Jaa


Hyökkäysten eston arviointi

Koskee seuraavia:

Haluatko kokea Microsoft Defender for Endpointin? Rekisteröidy maksuttomaan kokeiluversioon.

Hyökkäysten torjunta auttaa suojaamaan laitteita haittaohjelmilta, jotka käyttävät haittaohjelmia muiden laitteiden levittämiseen ja tartuttamiseen. Lievennystä voidaan soveltaa joko käyttöjärjestelmään tai yksittäiseen sovellukseen. Monet EMET (Enhanced Mitigation Experience Toolkit) -työkalujen ominaisuuksista sisältyvät hyökkäysten torjuntaan. (EMET:n tuki on päättynyt.)

Tarkistuksessa näet, miten lievennys toimii tietyissä sovelluksissa testiympäristössä. Tämä näyttää, mitä tapahtuu, jos otat hyödyntämissuojan käyttöön tuotantoympäristössäsi. Näin voit varmistaa, että hyökkäysten esto ei vaikuta haitallisesti toimialakohtaisiin sovelluksiisi, ja tarkistaa, mitä epäilyttäviä tai haitallisia tapahtumia tapahtuu.

Yleiset ohjeet

Hyödynnä suojauksen mitätöinnit toimivat alhaisella tasolla käyttöjärjestelmässä, ja joillakin sellaisilla ohjelmistoilla, jotka suorittavat samanlaisia matalan tason toimintoja, voi olla yhteensopivuusongelmia, kun ne on määritetty suojaukseen hyödyntämissuojauksen avulla.

Millaisia ohjelmistoja ei pitäisi suojata hyödyntämissuojauksella?

  • Haittaohjelmien ja luvattoman työn estämisen tai tunnistamisen ohjelmisto
  • Virheenkorjaukset
  • Ohjelmisto, joka käsittelee digitaalisten oikeuksien hallinnan (DRM) tekniikoita (eli videopelejä)
  • Ohjelmistot, jotka käyttävät virheenkorjaus-, hämäys- tai koukutustekniikoita

Minkä tyyppisiä sovelluksia kannattaa harkita hyödyntämissuojauksen ottaminen käyttöön?

Sovellukset, jotka vastaanottavat tai käsittelevät epäluotettavia tietoja.

Mitkä prosessit eivät kuulu hyödynnön suojauksen piiriin?

Palvelut

  • Järjestelmäpalvelut
  • Verkkopalvelut

Hyödynnä suojauksen mitätöinnit oletusarvoisesti

Lieventäminen Käytössä oletusarvoisesti
Tietojen suorittamisen esto (DEP) 64-bittinen ja 32-bittinen sovellus
Vahvistaa poikkeusketjut (SEHOP) 64-bittinen sovellus
Vahvistaa keon eheyden 64-bittinen ja 32-bittinen sovellus

Vanhentuneet ohjelman asetusten lievennykset

Ohjelman asetusten lievennykset Syy
Tuontiosoitteen suodatus (EAF) Sovellusten yhteensopivuusongelmat
Osoitesuodatuksen tuonti (IAF) Sovellusten yhteensopivuusongelmat
Simuloi toteutus (SimExec) Korvaava koodisuoja (ACG)
Vahvistaa API-turvaukset (CallerCheck) Korvaava koodisuoja (ACG)
Vahvistaa pinon eheyden (StackPivot) Korvaava koodisuoja (ACG)

Office-sovellusten parhaat käytännöt

Sen sijaan, että käyttäisit Exploit Protectionia Office-sovelluksissa, kuten Outlookissa, Word, Excelissä, PowerPointissa ja OneNotessa, harkitse nykyaikaisempaa lähestymistapaa niiden väärinkäytön estämiseksi: Attack Surface Reduction -säännöt (ASR-säännöt):

Käytä Adobe Readerissa seuraavaa ASR-sääntöä:

estää Adobe Readeria luomasta aliprosesseja

Sovelluksen yhteensopivuusluettelo

Seuraavassa taulukossa on lueteltu tietyt tuotteet, joilla on yhteensopivuusongelmia hyödyntämissuojaukseen sisältyvien lievennysten kanssa. Sinun on poistettava käytöstä tietyt yhteensopimattomat lievennykset, jos haluat suojata tuotteen hyödyntämissuojauksen avulla. Huomaa, että tässä luettelossa otetaan huomioon tuotteen uusimpien versioiden oletusasetukset. Yhteensopivuusongelmia voi ilmetä, kun käytät tiettyjä apuohjelmia tai muita osia vakio-ohjelmistossa.

Tuote Hyödynnä suojauksen lievennystä
.NET 2.0/3.5 EAF/IAF
7-Zip Console/GUI/File Manager EAF
AMD 62xx suorittimet EAF
Avecto (Beyond Trust) Power Broker EAF, EAF+, Stack Pivot
Tietyt AMD (ATI) -näytönohjaimet Järjestelmän ASLR=AlwaysOn
DropBox EAF
Excel Power Query, Power View, Power Map ja PowerPivot EAF
Google Chrome EAF+
Immidio Flex+ EAF
Microsoft Office Web Components (OWC) Järjestelmän dep=alwayson
Microsoft PowerPoint EAF
Microsoft Teams EAF+
Oracle Java Heapspray
Pitney Bowes Print Audit 6 SimExecFlow
Siebel CRM -versio on 8.1.1.9 SEHOP
Skype EAF
SolarWinds Syslogd Manager EAF
Windows-mediasoitin MandatoryASLR, EAF

EMET-lievennykset eivät ehkä ole yhteensopivia Oracle Javan kanssa, kun ne suoritetaan asetuksissa, jotka varaavat näennäiskoneelle suuren osan muistia (eli käyttämällä -Xms-asetusta).

Ota käyttöön hyödyntämisen suojausjärjestelmän asetukset testausta varten

Nämä Exploit Protection -järjestelmäasetukset ovat oletusarvoisesti käytössä lukuun ottamatta pakollista osoitetilan asettelun satunnaistamista (ASLR) Windows 10 ja uudemmissa versioissa, Windows Server 2019:ssä ja uudemmissa versioissa sekä Windows Serverin versiossa 1803 tai uudemmissa versioissa.

Järjestelmäasetukset Asetus
Hallintavirran suojaus (CFG) Käytä oletusarvoa (käytössä)
Tietojen suorittamisen esto (DEP) Käytä oletusarvoa (käytössä)
Pakota kuvien satunnaistaminen (pakollinen ASRL) Käytä oletusarvoa (ei käytössä)
Satunnaista muistivarauksia (alhaalta ylöspäin ASRL) Käytä oletusarvoa (käytössä)
Korkea-entropy ASRL Käytä oletusarvoa (käytössä)
Vahvistaa poikkeusketjut (SEHOP) Käytä oletusarvoa (käytössä)

XML-malli on saatavilla alla

<?xml version="1.0" encoding="UTF-8"?>
<MitigationPolicy>
  <SystemConfig>
    <DEP Enable="true" EmulateAtlThunks="false" />
    <ASLR ForceRelocateImages="false" RequireInfo="false" BottomUp="true" HighEntropy="true" />
    <ControlFlowGuard Enable="true" SuppressExports="false" />
    <SEHOP Enable="true" TelemetryOnly="false" />
    <Heap TerminateOnError="true" />
  </SystemConfig>
</MitigationPolicy>

Ota käyttöön hyödynnön suojausohjelman asetukset testausta varten

Vihje

Suosittelemme tarkistamaan modernin lähestymistavan haavoittuvuuden mitätöinteihin, eli käyttämään Attack Surface Reduction -sääntöjä (ASR-säännöt).

Voit määrittää lievennyksiä testaustilassa tietyille ohjelmille käyttämällä Windowsin suojaus-sovellusta tai Windows PowerShell.

Windowsin suojaus -sovellus

  1. Avaa Windowsin suojaus-sovellus. Valitse tehtäväpalkista kilpikuvake tai etsi Windowsin suojausaloitusvalikosta.

  2. Valitse Sovellusten ja selainten hallinta -ruutu (tai vasemmanpuoleisen valikkorivin sovelluskuvake) ja valitse sitten Hyökkäysten esto.

  3. Siirry ohjelman asetuksiin ja valitse sovellus, johon haluat ottaa suojauksen käyttöön:

    1. Jos sovellus, jonka haluat määrittää, on jo luettelossa, valitse se ja valitse sitten Muokkaa.

    2. Jos sovellusta ei ole luettelon yläosassa, valitse Mukauta valitsemalla Lisää ohjelma. Valitse sitten, miten haluat lisätä sovelluksen.

      • Valitse Lisää ohjelman nimen mukaan, jos haluat, että lievennystä käytetään käynnissä olevaan prosessiin, jolla on tämä nimi. Määritä tiedosto ja tiedostotunniste. Voit kirjoittaa koko polun, jonka avulla voit rajoittaa lievennyksen vain kyseisessä sijainnissa olevalle sovellukselle, jolla on kyseinen nimi.
      • Valitse vaihtoehto Valitse tarkka tiedostopolku, jos haluat käyttää Resurssienhallinnan vakiotiedoston valitsinikkunaa haluamasi tiedoston etsimiseen ja valitsemiseen.
  4. Kun olet valinnut sovelluksen, näet luettelon kaikista lievennyksistä, joita voidaan käyttää. Valvonta-vaihtoehdon valitseminen käyttää lievennystä vain testitilassa. Saat ilmoituksen, jos prosessi, sovellus tai Windows on käynnistettävä uudelleen.

  5. Toista tämä toimenpide kaikille sovelluksille ja lievennyksille, jotka haluat määrittää. Valitse Käytä kun olet määrittänyt asetukset.

PowerShell

Jos haluat määrittää sovellustason lievennykset testitilaan, käytä Set-ProcessMitigationvalvontatilan cmdlet-komennolla.

Määritä kukin lievennys seuraavassa muodossa:

Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>

Jossa:

  • <Käyttöalue>:
    • -Name osoittamaan, että lievennyksiä tulee soveltaa tiettyyn sovellukseen. Määritä sovelluksen suoritettava tiedosto tämän merkinnän jälkeen.
  • <Toiminto>:
    • -Enable lievennyksen ottamiseksi käyttöön
      • -Disable poistaaksesi lievennyksen käytöstä
  • <Lievennys>:
    • Lievennyksen cmdlet-komento seuraavassa taulukossa määritetyllä tavalla. Kukin lievennys erotetaan toisistaan pilkulla.
Lieventäminen Testitilan cmdlet-komento
Satunnainen koodisuoja (ACG) AuditDynamicCode
Estä eheydeltään alhaiset kuvat AuditImageLoad
Estä muut kuin luotetut fontit AuditFont, FontAuditOnly
Koodin yhtenäisyyssuojaus AuditMicrosoftSigned, AuditStoreSigned
Poista Win32k-järjestelmäpuhelut käytöstä AuditSystemCall
Älä salli alaprosesseja AuditChildProcess

Jos haluat esimerkiksi ottaa arbitrary Code Guardin (ACG) käyttöön testitilassa sovellukselle, jonka nimi on testing.exe, suorita seuraava komento:

Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable AuditDynamicCode

Voit poistaa valvontatilan käytöstä korvaamalla -Enable-Disable.

Tarkista hyökkäysten eston valvontatapahtumat

Jos haluat tarkistaa, mitkä sovellukset estetään, avaa Tapahtumienvalvonta ja suodata seuraavat tapahtumat Security-Mitigations lokissa.

Ominaisuus Palvelu/lähde Tapahtuman tunnus Kuvaus
Hyökkäysten esto Suojauksen lievennykset (ydintila/käyttäjätila) 1 ACG-valvonta
Hyökkäysten esto Suojauksen lievennykset (ydintila/käyttäjätila) 3 Älä salli aliprosessien valvontaa
Hyökkäysten esto Suojauksen lievennykset (ydintila/käyttäjätila) 5 Estä matalan eheyden kuvien valvonta
Hyökkäysten esto Suojauksen lievennykset (ydintila/käyttäjätila) 7 Estä etäkuvien valvonta
Hyökkäysten esto Suojauksen lievennykset (ydintila/käyttäjätila) 9 Poista win32k-järjestelmäkutsujen valvonta käytöstä
Hyökkäysten esto Suojauksen lievennykset (ydintila/käyttäjätila) 11 Koodin eheyssuojan valvonta

Tutustu myös seuraaviin ohjeartikkeleihin:

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.