode |
| Bloker for afbildninger med lav integritet | AuditImageLoad |
| Bloker de skrifttyper, der ikke er tillid til |
AuditFont, FontAuditOnly |
| Beskyttelse af kodeintegritet |
AuditMicrosoftSigned, AuditStoreSigned |
| Deaktiver Win32k-systemkald | AuditSystemCall |
| Tillad ikke underprocesser | AuditChildProcess |
Hvis du f.eks. vil aktivere Arbitr Code Guard (ACG) i testtilstand for en app med navnet testing.exe, skal du køre følgende kommando:
Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable AuditDynamicCode
Du kan deaktivere overvågningstilstand ved at erstatte -Enable med -Disable.
Gennemse Exploit Protection for beskyttelse overvågningshændelser
Hvis du vil gennemse, hvilke apps der blokeres, skal du åbne Logbog og filtrere efter følgende hændelser i Security-Mitigations log.
| Funktion | Udbyder/kilde | Hændelses-id | Beskrivelse |
|---|---|---|---|
| Exploit Protection | Sikkerhedsreduktion (kernetilstand/brugertilstand) | 1 | ACG-overvågning |
| Exploit Protection | Sikkerhedsreduktion (kernetilstand/brugertilstand) | 3 | Tillad ikke overvågning af underprocesser |
| Exploit Protection | Sikkerhedsreduktion (kernetilstand/brugertilstand) | 5 | Bloker for billeder med lav integritet |
| Exploit Protection | Sikkerhedsreduktion (kernetilstand/brugertilstand) | 7 | Bloker overvågning fjernafbildninger |
| Exploit Protection | Sikkerhedsreduktion (kernetilstand/brugertilstand) | 9 | Deaktiver overvågning af Win32k-systemkald |
| Exploit Protection | Sikkerhedsreduktion (kernetilstand/brugertilstand) | 11 | Overvåg beskyttelse af kodeintegritet |
Se også
- Aktivér Exploit Protection
- Konfigurer og overvåg afhjælpninger Med Exploit Protection
- Importer, eksporter og implementer konfigurationer af Exploit Protection
- Fejlfinding af Exploit Protection
Tip
Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.