Delen via


Exploit Protection evalueren

Van toepassing op:

Wilt u Microsoft Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.

Exploit Protection beschermt apparaten tegen malware die gebruikmaakt van aanvallen om zich te verspreiden en andere apparaten te infecteren. Risicobeperking kan worden toegepast op het besturingssysteem of op een afzonderlijke app. Veel van de functies die deel uitmaakten van de Enhanced Mitigation Experience Toolkit (EMET) zijn opgenomen in misbruikbeveiliging. (De EMET heeft het einde van de ondersteuning bereikt.)

In Controle kunt u zien hoe risicobeperking werkt voor bepaalde apps in een testomgeving. Dit laat zien wat er zou gebeuren als u exploit protection inschakelt in uw productieomgeving. Op deze manier kunt u controleren of Exploit Protection geen nadelige invloed heeft op uw line-of-business-apps en kunt u zien welke verdachte of schadelijke gebeurtenissen optreden.

Algemene richtlijnen

Risicobeperkingen voor misbruikbeveiliging werken op een laag niveau in het besturingssysteem, en sommige soorten software die vergelijkbare bewerkingen op laag niveau uitvoeren, kunnen compatibiliteitsproblemen hebben wanneer ze zijn geconfigureerd om te worden beveiligd met behulp van exploit protection.

Welke soorten software moeten niet worden beveiligd met exploit protection?

  • Antimalware- en inbraakpreventie- of detectiesoftware
  • Debuggers
  • Software die drm-technologieën (Digital Rights Management) verwerkt (dat wil gezegd, videogames)
  • Software die gebruikmaakt van technologieën voor anti-foutopsporing, verduistering of koppelen

Welk type toepassingen moet u overwegen om exploit protection in te schakelen?

Toepassingen die niet-vertrouwde gegevens ontvangen of verwerken.

Welk type processen vallen buiten het bereik van exploit protection?

Services

  • Systeemservices
  • Netwerkservices

Beperking van misbruikbeveiliging is standaard ingeschakeld

Risicobeperking Standaard ingeschakeld
Preventie van gegevensuitvoering (DEP) 64-bits en 32-bits toepassingen
Uitzonderingsketens valideren (SEHOP) 64-bits toepassingen
Integriteit van heap valideren 64-bits en 32-bits toepassingen

Beperkingen voor 'Programma-instellingen' afgeschaft

Oplossingen voor 'Programma-instellingen' Reden
Export address filtering (EAF) Compatibiliteitsproblemen met toepassingen
Filteren op adressen importeren (IAF) Compatibiliteitsproblemen met toepassingen
Uitvoering simuleren (SimExec) Vervangen door Randomy Code Guard (ACG)
API-aanroep valideren (CallerCheck) Vervangen door Randomy Code Guard (ACG)
Integriteit van stack valideren (StackPivot) Vervangen door Randomy Code Guard (ACG)

Best practices voor Office-toepassingen

In plaats van Exploit Protection te gebruiken voor Office-toepassingen zoals Outlook, Word, Excel, PowerPoint en OneNote, kunt u overwegen een modernere benadering te gebruiken om misbruik ervan te voorkomen: Regels voor het verminderen van kwetsbaarheid voor aanvallen (ASR-regels):

Gebruik voor Adobe Reader de volgende ASR-regel:

Voorkomen dat Adobe Reader onderliggende processen maakt

Compatibiliteitslijst van toepassingen

De volgende tabel bevat specifieke producten die compatibiliteitsproblemen hebben met de risicobeperkingen die zijn opgenomen in exploit protection. U moet specifieke incompatibele oplossingen uitschakelen als u het product wilt beveiligen met behulp van exploit protection. Houd er rekening mee dat deze lijst rekening houdt met de standaardinstellingen voor de nieuwste versies van het product. Compatibiliteitsproblemen kunnen optreden wanneer u bepaalde invoegtoepassingen of andere onderdelen toepast op de standaardsoftware.

Product Beperking van misbruikbeveiliging
.NET 2.0/3.5 EAF/IAF
7-Zip Console/GUI/Bestandsbeheer EAF
AMD 62xx-processors EAF
Avecto (meer dan vertrouwen) Power Broker EAF, EAF+, Stack Pivot
Bepaalde VIDEOstuurprogramma's voor AMD (ATI) System ASLR=AlwaysOn
DropBox EAF
Excel Power Query, Power View, Power Map en PowerPivot EAF
Google Chrome EAF+
Immidio Flex+ EAF
Microsoft Office Web Components (OWC) System DEP=AlwaysOn
Microsoft PowerPoint EAF
Microsoft Teams EAF+
Oracle Javaǂ Heapspray
Pitney Bowes Print Audit 6 SimExecFlow
Siebel CRM-versie is 8.1.1.9 SEHOP
Skype EAF
SolarWinds Syslogd Manager EAF
Windows Mediaspeler VerplichtASLR, EAF

ǂ EMET-oplossingen zijn mogelijk niet compatibel met Oracle Java wanneer ze worden uitgevoerd met behulp van instellingen die een grote hoeveelheid geheugen reserveren voor de virtuele machine (dat wil gezegd, met behulp van de optie -Xms).

Systeeminstellingen voor misbruikbeveiliging inschakelen voor testen

Deze exploit protection-systeeminstellingen zijn standaard ingeschakeld, met uitzondering van de AsLR (Mandatory Address Space Layout Randomization) op Windows 10 en hoger, Windows Server 2019 en hoger, en op Windows Server versie 1803 Core Edition en hoger.

Systeeminstellingen Instelling
Controlestroombeveiliging (CFG) Standaard gebruiken (aan)
Preventie van gegevensuitvoering (DEP) Standaard gebruiken (aan)
Geforceerde randomisatie voor afbeeldingen (verplichte ASRL) Standaard gebruiken (uit)
Geheugentoewijzingen willekeurig maken (bottom-up ASRL) Standaard gebruiken (aan)
Asrl met hoge entropie Standaard gebruiken (aan)
Uitzonderingsketens valideren (SEHOP) Standaard gebruiken (aan)

Het XML-voorbeeld is hieronder beschikbaar

<?xml version="1.0" encoding="UTF-8"?>
<MitigationPolicy>
  <SystemConfig>
    <DEP Enable="true" EmulateAtlThunks="false" />
    <ASLR ForceRelocateImages="false" RequireInfo="false" BottomUp="true" HighEntropy="true" />
    <ControlFlowGuard Enable="true" SuppressExports="false" />
    <SEHOP Enable="true" TelemetryOnly="false" />
    <Heap TerminateOnError="true" />
  </SystemConfig>
</MitigationPolicy>

Instellingen voor exploit protection-programma's inschakelen voor testen

Tip

We raden u ten zeerste aan de moderne aanpak voor het beperken van beveiligingsproblemen te bekijken, namelijk het gebruik van regels voor het verminderen van kwetsbaarheid voor aanvallen (ASR-regels).

U kunt risicobeperkingen instellen in een testmodus voor specifieke programma's met behulp van de app voor Windows-beveiliging of Windows PowerShell.

De app voor Windows-beveiliging.

  1. Open de app voor Windows-beveiliging. Selecteer het schildpictogram in de taakbalk of zoek in het startmenu naar Windows-beveiliging.

  2. Selecteer de tegel App- en browserbeheer (of het app-pictogram op de linkermenubalk) en selecteer vervolgens Exploit Protection.

  3. Ga naar Programma-instellingen en kies de app waarop u bescherming wilt toepassen:

    1. Als de app die u wilt configureren al wordt weergegeven, selecteert u deze en selecteert u vervolgens Bewerken.

    2. Als de app niet boven aan de lijst wordt weergegeven, selecteert u Programma toevoegen om aan te passen. Kies vervolgens hoe u de app wilt toevoegen.

      • Gebruik Toevoegen op programmanaam om de beperking toe te passen op elk actief proces met die naam. Geef een bestand met een extensie op. U kunt een volledig pad invoeren om de beperking te beperken tot alleen de app met die naam op die locatie.
      • Gebruik Exact bestandspad kiezen om een standaard Windows Verkenner-venster voor bestandskiezer te gebruiken om het gewenste bestand te zoeken en te selecteren.
  4. Nadat u de app hebt geselecteerd, ziet u een lijst met alle oplossingen die kunnen worden toegepast. Als u Controle kiest, wordt de beperking alleen toegepast in de testmodus. U krijgt een melding als u het proces, de app of Windows opnieuw moet starten.

  5. Herhaal deze procedure voor alle apps en risicobeperkingen die u wilt configureren. Selecteer Toepassen wanneer u klaar bent met het instellen van uw configuratie.

PowerShell

Als u risicobeperkingen op app-niveau wilt instellen voor de testmodus, gebruikt Set-ProcessMitigation u met de cmdlet Controlemodus .

Configureer elke risicobeperking in de volgende indeling:

Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>

Waarbij:

  • <Bereik>:
    • -Name om aan te geven dat de risicobeperkingen moeten worden toegepast op een specifieke app. Geef het uitvoerbare bestand van de app op na deze vlag.
  • <Actie>:
    • -Enable om de risicobeperking in te schakelen
      • -Disable om de beperking uit te schakelen
  • <Beperking>:
    • De cmdlet van de risicobeperking, zoals gedefinieerd in de volgende tabel. Elke beperking wordt gescheiden door een komma.
Risicobeperking Cmdlet testmodus
Beveiliging van arbitraire code (ACG) AuditDynamicCode
Afbeeldingen met lage integriteit blokkeren AuditImageLoad
Niet-vertrouwde lettertypen blokkeren AuditFont, FontAuditOnly
Beveiliging van code-integriteit AuditMicrosoftSigned, AuditStoreSigned
Systeemoproepen van Win32k uitschakelen AuditSystemCall
Onderliggende processen niet toestaan AuditChildProcess

Voer bijvoorbeeld de volgende opdracht uit om Randomy Code Guard (ACG) in te schakelen in de testmodus voor een app met de naam testing.exe:

Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable AuditDynamicCode

U kunt de controlemodus uitschakelen door -Enable te vervangen door -Disable.

Controlegebeurtenissen voor Exploit Protection controleren

Als u wilt controleren welke apps worden geblokkeerd, opent u Logboeken en filtert u op de volgende gebeurtenissen in het Security-Mitigations-logboek.

Functie Provider/bron Gebeurtenis-id Omschrijving
Bescherming tegen misbruik Beveiligingsbeperkingen (kernelmodus/gebruikersmodus) 1 ACG-controle
Bescherming tegen misbruik Beveiligingsbeperkingen (kernelmodus/gebruikersmodus) 3 Geen controle van onderliggende processen toestaan
Bescherming tegen misbruik Beveiligingsbeperkingen (kernelmodus/gebruikersmodus) 5 Controle van afbeeldingen met lage integriteit blokkeren
Bescherming tegen misbruik Beveiligingsbeperkingen (kernelmodus/gebruikersmodus) 7 Blokkeren van controle externe afbeeldingen
Bescherming tegen misbruik Beveiligingsbeperkingen (kernelmodus/gebruikersmodus) 9 Controle van systeemoproepen van Win32k uitschakelen
Bescherming tegen misbruik Beveiligingsbeperkingen (kernelmodus/gebruikersmodus) 11 Controle van beveiliging van code-integriteit

Zie ook

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.