Auswerten des Exploit-Schutzes
Gilt für:
- Microsoft Defender für Endpunkt Plan 1
- Microsoft Defender für Endpunkt Plan 2
- Microsoft Defender XDR
Möchten Sie Microsoft Defender für Endpunkt ausprobieren? Registrieren Sie sich für eine kostenlose Testversion.
Der Exploit-Schutz trägt zum Schutz von Geräten vor Schadsoftware bei, die Exploits verwendet, um Geräte zu infizieren und sich zu verbreiten. Die Risikominderung kann entweder auf das Betriebssystem oder auf eine einzelne App angewendet werden. Viele der Features, die Teil des Enhanced Mitigation Experience Toolkits (EMET) waren, sind im Exploit-Schutz enthalten. (Das EMET hat das Ende des Supports erreicht.)
Bei der Überwachung können Sie sehen, wie die Risikominderung für bestimmte Apps in einer Testumgebung funktioniert. Dies zeigt, was passieren würde , wenn Sie den Exploit-Schutz in Ihrer Produktionsumgebung aktivieren. Auf diese Weise können Sie überprüfen, ob der Exploit-Schutz keine negativen Auswirkungen auf Ihre branchenspezifischen Apps hat, und sehen, welche verdächtigen oder bösartigen Ereignisse auftreten.
Allgemeine Richtlinien
Exploit-Schutzminderungen funktionieren auf einer niedrigen Ebene im Betriebssystem, und einige Arten von Software, die ähnliche Vorgänge auf niedriger Ebene ausführen, können Kompatibilitätsprobleme haben, wenn sie so konfiguriert sind, dass sie durch Exploit-Schutz geschützt werden.
Welche Arten von Software sollten nicht durch Exploit-Schutz geschützt werden?
- Anti-Malware- und Angriffsschutz- oder Erkennungssoftware
- Debugger
- Software, die DRM-Technologien (Digital Rights Management) verarbeitet (d. a. Videospiele)
- Software, die Antidebugging-, Obfuskations- oder Hookingtechnologien verwendet
Welche Art von Anwendungen sollten Sie in Betracht ziehen, Exploit-Schutz zu aktivieren?
Anwendungen, die nicht vertrauenswürdige Daten empfangen oder verarbeiten.
Welche Arten von Prozessen liegen außerhalb des Bereichs des Exploit-Schutzes?
Dienste
- Systemdienste
- Netzwerkdienste
Exploit-Schutzminderungen standardmäßig aktiviert
| Minderung | Standardmäßig aktiviert |
|---|---|
| Datenausführungsverhinderung (DATA Execution Prevention, DEP) | 64-Bit- und 32-Bit-Anwendungen |
| Überprüfen von Ausnahmeketten (SEHOP) | 64-Bit-Anwendungen |
| Überprüfen der Heapintegrität | 64-Bit- und 32-Bit-Anwendungen |
Veraltete "Programmeinstellungen"-Entschärfungen
| Entschärfungen für "Programmeinstellungen" | Grund |
|---|---|
| Export-Adressfilterung (EAF) | Probleme mit der Anwendungskompatibilität |
| Import-Adressfilterung (IAF) | Probleme mit der Anwendungskompatibilität |
| Simulieren der Ausführung (SimExec) | Ersetzt durch Arbitrary Code Guard (ACG) |
| Überprüfen des API-Aufrufs (CallerCheck) | Ersetzt durch Arbitrary Code Guard (ACG) |
| Überprüfen der Stapelintegrität (StackPivot) | Ersetzt durch Arbitrary Code Guard (ACG) |
Bewährte Methoden für Office-Anwendungen
Anstatt Exploit Protection für Office-Anwendungen wie Outlook, Word, Excel, PowerPoint und OneNote zu verwenden, sollten Sie einen moderneren Ansatz verwenden, um ihren Missbrauch zu verhindern: Regeln zur Verringerung der Angriffsfläche (Attack Surface Reduction Rules, ASR-Regeln):
- Blockieren ausführbarer Inhalte aus E-Mail-Client und Webmail
- Office-Anwendungen am Erstellen ausführbarer Inhalte hindern
- Alle Office-Anwendungen am Erstellen von untergeordneten Prozessen hindern
- Office-Kommunikationsanwendung am Erstellen von untergeordneten Prozessen hindern
- Office-Anwendungen am Einfügen von Code in untergeordnete Prozesse hindern
- Ausführung potenziell verborgener Skripts blockieren
- Blockieren von Win32-API-Aufrufen von Office-Makros
Verwenden Sie für Adobe Reader die folgende ASR-Regel:
• Blockieren der Erstellung untergeordneter Prozesse durch Adobe Reader
Anwendungskompatibilitätsliste
In der folgenden Tabelle sind bestimmte Produkte aufgeführt, die Kompatibilitätsprobleme mit den Risikominderungen haben, die im Exploit-Schutz enthalten sind. Sie müssen bestimmte inkompatible Risikominderungen deaktivieren, wenn Sie das Produkt mithilfe von Exploit-Schutz schützen möchten. Beachten Sie, dass diese Liste die Standardeinstellungen für die neuesten Versionen des Produkts berücksichtigt. Kompatibilitätsprobleme können auftreten, wenn Sie bestimmte Add-Ins oder andere Komponenten auf die Standardsoftware anwenden.
| Produkt | Exploit-Schutz entschärfung |
|---|---|
| .NET 2.0/3.5 | EAF/IAF |
| 7-Zip-Konsole/GUI/Datei-Manager | EAF |
| AMD 62xx-Prozessoren | EAF |
| Avecto (Beyond Trust) Power Broker | EAF, EAF+, Stapel pivot |
| Bestimmte AMD-Videotreiber (ATI) | System ASLR=AlwaysOn |
| DropBox | EAF |
| Excel Power Query, Power View, Power Map und PowerPivot | EAF |
| Google Chrome | EAF+ |
| Immidio Flex+ | EAF |
| Microsoft Office Web Components (OWC) | System DEP=AlwaysOn |
| Microsoft PowerPoint | EAF |
| Microsoft Teams | EAF+ |
| Oracle Javaǂ | Heapspray |
| Pitney Bowes Print Audit 6 | SimExecFlow |
| Siebel CRM-Version ist 8.1.1.9 | SEHOP |
| Skype | EAF |
| SolarWinds Syslogd Manager | EAF |
| Windows Media Player | MandatoryASLR, EAF |
ǂ EMET-Entschärfungen sind möglicherweise nicht mit Oracle Java kompatibel, wenn sie mithilfe von Einstellungen ausgeführt werden, die einen großen Speicherblock für den virtuellen Computer reservieren (d. h. mithilfe der Option -Xms).
Aktivieren von Exploit-Schutzsystemeinstellungen für Tests
Diese Exploit Protection-Systemeinstellungen sind standardmäßig aktiviert, mit Ausnahme der Randomisierung des obligatorischen Adressraumlayouts (AsLR) unter Windows 10 und höher, Windows Server 2019 und höher sowie unter Windows Server Version 1803 Core Edition und höher.
| Systemeinstellungen | Einstellung |
|---|---|
| Ablaufsteuerungsschutz (Control Flow Guard, CFG) | Standard verwenden (Ein) |
| Datenausführungsverhinderung (DATA Execution Prevention, DEP) | Standard verwenden (Ein) |
| Erzwingen der Randomisierung für Bilder (obligatorische ASRL) | Standard verwenden (Aus) |
| Zufällige Speicherbelegungen (Bottom-up-ASRL) | Standard verwenden (Ein) |
| Asrl für hohe Entropie | Standard verwenden (Ein) |
| Überprüfen von Ausnahmeketten (SEHOP) | Standard verwenden (Ein) |
Das XML-Beispiel ist unten verfügbar.
<?xml version="1.0" encoding="UTF-8"?>
<MitigationPolicy>
<SystemConfig>
<DEP Enable="true" EmulateAtlThunks="false" />
<ASLR ForceRelocateImages="false" RequireInfo="false" BottomUp="true" HighEntropy="true" />
<ControlFlowGuard Enable="true" SuppressExports="false" />
<SEHOP Enable="true" TelemetryOnly="false" />
<Heap TerminateOnError="true" />
</SystemConfig>
</MitigationPolicy>
Aktivieren der Einstellungen des Exploit-Schutzprogramms für Tests
Tipp
Es wird dringend empfohlen, den modernen Ansatz zur Entschärfung von Sicherheitsrisiken zu überprüfen, bei dem Regeln zur Verringerung der Angriffsfläche (ASR-Regeln) verwendet werden.
Mithilfe der Windows-Sicherheit-App oder Windows PowerShell können Sie Risikominderungen in einem Testmodus für bestimmte Programme festlegen.
Windows-Sicherheit-App
Öffnen Sie die Windows-Sicherheit-App. Klicken Sie entweder das Schildsymbol in der Taskleiste an oder suchen Sie im Startmenü nach Windows-Sicherheit.
Wählen Sie die Kachel App- und Browsersteuerung (oder das App-Symbol auf der linken Menüleiste) und dann Exploit-Schutz aus.
Wechseln Sie zu den Programmeinstellungen, und wählen Sie die App aus, auf die Sie Schutzfunktionen anwenden möchten:
Wenn die App, die Sie konfigurieren möchten, bereits aufgeführt ist, wählen Sie sie aus, und wählen Sie dann Bearbeiten aus.
Wenn die App nicht oben in der Liste aufgeführt ist, wählen Sie Programm zum Anpassen hinzufügen aus. Wählen Sie dann aus, wie die App hinzugefügt werden soll.
- Wählen Sie Nach Programmnamen hinzufügen, damit die Risikominderung auf alle laufenden Prozesse mit diesem Namen angewendet wird. Geben Sie eine Datei samt einer Erweiterung an. Sie können einen vollständigen Pfad angeben, um die Risikominderung auf die App mit diesem Namen an diesem Speicherort zu beschränken.
- Wählen Sie Genauen Dateipfad auswählen, um über ein Standard-Windows-Explorer-Fenster die gewünschte Datei zu suchen und auszuwählen.
Nach dem Auswählen der App wird eine Liste aller Risikominderungsfunktionen angezeigt, die angewendet werden können. Wenn Sie Überwachung auswählen, wird die Entschärfung nur im Testmodus angewendet. Sie werden benachrichtigt, wenn Sie den Prozess, die App oder Windows neu starten müssen.
Wiederholen Sie den Vorgang für alle Apps und Risikominderungsfunktionen, die Sie konfigurieren möchten. Klicken Sie auf Übernehmen, wenn Sie mit der Einrichtung Ihrer Konfiguration fertig sind.
PowerShell
Um Entschärfungen auf App-Ebene auf den Testmodus festzulegen, verwenden Sie Set-ProcessMitigation mit dem Cmdlet Überwachungsmodus .
Konfigurieren Sie die einzelnen Risikominderungen im folgenden Format:
Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>
Dabei gilt:
-
<Bereich>:
-
-Name, um anzugeben, dass die Risikominderungen auf eine bestimmte App angewendet werden sollen. Geben Sie die ausführbare Datei der App nach diesem Flag an.
-
-
<Aktion>:
-
-Enable, um die Risikominderung zu aktivieren-
-Disable, um die Risikominderung zu deaktivieren
-
-
-
<Entschärfung>:
- Das Cmdlet der Risikominderung, wie in der folgenden Tabelle angegeben. Die einzelnen Risikominderungen sind durch ein Komma getrennt.
| Risikominderung | Cmdlet für den Testmodus |
|---|---|
| Arbitrary Code Guard (ACG) | AuditDynamicCode |
| Bilder mit niedriger Integrität blockieren | AuditImageLoad |
| Nicht vertrauenswürdige Schriftarten blockieren |
AuditFont, FontAuditOnly |
| Codeintegritätsschutz |
AuditMicrosoftSigned, AuditStoreSigned |
| Win32k-Systemaufrufe deaktivieren | AuditSystemCall |
| Untergeordnete Prozesse nicht zulassen | AuditChildProcess |
Führen Sie beispielsweise den folgenden Befehl aus, um Arbitrary Code Guard (ACG) im Testmodus für eine App mit dem Namen testing.exezu aktivieren:
Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable AuditDynamicCode
Sie können den Überwachungsmodus deaktivieren, indem Sie -Enable durch -Disable ersetzen.
Überprüfen von Exploit-Schutzüberwachungsereignissen
Um zu überprüfen, welche Apps blockiert würden, öffnen Sie Ereignisanzeige, und filtern Sie nach den folgenden Ereignissen im Security-Mitigations Protokoll.
| Feature | Anbieter/Quelle | Ereignis-ID | Beschreibung |
|---|---|---|---|
| Exploit-Schutz | Sicherheitsmaßnahmen (Kernelmodus/Benutzermodus) | 1 | ACG-Überwachung |
| Exploit-Schutz | Sicherheitsmaßnahmen (Kernelmodus/Benutzermodus) | 3 | Untergeordnete Prozesse nicht zulassen (Überwachung) |
| Exploit-Schutz | Sicherheitsmaßnahmen (Kernelmodus/Benutzermodus) | 5 | Blockieren von Abbildern mit niedriger Integrität (Überwachung) |
| Exploit-Schutz | Sicherheitsmaßnahmen (Kernelmodus/Benutzermodus) | 7 | Blockieren von Remote-Abbildern (Überwachung) |
| Exploit-Schutz | Sicherheitsmaßnahmen (Kernelmodus/Benutzermodus) | 9 | Win32k Systemaufrufe deaktivieren (Überwachung) |
| Exploit-Schutz | Sicherheitsmaßnahmen (Kernelmodus/Benutzermodus) | 11 | Codeintegrität (Überwachung) |
Siehe auch
- Aktivieren des Exploit-Schutzes
- Konfigurieren und Überwachen von Risikominderungen für den Exploit-Schutz
- Importieren, Exportieren und Bereitstellen von Konfigurationen für Exploit-Schutz
- Problembehandlung beim Exploit-Schutz
Tipp
Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.