Exploit Protection evalueren
Van toepassing op:
- Plan 1 voor Microsoft Defender voor Eindpunt
- Plan 2 voor Microsoft Defender voor Eindpunt
- Microsoft Defender XDR
Wilt u Microsoft Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.
Exploit Protection beschermt apparaten tegen malware die gebruikmaakt van aanvallen om zich te verspreiden en andere apparaten te infecteren. Risicobeperking kan worden toegepast op het besturingssysteem of op een afzonderlijke app. Veel van de functies die deel uitmaakten van de Enhanced Mitigation Experience Toolkit (EMET) zijn opgenomen in misbruikbeveiliging. (De EMET heeft het einde van de ondersteuning bereikt.)
In Controle kunt u zien hoe risicobeperking werkt voor bepaalde apps in een testomgeving. Dit laat zien wat er zou gebeuren als u exploit protection inschakelt in uw productieomgeving. Op deze manier kunt u controleren of Exploit Protection geen nadelige invloed heeft op uw line-of-business-apps en kunt u zien welke verdachte of schadelijke gebeurtenissen optreden.
Algemene richtlijnen
Risicobeperkingen voor misbruikbeveiliging werken op een laag niveau in het besturingssysteem, en sommige soorten software die vergelijkbare bewerkingen op laag niveau uitvoeren, kunnen compatibiliteitsproblemen hebben wanneer ze zijn geconfigureerd om te worden beveiligd met behulp van exploit protection.
Welke soorten software moeten niet worden beveiligd met exploit protection?
- Antimalware- en inbraakpreventie- of detectiesoftware
- Debuggers
- Software die drm-technologieën (Digital Rights Management) verwerkt (dat wil gezegd, videogames)
- Software die gebruikmaakt van technologieën voor anti-foutopsporing, verduistering of koppelen
Welk type toepassingen moet u overwegen om exploit protection in te schakelen?
Toepassingen die niet-vertrouwde gegevens ontvangen of verwerken.
Welk type processen vallen buiten het bereik van exploit protection?
Services
- Systeemservices
- Netwerkservices
Beperking van misbruikbeveiliging is standaard ingeschakeld
Risicobeperking | Standaard ingeschakeld |
---|---|
Preventie van gegevensuitvoering (DEP) | 64-bits en 32-bits toepassingen |
Uitzonderingsketens valideren (SEHOP) | 64-bits toepassingen |
Integriteit van heap valideren | 64-bits en 32-bits toepassingen |
Beperkingen voor 'Programma-instellingen' afgeschaft
Oplossingen voor 'Programma-instellingen' | Reden |
---|---|
Export address filtering (EAF) | Compatibiliteitsproblemen met toepassingen |
Filteren op adressen importeren (IAF) | Compatibiliteitsproblemen met toepassingen |
Uitvoering simuleren (SimExec) | Vervangen door Randomy Code Guard (ACG) |
API-aanroep valideren (CallerCheck) | Vervangen door Randomy Code Guard (ACG) |
Integriteit van stack valideren (StackPivot) | Vervangen door Randomy Code Guard (ACG) |
Best practices voor Office-toepassingen
In plaats van Exploit Protection te gebruiken voor Office-toepassingen zoals Outlook, Word, Excel, PowerPoint en OneNote, kunt u overwegen een modernere benadering te gebruiken om misbruik ervan te voorkomen: Regels voor het verminderen van kwetsbaarheid voor aanvallen (ASR-regels):
- Uitvoerbare inhoud van e-mailclient en webmail blokkeren
- Office-toepassingen blokkeren voor het maken van uitvoerbare inhoud
- Voorkomen dat alle Office-toepassingen onderliggende processen kunnen maken
- Office-communicatietoepassing blokkeren voor het maken van onderliggende processen
- Voorkomen dat Office-toepassingen code in andere processen injecteren
- Uitvoering van mogelijk verborgen scripts blokkeren
- Win32 API-aanroepen blokkeren vanuit Office-macro's
Gebruik voor Adobe Reader de volgende ASR-regel:
• Voorkomen dat Adobe Reader onderliggende processen maakt
Compatibiliteitslijst van toepassingen
De volgende tabel bevat specifieke producten die compatibiliteitsproblemen hebben met de risicobeperkingen die zijn opgenomen in exploit protection. U moet specifieke incompatibele oplossingen uitschakelen als u het product wilt beveiligen met behulp van exploit protection. Houd er rekening mee dat deze lijst rekening houdt met de standaardinstellingen voor de nieuwste versies van het product. Compatibiliteitsproblemen kunnen optreden wanneer u bepaalde invoegtoepassingen of andere onderdelen toepast op de standaardsoftware.
Product | Beperking van misbruikbeveiliging |
---|---|
.NET 2.0/3.5 | EAF/IAF |
7-Zip Console/GUI/Bestandsbeheer | EAF |
AMD 62xx-processors | EAF |
Avecto (meer dan vertrouwen) Power Broker | EAF, EAF+, Stack Pivot |
Bepaalde VIDEOstuurprogramma's voor AMD (ATI) | System ASLR=AlwaysOn |
DropBox | EAF |
Excel Power Query, Power View, Power Map en PowerPivot | EAF |
Google Chrome | EAF+ |
Immidio Flex+ | EAF |
Microsoft Office Web Components (OWC) | System DEP=AlwaysOn |
Microsoft PowerPoint | EAF |
Microsoft Teams | EAF+ |
Oracle Javaǂ | Heapspray |
Pitney Bowes Print Audit 6 | SimExecFlow |
Siebel CRM-versie is 8.1.1.9 | SEHOP |
Skype | EAF |
SolarWinds Syslogd Manager | EAF |
Windows Mediaspeler | VerplichtASLR, EAF |
ǂ EMET-oplossingen zijn mogelijk niet compatibel met Oracle Java wanneer ze worden uitgevoerd met behulp van instellingen die een grote hoeveelheid geheugen reserveren voor de virtuele machine (dat wil gezegd, met behulp van de optie -Xms).
Systeeminstellingen voor misbruikbeveiliging inschakelen voor testen
Deze exploit protection-systeeminstellingen zijn standaard ingeschakeld, met uitzondering van de AsLR (Mandatory Address Space Layout Randomization) op Windows 10 en hoger, Windows Server 2019 en hoger, en op Windows Server versie 1803 Core Edition en hoger.
Systeeminstellingen | Instelling |
---|---|
Controlestroombeveiliging (CFG) | Standaard gebruiken (aan) |
Preventie van gegevensuitvoering (DEP) | Standaard gebruiken (aan) |
Geforceerde randomisatie voor afbeeldingen (verplichte ASRL) | Standaard gebruiken (uit) |
Geheugentoewijzingen willekeurig maken (bottom-up ASRL) | Standaard gebruiken (aan) |
Asrl met hoge entropie | Standaard gebruiken (aan) |
Uitzonderingsketens valideren (SEHOP) | Standaard gebruiken (aan) |
Het XML-voorbeeld is hieronder beschikbaar
<?xml version="1.0" encoding="UTF-8"?>
<MitigationPolicy>
<SystemConfig>
<DEP Enable="true" EmulateAtlThunks="false" />
<ASLR ForceRelocateImages="false" RequireInfo="false" BottomUp="true" HighEntropy="true" />
<ControlFlowGuard Enable="true" SuppressExports="false" />
<SEHOP Enable="true" TelemetryOnly="false" />
<Heap TerminateOnError="true" />
</SystemConfig>
</MitigationPolicy>
Instellingen voor exploit protection-programma's inschakelen voor testen
Tip
We raden u ten zeerste aan de moderne aanpak voor het beperken van beveiligingsproblemen te bekijken, namelijk het gebruik van regels voor het verminderen van kwetsbaarheid voor aanvallen (ASR-regels).
U kunt risicobeperkingen instellen in een testmodus voor specifieke programma's met behulp van de app voor Windows-beveiliging of Windows PowerShell.
De app voor Windows-beveiliging.
Open de app voor Windows-beveiliging. Selecteer het schildpictogram in de taakbalk of zoek in het startmenu naar Windows-beveiliging.
Selecteer de tegel App- en browserbeheer (of het app-pictogram op de linkermenubalk) en selecteer vervolgens Exploit Protection.
Ga naar Programma-instellingen en kies de app waarop u bescherming wilt toepassen:
Als de app die u wilt configureren al wordt weergegeven, selecteert u deze en selecteert u vervolgens Bewerken.
Als de app niet boven aan de lijst wordt weergegeven, selecteert u Programma toevoegen om aan te passen. Kies vervolgens hoe u de app wilt toevoegen.
- Gebruik Toevoegen op programmanaam om de beperking toe te passen op elk actief proces met die naam. Geef een bestand met een extensie op. U kunt een volledig pad invoeren om de beperking te beperken tot alleen de app met die naam op die locatie.
- Gebruik Exact bestandspad kiezen om een standaard Windows Verkenner-venster voor bestandskiezer te gebruiken om het gewenste bestand te zoeken en te selecteren.
Nadat u de app hebt geselecteerd, ziet u een lijst met alle oplossingen die kunnen worden toegepast. Als u Controle kiest, wordt de beperking alleen toegepast in de testmodus. U krijgt een melding als u het proces, de app of Windows opnieuw moet starten.
Herhaal deze procedure voor alle apps en risicobeperkingen die u wilt configureren. Selecteer Toepassen wanneer u klaar bent met het instellen van uw configuratie.
PowerShell
Als u risicobeperkingen op app-niveau wilt instellen voor de testmodus, gebruikt Set-ProcessMitigation
u met de cmdlet Controlemodus .
Configureer elke risicobeperking in de volgende indeling:
Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>
Waarbij:
-
<Bereik>:
-
-Name
om aan te geven dat de risicobeperkingen moeten worden toegepast op een specifieke app. Geef het uitvoerbare bestand van de app op na deze vlag.
-
-
<Actie>:
-
-Enable
om de risicobeperking in te schakelen-
-Disable
om de beperking uit te schakelen
-
-
-
<Beperking>:
- De cmdlet van de risicobeperking, zoals gedefinieerd in de volgende tabel. Elke beperking wordt gescheiden door een komma.
Risicobeperking | Cmdlet testmodus |
---|---|
Beveiliging van arbitraire code (ACG) | AuditDynamicCode |
Afbeeldingen met lage integriteit blokkeren | AuditImageLoad |
Niet-vertrouwde lettertypen blokkeren |
AuditFont , FontAuditOnly |
Beveiliging van code-integriteit |
AuditMicrosoftSigned , AuditStoreSigned |
Systeemoproepen van Win32k uitschakelen | AuditSystemCall |
Onderliggende processen niet toestaan | AuditChildProcess |
Voer bijvoorbeeld de volgende opdracht uit om Randomy Code Guard (ACG) in te schakelen in de testmodus voor een app met de naam testing.exe:
Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable AuditDynamicCode
U kunt de controlemodus uitschakelen door -Enable
te vervangen door -Disable
.
Controlegebeurtenissen voor Exploit Protection controleren
Als u wilt controleren welke apps worden geblokkeerd, opent u Logboeken en filtert u op de volgende gebeurtenissen in het Security-Mitigations-logboek.
Functie | Provider/bron | Gebeurtenis-id | Omschrijving |
---|---|---|---|
Bescherming tegen misbruik | Beveiligingsbeperkingen (kernelmodus/gebruikersmodus) | 1 | ACG-controle |
Bescherming tegen misbruik | Beveiligingsbeperkingen (kernelmodus/gebruikersmodus) | 3 | Geen controle van onderliggende processen toestaan |
Bescherming tegen misbruik | Beveiligingsbeperkingen (kernelmodus/gebruikersmodus) | 5 | Controle van afbeeldingen met lage integriteit blokkeren |
Bescherming tegen misbruik | Beveiligingsbeperkingen (kernelmodus/gebruikersmodus) | 7 | Blokkeren van controle externe afbeeldingen |
Bescherming tegen misbruik | Beveiligingsbeperkingen (kernelmodus/gebruikersmodus) | 9 | Controle van systeemoproepen van Win32k uitschakelen |
Bescherming tegen misbruik | Beveiligingsbeperkingen (kernelmodus/gebruikersmodus) | 11 | Controle van beveiliging van code-integriteit |
Zie ook
- Bescherming tegen misbruik inschakelen
- Risicobeperkingen voor misbruikbeveiliging configureren en controleren
- Configuraties voor misbruikbeveiliging importeren, exporteren en implementeren
- Problemen met misbruikbeveiliging oplossen
Tip
Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.