Proteggere i dispositivi dagli exploit
Si applica a:
- Microsoft Defender per endpoint Piano 1
- Microsoft Defender per endpoint Piano 2
- Microsoft Defender XDR
La protezione da exploit applica automaticamente molte tecniche di mitigazione da exploit ai processi e alle app del sistema operativo. La protezione da exploit è supportata a partire da Windows 10, versione 1709, Windows 11 e Windows Server, versione 1803.
La protezione dagli exploit funziona meglio con Defender per endpoint, che offre report dettagliati sugli eventi di protezione e sui blocchi degli exploit come parte dei consueti scenari di indagine sugli avvisi.
È possibile abilitare la protezione dagli exploit in un singolo dispositivo e quindi usare Criteri di gruppo per distribuire il file XML a più dispositivi contemporaneamente.
Quando viene trovata una mitigazione nel dispositivo, viene visualizzata una notifica dal Centro notifiche. È possibile personalizzare la notifica con i dettagli aziendali e le informazioni sul contatto. È anche possibile abilitare le regole singolarmente per personalizzare le tecniche monitorate dalla funzionalità.
Puoi anche usare la modalità di controllo per valutare in che modo la protezione da exploit influirebbe sull'organizzazione se fosse abilitata.
Molte delle funzionalità in Enhanced Mitigation Experience Toolkit (EMET) sono incluse nella protezione dagli exploit. In effetti, è possibile convertire e importare i profili di configurazione EMET esistenti in protezione dagli exploit. Per altre informazioni, vedere Importare, esportare e distribuire configurazioni di protezione da exploit.
Importante
Se attualmente si usa EMET, tenere presente che EMET non è più supportato a partire dal 31 luglio 2018. Provare a sostituire EMET con la protezione dagli exploit in Windows 10.
Avviso
Alcune tecnologie di mitigazione della sicurezza possono presentare problemi di compatibilità con alcune applicazioni. È consigliabile testare la protezione dagli exploit in tutti gli scenari di utilizzo di destinazione usando la modalità di controllo prima di distribuire la configurazione in un ambiente di produzione o nel resto della rete.
Esaminare gli eventi di protezione dagli exploit nel portale di Microsoft Defender
Defender per endpoint fornisce report dettagliati su eventi e blocchi nell'ambito degli scenari di indagine sugli avvisi.
È possibile eseguire query sui dati di Defender per endpoint usando la Rilevazione avanzata. Se si usa la modalità di controllo, è possibile usare la rilevazione avanzata per vedere in che modo le impostazioni di protezione dagli exploit potrebbero influire sull'ambiente.
Ecco una query di esempio:
DeviceEvents
| where ActionType startswith 'ExploitGuard' and ActionType !contains 'NetworkProtection'
Protezione dagli exploit e ricerca avanzata
Di seguito sono riportati i tipi di azione di ricerca avanzati disponibili per Protezione dagli exploit.
Nome della mitigazione di Protezione dagli exploit | Protezione dagli exploit - Ricerca avanzata - ActionTypes |
---|---|
Code guard arbitrario | ExploitGuardAcgAudited ExploitGuardAcgEnforced |
Non consente i processi figlio | ExploitGuardChildProcessAudited ExploitGuardChildProcessBlocked |
Filtro di indirizzi da esportare (EAF) | ExploitGuardEafViolationAudited ExploitGuardEafViolationBlocked |
Filtro di indirizzi da importare (IAF) | ExploitGuardIafViolationAudited ExploitGuardIafViolationBlocked |
Blocca immagini con bassa integrità | ExploitGuardLowIntegrityImageAudited ExploitGuardLowIntegrityImageBlocked |
Controllo integrità codice | ExploitGuardNonMicrosoftSignedAudited ExploitGuardNonMicrosoftSignedBlocked |
• Simulare l'esecuzione (SimExec) • Convalidare la chiamata API (CallerCheck) • Convalidare l'integrità dello stack (StackPivot) |
ExploitGuardRopExploitAudited ExploitGuardRopExploitBlocked |
Blocca immagini remote | ExploitGuardSharedBinaryAudited ExploitGuardSharedBinaryBlocked |
Disabilita le chiamate di sistema Win32k | ExploitGuardWin32SystemCallAudited ExploitGuardWin32SystemCallBlocked |
Esaminare gli eventi di protezione dagli exploit nel Visualizzatore eventi di Windows
È possibile esaminare il registro eventi di Windows per visualizzare gli eventi creati quando la protezione dagli exploit blocca (o controlla) un'app:
Provider/origine | ID evento | Descrizione |
---|---|---|
Security-Mitigations | 1 | Controllo di ACG |
Security-Mitigations | 2 | Applicazione di ACG |
Security-Mitigations | 3 | Non consente il controllo dei processi figlio |
Security-Mitigations | 4 | Non consente il blocco dei processi figlio |
Security-Mitigations | 5 | Controllo di Blocca immagini con bassa integrità |
Security-Mitigations | 6 | Blocco di Blocca immagini con bassa integrità |
Security-Mitigations | 7 | Controllo di Blocca immagini remote |
Security-Mitigations | 8 | Blocca di Blocca immagini remote |
Security-Mitigations | 9 | Controllo di Disabilita le chiamate di sistema win32k |
Security-Mitigations | 10 | Blocco di Disabilita le chiamate di sistema win32k |
Security-Mitigations | 11 | Controllo di Controllo integrità codice |
Security-Mitigations | 12 | Blocco di Controllo integrità codice |
Security-Mitigations | 13 | Controllo di EAF |
Security-Mitigations | 14 | Applicazione di EAF |
Security-Mitigations | 15 | Controllo di EAF+ |
Security-Mitigations | 16 | Applicazione di EAF+ |
Security-Mitigations | 17 | Controllo di IAF |
Security-Mitigations | 18 | Applicazione di IAF |
Security-Mitigations | 19 | Controllo di ROP StackPivot |
Security-Mitigations | 20 | Applicazione di ROP StackPivot |
Security-Mitigations | 21 | Controllo di ROP CallerCheck |
Security-Mitigations | 22 | Applicazione di ROP CallerCheck |
Security-Mitigations | 23 | Controllo di ROP SimExec |
Security-Mitigations | 24 | Applicazione di ROP SimExec |
WER-Diagnostics | 5 | Blocco di CFG |
Win32K | 260 | Tipo di carattere non attendibile |
Confronto di mitigazioni
Le mitigazioni disponibili in EMET sono incluse in modo nativo in Windows 10 (a partire dalla versione 1709), Windows 11 e Windows Server (a partire dalla versione 1803), in Protezione da exploit.
La tabella in questa sezione indica la disponibilità e il supporto delle mitigazioni native tra EMET e protezione dagli exploit.
Mitigazione | Disponibile in protezione dagli exploit | Disponibile in EMET |
---|---|---|
Controllo arbitrario di codice (ACG) | Sì | Sì Come "controllo protezione della memoria" |
Blocca immagini remote | Sì | Sì Come "controllo caricamento libreria" |
Blocca i tipi di carattere non attendibili | Sì | Sì |
Protezione esecuzione programmi (DEP) | Sì | Sì |
Filtro di indirizzi da esportare (EAF) | Sì | Sì |
Forza l'assegnazione casuale per le immagini (ASLR obbligatorio) | Sì | Sì |
Mitigazione della sicurezza NullPage | Sì Incluso in modo nativo in Windows 10 e Windows 11 Per altre informazioni, vedere Mitigare le minacce usando le funzionalità di sicurezza Windows 10 |
Sì |
Utilizza le allocazioni di memoria casuali (ASLR bottom-up) | Sì | Sì |
Simula l'esecuzione (SimExec) | Sì | Sì |
Convalida chiamata di API (CallerCheck) | Sì | Sì |
Convalida catene di eccezione (SEHOP) | Sì | Sì |
Convalida l'integrità della pila (StackPivot) | Sì | Sì |
Attendibilità del certificato (aggiunta di certificati configurabile) | Windows 10 e Windows 11 forniscono l'aggiunta di certificati aziendali | Sì |
Allocazione di heap spray | Inefficiente contro gli exploit più recenti basati su browser; le mitigazioni più recenti offrono una protezione migliore Per altre informazioni, vedere Mitigare le minacce usando le funzionalità di sicurezza Windows 10 |
Sì |
Blocca immagini con bassa integrità | Sì | No |
Controllo integrità codice | Sì | No |
Disabilita i punti di estensione | Sì | No |
Disabilita le chiamate di sistema Win32k | Sì | No |
Non consente i processi figlio | Sì | No |
Filtro di indirizzi da importare (IAF) | Sì | No |
Convalida l'uso di handle | Sì | No |
Convalida l'integrità dell'heap | Sì | No |
Convalida l'integrità di dipendenza dell'immagine | Sì | No |
Nota
Le mitigazioni ROP avanzate disponibili in EMET sono sostituite da ACG in Windows 10 e Windows 11, che altre impostazioni avanzate EMET sono abilitate per impostazione predefinita, come parte dell'abilitazione delle mitigazioni anti-ROP per un processo. Per altre informazioni su come Windows 10 usa la tecnologia EMET esistente, vedere Mitigazione delle minacce tramite le funzionalità di sicurezza Windows 10.
Vedere anche
- Configurare e controllare le mitigazioni della protezione dagli exploit
- Risolvere i problemi di protezione dagli exploit
- Ottimizzare la distribuzione e i rilevamenti delle regole ASR
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.