Delen via


Apparaten beschermen tegen misbruik

Van toepassing op:

Misbruikbeveiliging past automatisch veel technieken voor het beperken van het risico op aanvallen toe op processen en apps van het besturingssysteem. Exploitbeveiliging wordt ondersteund vanaf Windows 10, versie 1709, Windows 11 en Windows Server, versie 1803.

Misbruikbeveiliging werkt het beste met Defender voor Eindpunt, waarmee u gedetailleerde rapportage krijgt over gebeurtenissen en blokkeringen van misbruikbeveiliging als onderdeel van de gebruikelijke scenario's voor waarschuwingsonderzoek.

U kunt misbruikbeveiliging inschakelen op een afzonderlijk apparaat en vervolgens Groepsbeleid gebruiken om het XML-bestand naar meerdere apparaten tegelijk te distribueren.

Wanneer er een beperking wordt gevonden op het apparaat, wordt er een melding weergegeven vanuit het Actiecentrum. U kunt de melding aanpassen met uw bedrijfs- en contactgegevens. U kunt de regels ook afzonderlijk inschakelen om aan te passen welke technieken de functie bewaakt.

U kunt ook controlemodus gebruiken om te evalueren hoe misbruikbeveiliging van invloed is op uw organisatie als deze functie is ingeschakeld.

Veel van de functies in de Enhanced Mitigation Experience Toolkit (EMET) zijn opgenomen in misbruikbeveiliging. U kunt bestaande EMET-configuratieprofielen zelfs converteren en importeren in misbruikbeveiliging. Zie Configuraties voor misbruikbeveiliging importeren, exporteren en implementeren voor meer informatie.

Belangrijk

Als u momenteel EMET gebruikt, moet u er rekening mee houden dat EMET de ondersteuning op 31 juli 2018 heeft beëindigd. Overweeg om EMET te vervangen door misbruikbeveiliging in Windows 10.

Waarschuwing

Sommige technologieën voor misbruikbeveiliging kunnen compatibiliteitsproblemen hebben met sommige toepassingen. Test misbruikbeveiliging in alle scenario's voor doelgebruik met behulp van controlemodus, voordat u de configuratie implementeert in een productieomgeving of de rest van uw netwerk.

Gebeurtenissen voor misbruikbeveiliging bekijken in de Microsoft Defender-portal

Defender voor Eindpunt biedt gedetailleerde rapportage over gebeurtenissen en blokkeringen als onderdeel van de scenario's voor waarschuwingsonderzoek.

U kunt query's uitvoeren op Defender voor Eindpunt-gegevens met behulp van Geavanceerde opsporing. Als u controlemodus gebruikt, kunt u geavanceerde opsporing gebruiken om te zien hoe instellingen voor misbruikbeveiliging van invloed kunnen zijn op uw omgeving.

Hier volgt een voorbeeldquery:

DeviceEvents
| where ActionType startswith 'ExploitGuard' and ActionType !contains 'NetworkProtection'

Exploit Protection en geavanceerde opsporing

Hieronder vindt u de geavanceerde opsporingsactietypen die beschikbaar zijn voor Exploit Protection.

Naam van Exploit Protection-beperking Exploit Protection - Geavanceerde opsporing - Actietypen
Willekeurige codebeveiliging ExploitGuardAcgAudited
ExploitGuardAcgEnforced
Onderliggende processen niet toestaan ExploitGuardChildProcessAudited
ExploitGuardChildProcessBlocked
Export address filtering (EAF) ExploitGuardEafViolationAudited
ExploitGuardEafViolationBlocked
Filteren op adressen importeren (IAF) ExploitGuardIafViolationAudited
ExploitGuardIafViolationBlocked
Afbeeldingen met lage integriteit blokkeren ExploitGuardLowIntegrityImageAudited
ExploitGuardLowIntegrityImageBlocked
Beveiliging van code-integriteit ExploitGuardNonMicrosoftSignedAudited
ExploitGuardNonMicrosoftSignedBlocked
• Uitvoering simuleren (SimExec)
• API-aanroep valideren (CallerCheck)
• Stack-integriteit valideren (StackPivot)
ExploitGuardRopExploitAudited
ExploitGuardRopExploitBlocked
Externe afbeeldingen blokkeren ExploitGuardSharedBinaryAudited
ExploitGuardSharedBinaryBlocked
Systeemoproepen van Win32k uitschakelen ExploitGuardWin32SystemCallAudited
ExploitGuardWin32SystemCallBlocked

Gebeurtenissen van misbruikbeveiliging controleren in Windows Logboeken

U kunt het Windows-gebeurtenislogboek bekijken om gebeurtenissen te zien die worden gemaakt wanneer een app door misbruikbeveiliging wordt geblokkeerd (of gecontroleerd):

Provider/bron Gebeurtenis-id Omschrijving
Beveiligingsbeperkingen 1 ACG-controle
Beveiligingsbeperkingen 2 ACG afdwingen
Beveiligingsbeperkingen 3 Geen controle van onderliggende processen toestaan
Beveiligingsbeperkingen 4 Blokkeren van onderliggende processen niet toestaan
Beveiligingsbeperkingen 5 Controle van afbeeldingen met lage integriteit blokkeren
Beveiligingsbeperkingen 6 Blokkeren van afbeeldingen met lage integriteit blokkeren
Beveiligingsbeperkingen 7 Blokkeren van controle externe afbeeldingen
Beveiligingsbeperkingen 8 Blokkeren van blokkering externe afbeeldingen
Beveiligingsbeperkingen 9 Controle van systeemoproepen van Win32k uitschakelen
Beveiligingsbeperkingen 10 Blokkeren van systeemoproepen van Win32k uitschakelen
Beveiligingsbeperkingen 11 Controle van beveiliging van code-integriteit
Beveiligingsbeperkingen 12 Blokkeren van beveiliging van code-integriteit
Beveiligingsbeperkingen 13 EAF-controle
Beveiligingsbeperkingen 14 EAF afdwingen
Beveiligingsbeperkingen 15 EAF + controle
Beveiligingsbeperkingen 16 EAF + afdwingen
Beveiligingsbeperkingen 17 IAF-controle
Beveiligingsbeperkingen 18 IAF afdwingen
Beveiligingsbeperkingen 19 ROP StackPivot-controle
Beveiligingsbeperkingen 20 ROP StackPivot afdwingen
Beveiligingsbeperkingen 21 ROP CallerCheck-controle
Beveiligingsbeperkingen 22 ROP CallerCheck afdwingen
Beveiligingsbeperkingen 23 ROP SimExec-controle
Beveiligingsbeperkingen 24 ROP SimExec afdwingen
Diagnostische gegevens WER 5 CFG blokkeren
Win32K 260 Niet-vertrouwd lettertype

Vergelijking van risicobeperking

De risicobeperkingen die beschikbaar zijn in EMET zijn systeemeigen opgenomen in Windows 10 (vanaf versie 1709), Windows 11 en Windows Server (vanaf versie 1803), onder Misbruikbeveiliging.

De tabel in deze sectie geeft de beschikbaarheid en ondersteuning aan van systeemeigen oplossingen tussen EMET en misbruikbeveiliging.

Risicobeperking Beschikbaar onder misbruikbeveiliging Beschikbaar in EMET
Beveiliging van arbitraire code (ACG) Ja Ja
Als 'Controle van geheugenbeveiliging'
Externe afbeeldingen blokkeren Ja Ja
Als 'Bibliotheekcontrole laden'
Niet-vertrouwde lettertypen blokkeren Ja Ja
Preventie van gegevensuitvoering (DEP) Ja Ja
Export address filtering (EAF) Ja Ja
Randomisering voor afbeeldingen forceren (verplichte ASLR) Ja Ja
NullPage-beveiligingsbeperking Ja
Systeemeigen opgenomen in Windows 10 en Windows 11
Zie Bedreigingen beperken met behulp van Windows 10 beveiligingsfuncties voor meer informatie
Ja
Geheugentoewijzingen willekeurig toekennen (bottom-up ASLR). Ja Ja
Uitvoering simuleren (SimExec) Ja Ja
API-aanroep valideren (CallerCheck) Ja Ja
Uitzonderingsketens valideren (SEHOP) Ja Ja
Integriteit van stack valideren (StackPivot) Ja Ja
Certificaatvertrouwen (configureerbare certificaatpinfunctie) Windows 10 en Windows 11 bieden het vastmaken van bedrijfscertificaten Ja
Toewijzing van heap spray Ineffectief tegen nieuwere aanvallen op browserbasis; nieuwere oplossingen bieden betere beveiliging
Zie Bedreigingen beperken met behulp van Windows 10 beveiligingsfuncties voor meer informatie
Ja
Afbeeldingen met lage integriteit blokkeren Ja Nee
Beveiliging van code-integriteit Ja Nee
Uitbreidingspunten uitschakelen Ja Nee
Systeemoproepen van Win32k uitschakelen Ja Nee
Onderliggende processen niet toestaan Ja Nee
Filteren op adressen importeren (IAF) Ja Nee
Ingangsgebruik valideren Ja Nee
Integriteit van heap valideren Ja Nee
Integriteit van afhankelijkheid van afbeelding valideren Ja Nee

Opmerking

De geavanceerde ROP-oplossingen die beschikbaar zijn in EMET, worden vervangen door ACG in Windows 10 en Windows 11. Andere geavanceerde EMET-instellingen worden standaard ingeschakeld als onderdeel van het inschakelen van de anti-ROP-oplossingen voor een proces. Zie Bedreigingen beperken met behulp van Windows 10 beveiligingsfuncties voor meer informatie over hoe Windows 10 bestaande EMET-technologie gebruikt.

Zie ook

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.