Beskytt enheter mot utnyttelser
Gjelder for:
- Microsoft Defender for endepunkt plan 1
- Microsoft Defender for endepunkt plan 2
- Microsoft Defender XDR
Utnyttelsesbeskyttelse bruker automatisk mange teknikker for utnyttelsesreduksjon på operativsystemprosesser og -apper. Utnyttelsesbeskyttelse støttes fra og med Windows 10, versjon 1709, Windows 11 og Windows Server, versjon 1803.
Utnyttelsesbeskyttelse fungerer best med Defender for Endpoint – som gir deg detaljert rapportering av beskyttelseshendelser og -blokker som en del av de vanlige scenarioene for varslingsundersøkelser.
Du kan aktivere utnyttelsesbeskyttelse på en enkelt enhet, og deretter bruke gruppepolicy til å distribuere XML-filen til flere enheter samtidig.
Når det blir funnet en begrensning på enheten, vises et varsel fra handlingssenteret. Du kan tilpasse varselet med firmadetaljer og kontaktinformasjon. Du kan også aktivere reglene individuelt for å tilpasse hvilke teknikker funksjonen overvåker.
Du kan også bruke overvåkingsmodus til å evaluere hvordan utnyttelsesbeskyttelse vil påvirke organisasjonen hvis den er aktivert.
Mange av funksjonene i Enhanced Mitigation Experience Toolkit (EMET) er inkludert i utnyttelsesbeskyttelsen. Du kan faktisk konvertere og importere eksisterende EMET-konfigurasjonsprofiler til utnyttelsesbeskyttelse. Hvis du vil ha mer informasjon, kan du se Importer, eksporter og distribuer konfigurasjoner for utnyttelsesbeskyttelse.
Viktig
Hvis du for øyeblikket bruker EMET, bør du være oppmerksom på at EMET nådde slutten av støtten 31. juli 2018. Vurder å erstatte EMET med utnyttelsesbeskyttelse i Windows 10.
Advarsel
Noen sikkerhetsbegrensningsteknologier kan ha kompatibilitetsproblemer med enkelte programmer. Du bør teste Exploit Protection i alle målbruksscenarioer ved å bruke overvåkingsmodus før du distribuerer konfigurasjonen på tvers av et produksjonsmiljø eller resten av nettverket.
Se gjennom utnyttelsesbeskyttelseshendelser i Microsoft Defender-portalen
Defender for Endpoint gir detaljert rapportering av hendelser og blokker som en del av scenarioene for varslingsundersøkelser.
Du kan spørre Defender etter endepunktdata ved hjelp av Avansert jakt. Hvis du bruker overvåkingsmodus, kan du bruke avansert jakt for å se hvordan innstillinger for utnyttelse av beskyttelse kan påvirke miljøet ditt.
Her er en eksempelspørring:
DeviceEvents
| where ActionType startswith 'ExploitGuard' and ActionType !contains 'NetworkProtection'
Exploit Protection og avansert jakt
Nedenfor finner du de avanserte jakthandlingstypene som er tilgjengelige for Exploit Protection.
| Utnytt beskyttelsesbegrensningsnavn | Exploit Protection - Avansert jakt - ActionTypes |
|---|---|
| Vilkårlig kodevakt | ExploitGuardAcgAudited ExploitGuardAcgEnforced |
| Ikke tillat underordnede prosesser | ExploitGuardChildProcessAudited ExploitGuardChildProcessBlocked |
| Eksportadressefiltrering (EAF) | ExploitGuardEafViolationAudited ExploitGuardEafViolationBlocked |
| Importadressefiltrering (IAF) | ExploitGuardIafViolationAudited ExploitGuardIafViolationBlocked |
| Blokker bilder med lav integritet | ExploitGuardLowIntegrityImageAudited ExploitGuardLowIntegrityImageBlocked |
| Vern for kodeintegritet | ExploitGuardNonMicrosoftSignedAudited ExploitGuardNonMicrosoftSignedBlocked |
| • Simuler kjøring (SimExec) • Valider API-aktivering (CallerCheck) • Validere stakkintegritet (StackPivot) |
ExploitGuardRopExploitAudited ExploitGuardRopExploitBlocked |
| Blokker eksterne bilder | ExploitGuardSharedBinaryAudited ExploitGuardSharedBinaryBlocked |
| Deaktiver Win32k systemanrop | ExploitGuardWin32SystemCallAudited ExploitGuardWin32SystemCallBlocked |
Se gjennom utnyttelsesbeskyttelseshendelser i Windows Hendelsesliste
Du kan se gjennom hendelsesloggen i Windows for å se hendelser som opprettes når du utnytter beskyttelsesblokker (eller overvåker) en app:
| Leverandør/kilde | Hendelses-ID | Beskrivelse |
|---|---|---|
| Security-Mitigations | 1 | ACG-overvåking |
| Security-Mitigations | 2 | Gjennomfør ACG |
| Security-Mitigations | 3 | Ikke tillat overvåking av underordnede prosesser |
| Security-Mitigations | 4 | Ikke tillat blokkering av underordnede prosesser |
| Security-Mitigations | 5 | Blokker bilder med lav integritet |
| Security-Mitigations | 6 | Blokkblokk for bilder med lav integritet |
| Security-Mitigations | 7 | Blokker eksterne bilder |
| Security-Mitigations | 8 | Blokker eksterne bilder-blokk |
| Security-Mitigations | 9 | Deaktiver Win32k systemanrop |
| Security-Mitigations | 10 | Deaktiver win32k-systemkallblokk |
| Security-Mitigations | 11 | Overvåking av vern for kodeintegritet |
| Security-Mitigations | 12 | Kodeintegritetsbeskyttelsesblokk |
| Security-Mitigations | 13 | EAF-revisjon |
| Security-Mitigations | 14 | EAF fremtvinger |
| Security-Mitigations | 15 | EAF+ overvåking |
| Security-Mitigations | 16 | EAF+ fremtving |
| Security-Mitigations | 17 | IAF-revisjon |
| Security-Mitigations | 18 | IAF håndhever |
| Security-Mitigations | 19 | ROP StackPivot-overvåking |
| Security-Mitigations | 20 | ROP StackPivot fremtvinger |
| Security-Mitigations | 21 | ROP CallerCheck-overvåking |
| Security-Mitigations | 22 | ROP CallerCheck fremtvinger |
| Security-Mitigations | 23 | ROP SimExec-overvåking |
| Security-Mitigations | 24 | ROP SimExec håndhever |
| WER-Diagnostics | 5 | CFG-blokk |
| Win32K | 260 | Ikke-klarert skrift |
Sammenligning av begrensninger
Begrensningene som er tilgjengelige i EMET, er inkludert opprinnelig i Windows 10 (fra og med versjon 1709), Windows 11 og Windows Server (fra og med versjon 1803), under Exploit-beskyttelse.
Tabellen i denne delen angir tilgjengeligheten og støtten til opprinnelige begrensninger mellom EMET og utnyttelsesbeskyttelse.
| Begrensning | Tilgjengelig under utnyttelsesbeskyttelse | Tilgjengelig i EMET |
|---|---|---|
| Vilkårlig kodevern (ACG) | Ja | Ja Som "Minnebeskyttelseskontroll" |
| Blokker eksterne bilder | Ja | Ja Som «Last inn bibliotekkontroll» |
| Blokker uklarerte skrifttyper | Ja | Ja |
| Datakjøringsforhindring (DEP) | Ja | Ja |
| Eksportadressefiltrering (EAF) | Ja | Ja |
| Tving randomisering for bilder (obligatorisk ASLR) | Ja | Ja |
| Sikkerhetsreduksjon for NullPage | Ja Inkludert opprinnelig i Windows 10 og Windows 11 Hvis du vil ha mer informasjon, kan du se Redusere trusler ved hjelp av Windows 10 sikkerhetsfunksjoner |
Ja |
| Randomiser tildelinger av minne (nedenfra og opp-ASLR). | Ja | Ja |
| Simuler kjøring (SimExec) | Ja | Ja |
| Valider API-aktivering (CallerCheck) | Ja | Ja |
| Valider unntakskjeder (SEHOP) | Ja | Ja |
| Valider stabelintegritet (StackPivot) | Ja | Ja |
| Sertifikatklarering (konfigurerbar sertifikat festing) | Windows 10 og Windows 11 angi festing av virksomhetssertifikat | Ja |
| Heap spray tildeling | Ineffektiv mot nyere nettleserbaserte utnyttelser; nyere begrensninger gir bedre beskyttelse Hvis du vil ha mer informasjon, kan du se Redusere trusler ved hjelp av Windows 10 sikkerhetsfunksjoner |
Ja |
| Blokker bilder med lav integritet | Ja | Nei |
| Vern for kodeintegritet | Ja | Nei |
| Deaktiver utvidelsespunkter | Ja | Nei |
| Deaktiver Win32k systemanrop | Ja | Nei |
| Ikke tillat underordnede prosesser | Ja | Nei |
| Importadressefiltrering (IAF) | Ja | Nei |
| Valider referansebruk | Ja | Nei |
| Valider heap-integritet | Ja | Nei |
| Valider integritet for avbildningsavhengighet | Ja | Nei |
Obs!
De avanserte ROP-begrensningene som er tilgjengelige i EMET, erstattes av ACG i Windows 10 og Windows 11, som andre avanserte EMET-innstillinger er aktivert som standard, som en del av aktivering av anti-ROP-begrensninger for en prosess. Hvis du vil ha mer informasjon om hvordan Windows 10 bruker eksisterende EMET-teknologi, kan du se utbedringstruslene ved hjelp av Windows 10 sikkerhetsfunksjoner.
Se også
- Konfigurer og overvåk beskyttelsesbegrensninger
- Feilsøk Exploit Protection
- Optimaliser distribusjon og gjenkjenning av ASR-regel
Tips
Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.