Włącz ochronę przed wykorzystaniem
Dotyczy:
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
- Microsoft Defender XDR
Porada
Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.
Ochrona przed programami wykorzystującymi luki w zabezpieczeniach pomaga chronić przed złośliwym oprogramowaniem wykorzystującym luki w zabezpieczeniach w celu zainfekowania urządzeń i rozprzestrzeniania się. Ochrona przed programami wykorzystującymi luki w zabezpieczeniach składa się z wielu środków ograniczania ryzyka, które można zastosować bezpośrednio w odniesieniu do systemu operacyjnego lub poszczególnych aplikacji.
Ważna
Platforma .NET 2.0 nie jest zgodna z niektórymi funkcjami ochrony przed programami wykorzystującymi luki w zabezpieczeniach, w szczególności z filtrowaniem adresów eksportu (EAF) i filtrowaniem adresów importu (IAF). Jeśli włączono platformę .NET 2.0, użycie funkcji filtrowania adresów eksportu i importu nie jest obsługiwane.
Wiele funkcji wzbogaconego zestawu narzędzi ograniczania ryzyka (EMET) jest uwzględnionych w ochronie przed programami wykorzystującymi luki w zabezpieczeniach.
Wymagania wstępne
Ta sekcja zawiera zalecenia dotyczące pomyślnego wdrożenia ochrony przed lukami w zabezpieczeniach.
Konfigurowanie monitorowania awarii aplikacji (identyfikator zdarzenia 1000 i/lub identyfikator zdarzenia 1001) i/lub zawiesza się (identyfikator zdarzenia 1002)
Sprawdź, które aplikacje są już skompilowane za pomocą funkcji "Control Flow Guard" (CFG), które koncentrują się głównie na ograniczaniu luk w zabezpieczeniach związanych z uszkodzeniem pamięci. Użyj narzędzia dumpbin, aby sprawdzić, czy jest skompilowany w/ CFG. W przypadku tych aplikacji można pominąć włączanie wymuszania dla programów DEP, ASRL, SEHOP i ACG.
Korzystanie z praktyk bezpiecznego wdrażania.
Ostrzeżenie
Jeśli nie przetestujesz i nie przejdziesz przez bezpieczne praktyki wdrażania, możesz przyczynić się do awarii produktywności użytkowników końcowych.
Praktyki bezpiecznego wdrażania
Bezpieczne praktyki wdrażania (SDP): Bezpieczne procesy i procedury wdrażania definiują sposób bezpiecznego wprowadzania i wdrażania zmian w obciążeniu. Wdrożenie protokołu SDP wymaga, aby myśleć o wdrożeniach przez pryzmat zarządzania ryzykiem. Możesz zminimalizować ryzyko awarii wydajności użytkowników końcowych we wdrożeniach i ograniczyć wpływ problematycznych wdrożeń na użytkowników, implementując protokół SDP.
Zacznij od małego zestawu (na przykład od 10 do 50) urządzeń z systemem Windows i użyj go jako środowiska testowego, aby zobaczyć, które z 21 środków zaradczych są niezgodne z ochroną przed programami wykorzystującymi luki w zabezpieczeniach. Usuń środki zaradcze, które nie są zgodne z aplikacją. Powtórz te aplikacje, których dotyczysz. Gdy poczujesz, że zasady są gotowe do produkcji.
Zacznij od wypchnięcia najpierw do testów akceptacji użytkowników (UAT) składających się z administratorów IT, administratorów zabezpieczeń i pracowników działu pomocy technicznej. Następnie do 1%, 5%, 10%, 25%, 50%, 75%, a na koniec do 100% środowiska.
Włączanie środków zaradczych ochrony przed lukami w zabezpieczeniach
Każde środku ograniczania ryzyka można włączyć oddzielnie przy użyciu dowolnej z następujących metod:
- Aplikacja Zabezpieczenia Windows
- Microsoft Intune
- Zarządzanie urządzeniami przenośnymi (MDM)
- Microsoft Configuration Manager
- Zasady grupy
- PowerShell
Ochrona przed lukami w zabezpieczeniach jest domyślnie konfigurowana w systemach Windows 10 i Windows 11. Każde środki ograniczania ryzyka można włączyć, wyłączyć lub ustawić ich wartość domyślną. Niektóre środki ograniczania ryzyka mają więcej opcji. Możesz wyeksportować te ustawienia jako plik XML i wdrożyć je na innych urządzeniach.
Możesz również ustawić środki ograniczania ryzyka w trybie inspekcji. Tryb inspekcji umożliwia przetestowanie sposobu działania środków ograniczania ryzyka (i przeglądanie zdarzeń) bez wpływu na normalne użycie urządzenia.
Aplikacja Zabezpieczenia Windows
Otwórz aplikację Zabezpieczenia Windows, wybierając ikonę tarczy na pasku zadań lub wyszukując w menu Start pozycję Zabezpieczenia.
Wybierz kafelek Sterowanie aplikacjami i przeglądarką (lub ikonę aplikacji na pasku menu po lewej stronie), a następnie wybierz ustawienia ochrony przed programami wykorzystującymi luki w zabezpieczeniach.
Przejdź do obszaru ustawień programu i wybierz aplikację, w stosunku do której chcesz zastosować środki ograniczania ryzyka.
- Jeśli aplikacja, którą chcesz skonfigurować, znajduje się już na liście, zaznacz ją, a następnie wybierz pozycję Edytuj.
- Jeśli aplikacji nie ma na liście, w górnej części listy wybierz pozycję Dodaj program do dostosowania , a następnie wybierz sposób dodawania aplikacji.
- Użyj polecenia Dodaj według nazwy programu, aby zastosować środki ograniczania ryzyka do dowolnego uruchomionego procesu o tej nazwie. Określ plik z jego rozszerzeniem. Możesz wprowadzić pełną ścieżkę, aby ograniczyć zastosowanie środków ograniczania ryzyka tylko do aplikacji o tej nazwie w danej lokalizacji.
- Użyj opcji Wybierz dokładną ścieżkę pliku, aby użyć standardowego okna selektora plików Eksploratora Windows w celu znalezienia i wybrania odpowiedniego pliku.
Po wybraniu aplikacji zostanie wyświetlona lista wszystkich środków ograniczania ryzyka, które można zastosować. Wybranie opcji Inspekcja powoduje zastosowanie ograniczenia ryzyka tylko w trybie inspekcji. Otrzymasz powiadomienie, jeśli musisz ponownie uruchomić proces lub aplikację lub jeśli musisz ponownie uruchomić system Windows.
Powtórz kroki 3–4 dla wszystkich aplikacji i środków ograniczania ryzyka, które chcesz skonfigurować.
W sekcji Ustawienia systemu znajdź środki ograniczania ryzyka, które chcesz skonfigurować, a następnie określ jedno z następujących ustawień. Aplikacje, które nie są konfigurowane indywidualnie w sekcji Ustawienia programu, używają ustawień skonfigurowanych w tym miejscu.
- Domyślnie włączone: środki ograniczania ryzyka są włączone dla aplikacji, dla których ich nie skonfigurowano w sekcji ustawień programu specyficznych dla aplikacji
- Domyślnie wyłączone: środki ograniczania ryzyka są wyłączone dla aplikacji, dla których ich nie skonfigurowano w sekcji ustawień programu specyficznych dla aplikacji
- Użyj wartości domyślnej: środki ograniczania ryzyka są włączone lub wyłączone, w zależności od domyślnej konfiguracji skonfigurowanej przez instalację systemu Windows 10 lub Windows 11; wartość domyślna (Włączone lub Wyłączone) jest zawsze określona obok etykiety Użyj domyślnej dla każdego środka ograniczania ryzyka
Powtórz krok 6 dla wszystkich środków ograniczania ryzyka na poziomie systemowym, które chcesz skonfigurować. Po zakończeniu konfiguracji wybierz pozycję Zastosuj.
Jeśli dodasz aplikację do sekcji Ustawienia programu i skonfigurujesz tam indywidualne ustawienia ograniczania ryzyka, zostaną one wyróżnione powyżej konfiguracji dla tych samych środków zaradczych określonych w sekcji Ustawienia systemu . Poniższa macierz i przykłady pomagają zilustrować sposób działania ustawień domyślnych:
Włączone w Ustawieniach programu | Włączone w Ustawieniach systemu | Zachowanie |
---|---|---|
Tak | Nie | Zgodnie z definicją w Ustawieniach programu |
Tak | Tak | Zgodnie z definicją w Ustawieniach programu |
Nie | Tak | Zgodnie z definicją w Ustawieniach systemu |
Nie | Nie | Domyślne, zgodnie z definicją w opcji Użyj domyślnych |
Przykład 1: Michał konfiguruje funkcję Zapobiegania wykonywaniu danych w sekcji ustawień systemowych tak, aby była domyślnie wyłączona
Michał dodaje plik test.exe do sekcji Ustawienia programu. W opcjach dla tej aplikacji w obszarze Zapobieganie wykonywaniu danych (DEP), Michał włącza opcję Zastąp ustawienia systemowe i ustawia przełącznik na wartość Włączone. W sekcji Ustawienia programu nie ma żadnych innych aplikacji.
W rezultacie funkcja DEP jest włączona tylko dla pliku test.exe. Wszystkie inne aplikacje nie będą miały zastosowanego programu DEP.
Przykład 2: Monika konfiguruje funkcję Zapobiegania wykonywaniu danych w sekcji ustawień systemowych tak, aby była domyślnie wyłączona
Monika dodaje aplikację test.exe do sekcji Ustawienia programu. W opcjach dla tej aplikacji w obszarze Zapobieganie wykonywaniu danych (DEP), Monika włącza opcję Zastąp ustawienia systemowe i ustawia przełącznik na wartość Włączone.
Monika dodaje również aplikację miles.exe do sekcji Ustawienia programu i konfiguruje funkcję Ochrony przepływu sterowania (CFG) na wartość Włączone. Monika nie włącza opcji Zastąp ustawienia systemowe dla funkcji DEP ani żadnych innych środków ograniczania ryzyka dla tej aplikacji.
W rezultacie funkcja DEP jest włączona tylko dla aplikacji test.exe. Program DEP nie będzie włączony dla żadnej innej aplikacji, w tym miles.exe. Funkcja Strażnika przepływu sterowania zostanie włączona dla aplikacji miles.exe.
Otwórz aplikację Zabezpieczenia Windows, wybierając ikonę tarczy na pasku zadań lub wyszukując w menu Start pozycję Zabezpieczenia Windows.
Wybierz kafelek Sterowanie aplikacjami i przeglądarką (lub ikonę aplikacji na pasku menu po lewej stronie), a następnie wybierz Ochronę przed programami wykorzystującymi luki w zabezpieczeniach.
Przejdź do obszaru ustawień programu i wybierz aplikację, w stosunku do której chcesz zastosować środki ograniczania ryzyka.
- Jeśli aplikacja, którą chcesz skonfigurować, znajduje się już na liście, zaznacz ją, a następnie wybierz pozycję Edytuj.
- Jeśli aplikacji nie ma na liście, w górnej części listy wybierz pozycję Dodaj program do dostosowania , a następnie wybierz sposób dodawania aplikacji.
- Użyj polecenia Dodaj według nazwy programu, aby zastosować środki ograniczania ryzyka do dowolnego uruchomionego procesu o tej nazwie. Określ plik z jego rozszerzeniem. Możesz wprowadzić pełną ścieżkę, aby ograniczyć zastosowanie środków ograniczania ryzyka tylko do aplikacji o tej nazwie w danej lokalizacji.
- Użyj opcji Wybierz dokładną ścieżkę pliku, aby użyć standardowego okna selektora plików Eksploratora Windows w celu znalezienia i wybrania odpowiedniego pliku.
Po wybraniu aplikacji zostanie wyświetlona lista wszystkich środków ograniczania ryzyka, które można zastosować. Wybranie opcji Inspekcja powoduje zastosowanie ograniczenia ryzyka tylko w trybie inspekcji. Otrzymasz powiadomienie, jeśli musisz ponownie uruchomić proces lub aplikację lub jeśli musisz ponownie uruchomić system Windows.
Powtórz kroki 3–4 dla wszystkich aplikacji i środków ograniczania ryzyka, które chcesz skonfigurować. Po zakończeniu konfiguracji wybierz pozycję Zastosuj.
Intune
Zaloguj się do witryny Azure Portal i otwórz usługę Intune.
Przejdź do pozycjiProfile>konfiguracji urządzenia>Utwórz profil.
Nadaj profilowi nazwę, wybierz pozycję Windows 10 inowsze, wybierz szablony dla typu profilu i wybierz pozycję Ochrona punktu końcowego w obszarze nazwa szablonu.
Wybierz pozycję Konfiguruj>ochronę przed lukami w zabezpieczeniachfunkcji Exploit Guard w> usłudze Windows Defender.
Przekaż plik XML z ustawieniami ochrony przed programami wykorzystującymi luki w zabezpieczeniach:
Wybierz przycisk OK, aby zapisać każdy otwarty blok, a następnie wybierz pozycję Utwórz.
Wybierz kartę Zadania profilu, przypisz zasady do wszystkich użytkowników i wszystkich urządzeń, a następnie wybierz pozycję Zapisz.
MDM
Użyj /MSFT/zasad/konfiguracji/ExploitGuard/ExploitProtectionSettings dostawcy usług konfiguracji (CSP), aby włączyć lub wyłączyć środki ograniczania ryzyka przed programami wykorzystującymi luki w zabezpieczeniach lub użyć trybu inspekcji.
Microsoft Configuration Manager
Zabezpieczenia punktu końcowego
W Microsoft Configuration Manager przejdź do obszaruZmniejszanie obszaru ataków zabezpieczeń >punktu końcowego.
Wybierz pozycję Utwórzplatformęzasad>, a w polu Profil wybierz pozycję Exploit Protection. Następnie wybierz pozycję Utwórz.
Określ nazwę i opis, a następnie wybierz pozycję Dalej.
Wybierz pozycję Wybierz plik XML i przejdź do lokalizacji pliku XML ochrony przed programami wykorzystującymi luki w zabezpieczeniach. Wybierz plik, a następnie wybierz Dalej.
W razie potrzeby skonfiguruj Tagi zakresu i Zadania.
W obszarze Przeglądaj i utwórz, przejrzyj ustawienia konfiguracji, a następnie wybierze pozycję Utwórz.
Zasoby i zgodność
W Microsoft Configuration Manager przejdź do obszaru Zasoby i zgodność>Endpoint Protection>Windows Defender Exploit Guard.
Wybierz pozycję Strona główna>Utwórz zasady funkcji Exploit Guard.
Określ nazwę i opis, a następnie wybierz pozycję Ochrona przed programami wykorzystującymi luki w zabezpieczeniach i wybierz pozycję Dalej.
Przejdź do lokalizacji pliku XML ochrony przed programami wykorzystującymi luki w zabezpieczeniach i wybierz pozycję Dalej.
Przejrzyj ustawienia, a następnie wybierz pozycję Dalej, aby utworzyć zasady.
Po utworzeniu zasad wybierz pozycję Zamknij.
Zasady grupy
Na urządzeniu do zarządzania zasady grupy otwórz konsolę zarządzania zasady grupy. Kliknij prawym przyciskiem myszy obiekt zasady grupy, który chcesz skonfigurować, i wybierz pozycję Edytuj.
W Edytorze zarządzania zasadami grupy przejdź do obszaru Konfiguracja komputera i wybierz pozycję Szablony administracyjne.
Rozwiń drzewo do składników> systemuWindows Windows Defender Exploit Guard>Exploit Protection>Użyj wspólnego zestawu ustawień ochrony przed lukami w zabezpieczeniach.
Wybierz pozycję Włączone i wpisz lokalizację pliku XML, a następnie wybierz przycisk OK.
PowerShell
Możesz użyć operatora programu PowerShell Get
lub Set
polecenia cmdlet ProcessMitigation
. Przy użyciu Get
wyświetla bieżący stan konfiguracji wszelkich środków zaradczych, które są włączone na urządzeniu.
-Name
Dodaj polecenie cmdlet i exe aplikacji, aby zobaczyć środki zaradcze tylko dla tej aplikacji:
Get-ProcessMitigation -Name processName.exe
Ważna
Środki ograniczania ryzyka na poziomie systemu, które nie zostały skonfigurowane, będą wyświetlać stan NOTSET
.
- W przypadku ustawień na poziomie systemu,
NOTSET
wskazuje, że zostało zastosowane domyślne ustawienie tego środka ograniczania ryzyka. - W przypadku ustawień na poziomie aplikacji,
NOTSET
wskazuje, że zostanie zastosowane ustawienie na poziomie systemu dla tego środka ograniczania ryzyka. Domyślne ustawienie dla każdego środka ograniczania ryzyka na poziomie systemu można zobaczyć w zabezpieczeniach systemu Windows.
Użyj Set
, aby skonfigurować poszczególne środki ograniczania ryzyka w następującym formacie:
Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>
Gdzie:
-
<Zakres>:
-
-Name
wskazujące, że środki ograniczania ryzyka należy zastosować do określonej aplikacji. Określ plik wykonywalny aplikacji po tym oflagowaniu.-
-System
wskazujące, że środki ograniczania ryzyka należy zastosować na poziomie systemowym
-
-
-
<Akcja>:
-
-Enable
, aby włączyć środki ograniczania ryzyka -
-Disable
, aby wyłączyć środki ograniczania ryzyka
-
-
<Środki zaradcze>:
- Polecenie cmdlet środków ograniczania ryzyka wraz z wszelkimi opcjami podrzędnymi (otoczone spacjami). Poszczególne środki ograniczania ryzyka są oddzielone przecinkami.
Aby na przykład włączyć środki ograniczanie ryzyka funkcji Zapobiegania wykonywaniu danych (DEP) za pomocą emulacji ATL i dla pliku wykonywalnego o nazwie testing.exe w folderze C:\Apps\LOB\tests i uniemożliwić temu plikowi wykonywalnemu tworzenie procesów podrzędnych, należy użyć następującego polecenia:
Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable DEP, EmulateAtlThunks, DisallowChildProcessCreation
Ważna
Oddziel każdą opcję ograniczania ryzyka przecinkami.
Jeśli chcesz zastosować funkcję DEP na poziomie systemu, użyj następującego polecenia:
Set-Processmitigation -System -Enable DEP
Aby wyłączyć środki ograniczania ryzyka, można zamienić -Enable
na -Disable
. Jednak w przypadku środków ograniczania ryzyka na poziomie aplikacji, ta akcja wymusza wyłączenie tych środków tylko dla tej aplikacji.
Jeśli chcesz przywrócić środki ograniczania ryzyka z powrotem do domyślnego ustawienia systemu, musisz również uwzględnić -Remove
polecenie cmdlet, jak w poniższym przykładzie:
Set-Processmitigation -Name test.exe -Remove -Disable DEP
W poniższej tabeli wymieniono poszczególne środki ograniczania ryzyka (i inspekcje, jeśli są dostępne), które mają być używane z parametrami cmdlet -Enable
lub -Disable
.
Typ ograniczania ryzyka | Informacje zawarte w tym artykule dotyczą | Słowo kluczowe parametru polecenia cmdlet ograniczania ryzyka | Parametr polecenia cmdlet trybu inspekcji |
---|---|---|---|
Ochrona przepływu sterowania (CFG) | Poziom systemu i aplikacji |
CFG , StrictCFG , SuppressExports |
Inspekcja niedostępna |
Zapobieganie wykonywaniu danych (DEP) | Poziom systemu i aplikacji |
DEP , EmulateAtlThunks |
Inspekcja niedostępna |
Wymuś losowe generowanie obrazów (obowiązkowa funkcja ASLR) | Poziom systemu i aplikacji | ForceRelocateImages |
Inspekcja niedostępna |
Generuj losowo alokacje pamięci (funkcja ASLR „od dołu do góry”) | Poziom systemu i aplikacji |
BottomUp , HighEntropy |
Inspekcja niedostępna |
Weryfikuj łańcuchy wyjątków (SEHOP) | Poziom systemu i aplikacji |
SEHOP , SEHOPTelemetry |
Inspekcja niedostępna |
Weryfikuj integralność stosu | Poziom systemu i aplikacji | TerminateOnError |
Inspekcja niedostępna |
Ochrona dowolnego kodu (ACG) | Tylko na poziomie aplikacji | DynamicCode |
AuditDynamicCode |
Blokuj obrazy o niskiej integralności | Tylko na poziomie aplikacji | BlockLowLabel |
AuditImageLoad |
Blokuj obrazy zdalne | Tylko na poziomie aplikacji | BlockRemoteImages |
Inspekcja niedostępna |
Blokuj niezaufane czcionki | Tylko na poziomie aplikacji | DisableNonSystemFonts |
AuditFont , FontAuditOnly |
Ochrona integralności kodu | Tylko na poziomie aplikacji |
BlockNonMicrosoftSigned , AllowStoreSigned |
AuditMicrosoftSigned, AuditStoreSigned |
Wyłącz punkty rozszerzeń | Tylko na poziomie aplikacji | ExtensionPoint |
Inspekcja niedostępna |
Wyłącz wywołania systemowe Win32k | Tylko na poziomie aplikacji | DisableWin32kSystemCalls |
AuditSystemCall |
Nie zezwalaj na procesy podrzędne | Tylko na poziomie aplikacji | DisallowChildProcessCreation |
AuditChildProcess |
Filtrowanie adresów eksportu (EAF) | Tylko na poziomie aplikacji |
EnableExportAddressFilterPlus , EnableExportAddressFilter [1] |
Inspekcja jest niedostępna [2] |
Filtrowanie adresów importu (IAF) | Tylko na poziomie aplikacji | EnableImportAddressFilter |
Inspekcja jest niedostępna [2] |
Symuluj wykonywanie (SimExec) | Tylko na poziomie aplikacji | EnableRopSimExec |
Inspekcja jest niedostępna [2] |
Weryfikuj wywołanie interfejsu API (CallerCheck) | Tylko na poziomie aplikacji | EnableRopCallerCheck |
Inspekcja jest niedostępna [2] |
Weryfikuj użycie dojścia | Tylko na poziomie aplikacji | StrictHandle |
Inspekcja niedostępna |
Weryfikuj integralność zależności obrazu | Tylko na poziomie aplikacji | EnforceModuleDepencySigning |
Inspekcja niedostępna |
Weryfikuj integralność stosu (StackPivot) | Tylko na poziomie aplikacji | EnableRopStackPivot |
Inspekcja jest niedostępna [2] |
[1]: Użyj następującego formatu, aby włączyć moduły EAF dla bibliotek DLL dla procesu:
Set-ProcessMitigation -Name processName.exe -Enable EnableExportAddressFilterPlus -EAFModules dllName1.dll,dllName2.dll
[2]: Inspekcja tego ograniczenia ryzyka nie jest dostępna za pośrednictwem poleceń cmdlet programu PowerShell.
Dostosuj powiadomienie
Aby uzyskać informacje o dostosowywaniu powiadomienia po wyzwoleniu reguły i zablokowaniu aplikacji lub pliku, zobacz Zabezpieczenia Windows.
Usuwanie środków zaradczych ochrony przed lukami w zabezpieczeniach
Aby zresetować (cofnąć lub usunąć) środki zaradcze ochrony przed lukami w zabezpieczeniach, zobacz dokumentację dotyczącą ochrony przed programem Exploit.
Zobacz też
- Oceń ochronę przed programami wykorzystującymi luki w zabezpieczeniach
- Konfigurowanie i inspekcja środków ograniczania ryzyka dla ochrony przed programami wykorzystującymi luki w zabezpieczeniach
- Importuj, eksportuj i wdrażaj konfigurację ochrony przed wykorzystaniem
Porada
Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.