Apparaten beschermen tegen misbruik
Van toepassing op:
- Plan 1 voor Microsoft Defender voor Eindpunt
- Plan 2 voor Microsoft Defender voor Eindpunt
- Microsoft Defender XDR
Misbruikbeveiliging past automatisch veel technieken voor het beperken van het risico op aanvallen toe op processen en apps van het besturingssysteem. Exploitbeveiliging wordt ondersteund vanaf Windows 10, versie 1709, Windows 11 en Windows Server, versie 1803.
Misbruikbeveiliging werkt het beste met Defender voor Eindpunt, waarmee u gedetailleerde rapportage krijgt over gebeurtenissen en blokkeringen van misbruikbeveiliging als onderdeel van de gebruikelijke scenario's voor waarschuwingsonderzoek.
U kunt misbruikbeveiliging inschakelen op een afzonderlijk apparaat en vervolgens Groepsbeleid gebruiken om het XML-bestand naar meerdere apparaten tegelijk te distribueren.
Wanneer er een beperking wordt gevonden op het apparaat, wordt er een melding weergegeven vanuit het Actiecentrum. U kunt de melding aanpassen met uw bedrijfs- en contactgegevens. U kunt de regels ook afzonderlijk inschakelen om aan te passen welke technieken de functie bewaakt.
U kunt ook controlemodus gebruiken om te evalueren hoe misbruikbeveiliging van invloed is op uw organisatie als deze functie is ingeschakeld.
Veel van de functies in de Enhanced Mitigation Experience Toolkit (EMET) zijn opgenomen in misbruikbeveiliging. U kunt bestaande EMET-configuratieprofielen zelfs converteren en importeren in misbruikbeveiliging. Zie Configuraties voor misbruikbeveiliging importeren, exporteren en implementeren voor meer informatie.
Belangrijk
Als u momenteel EMET gebruikt, moet u er rekening mee houden dat EMET de ondersteuning op 31 juli 2018 heeft beëindigd. Overweeg om EMET te vervangen door misbruikbeveiliging in Windows 10.
Waarschuwing
Sommige technologieën voor misbruikbeveiliging kunnen compatibiliteitsproblemen hebben met sommige toepassingen. Test misbruikbeveiliging in alle scenario's voor doelgebruik met behulp van controlemodus, voordat u de configuratie implementeert in een productieomgeving of de rest van uw netwerk.
Gebeurtenissen voor misbruikbeveiliging bekijken in de Microsoft Defender-portal
Defender voor Eindpunt biedt gedetailleerde rapportage over gebeurtenissen en blokkeringen als onderdeel van de scenario's voor waarschuwingsonderzoek.
U kunt query's uitvoeren op Defender voor Eindpunt-gegevens met behulp van Geavanceerde opsporing. Als u controlemodus gebruikt, kunt u geavanceerde opsporing gebruiken om te zien hoe instellingen voor misbruikbeveiliging van invloed kunnen zijn op uw omgeving.
Hier volgt een voorbeeldquery:
DeviceEvents
| where ActionType startswith 'ExploitGuard' and ActionType !contains 'NetworkProtection'
Exploit Protection en geavanceerde opsporing
Hieronder vindt u de geavanceerde opsporingsactietypen die beschikbaar zijn voor Exploit Protection.
Naam van Exploit Protection-beperking | Exploit Protection - Geavanceerde opsporing - Actietypen |
---|---|
Willekeurige codebeveiliging | ExploitGuardAcgAudited ExploitGuardAcgEnforced |
Onderliggende processen niet toestaan | ExploitGuardChildProcessAudited ExploitGuardChildProcessBlocked |
Export address filtering (EAF) | ExploitGuardEafViolationAudited ExploitGuardEafViolationBlocked |
Filteren op adressen importeren (IAF) | ExploitGuardIafViolationAudited ExploitGuardIafViolationBlocked |
Afbeeldingen met lage integriteit blokkeren | ExploitGuardLowIntegrityImageAudited ExploitGuardLowIntegrityImageBlocked |
Beveiliging van code-integriteit | ExploitGuardNonMicrosoftSignedAudited ExploitGuardNonMicrosoftSignedBlocked |
• Uitvoering simuleren (SimExec) • API-aanroep valideren (CallerCheck) • Stack-integriteit valideren (StackPivot) |
ExploitGuardRopExploitAudited ExploitGuardRopExploitBlocked |
Externe afbeeldingen blokkeren | ExploitGuardSharedBinaryAudited ExploitGuardSharedBinaryBlocked |
Systeemoproepen van Win32k uitschakelen | ExploitGuardWin32SystemCallAudited ExploitGuardWin32SystemCallBlocked |
Gebeurtenissen van misbruikbeveiliging controleren in Windows Logboeken
U kunt het Windows-gebeurtenislogboek bekijken om gebeurtenissen te zien die worden gemaakt wanneer een app door misbruikbeveiliging wordt geblokkeerd (of gecontroleerd):
Provider/bron | Gebeurtenis-id | Omschrijving |
---|---|---|
Beveiligingsbeperkingen | 1 | ACG-controle |
Beveiligingsbeperkingen | 2 | ACG afdwingen |
Beveiligingsbeperkingen | 3 | Geen controle van onderliggende processen toestaan |
Beveiligingsbeperkingen | 4 | Blokkeren van onderliggende processen niet toestaan |
Beveiligingsbeperkingen | 5 | Controle van afbeeldingen met lage integriteit blokkeren |
Beveiligingsbeperkingen | 6 | Blokkeren van afbeeldingen met lage integriteit blokkeren |
Beveiligingsbeperkingen | 7 | Blokkeren van controle externe afbeeldingen |
Beveiligingsbeperkingen | 8 | Blokkeren van blokkering externe afbeeldingen |
Beveiligingsbeperkingen | 9 | Controle van systeemoproepen van Win32k uitschakelen |
Beveiligingsbeperkingen | 10 | Blokkeren van systeemoproepen van Win32k uitschakelen |
Beveiligingsbeperkingen | 11 | Controle van beveiliging van code-integriteit |
Beveiligingsbeperkingen | 12 | Blokkeren van beveiliging van code-integriteit |
Beveiligingsbeperkingen | 13 | EAF-controle |
Beveiligingsbeperkingen | 14 | EAF afdwingen |
Beveiligingsbeperkingen | 15 | EAF + controle |
Beveiligingsbeperkingen | 16 | EAF + afdwingen |
Beveiligingsbeperkingen | 17 | IAF-controle |
Beveiligingsbeperkingen | 18 | IAF afdwingen |
Beveiligingsbeperkingen | 19 | ROP StackPivot-controle |
Beveiligingsbeperkingen | 20 | ROP StackPivot afdwingen |
Beveiligingsbeperkingen | 21 | ROP CallerCheck-controle |
Beveiligingsbeperkingen | 22 | ROP CallerCheck afdwingen |
Beveiligingsbeperkingen | 23 | ROP SimExec-controle |
Beveiligingsbeperkingen | 24 | ROP SimExec afdwingen |
Diagnostische gegevens WER | 5 | CFG blokkeren |
Win32K | 260 | Niet-vertrouwd lettertype |
Vergelijking van risicobeperking
De risicobeperkingen die beschikbaar zijn in EMET zijn systeemeigen opgenomen in Windows 10 (vanaf versie 1709), Windows 11 en Windows Server (vanaf versie 1803), onder Misbruikbeveiliging.
De tabel in deze sectie geeft de beschikbaarheid en ondersteuning aan van systeemeigen oplossingen tussen EMET en misbruikbeveiliging.
Risicobeperking | Beschikbaar onder misbruikbeveiliging | Beschikbaar in EMET |
---|---|---|
Beveiliging van arbitraire code (ACG) | Ja | Ja Als 'Controle van geheugenbeveiliging' |
Externe afbeeldingen blokkeren | Ja | Ja Als 'Bibliotheekcontrole laden' |
Niet-vertrouwde lettertypen blokkeren | Ja | Ja |
Preventie van gegevensuitvoering (DEP) | Ja | Ja |
Export address filtering (EAF) | Ja | Ja |
Randomisering voor afbeeldingen forceren (verplichte ASLR) | Ja | Ja |
NullPage-beveiligingsbeperking | Ja Systeemeigen opgenomen in Windows 10 en Windows 11 Zie Bedreigingen beperken met behulp van Windows 10 beveiligingsfuncties voor meer informatie |
Ja |
Geheugentoewijzingen willekeurig toekennen (bottom-up ASLR). | Ja | Ja |
Uitvoering simuleren (SimExec) | Ja | Ja |
API-aanroep valideren (CallerCheck) | Ja | Ja |
Uitzonderingsketens valideren (SEHOP) | Ja | Ja |
Integriteit van stack valideren (StackPivot) | Ja | Ja |
Certificaatvertrouwen (configureerbare certificaatpinfunctie) | Windows 10 en Windows 11 bieden het vastmaken van bedrijfscertificaten | Ja |
Toewijzing van heap spray | Ineffectief tegen nieuwere aanvallen op browserbasis; nieuwere oplossingen bieden betere beveiliging Zie Bedreigingen beperken met behulp van Windows 10 beveiligingsfuncties voor meer informatie |
Ja |
Afbeeldingen met lage integriteit blokkeren | Ja | Nee |
Beveiliging van code-integriteit | Ja | Nee |
Uitbreidingspunten uitschakelen | Ja | Nee |
Systeemoproepen van Win32k uitschakelen | Ja | Nee |
Onderliggende processen niet toestaan | Ja | Nee |
Filteren op adressen importeren (IAF) | Ja | Nee |
Ingangsgebruik valideren | Ja | Nee |
Integriteit van heap valideren | Ja | Nee |
Integriteit van afhankelijkheid van afbeelding valideren | Ja | Nee |
Opmerking
De geavanceerde ROP-oplossingen die beschikbaar zijn in EMET, worden vervangen door ACG in Windows 10 en Windows 11. Andere geavanceerde EMET-instellingen worden standaard ingeschakeld als onderdeel van het inschakelen van de anti-ROP-oplossingen voor een proces. Zie Bedreigingen beperken met behulp van Windows 10 beveiligingsfuncties voor meer informatie over hoe Windows 10 bestaande EMET-technologie gebruikt.
Zie ook
- Risicobeperkingen voor misbruikbeveiliging configureren en controleren
- Problemen met misbruikbeveiliging oplossen
- Implementatie en detecties van ASR-regels optimaliseren
Tip
Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.