Hyökkäysten eston arviointi
Koskee seuraavia:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
Haluatko kokea Microsoft Defender for Endpointin? Rekisteröidy maksuttomaan kokeiluversioon.
Hyökkäysten torjunta auttaa suojaamaan laitteita haittaohjelmilta, jotka käyttävät haittaohjelmia muiden laitteiden levittämiseen ja tartuttamiseen. Lievennystä voidaan soveltaa joko käyttöjärjestelmään tai yksittäiseen sovellukseen. Monet EMET (Enhanced Mitigation Experience Toolkit) -työkalujen ominaisuuksista sisältyvät hyökkäysten torjuntaan. (EMET:n tuki on päättynyt.)
Tarkistuksessa näet, miten lievennys toimii tietyissä sovelluksissa testiympäristössä. Tämä näyttää, mitä tapahtuu, jos otat hyödyntämissuojan käyttöön tuotantoympäristössäsi. Näin voit varmistaa, että hyökkäysten esto ei vaikuta haitallisesti toimialakohtaisiin sovelluksiisi, ja tarkistaa, mitä epäilyttäviä tai haitallisia tapahtumia tapahtuu.
Yleiset ohjeet
Hyödynnä suojauksen mitätöinnit toimivat alhaisella tasolla käyttöjärjestelmässä, ja joillakin sellaisilla ohjelmistoilla, jotka suorittavat samanlaisia matalan tason toimintoja, voi olla yhteensopivuusongelmia, kun ne on määritetty suojaukseen hyödyntämissuojauksen avulla.
Millaisia ohjelmistoja ei pitäisi suojata hyödyntämissuojauksella?
- Haittaohjelmien ja luvattoman työn estämisen tai tunnistamisen ohjelmisto
- Virheenkorjaukset
- Ohjelmisto, joka käsittelee digitaalisten oikeuksien hallinnan (DRM) tekniikoita (eli videopelejä)
- Ohjelmistot, jotka käyttävät virheenkorjaus-, hämäys- tai koukutustekniikoita
Minkä tyyppisiä sovelluksia kannattaa harkita hyödyntämissuojauksen ottaminen käyttöön?
Sovellukset, jotka vastaanottavat tai käsittelevät epäluotettavia tietoja.
Mitkä prosessit eivät kuulu hyödynnön suojauksen piiriin?
Palvelut
- Järjestelmäpalvelut
- Verkkopalvelut
Hyödynnä suojauksen mitätöinnit oletusarvoisesti
Lieventäminen | Käytössä oletusarvoisesti |
---|---|
Tietojen suorittamisen esto (DEP) | 64-bittinen ja 32-bittinen sovellus |
Vahvistaa poikkeusketjut (SEHOP) | 64-bittinen sovellus |
Vahvistaa keon eheyden | 64-bittinen ja 32-bittinen sovellus |
Vanhentuneet ohjelman asetusten lievennykset
Ohjelman asetusten lievennykset | Syy |
---|---|
Tuontiosoitteen suodatus (EAF) | Sovellusten yhteensopivuusongelmat |
Osoitesuodatuksen tuonti (IAF) | Sovellusten yhteensopivuusongelmat |
Simuloi toteutus (SimExec) | Korvaava koodisuoja (ACG) |
Vahvistaa API-turvaukset (CallerCheck) | Korvaava koodisuoja (ACG) |
Vahvistaa pinon eheyden (StackPivot) | Korvaava koodisuoja (ACG) |
Office-sovellusten parhaat käytännöt
Sen sijaan, että käyttäisit Exploit Protectionia Office-sovelluksissa, kuten Outlookissa, Word, Excelissä, PowerPointissa ja OneNotessa, harkitse nykyaikaisempaa lähestymistapaa niiden väärinkäytön estämiseksi: Attack Surface Reduction -säännöt (ASR-säännöt):
- Estä suoritettava sisältö sähköpostiasiakkaasta ja webmailista
- Estä Office-sovelluksia luomasta suoritettavaa sisältöä
- Estä aliprosessien luominen kaikilta Office-sovelluksilta
- Estä Office-tietoliikennesovellusta luomasta aliprosesseja
- Estä Office-sovelluksia lisäämästä koodia muihin prosesseihin
- Estä mahdollisesti hämärtyneiden komentosarjojen suorittaminen
- Estä Win32-ohjelmointirajapintakutsut Office-makroista
Käytä Adobe Readerissa seuraavaa ASR-sääntöä:
• estää Adobe Readeria luomasta aliprosesseja
Sovelluksen yhteensopivuusluettelo
Seuraavassa taulukossa on lueteltu tietyt tuotteet, joilla on yhteensopivuusongelmia hyödyntämissuojaukseen sisältyvien lievennysten kanssa. Sinun on poistettava käytöstä tietyt yhteensopimattomat lievennykset, jos haluat suojata tuotteen hyödyntämissuojauksen avulla. Huomaa, että tässä luettelossa otetaan huomioon tuotteen uusimpien versioiden oletusasetukset. Yhteensopivuusongelmia voi ilmetä, kun käytät tiettyjä apuohjelmia tai muita osia vakio-ohjelmistossa.
Tuote | Hyödynnä suojauksen lievennystä |
---|---|
.NET 2.0/3.5 | EAF/IAF |
7-Zip Console/GUI/File Manager | EAF |
AMD 62xx suorittimet | EAF |
Avecto (Beyond Trust) Power Broker | EAF, EAF+, Stack Pivot |
Tietyt AMD (ATI) -näytönohjaimet | Järjestelmän ASLR=AlwaysOn |
DropBox | EAF |
Excel Power Query, Power View, Power Map ja PowerPivot | EAF |
Google Chrome | EAF+ |
Immidio Flex+ | EAF |
Microsoft Office Web Components (OWC) | Järjestelmän dep=alwayson |
Microsoft PowerPoint | EAF |
Microsoft Teams | EAF+ |
Oracle Java | Heapspray |
Pitney Bowes Print Audit 6 | SimExecFlow |
Siebel CRM -versio on 8.1.1.9 | SEHOP |
Skype | EAF |
SolarWinds Syslogd Manager | EAF |
Windows-mediasoitin | MandatoryASLR, EAF |
EMET-lievennykset eivät ehkä ole yhteensopivia Oracle Javan kanssa, kun ne suoritetaan asetuksissa, jotka varaavat näennäiskoneelle suuren osan muistia (eli käyttämällä -Xms-asetusta).
Ota käyttöön hyödyntämisen suojausjärjestelmän asetukset testausta varten
Nämä Exploit Protection -järjestelmäasetukset ovat oletusarvoisesti käytössä lukuun ottamatta pakollista osoitetilan asettelun satunnaistamista (ASLR) Windows 10 ja uudemmissa versioissa, Windows Server 2019:ssä ja uudemmissa versioissa sekä Windows Serverin versiossa 1803 tai uudemmissa versioissa.
Järjestelmäasetukset | Asetus |
---|---|
Hallintavirran suojaus (CFG) | Käytä oletusarvoa (käytössä) |
Tietojen suorittamisen esto (DEP) | Käytä oletusarvoa (käytössä) |
Pakota kuvien satunnaistaminen (pakollinen ASRL) | Käytä oletusarvoa (ei käytössä) |
Satunnaista muistivarauksia (alhaalta ylöspäin ASRL) | Käytä oletusarvoa (käytössä) |
Korkea-entropy ASRL | Käytä oletusarvoa (käytössä) |
Vahvistaa poikkeusketjut (SEHOP) | Käytä oletusarvoa (käytössä) |
XML-malli on saatavilla alla
<?xml version="1.0" encoding="UTF-8"?>
<MitigationPolicy>
<SystemConfig>
<DEP Enable="true" EmulateAtlThunks="false" />
<ASLR ForceRelocateImages="false" RequireInfo="false" BottomUp="true" HighEntropy="true" />
<ControlFlowGuard Enable="true" SuppressExports="false" />
<SEHOP Enable="true" TelemetryOnly="false" />
<Heap TerminateOnError="true" />
</SystemConfig>
</MitigationPolicy>
Ota käyttöön hyödynnön suojausohjelman asetukset testausta varten
Vihje
Suosittelemme tarkistamaan modernin lähestymistavan haavoittuvuuden mitätöinteihin, eli käyttämään Attack Surface Reduction -sääntöjä (ASR-säännöt).
Voit määrittää lievennyksiä testaustilassa tietyille ohjelmille käyttämällä Windowsin suojaus-sovellusta tai Windows PowerShell.
Windowsin suojaus -sovellus
Avaa Windowsin suojaus-sovellus. Valitse tehtäväpalkista kilpikuvake tai etsi Windowsin suojausaloitusvalikosta.
Valitse Sovellusten ja selainten hallinta -ruutu (tai vasemmanpuoleisen valikkorivin sovelluskuvake) ja valitse sitten Hyökkäysten esto.
Siirry ohjelman asetuksiin ja valitse sovellus, johon haluat ottaa suojauksen käyttöön:
Jos sovellus, jonka haluat määrittää, on jo luettelossa, valitse se ja valitse sitten Muokkaa.
Jos sovellusta ei ole luettelon yläosassa, valitse Mukauta valitsemalla Lisää ohjelma. Valitse sitten, miten haluat lisätä sovelluksen.
- Valitse Lisää ohjelman nimen mukaan, jos haluat, että lievennystä käytetään käynnissä olevaan prosessiin, jolla on tämä nimi. Määritä tiedosto ja tiedostotunniste. Voit kirjoittaa koko polun, jonka avulla voit rajoittaa lievennyksen vain kyseisessä sijainnissa olevalle sovellukselle, jolla on kyseinen nimi.
- Valitse vaihtoehto Valitse tarkka tiedostopolku, jos haluat käyttää Resurssienhallinnan vakiotiedoston valitsinikkunaa haluamasi tiedoston etsimiseen ja valitsemiseen.
Kun olet valinnut sovelluksen, näet luettelon kaikista lievennyksistä, joita voidaan käyttää. Valvonta-vaihtoehdon valitseminen käyttää lievennystä vain testitilassa. Saat ilmoituksen, jos prosessi, sovellus tai Windows on käynnistettävä uudelleen.
Toista tämä toimenpide kaikille sovelluksille ja lievennyksille, jotka haluat määrittää. Valitse Käytä kun olet määrittänyt asetukset.
PowerShell
Jos haluat määrittää sovellustason lievennykset testitilaan, käytä Set-ProcessMitigation
valvontatilan cmdlet-komennolla.
Määritä kukin lievennys seuraavassa muodossa:
Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>
Jossa:
-
<Käyttöalue>:
-
-Name
osoittamaan, että lievennyksiä tulee soveltaa tiettyyn sovellukseen. Määritä sovelluksen suoritettava tiedosto tämän merkinnän jälkeen.
-
-
<Toiminto>:
-
-Enable
lievennyksen ottamiseksi käyttöön-
-Disable
poistaaksesi lievennyksen käytöstä
-
-
-
<Lievennys>:
- Lievennyksen cmdlet-komento seuraavassa taulukossa määritetyllä tavalla. Kukin lievennys erotetaan toisistaan pilkulla.
Lieventäminen | Testitilan cmdlet-komento |
---|---|
Satunnainen koodisuoja (ACG) | AuditDynamicCode |
Estä eheydeltään alhaiset kuvat | AuditImageLoad |
Estä muut kuin luotetut fontit |
AuditFont , FontAuditOnly |
Koodin yhtenäisyyssuojaus |
AuditMicrosoftSigned , AuditStoreSigned |
Poista Win32k-järjestelmäpuhelut käytöstä | AuditSystemCall |
Älä salli alaprosesseja | AuditChildProcess |
Jos haluat esimerkiksi ottaa arbitrary Code Guardin (ACG) käyttöön testitilassa sovellukselle, jonka nimi on testing.exe, suorita seuraava komento:
Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable AuditDynamicCode
Voit poistaa valvontatilan käytöstä korvaamalla -Enable
-Disable
.
Tarkista hyökkäysten eston valvontatapahtumat
Jos haluat tarkistaa, mitkä sovellukset estetään, avaa Tapahtumienvalvonta ja suodata seuraavat tapahtumat Security-Mitigations lokissa.
Ominaisuus | Palvelu/lähde | Tapahtuman tunnus | Kuvaus |
---|---|---|---|
Hyökkäysten esto | Suojauksen lievennykset (ydintila/käyttäjätila) | 1 | ACG-valvonta |
Hyökkäysten esto | Suojauksen lievennykset (ydintila/käyttäjätila) | 3 | Älä salli aliprosessien valvontaa |
Hyökkäysten esto | Suojauksen lievennykset (ydintila/käyttäjätila) | 5 | Estä matalan eheyden kuvien valvonta |
Hyökkäysten esto | Suojauksen lievennykset (ydintila/käyttäjätila) | 7 | Estä etäkuvien valvonta |
Hyökkäysten esto | Suojauksen lievennykset (ydintila/käyttäjätila) | 9 | Poista win32k-järjestelmäkutsujen valvonta käytöstä |
Hyökkäysten esto | Suojauksen lievennykset (ydintila/käyttäjätila) | 11 | Koodin eheyssuojan valvonta |
Tutustu myös seuraaviin ohjeartikkeleihin:
- Ota hyökkäysten esto käyttöön
- Määritä ja valvo hyökkäysten torjuntaan liittyviä lievennyksiä
- Tuo, vie ja ota käyttöön hyökkäysten eston määrityksiä
- Hyökkäysten eston vianmääritys
Vihje
Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.