Suojaa laitteita hyökkäyksiltä
Koskee seuraavia:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
Hyödyntämissuojaus käyttää automaattisesti monia hyödynnön lievennystekniikoita käyttöjärjestelmäprosesseihin ja sovelluksiin. Hyökkäyssuojausta tuetaan alkaen Windows 10 versiosta 1709, Windows 11 ja Windows Serverin versiosta 1803.
Hyödynnä suojaus toimii parhaiten Defender for Endpointin kanssa, mikä antaa sinulle yksityiskohtaisen raportoinnin hyödyntämissuojaustapahtumista ja -lohkoista osana tavallisia hälytysten tutkintaskenaarioita.
Voit ottaa hyödyntämisen suojauksen käyttöön yksittäisessä laitteessa ja käyttää sitten ryhmäkäytäntö XML-tiedoston jakamiseen useille laitteille kerralla.
Kun laitteesta löytyy lievennys, toimintokeskuksesta tulee ilmoitus. Voit mukauttaa ilmoitusta yrityksesi tiedoilla ja yhteystietoilla. Voit myös ottaa säännöt käyttöön yksitellen mukauttaaksesi ominaisuuksien näyttötekniikoita.
Voit myös käyttää valvontatilaa arvioidaksesi, miten hyödyntämissuojaus vaikuttaisi organisaatioosi, jos se olisi käytössä.
Monet EMET (Enhanced Mitigation Experience Toolkit) -työkalupaketin ominaisuuksista sisältyvät hyödyntämissuojaukseen. Itse asiassa voit muuntaa ja tuoda olemassa olevat EMET-määritysprofiilisi hyödyntämista varten. Lisätietoja on artikkelissa Hyökkäyssuojausmääritysten tuominen, vieminen ja käyttöönotto.
Tärkeää
Jos käytät EMET:tä tällä hetkellä, ota huomioon, että EMET-tuki päättyi 31.7.2018. Harkitse EMET:n korvaamista Windows 10 hyödyntämissuojauksella.
Varoitus
Joillakin suojauksen lieventämistekniikoilla voi olla yhteensopivuusongelmia joidenkin sovellusten kanssa. Kokeile hyökkäysten estoa kaikissa kohdekäytön skenaarioissa valvontatilan avulla, ennen kuin otat määrityksen käyttöön tuotantoympäristössä tai muussa verkossa.
Microsoft Defender portaalin hyödyntämisen suojaustapahtumien tarkasteleminen
Defender for Endpoint tarjoaa yksityiskohtaisen raportoinnin tapahtumista ja lohkoista osana hälytystutkimusskenaarioitaan.
Voit kysellä Defenderin päätepistetietoja käyttämällä kehittynyttä metsästystä. Jos käytät valvontatilaa, voit käyttää kehittynyttä metsästystä nähdäksesi, miten hyödyntämissuojausasetukset voivat vaikuttaa ympäristöösi.
Tässä on esimerkkikysely:
DeviceEvents
| where ActionType startswith 'ExploitGuard' and ActionType !contains 'NetworkProtection'
Hyödynnä suojausta ja kehittynyttä metsästystä
Alla on metsästyksen lisätoiminnot, jotka ovat saatavilla Exploit Protectionille.
Hyödynnyksen suojauksen lievennyksen nimi | Hyökkäyssuojaus - Kehittynyt metsästys - ActionTypes |
---|---|
Satunnainen koodisuoja | ExploitGuardAcgAudited ExploitGuardAcgEnforced |
Älä salli alaprosesseja | ExploitGuardChildProcessAudited ExploitGuardChildProcessBlocked |
Tuontiosoitteen suodatus (EAF) | ExploitGuardEafViolationAudited ExploitGuardEafViolationBlocked |
Osoitesuodatuksen tuonti (IAF) | ExploitGuardIafViolationAudited ExploitGuardIafViolationBlocked |
Estä eheydeltään alhaiset kuvat | ExploitGuardLowIntegrityImageAudited ExploitGuardLowIntegrityImageBlocked |
Koodin yhtenäisyyssuojaus | ExploitGuardNonMicrosoftSignedAudited ExploitGuardNonMicrosoftSignedBlocked |
• simulointi (SimExec) • Vahvistaa ohjelmointirajapinnan kutsun (CallerCheck) • vahvista pinon eheys (StackPivot) |
ExploitGuardRopExploitAudited ExploitGuardRopExploitBlocked |
Estä etäkuvat | ExploitGuardSharedBinaryAudited ExploitGuardSharedBinaryBlocked |
Poista Win32k-järjestelmäpuhelut käytöstä | ExploitGuardWin32SystemCallAudited ExploitGuardWin32SystemCallBlocked |
Windows Tapahtumienvalvonta:n hyödynnyssuojaustapahtumien tarkasteleminen
Voit tarkistaa Windowsin tapahtumalokista tapahtumat, jotka luodaan, kun hyödynnetään sovelluksen suojauslohkoja (tai auditointeja):
Palvelu/lähde | Tapahtuman tunnus | Kuvaus |
---|---|---|
Security-Mitigations | 1 | ACG-valvonta |
Security-Mitigations | 2 | ACG enforce |
Security-Mitigations | 3 | Älä salli aliprosessien valvontaa |
Security-Mitigations | 4 | Älä salli aliprosessien estoa |
Security-Mitigations | 5 | Estä matalan eheyden kuvien valvonta |
Security-Mitigations | 6 | Estä heikkojen eheyskuvien esto |
Security-Mitigations | 7 | Estä etäkuvien valvonta |
Security-Mitigations | 8 | Estä etäkuvalohko |
Security-Mitigations | 9 | Poista win32k-järjestelmäkutsujen valvonta käytöstä |
Security-Mitigations | 10 | Poista win32k-järjestelmäkutsujen esto käytöstä |
Security-Mitigations | 11 | Koodin eheyssuojan valvonta |
Security-Mitigations | 12 | Koodin eheyssuojalohko |
Security-Mitigations | 13 | EAF-tarkastus |
Security-Mitigations | 14 | EAF-pakota |
Security-Mitigations | 15 | EAF+-tarkastus |
Security-Mitigations | 16 | EAF+ pakota |
Security-Mitigations | 17 | IAF-tarkastus |
Security-Mitigations | 18 | IAF-täytäntöönpano |
Security-Mitigations | 19 | ROP StackPivot -valvonta |
Security-Mitigations | 20 | ROP StackPivot enforce |
Security-Mitigations | 21 | ROP CallerCheck -valvonta |
Security-Mitigations | 22 | ROP CallerCheck pakota |
Security-Mitigations | 23 | ROP SimExec -valvonta |
Security-Mitigations | 24 | ROP SimExec enforce |
WER-Diagnostics | 5 | CFG-lohko |
Win32K | 260 | Fontti, joka ei ole luotettu |
Lievennysvertailu
EMET:ssä käytettävissä olevat lievennykset sisältyvät suoraan Windows 10 (versiosta 1709 alkaen), Windows 11 ja Windows Serveriin (versiosta 1803 alkaen) Hyödynnä suojaus -kohdassa.
Tämän osion taulukko ilmaisee alkuperäisten lievennysten käytettävyyden ja tuen EMET-järjestelmän ja hyödyntämissuojauksen välillä.
Lieventäminen | Käytettävissä hyödyntämista suojaavana | Käytettävissä EMET:ssä |
---|---|---|
Satunnauskoodisuojaus (ACG) | Kyllä | Kyllä Kuten "Muistin suojauksen tarkistus" |
Estä etäkuvat | Kyllä | Kyllä "Lataa kirjaston tarkistus" -muodossa |
Estä muut kuin luotetut fontit | Kyllä | Kyllä |
Tietojen suorittamisen esto (DEP) | Kyllä | Kyllä |
Tuontiosoitteen suodatus (EAF) | Kyllä | Kyllä |
Pakota kuvien satunnaistaminen (pakollinen ASLR) | Kyllä | Kyllä |
NullPage-suojauksen mitätöinti | Kyllä Sisältyy Windows 10 ja Windows 11 Lisätietoja on artikkelissa Uhkien lieventäminen Windows 10 suojausominaisuuksien avulla |
Kyllä |
Satunnaista muistiallokoinnit (Alhaalta ylös ASLR) | Kyllä | Kyllä |
Simuloi toteutus (SimExec) | Kyllä | Kyllä |
Vahvistaa API-turvaukset (CallerCheck) | Kyllä | Kyllä |
Vahvistaa poikkeusketjut (SEHOP) | Kyllä | Kyllä |
Vahvistaa pinon eheyden (StackPivot) | Kyllä | Kyllä |
Varmenteen luottamus (määritettävissä oleva varmenteen kiinnittäminen) | Windows 10 ja Windows 11 antavat yritysvarmenteen kiinnittämisen | Kyllä |
Kasaruiskun varaaminen | Tehoton uudempia selainpohjaisia hyväksikäyttöjä vastaan; uudemmat lievennykset tarjoavat paremman suojauksen Lisätietoja on artikkelissa Uhkien lieventäminen Windows 10 suojausominaisuuksien avulla |
Kyllä |
Estä eheydeltään alhaiset kuvat | Kyllä | Ei |
Koodin yhtenäisyyssuojaus | Kyllä | Ei |
Poista laajennuskohdat käytöstä | Kyllä | Ei |
Poista Win32k-järjestelmäpuhelut käytöstä | Kyllä | Ei |
Älä salli alaprosesseja | Kyllä | Ei |
Osoitesuodatuksen tuonti (IAF) | Kyllä | Ei |
Vahvistaa käsittelykäytön | Kyllä | Ei |
Vahvistaa keon eheyden | Kyllä | Ei |
Vahvistaa kuvariippuvuuden eheyden | Kyllä | Ei |
Huomautus
ACG korvaa EMET:ssä käytettävissä olevat kehittyneet ROP-lievennykset Windows 10 ja Windows 11, jotka muut EMET-lisäasetukset ovat oletusarvoisesti käytössä osana ROP-torjunnan lievennystä prosessille. Lisätietoja siitä, miten Windows 10 käyttää olemassa olevaa EMET-teknologiaa, on artikkelissa Uhkien lieventäminen käyttämällä Windows 10 suojausominaisuuksia.
Tutustu myös seuraaviin ohjeartikkeleihin:
- Määritä ja valvo hyökkäysten torjuntaan liittyviä lievennyksiä
- Hyökkäysten eston vianmääritys
- OPTIMOI ASR-säännön käyttöönotto ja tunnistuksia
Vihje
Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.