Vurder utnyttelsesbeskyttelse
Gjelder for:
- Microsoft Defender for endepunkt plan 1
- Microsoft Defender for endepunkt plan 2
- Microsoft Defender XDR
Vil du oppleve Microsoft Defender for endepunkt? Registrer deg for en gratis prøveperiode.
Exploit Protection bidrar til å beskytte enheter mot skadelig programvare, som bruker utnyttelser til å spre og infisere andre enheter. Begrensing kan brukes på enten operativsystemet eller en individuell app. Mange av funksjonene som var en del av EMET (Enhanced Mitigation Experience Toolkit) er inkludert i Exploit Protection. (EMET har nådd avviklingen av kundestøtten.)
I revisjonen kan du se hvordan begrensning fungerer for bestemte apper i et testmiljø. Dette viser hva som skjer hvis du aktiverer utnyttelsesbeskyttelse i produksjonsmiljøet. På denne måten kan du bekrefte at Exploit Protection ikke påvirker bransjespesifikke apper negativt, og se hvilke mistenkelige eller skadelige hendelser som oppstår.
Generelle retningslinjer
Utnyttelse av beskyttelsesbegrensninger fungerer på et lavt nivå i operativsystemet, og noen typer programvare som utfører lignende operasjoner på lavt nivå, kan ha kompatibilitetsproblemer når de er konfigurert til å være beskyttet ved hjelp av utnyttelsesbeskyttelse.
Hvilke typer programvare bør ikke beskyttes av utnyttelsesbeskyttelse?
- Anti-malware og inntrenging forebygging eller gjenkjenning programvare
- Feilsøkingstegn
- Programvare som håndterer DRM-teknologier (digital rights management) (dvs. videospill)
- Programvare som bruker anti-feilsøking, obfuscation eller hektingsteknologier
Hvilken type programmer bør du vurdere å aktivere utnyttelsesbeskyttelse?
Programmer som mottar eller håndterer ikke-klarerte data.
Hvilken type prosesser er utenfor omfanget for utnyttelsesbeskyttelse?
Tjenester
- Systemtjenester
- Nettverkstjenester
Utnyttelse av beskyttelsesbegrensninger aktivert som standard
| Begrensning | Aktivert som standard |
|---|---|
| Datakjøringsforhindring (DEP) | 64-biters og 32-biters programmer |
| Valider unntakskjeder (SEHOP) | 64-biters programmer |
| Valider heap-integritet | 64-biters og 32-biters programmer |
Avskrevne begrensninger for programinnstillinger
| Begrensninger for programinnstillinger | Grunn |
|---|---|
| Eksportadressefiltrering (EAF) | Programkompatibilitetsproblemer |
| Importadressefiltrering (IAF) | Programkompatibilitetsproblemer |
| Simuler kjøring (SimExec) | Erstattet med tilfeldig kodevakt (ACG) |
| Valider API-aktivering (CallerCheck) | Erstattet med tilfeldig kodevakt (ACG) |
| Valider stabelintegritet (StackPivot) | Erstattet med tilfeldig kodevakt (ACG) |
Anbefalte fremgangsmåter for Office-programmer
I stedet for å bruke Exploit Protection for Office-programmer som Outlook, Word, Excel, PowerPoint og OneNote, bør du vurdere å bruke en mer moderne tilnærming for å forhindre misbruk: Attack Surface Reduction-regler (ASR-regler):
- Blokkere kjørbart innhold fra e-postklient og nettpost
- Blokkere Office-programmer fra å opprette kjørbart innhold
- Blokkere alle Office-programmer fra å opprette underordnede prosesser
- Blokkere Office-kommunikasjonsprogram fra å opprette underordnede prosesser
- Blokkere Office-programmer fra å sette inn kode i andre prosesser
- Blokkkjøring av potensielt obfuscated skript
- Blokkere Win32-API-kall fra Office-makroer
Bruk følgende ASR-regel for Adobe Reader:
• Blokkere Adobe Reader fra å opprette underordnede prosesser
Google Chrome anbefaler ikke lenger aktivering av Exploit Protection (EMET) fordi det er overflødig eller erstattet med innebygde angrepsreduksjoner.
Programkompatibilitetsliste
Tabellen nedenfor viser bestemte produkter som har kompatibilitetsproblemer med begrensningene som er inkludert i utnyttelsesbeskyttelsen. Du må deaktivere spesifikke inkompatible begrensninger hvis du vil beskytte produktet ved hjelp av utnyttelsesbeskyttelse. Vær oppmerksom på at denne listen tar hensyn til standardinnstillingene for de nyeste versjonene av produktet. Kompatibilitetsproblemer kan oppstå når du bruker bestemte tillegg eller andre komponenter på standardprogramvaren.
| Produkt | Utnytt beskyttelsesreduksjon |
|---|---|
| .NET 2.0/3.5 | EAF/IAF |
| 7-Zip Konsoll/GUI/Filbehandling | EAF |
| AMD 62xx-prosessorer | EAF |
| Avecto (Beyond Trust) Power Broker | EAF, EAF+, Stack Pivot |
| Enkelte AMD-skjermdrivere (ATI) | System ASLR=AlwaysOn |
| DropBox | EAF |
| Excel Power Query, Power View, Power Map og PowerPivot | EAF |
| Google Chrome (anbefales ikke lenger) | EAF+ |
| Immidio Flex+ | EAF |
| Microsoft Office Web Components (OWC) | SystemDEP=AlwaysOn |
| Microsoft PowerPoint | EAF |
| Microsoft Teams | EAF+ |
| Oracle Javaǂ | Heapspray |
| Pitney Bowes Print Revisjon 6 | SimExecFlow |
| Siebel CRM-versjon er 8.1.1.9 | SEHOP |
| Skype | EAF |
| SolarWinds Syslogd Manager | EAF |
| Windows-mediespiller | ObligatoriskASLR, EAF |
ǂ EMET-begrensninger kan være inkompatible med Oracle Java når de kjøres ved hjelp av innstillinger som reserverer en stor del av minnet for den virtuelle maskinen (det vil si ved hjelp av -XM-alternativet).
Aktiver systeminnstillinger for utnyttelsesbeskyttelse for testing
Disse systeminnstillingene for Exploit Protection er aktivert som standard bortsett fra Randomization (Mandatory Address Space Layout Randomization) på Windows 10 og nyere, Windows Server 2019 og nyere, og på Windows Server versjon 1803 kjerneutgave og nyere.
| Systeminnstillinger | Innstilling |
|---|---|
| Control Flow Guard (CFG) | Bruk standard (på) |
| Datakjøringsforhindring (DEP) | Bruk standard (på) |
| Tving randomisering for bilder (obligatorisk ASRL) | Bruk standard (Av) |
| Tilfeldige minnetildelinger (nedenfra og opp ASRL) | Bruk standard (på) |
| Høy-entropi ASRL | Bruk standard (på) |
| Valider unntakskjeder (SEHOP) | Bruk standard (på) |
XML-eksemplet er tilgjengelig nedenfor
<?xml version="1.0" encoding="UTF-8"?>
<MitigationPolicy>
<SystemConfig>
<DEP Enable="true" EmulateAtlThunks="false" />
<ASLR ForceRelocateImages="false" RequireInfo="false" BottomUp="true" HighEntropy="true" />
<ControlFlowGuard Enable="true" SuppressExports="false" />
<SEHOP Enable="true" TelemetryOnly="false" />
<Heap TerminateOnError="true" />
</SystemConfig>
</MitigationPolicy>
Aktiver innstillinger for beskyttelse av utnyttelsesprogram for testing
Tips
Vi anbefaler på det sterkeste å se gjennom den moderne tilnærmingen for sårbarhetsreduksjoner, som er å bruke Attack Surface Reduction-regler (ASR-regler).
Du kan angi begrensninger i en testmodus for bestemte programmer ved hjelp av Windows Security-appen eller Windows PowerShell.
Windows Security-appen
Bruk Windows Security-appen. Velg skjoldikonet på oppgavelinjen, eller søk i startmenyen etter Windows Security.
Velg flisen App- og nettleserkontroll (eller appikonet på den venstre menylinjen), og velg deretter Utnyttelsesbeskyttelse.
Gå til Programinnstillinger og velg appen du vil bruke beskyttelse på:
Hvis appen du vil konfigurere allerede er oppført, velger du den og deretter Rediger.
Hvis appen ikke er oppført øverst i listen, velger du Legg til program for å tilpasse. Velg deretter hvordan du vil legge til appen.
- Bruk Legg til etter programnavn for å få begrensningen brukt på alle kjørende prosesser med dette navnet. Angi en fil med en utvidelse. Du kan angi en fullstendig bane for å innskrenke begrensningen til bare appen med dette navnet på den plasseringen.
- Bruk Velg nøyaktig filbane for å bruke et standard Windows Utforsker filvelgervindu for å finne og velge filen du vil bruke.
Når du har valgt appen, ser du en liste over alle begrensningene som kan brukes. Hvis du velger Overvåking , brukes begrensningen bare i testmodus. Du blir varslet hvis du må starte prosessen, appen eller Windows på nytt.
Gjenta denne fremgangsmåten for alle appene og begrensningene du vil konfigurere. Velg Bruk når du er ferdig med å konfigurere konfigurasjonen.
PowerShell
Hvis du vil angi begrensninger på appnivå til testmodus, kan du bruke Set-ProcessMitigation med cmdleten overvåkingsmodus .
Konfigurer hver begrensning i følgende format:
Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>
Hvor:
-
<Omfang>:
-
-Namefor å angi at begrensningene skal brukes på en bestemt app. Angi appens kjørbare fil etter dette flagget.
-
-
<Handling>:
-
-Enablefor å aktivere begrensningen-
-Disablefor å deaktivere begrensningen
-
-
-
<Begrensning>:
- Begrensningens cmdlet som definert i følgende tabell. Hver begrensning er atskilt med komma.
| Begrensning | Cmdlet for testmodus |
|---|---|
| Arbitrary Code Guard (ACG) | AuditDynamicCode |
| Blokker bilder med lav integritet | AuditImageLoad |
| Blokker uklarerte skrifttyper |
AuditFont, FontAuditOnly |
| Vern for kodeintegritet |
AuditMicrosoftSigned, AuditStoreSigned |
| Deaktiver Win32k systemanrop | AuditSystemCall |
| Ikke tillat underordnede prosesser | AuditChildProcess |
Hvis du for eksempel vil aktivere acg (Arbitrary Code Guard) i testmodus for en app kalttesting.exe, kjører du følgende kommando:
Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable AuditDynamicCode
Du kan deaktivere Overvåkingsmodus ved å erstatte -Enable med -Disable.
Se gjennom overvåkingshendelser for Exploit Protection
Hvis du vil se gjennom hvilke apper som vil bli blokkert, åpner du Hendelsesliste og filtrerer etter følgende hendelser i Security-Mitigations loggen.
| Funksjon | Leverandør/kilde | Hendelses-ID | Beskrivelse |
|---|---|---|---|
| Exploit Protection | Sikkerhetsbegrensninger (kjernemodus/brukermodus) | 1 | ACG-overvåking |
| Exploit Protection | Sikkerhetsbegrensninger (kjernemodus/brukermodus) | 3 | Ikke tillat underordnede prosesser |
| Exploit Protection | Sikkerhetsbegrensninger (kjernemodus/brukermodus) | 5 | Blokker bilder med lav integritet |
| Exploit Protection | Sikkerhetsbegrensninger (kjernemodus/brukermodus) | 7 | Blokker eksterne bilder |
| Exploit Protection | Sikkerhetsbegrensninger (kjernemodus/brukermodus) | 9 | Deaktiver Win32k systemanrop |
| Exploit Protection | Sikkerhetsbegrensninger (kjernemodus/brukermodus) | 11 | Overvåking av vern for kodeintegritet |
Se også
- Aktiver utnyttelsesbeskyttelse
- Konfigurer og overvåk beskyttelsesbegrensninger
- Importer, eksporter og distribuer konfigurasjoner av beskyttelsesbegrensninger
- Feilsøk Exploit Protection
Tips
Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.