Udostępnij za pośrednictwem


Włącz ochronę przed wykorzystaniem

Dotyczy:

Porada

Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.

Ochrona przed programami wykorzystującymi luki w zabezpieczeniach pomaga chronić przed złośliwym oprogramowaniem wykorzystującym luki w zabezpieczeniach w celu zainfekowania urządzeń i rozprzestrzeniania się. Ochrona przed programami wykorzystującymi luki w zabezpieczeniach składa się z wielu środków ograniczania ryzyka, które można zastosować bezpośrednio w odniesieniu do systemu operacyjnego lub poszczególnych aplikacji.

Ważna

Platforma .NET 2.0 nie jest zgodna z niektórymi funkcjami ochrony przed programami wykorzystującymi luki w zabezpieczeniach, w szczególności z filtrowaniem adresów eksportu (EAF) i filtrowaniem adresów importu (IAF). Jeśli włączono platformę .NET 2.0, użycie funkcji filtrowania adresów eksportu i importu nie jest obsługiwane.

Wiele funkcji wzbogaconego zestawu narzędzi ograniczania ryzyka (EMET) jest uwzględnionych w ochronie przed programami wykorzystującymi luki w zabezpieczeniach.

Wymagania wstępne

Ta sekcja zawiera zalecenia dotyczące pomyślnego wdrożenia ochrony przed lukami w zabezpieczeniach.

  • Konfigurowanie monitorowania awarii aplikacji (identyfikator zdarzenia 1000 i/lub identyfikator zdarzenia 1001) i/lub zawiesza się (identyfikator zdarzenia 1002)

  • Włączanie zbierania zrzutów trybu pełnego użytkownika

  • Sprawdź, które aplikacje są już skompilowane za pomocą funkcji "Control Flow Guard" (CFG), które koncentrują się głównie na ograniczaniu luk w zabezpieczeniach związanych z uszkodzeniem pamięci. Użyj narzędzia dumpbin, aby sprawdzić, czy jest skompilowany w/ CFG. W przypadku tych aplikacji można pominąć włączanie wymuszania dla programów DEP, ASRL, SEHOP i ACG.

  • Korzystanie z praktyk bezpiecznego wdrażania.

Ostrzeżenie

Jeśli nie przetestujesz i nie przejdziesz przez bezpieczne praktyki wdrażania, możesz przyczynić się do awarii produktywności użytkowników końcowych.

Praktyki bezpiecznego wdrażania

Bezpieczne praktyki wdrażania (SDP): Bezpieczne procesy i procedury wdrażania definiują sposób bezpiecznego wprowadzania i wdrażania zmian w obciążeniu. Wdrożenie protokołu SDP wymaga, aby myśleć o wdrożeniach przez pryzmat zarządzania ryzykiem. Możesz zminimalizować ryzyko awarii wydajności użytkowników końcowych we wdrożeniach i ograniczyć wpływ problematycznych wdrożeń na użytkowników, implementując protokół SDP.

Zacznij od małego zestawu (na przykład od 10 do 50) urządzeń z systemem Windows i użyj go jako środowiska testowego, aby zobaczyć, które z 21 środków zaradczych są niezgodne z ochroną przed programami wykorzystującymi luki w zabezpieczeniach. Usuń środki zaradcze, które nie są zgodne z aplikacją. Powtórz te aplikacje, których dotyczysz. Gdy poczujesz, że zasady są gotowe do produkcji.

Zacznij od wypchnięcia najpierw do testów akceptacji użytkowników (UAT) składających się z administratorów IT, administratorów zabezpieczeń i pracowników działu pomocy technicznej. Następnie do 1%, 5%, 10%, 25%, 50%, 75%, a na koniec do 100% środowiska.

Włączanie środków zaradczych ochrony przed lukami w zabezpieczeniach

Każde środku ograniczania ryzyka można włączyć oddzielnie przy użyciu dowolnej z następujących metod:

Ochrona przed lukami w zabezpieczeniach jest domyślnie konfigurowana w systemach Windows 10 i Windows 11. Każde środki ograniczania ryzyka można włączyć, wyłączyć lub ustawić ich wartość domyślną. Niektóre środki ograniczania ryzyka mają więcej opcji. Możesz wyeksportować te ustawienia jako plik XML i wdrożyć je na innych urządzeniach.

Możesz również ustawić środki ograniczania ryzyka w trybie inspekcji. Tryb inspekcji umożliwia przetestowanie sposobu działania środków ograniczania ryzyka (i przeglądanie zdarzeń) bez wpływu na normalne użycie urządzenia.

Aplikacja Zabezpieczenia Windows

  1. Otwórz aplikację Zabezpieczenia Windows, wybierając ikonę tarczy na pasku zadań lub wyszukując w menu Start pozycję Zabezpieczenia.

  2. Wybierz kafelek Sterowanie aplikacjami i przeglądarką (lub ikonę aplikacji na pasku menu po lewej stronie), a następnie wybierz ustawienia ochrony przed programami wykorzystującymi luki w zabezpieczeniach.

  3. Przejdź do obszaru ustawień programu i wybierz aplikację, w stosunku do której chcesz zastosować środki ograniczania ryzyka.

    • Jeśli aplikacja, którą chcesz skonfigurować, znajduje się już na liście, zaznacz ją, a następnie wybierz pozycję Edytuj.
    • Jeśli aplikacji nie ma na liście, w górnej części listy wybierz pozycję Dodaj program do dostosowania , a następnie wybierz sposób dodawania aplikacji.
    • Użyj polecenia Dodaj według nazwy programu, aby zastosować środki ograniczania ryzyka do dowolnego uruchomionego procesu o tej nazwie. Określ plik z jego rozszerzeniem. Możesz wprowadzić pełną ścieżkę, aby ograniczyć zastosowanie środków ograniczania ryzyka tylko do aplikacji o tej nazwie w danej lokalizacji.
    • Użyj opcji Wybierz dokładną ścieżkę pliku, aby użyć standardowego okna selektora plików Eksploratora Windows w celu znalezienia i wybrania odpowiedniego pliku.
  4. Po wybraniu aplikacji zostanie wyświetlona lista wszystkich środków ograniczania ryzyka, które można zastosować. Wybranie opcji Inspekcja powoduje zastosowanie ograniczenia ryzyka tylko w trybie inspekcji. Otrzymasz powiadomienie, jeśli musisz ponownie uruchomić proces lub aplikację lub jeśli musisz ponownie uruchomić system Windows.

  5. Powtórz kroki 3–4 dla wszystkich aplikacji i środków ograniczania ryzyka, które chcesz skonfigurować.

  6. W sekcji Ustawienia systemu znajdź środki ograniczania ryzyka, które chcesz skonfigurować, a następnie określ jedno z następujących ustawień. Aplikacje, które nie są konfigurowane indywidualnie w sekcji Ustawienia programu, używają ustawień skonfigurowanych w tym miejscu.

    • Domyślnie włączone: środki ograniczania ryzyka są włączone dla aplikacji, dla których ich nie skonfigurowano w sekcji ustawień programu specyficznych dla aplikacji
    • Domyślnie wyłączone: środki ograniczania ryzyka są wyłączone dla aplikacji, dla których ich nie skonfigurowano w sekcji ustawień programu specyficznych dla aplikacji
    • Użyj wartości domyślnej: środki ograniczania ryzyka są włączone lub wyłączone, w zależności od domyślnej konfiguracji skonfigurowanej przez instalację systemu Windows 10 lub Windows 11; wartość domyślna (Włączone lub Wyłączone) jest zawsze określona obok etykiety Użyj domyślnej dla każdego środka ograniczania ryzyka
  7. Powtórz krok 6 dla wszystkich środków ograniczania ryzyka na poziomie systemowym, które chcesz skonfigurować. Po zakończeniu konfiguracji wybierz pozycję Zastosuj.

Jeśli dodasz aplikację do sekcji Ustawienia programu i skonfigurujesz tam indywidualne ustawienia ograniczania ryzyka, zostaną one wyróżnione powyżej konfiguracji dla tych samych środków zaradczych określonych w sekcji Ustawienia systemu . Poniższa macierz i przykłady pomagają zilustrować sposób działania ustawień domyślnych:

Włączone w Ustawieniach programu Włączone w Ustawieniach systemu Zachowanie
Tak Nie Zgodnie z definicją w Ustawieniach programu
Tak Tak Zgodnie z definicją w Ustawieniach programu
Nie Tak Zgodnie z definicją w Ustawieniach systemu
Nie Nie Domyślne, zgodnie z definicją w opcji Użyj domyślnych

Przykład 1: Michał konfiguruje funkcję Zapobiegania wykonywaniu danych w sekcji ustawień systemowych tak, aby była domyślnie wyłączona

Michał dodaje plik test.exe do sekcji Ustawienia programu. W opcjach dla tej aplikacji w obszarze Zapobieganie wykonywaniu danych (DEP), Michał włącza opcję Zastąp ustawienia systemowe i ustawia przełącznik na wartość Włączone. W sekcji Ustawienia programu nie ma żadnych innych aplikacji.

W rezultacie funkcja DEP jest włączona tylko dla pliku test.exe. Wszystkie inne aplikacje nie będą miały zastosowanego programu DEP.

Przykład 2: Monika konfiguruje funkcję Zapobiegania wykonywaniu danych w sekcji ustawień systemowych tak, aby była domyślnie wyłączona

Monika dodaje aplikację test.exe do sekcji Ustawienia programu. W opcjach dla tej aplikacji w obszarze Zapobieganie wykonywaniu danych (DEP), Monika włącza opcję Zastąp ustawienia systemowe i ustawia przełącznik na wartość Włączone.

Monika dodaje również aplikację miles.exe do sekcji Ustawienia programu i konfiguruje funkcję Ochrony przepływu sterowania (CFG) na wartość Włączone. Monika nie włącza opcji Zastąp ustawienia systemowe dla funkcji DEP ani żadnych innych środków ograniczania ryzyka dla tej aplikacji.

W rezultacie funkcja DEP jest włączona tylko dla aplikacji test.exe. Program DEP nie będzie włączony dla żadnej innej aplikacji, w tym miles.exe. Funkcja Strażnika przepływu sterowania zostanie włączona dla aplikacji miles.exe.

  1. Otwórz aplikację Zabezpieczenia Windows, wybierając ikonę tarczy na pasku zadań lub wyszukując w menu Start pozycję Zabezpieczenia Windows.

  2. Wybierz kafelek Sterowanie aplikacjami i przeglądarką (lub ikonę aplikacji na pasku menu po lewej stronie), a następnie wybierz Ochronę przed programami wykorzystującymi luki w zabezpieczeniach.

  3. Przejdź do obszaru ustawień programu i wybierz aplikację, w stosunku do której chcesz zastosować środki ograniczania ryzyka.

    • Jeśli aplikacja, którą chcesz skonfigurować, znajduje się już na liście, zaznacz ją, a następnie wybierz pozycję Edytuj.
    • Jeśli aplikacji nie ma na liście, w górnej części listy wybierz pozycję Dodaj program do dostosowania , a następnie wybierz sposób dodawania aplikacji.
      • Użyj polecenia Dodaj według nazwy programu, aby zastosować środki ograniczania ryzyka do dowolnego uruchomionego procesu o tej nazwie. Określ plik z jego rozszerzeniem. Możesz wprowadzić pełną ścieżkę, aby ograniczyć zastosowanie środków ograniczania ryzyka tylko do aplikacji o tej nazwie w danej lokalizacji.
      • Użyj opcji Wybierz dokładną ścieżkę pliku, aby użyć standardowego okna selektora plików Eksploratora Windows w celu znalezienia i wybrania odpowiedniego pliku.
  4. Po wybraniu aplikacji zostanie wyświetlona lista wszystkich środków ograniczania ryzyka, które można zastosować. Wybranie opcji Inspekcja powoduje zastosowanie ograniczenia ryzyka tylko w trybie inspekcji. Otrzymasz powiadomienie, jeśli musisz ponownie uruchomić proces lub aplikację lub jeśli musisz ponownie uruchomić system Windows.

  5. Powtórz kroki 3–4 dla wszystkich aplikacji i środków ograniczania ryzyka, które chcesz skonfigurować. Po zakończeniu konfiguracji wybierz pozycję Zastosuj.

Intune

  1. Zaloguj się do witryny Azure Portal i otwórz usługę Intune.

  2. Przejdź do pozycjiProfile>konfiguracji urządzenia>Utwórz profil.

  3. Nadaj profilowi nazwę, wybierz pozycję Windows 10 inowsze, wybierz szablony dla typu profilu i wybierz pozycję Ochrona punktu końcowego w obszarze nazwa szablonu.

    Utwórz profil ochrony punktu końcowego

  4. Wybierz pozycję Konfiguruj>ochronę przed lukami w zabezpieczeniachfunkcji Exploit Guard w> usłudze Windows Defender.

  5. Przekaż plik XML z ustawieniami ochrony przed programami wykorzystującymi luki w zabezpieczeniach:

    Ustawienie Włącz ochronę sieci w usłudze Intune

  6. Wybierz przycisk OK, aby zapisać każdy otwarty blok, a następnie wybierz pozycję Utwórz.

  7. Wybierz kartę Zadania profilu, przypisz zasady do wszystkich użytkowników i wszystkich urządzeń, a następnie wybierz pozycję Zapisz.

MDM

Użyj /MSFT/zasad/konfiguracji/ExploitGuard/ExploitProtectionSettings dostawcy usług konfiguracji (CSP), aby włączyć lub wyłączyć środki ograniczania ryzyka przed programami wykorzystującymi luki w zabezpieczeniach lub użyć trybu inspekcji.

Microsoft Configuration Manager

Zabezpieczenia punktu końcowego

  1. W Microsoft Configuration Manager przejdź do obszaruZmniejszanie obszaru ataków zabezpieczeń >punktu końcowego.

  2. Wybierz pozycję Utwórzplatformęzasad>, a w polu Profil wybierz pozycję Exploit Protection. Następnie wybierz pozycję Utwórz.

  3. Określ nazwę i opis, a następnie wybierz pozycję Dalej.

  4. Wybierz pozycję Wybierz plik XML i przejdź do lokalizacji pliku XML ochrony przed programami wykorzystującymi luki w zabezpieczeniach. Wybierz plik, a następnie wybierz Dalej.

  5. W razie potrzeby skonfiguruj Tagi zakresu i Zadania.

  6. W obszarze Przeglądaj i utwórz, przejrzyj ustawienia konfiguracji, a następnie wybierze pozycję Utwórz.

Zasoby i zgodność

  1. W Microsoft Configuration Manager przejdź do obszaru Zasoby i zgodność>Endpoint Protection>Windows Defender Exploit Guard.

  2. Wybierz pozycję Strona główna>Utwórz zasady funkcji Exploit Guard.

  3. Określ nazwę i opis, a następnie wybierz pozycję Ochrona przed programami wykorzystującymi luki w zabezpieczeniach i wybierz pozycję Dalej.

  4. Przejdź do lokalizacji pliku XML ochrony przed programami wykorzystującymi luki w zabezpieczeniach i wybierz pozycję Dalej.

  5. Przejrzyj ustawienia, a następnie wybierz pozycję Dalej, aby utworzyć zasady.

  6. Po utworzeniu zasad wybierz pozycję Zamknij.

Zasady grupy

  1. Na urządzeniu do zarządzania zasady grupy otwórz konsolę zarządzania zasady grupy. Kliknij prawym przyciskiem myszy obiekt zasady grupy, który chcesz skonfigurować, i wybierz pozycję Edytuj.

  2. W Edytorze zarządzania zasadami grupy przejdź do obszaru Konfiguracja komputera i wybierz pozycję Szablony administracyjne.

  3. Rozwiń drzewo do składników> systemuWindows Windows Defender Exploit Guard>Exploit Protection>Użyj wspólnego zestawu ustawień ochrony przed lukami w zabezpieczeniach.

  4. Wybierz pozycję Włączone i wpisz lokalizację pliku XML, a następnie wybierz przycisk OK.

PowerShell

Możesz użyć operatora programu PowerShell Get lub Set polecenia cmdlet ProcessMitigation. Przy użyciu Get wyświetla bieżący stan konfiguracji wszelkich środków zaradczych, które są włączone na urządzeniu. -Name Dodaj polecenie cmdlet i exe aplikacji, aby zobaczyć środki zaradcze tylko dla tej aplikacji:

Get-ProcessMitigation -Name processName.exe

Ważna

Środki ograniczania ryzyka na poziomie systemu, które nie zostały skonfigurowane, będą wyświetlać stan NOTSET.

  • W przypadku ustawień na poziomie systemu, NOTSET wskazuje, że zostało zastosowane domyślne ustawienie tego środka ograniczania ryzyka.
  • W przypadku ustawień na poziomie aplikacji, NOTSET wskazuje, że zostanie zastosowane ustawienie na poziomie systemu dla tego środka ograniczania ryzyka. Domyślne ustawienie dla każdego środka ograniczania ryzyka na poziomie systemu można zobaczyć w zabezpieczeniach systemu Windows.

Użyj Set, aby skonfigurować poszczególne środki ograniczania ryzyka w następującym formacie:

Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>

Gdzie:

  • <Zakres>:
    • -Name wskazujące, że środki ograniczania ryzyka należy zastosować do określonej aplikacji. Określ plik wykonywalny aplikacji po tym oflagowaniu.
      • -System wskazujące, że środki ograniczania ryzyka należy zastosować na poziomie systemowym
  • <Akcja>:
    • -Enable, aby włączyć środki ograniczania ryzyka
    • -Disable, aby wyłączyć środki ograniczania ryzyka
  • <Środki zaradcze>:
    • Polecenie cmdlet środków ograniczania ryzyka wraz z wszelkimi opcjami podrzędnymi (otoczone spacjami). Poszczególne środki ograniczania ryzyka są oddzielone przecinkami.

Aby na przykład włączyć środki ograniczanie ryzyka funkcji Zapobiegania wykonywaniu danych (DEP) za pomocą emulacji ATL i dla pliku wykonywalnego o nazwie testing.exe w folderze C:\Apps\LOB\tests i uniemożliwić temu plikowi wykonywalnemu tworzenie procesów podrzędnych, należy użyć następującego polecenia:

Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable DEP, EmulateAtlThunks, DisallowChildProcessCreation

Ważna

Oddziel każdą opcję ograniczania ryzyka przecinkami.

Jeśli chcesz zastosować funkcję DEP na poziomie systemu, użyj następującego polecenia:

Set-Processmitigation -System -Enable DEP

Aby wyłączyć środki ograniczania ryzyka, można zamienić -Enable na -Disable. Jednak w przypadku środków ograniczania ryzyka na poziomie aplikacji, ta akcja wymusza wyłączenie tych środków tylko dla tej aplikacji.

Jeśli chcesz przywrócić środki ograniczania ryzyka z powrotem do domyślnego ustawienia systemu, musisz również uwzględnić -Remove polecenie cmdlet, jak w poniższym przykładzie:

Set-Processmitigation -Name test.exe -Remove -Disable DEP

W poniższej tabeli wymieniono poszczególne środki ograniczania ryzyka (i inspekcje, jeśli są dostępne), które mają być używane z parametrami cmdlet -Enable lub -Disable.

Typ ograniczania ryzyka Informacje zawarte w tym artykule dotyczą Słowo kluczowe parametru polecenia cmdlet ograniczania ryzyka Parametr polecenia cmdlet trybu inspekcji
Ochrona przepływu sterowania (CFG) Poziom systemu i aplikacji CFG, StrictCFG, SuppressExports Inspekcja niedostępna
Zapobieganie wykonywaniu danych (DEP) Poziom systemu i aplikacji DEP, EmulateAtlThunks Inspekcja niedostępna
Wymuś losowe generowanie obrazów (obowiązkowa funkcja ASLR) Poziom systemu i aplikacji ForceRelocateImages Inspekcja niedostępna
Generuj losowo alokacje pamięci (funkcja ASLR „od dołu do góry”) Poziom systemu i aplikacji BottomUp, HighEntropy Inspekcja niedostępna
Weryfikuj łańcuchy wyjątków (SEHOP) Poziom systemu i aplikacji SEHOP, SEHOPTelemetry Inspekcja niedostępna
Weryfikuj integralność stosu Poziom systemu i aplikacji TerminateOnError Inspekcja niedostępna
Ochrona dowolnego kodu (ACG) Tylko na poziomie aplikacji DynamicCode AuditDynamicCode
Blokuj obrazy o niskiej integralności Tylko na poziomie aplikacji BlockLowLabel AuditImageLoad
Blokuj obrazy zdalne Tylko na poziomie aplikacji BlockRemoteImages Inspekcja niedostępna
Blokuj niezaufane czcionki Tylko na poziomie aplikacji DisableNonSystemFonts AuditFont, FontAuditOnly
Ochrona integralności kodu Tylko na poziomie aplikacji BlockNonMicrosoftSigned, AllowStoreSigned AuditMicrosoftSigned, AuditStoreSigned
Wyłącz punkty rozszerzeń Tylko na poziomie aplikacji ExtensionPoint Inspekcja niedostępna
Wyłącz wywołania systemowe Win32k Tylko na poziomie aplikacji DisableWin32kSystemCalls AuditSystemCall
Nie zezwalaj na procesy podrzędne Tylko na poziomie aplikacji DisallowChildProcessCreation AuditChildProcess
Filtrowanie adresów eksportu (EAF) Tylko na poziomie aplikacji EnableExportAddressFilterPlus, EnableExportAddressFilter[1] Inspekcja jest niedostępna [2]
Filtrowanie adresów importu (IAF) Tylko na poziomie aplikacji EnableImportAddressFilter Inspekcja jest niedostępna [2]
Symuluj wykonywanie (SimExec) Tylko na poziomie aplikacji EnableRopSimExec Inspekcja jest niedostępna [2]
Weryfikuj wywołanie interfejsu API (CallerCheck) Tylko na poziomie aplikacji EnableRopCallerCheck Inspekcja jest niedostępna [2]
Weryfikuj użycie dojścia Tylko na poziomie aplikacji StrictHandle Inspekcja niedostępna
Weryfikuj integralność zależności obrazu Tylko na poziomie aplikacji EnforceModuleDepencySigning Inspekcja niedostępna
Weryfikuj integralność stosu (StackPivot) Tylko na poziomie aplikacji EnableRopStackPivot Inspekcja jest niedostępna [2]

[1]: Użyj następującego formatu, aby włączyć moduły EAF dla bibliotek DLL dla procesu:

Set-ProcessMitigation -Name processName.exe -Enable EnableExportAddressFilterPlus -EAFModules dllName1.dll,dllName2.dll

[2]: Inspekcja tego ograniczenia ryzyka nie jest dostępna za pośrednictwem poleceń cmdlet programu PowerShell.

Dostosuj powiadomienie

Aby uzyskać informacje o dostosowywaniu powiadomienia po wyzwoleniu reguły i zablokowaniu aplikacji lub pliku, zobacz Zabezpieczenia Windows.

Usuwanie środków zaradczych ochrony przed lukami w zabezpieczeniach

Aby zresetować (cofnąć lub usunąć) środki zaradcze ochrony przed lukami w zabezpieczeniach, zobacz dokumentację dotyczącą ochrony przed programem Exploit.

Zobacz też

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.