Jaa


Suojaa laitteita hyökkäyksiltä

Koskee seuraavia:

Hyödyntämissuojaus käyttää automaattisesti monia hyödynnön lievennystekniikoita käyttöjärjestelmäprosesseihin ja sovelluksiin. Hyökkäyssuojausta tuetaan alkaen Windows 10 versiosta 1709, Windows 11 ja Windows Serverin versiosta 1803.

Hyödynnä suojaus toimii parhaiten Defender for Endpointin kanssa, mikä antaa sinulle yksityiskohtaisen raportoinnin hyödyntämissuojaustapahtumista ja -lohkoista osana tavallisia hälytysten tutkintaskenaarioita.

Voit ottaa hyödyntämisen suojauksen käyttöön yksittäisessä laitteessa ja käyttää sitten ryhmäkäytäntö XML-tiedoston jakamiseen useille laitteille kerralla.

Kun laitteesta löytyy lievennys, toimintokeskuksesta tulee ilmoitus. Voit mukauttaa ilmoitusta yrityksesi tiedoilla ja yhteystietoilla. Voit myös ottaa säännöt käyttöön yksitellen mukauttaaksesi ominaisuuksien näyttötekniikoita.

Voit myös käyttää valvontatilaa arvioidaksesi, miten hyödyntämissuojaus vaikuttaisi organisaatioosi, jos se olisi käytössä.

Monet EMET (Enhanced Mitigation Experience Toolkit) -työkalupaketin ominaisuuksista sisältyvät hyödyntämissuojaukseen. Itse asiassa voit muuntaa ja tuoda olemassa olevat EMET-määritysprofiilisi hyödyntämista varten. Lisätietoja on artikkelissa Hyökkäyssuojausmääritysten tuominen, vieminen ja käyttöönotto.

Tärkeää

Jos käytät EMET:tä tällä hetkellä, ota huomioon, että EMET-tuki päättyi 31.7.2018. Harkitse EMET:n korvaamista Windows 10 hyödyntämissuojauksella.

Varoitus

Joillakin suojauksen lieventämistekniikoilla voi olla yhteensopivuusongelmia joidenkin sovellusten kanssa. Kokeile hyökkäysten estoa kaikissa kohdekäytön skenaarioissa valvontatilan avulla, ennen kuin otat määrityksen käyttöön tuotantoympäristössä tai muussa verkossa.

Microsoft Defender portaalin hyödyntämisen suojaustapahtumien tarkasteleminen

Defender for Endpoint tarjoaa yksityiskohtaisen raportoinnin tapahtumista ja lohkoista osana hälytystutkimusskenaarioitaan.

Voit kysellä Defenderin päätepistetietoja käyttämällä kehittynyttä metsästystä. Jos käytät valvontatilaa, voit käyttää kehittynyttä metsästystä nähdäksesi, miten hyödyntämissuojausasetukset voivat vaikuttaa ympäristöösi.

Tässä on esimerkkikysely:

DeviceEvents
| where ActionType startswith 'ExploitGuard' and ActionType !contains 'NetworkProtection'

Hyödynnä suojausta ja kehittynyttä metsästystä

Alla on metsästyksen lisätoiminnot, jotka ovat saatavilla Exploit Protectionille.

Hyödynnyksen suojauksen lievennyksen nimi Hyökkäyssuojaus - Kehittynyt metsästys - ActionTypes
Satunnainen koodisuoja ExploitGuardAcgAudited
ExploitGuardAcgEnforced
Älä salli alaprosesseja ExploitGuardChildProcessAudited
ExploitGuardChildProcessBlocked
Tuontiosoitteen suodatus (EAF) ExploitGuardEafViolationAudited
ExploitGuardEafViolationBlocked
Osoitesuodatuksen tuonti (IAF) ExploitGuardIafViolationAudited
ExploitGuardIafViolationBlocked
Estä eheydeltään alhaiset kuvat ExploitGuardLowIntegrityImageAudited
ExploitGuardLowIntegrityImageBlocked
Koodin yhtenäisyyssuojaus ExploitGuardNonMicrosoftSignedAudited
ExploitGuardNonMicrosoftSignedBlocked
• simulointi (SimExec)
• Vahvistaa ohjelmointirajapinnan kutsun (CallerCheck)
• vahvista pinon eheys (StackPivot)
ExploitGuardRopExploitAudited
ExploitGuardRopExploitBlocked
Estä etäkuvat ExploitGuardSharedBinaryAudited
ExploitGuardSharedBinaryBlocked
Poista Win32k-järjestelmäpuhelut käytöstä ExploitGuardWin32SystemCallAudited
ExploitGuardWin32SystemCallBlocked

Windows Tapahtumienvalvonta:n hyödynnyssuojaustapahtumien tarkasteleminen

Voit tarkistaa Windowsin tapahtumalokista tapahtumat, jotka luodaan, kun hyödynnetään sovelluksen suojauslohkoja (tai auditointeja):

Palvelu/lähde Tapahtuman tunnus Kuvaus
Security-Mitigations 1 ACG-valvonta
Security-Mitigations 2 ACG enforce
Security-Mitigations 3 Älä salli aliprosessien valvontaa
Security-Mitigations 4 Älä salli aliprosessien estoa
Security-Mitigations 5 Estä matalan eheyden kuvien valvonta
Security-Mitigations 6 Estä heikkojen eheyskuvien esto
Security-Mitigations 7 Estä etäkuvien valvonta
Security-Mitigations 8 Estä etäkuvalohko
Security-Mitigations 9 Poista win32k-järjestelmäkutsujen valvonta käytöstä
Security-Mitigations 10 Poista win32k-järjestelmäkutsujen esto käytöstä
Security-Mitigations 11 Koodin eheyssuojan valvonta
Security-Mitigations 12 Koodin eheyssuojalohko
Security-Mitigations 13 EAF-tarkastus
Security-Mitigations 14 EAF-pakota
Security-Mitigations 15 EAF+-tarkastus
Security-Mitigations 16 EAF+ pakota
Security-Mitigations 17 IAF-tarkastus
Security-Mitigations 18 IAF-täytäntöönpano
Security-Mitigations 19 ROP StackPivot -valvonta
Security-Mitigations 20 ROP StackPivot enforce
Security-Mitigations 21 ROP CallerCheck -valvonta
Security-Mitigations 22 ROP CallerCheck pakota
Security-Mitigations 23 ROP SimExec -valvonta
Security-Mitigations 24 ROP SimExec enforce
WER-Diagnostics 5 CFG-lohko
Win32K 260 Fontti, joka ei ole luotettu

Lievennysvertailu

EMET:ssä käytettävissä olevat lievennykset sisältyvät suoraan Windows 10 (versiosta 1709 alkaen), Windows 11 ja Windows Serveriin (versiosta 1803 alkaen) Hyödynnä suojaus -kohdassa.

Tämän osion taulukko ilmaisee alkuperäisten lievennysten käytettävyyden ja tuen EMET-järjestelmän ja hyödyntämissuojauksen välillä.

Lieventäminen Käytettävissä hyödyntämista suojaavana Käytettävissä EMET:ssä
Satunnauskoodisuojaus (ACG) Kyllä Kyllä
Kuten "Muistin suojauksen tarkistus"
Estä etäkuvat Kyllä Kyllä
"Lataa kirjaston tarkistus" -muodossa
Estä muut kuin luotetut fontit Kyllä Kyllä
Tietojen suorittamisen esto (DEP) Kyllä Kyllä
Tuontiosoitteen suodatus (EAF) Kyllä Kyllä
Pakota kuvien satunnaistaminen (pakollinen ASLR) Kyllä Kyllä
NullPage-suojauksen mitätöinti Kyllä
Sisältyy Windows 10 ja Windows 11
Lisätietoja on artikkelissa Uhkien lieventäminen Windows 10 suojausominaisuuksien avulla
Kyllä
Satunnaista muistiallokoinnit (Alhaalta ylös ASLR) Kyllä Kyllä
Simuloi toteutus (SimExec) Kyllä Kyllä
Vahvistaa API-turvaukset (CallerCheck) Kyllä Kyllä
Vahvistaa poikkeusketjut (SEHOP) Kyllä Kyllä
Vahvistaa pinon eheyden (StackPivot) Kyllä Kyllä
Varmenteen luottamus (määritettävissä oleva varmenteen kiinnittäminen) Windows 10 ja Windows 11 antavat yritysvarmenteen kiinnittämisen Kyllä
Kasaruiskun varaaminen Tehoton uudempia selainpohjaisia hyväksikäyttöjä vastaan; uudemmat lievennykset tarjoavat paremman suojauksen
Lisätietoja on artikkelissa Uhkien lieventäminen Windows 10 suojausominaisuuksien avulla
Kyllä
Estä eheydeltään alhaiset kuvat Kyllä Ei
Koodin yhtenäisyyssuojaus Kyllä Ei
Poista laajennuskohdat käytöstä Kyllä Ei
Poista Win32k-järjestelmäpuhelut käytöstä Kyllä Ei
Älä salli alaprosesseja Kyllä Ei
Osoitesuodatuksen tuonti (IAF) Kyllä Ei
Vahvistaa käsittelykäytön Kyllä Ei
Vahvistaa keon eheyden Kyllä Ei
Vahvistaa kuvariippuvuuden eheyden Kyllä Ei

Huomautus

ACG korvaa EMET:ssä käytettävissä olevat kehittyneet ROP-lievennykset Windows 10 ja Windows 11, jotka muut EMET-lisäasetukset ovat oletusarvoisesti käytössä osana ROP-torjunnan lievennystä prosessille. Lisätietoja siitä, miten Windows 10 käyttää olemassa olevaa EMET-teknologiaa, on artikkelissa Uhkien lieventäminen käyttämällä Windows 10 suojausominaisuuksia.

Tutustu myös seuraaviin ohjeartikkeleihin:

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.