Freigeben über


Schützen von Geräten vor Sicherheitsrisiken

Gilt für:

Beim Exploit-Schutz werden automatisch mehrere Risikominimierungstechniken auf Betriebssystemprozesse und Apps angewendet. Der Exploit-Schutz wird ab Windows 10, Version 1709, Windows 11 und Windows Server, Version 1803, unterstützt.

Der Exploit-Schutz funktioniert am besten mit Defender für Endpunkt, wodurch Sie detaillierte Berichte zu Exploit-Schutzereignissen und -blöcken als Teil der üblichen Warnungsuntersuchungsszenarien erhalten.

Sie können auf einem einzelnen Gerät den Exploit-Schutz aktivieren und dann Gruppenrichtlinie verwenden, um die XML-Datei auf mehrere Geräte gleichzeitig zu verteilen.

Wenn eine Entschärfung auf dem Gerät gefunden wird, wird eine Benachrichtigung aus dem Info-Center angezeigt. Mit Ihren Unternehmensdetails und Kontaktinformationen können Sie die Benachrichtigung anpassen. Sie können die Regeln auch einzeln aktivieren, um anzupassen, welche Techniken das Feature überwacht.

Sie können auch den Überwachungsmodus verwenden, um festzustellen, wie sich der Exploit-Schutz auf Ihre Organisation auswirken würde, wenn er aktiviert wäre.

Viele der Features im Enhanced Mitigation Experience Toolkit (EMET) sind im Exploit-Schutz enthalten. Tatsächlich können Sie vorhandene EMET-Konfigurationsprofile in Exploit-Schutz konvertieren und importieren. Weitere Informationen finden Sie unter Importieren, Exportieren und Bereitstellen von Exploit-Schutzkonfigurationen.

Wichtig

Wenn Sie derzeit EMET verwenden, sollten Sie beachten, dass EMET am 31. Juli 2018 das Ende des Supports erreicht hat. Sie sollten in Betracht ziehen, EMET durch Exploit-Schutz in Windows 10 zu ersetzen.

Warnung

Einige Risikominderungstechnologien für Sicherheitsprobleme weisen möglicherweise Kompatibilitätsprobleme bei einigen Anwendungen auf. Sie sollten den Exploit-Schutz in allen Zielverwendungsszenarien testen, indem Sie Überwachungsmodus verwenden, bevor Sie die Konfiguration in einer Produktionsumgebung oder im restlichen Netzwerk bereitstellen.

Überprüfen von Exploit-Schutzereignissen im Microsoft Defender-Portal

Defender für Endpunkt bietet detaillierte Berichte zu Ereignissen und Blöcken als Teil seiner Warnungsuntersuchungsszenarien.

Sie können Defender für Endpunktdaten abfragen, indem Sie Erweiterte Sucheverwenden. Wenn Sie Überwachungsmodusverwenden, können Sie mithilfe der erweiterten Suche ermitteln, wie sich Exploit-Schutzeinstellungen auf Ihre Umgebung auswirken können.

Hier ist eine Beispielabfrage:

DeviceEvents
| where ActionType startswith 'ExploitGuard' and ActionType !contains 'NetworkProtection'

Exploit-Schutz und erweiterte Suche

Im Folgenden finden Sie die aktionstypen für die erweiterte Suche, die für Exploit-Schutz verfügbar sind.

Name der Exploit Protection-Entschärfung Exploit-Schutz – Erweiterte Suche – ActionTypes
Willkürlicher Codewächter ExploitGuardAcgAudited
ExploitGuardAcgEnforced
Untergeordnete Prozesse nicht zulassen ExploitGuardChildProcessAudited
ExploitGuardChildProcessBlocked
Export-Adressfilterung (EAF) ExploitGuardEafViolationAudited
ExploitGuardEafViolationBlocked
Import-Adressfilterung (IAF) ExploitGuardIafViolationAudited
ExploitGuardIafViolationBlocked
Bilder mit niedriger Integrität blockieren ExploitGuardLowIntegrityImageAudited
ExploitGuardLowIntegrityImageBlocked
Codeintegritätsschutz ExploitGuardNonMicrosoftSignedAudited
ExploitGuardNonMicrosoftSignedBlocked
• Simulieren der Ausführung (SimExec)
• Überprüfen des API-Aufrufs (CallerCheck)
• Überprüfen der Stapelintegrität (StackPivot)
ExploitGuardRopExploitAudited
ExploitGuardRopExploitBlocked
Remoteimages blockieren ExploitGuardSharedBinaryAudited
ExploitGuardSharedBinaryBlocked
Win32k-Systemaufrufe deaktivieren ExploitGuardWin32SystemCallAudited
ExploitGuardWin32SystemCallBlocked

Überprüfen von Ereignissen zum Schutzes vor Sicherheitsrisiken in der Windows-Ereignisanzeige

Sie können das Windows-Ereignisprotokoll überprüfen, um Ereignisse anzuzeigen, die erstellt werden, wenn der Exploit-Schutz eine App blockiert (oder überprüft):

Anbieter/Quelle Ereignis-ID Beschreibung
Gegenmaßnahmen 1 ACG-Überwachung
Gegenmaßnahmen 2 ACG-Erzwingung
Gegenmaßnahmen 3 Überwachung von untergeordneten Prozessen nicht zulassen
Gegenmaßnahmen 4 Blockieren von untergeordneten Prozessen nicht zulassen
Gegenmaßnahmen 5 Blockieren von Abbildern mit niedriger Integrität (Überwachung)
Gegenmaßnahmen 6 Blockieren von Abbildern mit niedriger Integrität (Blockierung)
Gegenmaßnahmen 7 Blockieren von Remote-Abbildern (Überwachung)
Gegenmaßnahmen 8 Blockieren von Remote-Abbildern (Blockierung)
Gegenmaßnahmen 9 Win32k Systemaufrufe deaktivieren (Überwachung)
Gegenmaßnahmen 10 Win32k Systemaufrufe deaktivieren (Blockierung)
Gegenmaßnahmen 11 Codeintegrität (Überwachung)
Gegenmaßnahmen 12 Codeintegrität (Blockierung)
Gegenmaßnahmen 13 EAF-Überwachung
Gegenmaßnahmen 14 EAF-Erzwingung
Gegenmaßnahmen 15 EAF+ (Überwachung)
Gegenmaßnahmen 16 EAF + Erzwingung
Gegenmaßnahmen 17 IAF-Überwachung
Gegenmaßnahmen 18 IAF-Erzwingung
Gegenmaßnahmen 19 ROP StackPivot (Überwachung)
Gegenmaßnahmen 20 ROP StackPivot (Erzwingen)
Gegenmaßnahmen 21 ROP CallerCheck (Überwachung)
Gegenmaßnahmen 22 ROP CallerCheck (Erzwingen)
Gegenmaßnahmen 23 ROP SimExec (Überwachung)
Gegenmaßnahmen 24 ROP SimExec (Erzwingen)
WER-Diagnose 5 CFG (Blockieren)
Win32K 260 Nicht vertrauenswürdige Schriftart

Vergleich der Risikominderungen

Die in EMET verfügbaren Gegenmaßnahmen sind nativ in Windows 10 (ab Version 1709), Windows 11 und Windows Server (ab Version 1803) unter Exploit-Schutz verfügbar.

Die Tabelle in diesem Abschnitt gibt die Verfügbarkeit und Unterstützung nativer Risikominderungen zwischen EMET und Exploit-Schutz an.

Risikominderung Verfügbar unter Exploit-Schutz Verfügbar in EMET
Arbitrary Code Guard (ACG) Ja Ja
Als "Überprüfung des Arbeitsspeicherschutzes"
Remoteimages blockieren Ja Ja
Als "Bibliotheksüberprüfung laden"
Nicht vertrauenswürdige Schriftarten blockieren Ja Ja
Datenausführungsverhinderung (DATA Execution Prevention, DEP) Ja Ja
Export-Adressfilterung (EAF) Ja Ja
Erzwingen von zufälligen Abbildern (obligatorisches ASLR) Ja Ja
NullPage-Sicherheitsminderung Ja
Nativ in Windows 10 und Windows 11 enthalten
Weitere Informationen finden Sie unter Entschärfen von Bedrohungen mithilfe von Windows 10 Sicherheitsfeatures.
Ja
Zufällige Speicherbelegungen (Bottom-Up ASLR) Ja Ja
Simulieren der Ausführung (SimExec) Ja Ja
Überprüfen des API-Aufrufs (CallerCheck) Ja Ja
Überprüfen von Ausnahmeketten (SEHOP) Ja Ja
Überprüfen der Stapelintegrität (StackPivot) Ja Ja
Zertifikatvertrauensstellung (konfigurierbares Anheften von Zertifikaten) Windows 10 und Windows 11 ermöglichen Unternehmen das Anheften von Zertifikaten Ja
Heap-Spray-Zuordnung Ist gegen neuere browserbasierte Angriffe wirkungslos; neuere Schutzmaßnahmen bieten besseren Schutz
Weitere Informationen finden Sie unter Entschärfen von Bedrohungen mithilfe von Windows 10 Sicherheitsfeatures.
Ja
Bilder mit niedriger Integrität blockieren Ja Nein
Codeintegritätsschutz Ja Nein
Deaktivieren von Erweiterungspunkten Ja Nein
Win32k-Systemaufrufe deaktivieren Ja Nein
Untergeordnete Prozesse nicht zulassen Ja Nein
Import-Adressfilterung (IAF) Ja Nein
Überprüfen der Handleverwendung Ja Nein
Überprüfen der Heapintegrität Ja Nein
Überprüfen der Integrität von Imageabhängigkeiten Ja Nein

Hinweis

Die im EMET verfügbaren erweiterten ROP-Schutzmaßnahmen werden unter Windows 10 und Windows 11 durch ACG ersetzt. Andere erweiterte EMET-Einstellungen sind standardmäßig aktiviert, um die Anti-ROP-Schutzmaßnahmen für einen Prozess zu aktivieren. Weitere Informationen dazu, wie Windows 10 vorhandene EMET-Technologie einsetzt, finden Sie unter Risikominderung von Bedrohungen mithilfe von Windows 10 Sicherheitsfeatures.

Siehe auch

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.