Schützen von Geräten vor Sicherheitsrisiken
Gilt für:
- Microsoft Defender für Endpunkt Plan 1
- Microsoft Defender für Endpunkt Plan 2
- Microsoft Defender XDR
Beim Exploit-Schutz werden automatisch mehrere Risikominimierungstechniken auf Betriebssystemprozesse und Apps angewendet. Der Exploit-Schutz wird ab Windows 10, Version 1709, Windows 11 und Windows Server, Version 1803, unterstützt.
Der Exploit-Schutz funktioniert am besten mit Defender für Endpunkt, wodurch Sie detaillierte Berichte zu Exploit-Schutzereignissen und -blöcken als Teil der üblichen Warnungsuntersuchungsszenarien erhalten.
Sie können auf einem einzelnen Gerät den Exploit-Schutz aktivieren und dann Gruppenrichtlinie verwenden, um die XML-Datei auf mehrere Geräte gleichzeitig zu verteilen.
Wenn eine Entschärfung auf dem Gerät gefunden wird, wird eine Benachrichtigung aus dem Info-Center angezeigt. Mit Ihren Unternehmensdetails und Kontaktinformationen können Sie die Benachrichtigung anpassen. Sie können die Regeln auch einzeln aktivieren, um anzupassen, welche Techniken das Feature überwacht.
Sie können auch den Überwachungsmodus verwenden, um festzustellen, wie sich der Exploit-Schutz auf Ihre Organisation auswirken würde, wenn er aktiviert wäre.
Viele der Features im Enhanced Mitigation Experience Toolkit (EMET) sind im Exploit-Schutz enthalten. Tatsächlich können Sie vorhandene EMET-Konfigurationsprofile in Exploit-Schutz konvertieren und importieren. Weitere Informationen finden Sie unter Importieren, Exportieren und Bereitstellen von Exploit-Schutzkonfigurationen.
Wichtig
Wenn Sie derzeit EMET verwenden, sollten Sie beachten, dass EMET am 31. Juli 2018 das Ende des Supports erreicht hat. Sie sollten in Betracht ziehen, EMET durch Exploit-Schutz in Windows 10 zu ersetzen.
Warnung
Einige Risikominderungstechnologien für Sicherheitsprobleme weisen möglicherweise Kompatibilitätsprobleme bei einigen Anwendungen auf. Sie sollten den Exploit-Schutz in allen Zielverwendungsszenarien testen, indem Sie Überwachungsmodus verwenden, bevor Sie die Konfiguration in einer Produktionsumgebung oder im restlichen Netzwerk bereitstellen.
Überprüfen von Exploit-Schutzereignissen im Microsoft Defender-Portal
Defender für Endpunkt bietet detaillierte Berichte zu Ereignissen und Blöcken als Teil seiner Warnungsuntersuchungsszenarien.
Sie können Defender für Endpunktdaten abfragen, indem Sie Erweiterte Sucheverwenden. Wenn Sie Überwachungsmodusverwenden, können Sie mithilfe der erweiterten Suche ermitteln, wie sich Exploit-Schutzeinstellungen auf Ihre Umgebung auswirken können.
Hier ist eine Beispielabfrage:
DeviceEvents
| where ActionType startswith 'ExploitGuard' and ActionType !contains 'NetworkProtection'
Exploit-Schutz und erweiterte Suche
Im Folgenden finden Sie die aktionstypen für die erweiterte Suche, die für Exploit-Schutz verfügbar sind.
| Name der Exploit Protection-Entschärfung | Exploit-Schutz – Erweiterte Suche – ActionTypes |
|---|---|
| Willkürlicher Codewächter | ExploitGuardAcgAudited ExploitGuardAcgEnforced |
| Untergeordnete Prozesse nicht zulassen | ExploitGuardChildProcessAudited ExploitGuardChildProcessBlocked |
| Export-Adressfilterung (EAF) | ExploitGuardEafViolationAudited ExploitGuardEafViolationBlocked |
| Import-Adressfilterung (IAF) | ExploitGuardIafViolationAudited ExploitGuardIafViolationBlocked |
| Bilder mit niedriger Integrität blockieren | ExploitGuardLowIntegrityImageAudited ExploitGuardLowIntegrityImageBlocked |
| Codeintegritätsschutz | ExploitGuardNonMicrosoftSignedAudited ExploitGuardNonMicrosoftSignedBlocked |
| • Simulieren der Ausführung (SimExec) • Überprüfen des API-Aufrufs (CallerCheck) • Überprüfen der Stapelintegrität (StackPivot) |
ExploitGuardRopExploitAudited ExploitGuardRopExploitBlocked |
| Remoteimages blockieren | ExploitGuardSharedBinaryAudited ExploitGuardSharedBinaryBlocked |
| Win32k-Systemaufrufe deaktivieren | ExploitGuardWin32SystemCallAudited ExploitGuardWin32SystemCallBlocked |
Überprüfen von Ereignissen zum Schutzes vor Sicherheitsrisiken in der Windows-Ereignisanzeige
Sie können das Windows-Ereignisprotokoll überprüfen, um Ereignisse anzuzeigen, die erstellt werden, wenn der Exploit-Schutz eine App blockiert (oder überprüft):
| Anbieter/Quelle | Ereignis-ID | Beschreibung |
|---|---|---|
| Gegenmaßnahmen | 1 | ACG-Überwachung |
| Gegenmaßnahmen | 2 | ACG-Erzwingung |
| Gegenmaßnahmen | 3 | Überwachung von untergeordneten Prozessen nicht zulassen |
| Gegenmaßnahmen | 4 | Blockieren von untergeordneten Prozessen nicht zulassen |
| Gegenmaßnahmen | 5 | Blockieren von Abbildern mit niedriger Integrität (Überwachung) |
| Gegenmaßnahmen | 6 | Blockieren von Abbildern mit niedriger Integrität (Blockierung) |
| Gegenmaßnahmen | 7 | Blockieren von Remote-Abbildern (Überwachung) |
| Gegenmaßnahmen | 8 | Blockieren von Remote-Abbildern (Blockierung) |
| Gegenmaßnahmen | 9 | Win32k Systemaufrufe deaktivieren (Überwachung) |
| Gegenmaßnahmen | 10 | Win32k Systemaufrufe deaktivieren (Blockierung) |
| Gegenmaßnahmen | 11 | Codeintegrität (Überwachung) |
| Gegenmaßnahmen | 12 | Codeintegrität (Blockierung) |
| Gegenmaßnahmen | 13 | EAF-Überwachung |
| Gegenmaßnahmen | 14 | EAF-Erzwingung |
| Gegenmaßnahmen | 15 | EAF+ (Überwachung) |
| Gegenmaßnahmen | 16 | EAF + Erzwingung |
| Gegenmaßnahmen | 17 | IAF-Überwachung |
| Gegenmaßnahmen | 18 | IAF-Erzwingung |
| Gegenmaßnahmen | 19 | ROP StackPivot (Überwachung) |
| Gegenmaßnahmen | 20 | ROP StackPivot (Erzwingen) |
| Gegenmaßnahmen | 21 | ROP CallerCheck (Überwachung) |
| Gegenmaßnahmen | 22 | ROP CallerCheck (Erzwingen) |
| Gegenmaßnahmen | 23 | ROP SimExec (Überwachung) |
| Gegenmaßnahmen | 24 | ROP SimExec (Erzwingen) |
| WER-Diagnose | 5 | CFG (Blockieren) |
| Win32K | 260 | Nicht vertrauenswürdige Schriftart |
Vergleich der Risikominderungen
Die in EMET verfügbaren Gegenmaßnahmen sind nativ in Windows 10 (ab Version 1709), Windows 11 und Windows Server (ab Version 1803) unter Exploit-Schutz verfügbar.
Die Tabelle in diesem Abschnitt gibt die Verfügbarkeit und Unterstützung nativer Risikominderungen zwischen EMET und Exploit-Schutz an.
| Risikominderung | Verfügbar unter Exploit-Schutz | Verfügbar in EMET |
|---|---|---|
| Arbitrary Code Guard (ACG) | Ja | Ja Als "Überprüfung des Arbeitsspeicherschutzes" |
| Remoteimages blockieren | Ja | Ja Als "Bibliotheksüberprüfung laden" |
| Nicht vertrauenswürdige Schriftarten blockieren | Ja | Ja |
| Datenausführungsverhinderung (DATA Execution Prevention, DEP) | Ja | Ja |
| Export-Adressfilterung (EAF) | Ja | Ja |
| Erzwingen von zufälligen Abbildern (obligatorisches ASLR) | Ja | Ja |
| NullPage-Sicherheitsminderung | Ja Nativ in Windows 10 und Windows 11 enthalten Weitere Informationen finden Sie unter Entschärfen von Bedrohungen mithilfe von Windows 10 Sicherheitsfeatures. |
Ja |
| Zufällige Speicherbelegungen (Bottom-Up ASLR) | Ja | Ja |
| Simulieren der Ausführung (SimExec) | Ja | Ja |
| Überprüfen des API-Aufrufs (CallerCheck) | Ja | Ja |
| Überprüfen von Ausnahmeketten (SEHOP) | Ja | Ja |
| Überprüfen der Stapelintegrität (StackPivot) | Ja | Ja |
| Zertifikatvertrauensstellung (konfigurierbares Anheften von Zertifikaten) | Windows 10 und Windows 11 ermöglichen Unternehmen das Anheften von Zertifikaten | Ja |
| Heap-Spray-Zuordnung | Ist gegen neuere browserbasierte Angriffe wirkungslos; neuere Schutzmaßnahmen bieten besseren Schutz Weitere Informationen finden Sie unter Entschärfen von Bedrohungen mithilfe von Windows 10 Sicherheitsfeatures. |
Ja |
| Bilder mit niedriger Integrität blockieren | Ja | Nein |
| Codeintegritätsschutz | Ja | Nein |
| Deaktivieren von Erweiterungspunkten | Ja | Nein |
| Win32k-Systemaufrufe deaktivieren | Ja | Nein |
| Untergeordnete Prozesse nicht zulassen | Ja | Nein |
| Import-Adressfilterung (IAF) | Ja | Nein |
| Überprüfen der Handleverwendung | Ja | Nein |
| Überprüfen der Heapintegrität | Ja | Nein |
| Überprüfen der Integrität von Imageabhängigkeiten | Ja | Nein |
Hinweis
Die im EMET verfügbaren erweiterten ROP-Schutzmaßnahmen werden unter Windows 10 und Windows 11 durch ACG ersetzt. Andere erweiterte EMET-Einstellungen sind standardmäßig aktiviert, um die Anti-ROP-Schutzmaßnahmen für einen Prozess zu aktivieren. Weitere Informationen dazu, wie Windows 10 vorhandene EMET-Technologie einsetzt, finden Sie unter Risikominderung von Bedrohungen mithilfe von Windows 10 Sicherheitsfeatures.
Siehe auch
- Konfigurieren und Überwachen von Risikominderungen für den Exploit-Schutz
- Problembehandlung beim Exploit-Schutz
- Optimieren der Bereitstellung und Erkennung von ASR-Regeln
Tipp
Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.