Oceń ochronę przed programami wykorzystującymi luki w zabezpieczeniach
Dotyczy:
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
- Microsoft Defender XDR
Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.
Funkcja Exploit Protection pomaga chronić przed złośliwym oprogramowaniem wykorzystującym luki w zabezpieczeniach w celu rozprzestrzeniania się i infekowania innych urządzeń. Środki ograniczania ryzyka mogą być stosowane zarówno do systemu operacyjnego, jak i pojedynczych aplikacji. Wiele funkcji, które były częścią zestawu narzędzi Enhanced Mitigation Experience Toolkit (EMET), jest uwzględnionych w ochronie przed programami wykorzystującymi luki w zabezpieczeniach. (Zestaw narzędzi EMET osiągnął koniec wsparcia technicznego.)
Podczas inspekcji możesz zobaczyć jak działają środki ograniczania ryzyka dla niektórych aplikacji w środowisku testowym. Pokazuje to, co by się stało, jeśli włączysz ochronę przed lukami w zabezpieczeniach w środowisku produkcyjnym. W ten sposób możesz sprawdzić, czy ochrona przed programami wykorzystującymi luki w zabezpieczeniach nie wpływa negatywnie na aplikacje biznesowe i zobaczyć, jakie podejrzane lub złośliwe zdarzenia występują.
Ogólne wytyczne
Środki zaradcze ochrony przed wykorzystującymi luki w zabezpieczeniach działają na niskim poziomie w systemie operacyjnym, a niektóre rodzaje oprogramowania, które wykonują podobne operacje niskiego poziomu, mogą mieć problemy ze zgodnością, gdy są skonfigurowane do ochrony za pomocą ochrony przed programami wykorzystującymi luki w zabezpieczeniach.
Jakiego rodzaju oprogramowanie nie powinno być chronione przez ochronę przed lukami w zabezpieczeniach?
- Oprogramowanie chroniące przed złośliwym oprogramowaniem i oprogramowanie do zapobiegania włamaniom lub wykrywania
- Debugery
- Oprogramowanie obsługujące technologie zarządzania prawami cyfrowymi (DRM) (czyli gry wideo)
- Oprogramowanie korzystające z technologii ochrony przed debugowaniem, zaciemnianiem lub podłączaniem
Jakiego typu aplikacje należy rozważyć włączenie ochrony przed lukami w zabezpieczeniach?
Aplikacje, które odbierają lub obsługują niezaufane dane.
Jakiego typu procesy są poza zakresem ochrony przed lukami w zabezpieczeniach?
Usługi
- Usługi systemowe
- Usługi sieciowe
Domyślnie włączone środki zaradcze ochrony przed lukami w zabezpieczeniach
| Ograniczenie ryzyka | Domyślnie włączone |
|---|---|
| Zapobieganie wykonywaniu danych (DEP) | Aplikacje 64-bitowe i 32-bitowe |
| Weryfikuj łańcuchy wyjątków (SEHOP) | Aplikacje 64-bitowe |
| Weryfikuj integralność stosu | Aplikacje 64-bitowe i 32-bitowe |
Przestarzałe środki zaradcze "Ustawienia programu"
| Środki zaradcze "Ustawienia programu" | Powód |
|---|---|
| Filtrowanie adresów eksportu (EAF) | Problemy ze zgodnością aplikacji |
| Filtrowanie adresów importu (IAF) | Problemy ze zgodnością aplikacji |
| Symuluj wykonywanie (SimExec) | Zastąpione dowolną funkcją Code Guard (ACG) |
| Weryfikuj wywołanie interfejsu API (CallerCheck) | Zastąpione dowolną funkcją Code Guard (ACG) |
| Weryfikuj integralność stosu (StackPivot) | Zastąpione dowolną funkcją Code Guard (ACG) |
Najlepsze rozwiązania dotyczące aplikacji pakietu Office
Zamiast korzystać z programu Exploit Protection dla aplikacji pakietu Office, takich jak Outlook, Word, Excel, PowerPoint i OneNote, rozważ użycie bardziej nowoczesnego podejścia do zapobiegania ich niewłaściwemu użyciu: reguły zmniejszania obszaru podatnego na ataki (reguły ASR):
- Blokuj zawartość wykonywalną z klienta poczty e-mail i poczty internetowej
- Blokowanie tworzenia zawartości wykonywalnej przez aplikacje pakietu Office
- Blokowanie tworzenia procesów podrzędnych przez wszystkie aplikacje pakietu Office
- Blokowanie tworzenia procesów podrzędnych przez aplikację komunikacyjną pakietu Office
- Blokuj aplikacjom pakietu Office wstrzykiwanie kodu do innych procesów
- Blokuj wykonywanie potencjalnie zaciemnionych skryptów
- Blokuj wywołania interfejsu API Win32 z makr pakietu Office
W przypadku programu Adobe Reader użyj następującej reguły usługi ASR:
• Zablokuj programowi Adobe Reader tworzenie procesów podrzędnych
Lista zgodności aplikacji
W poniższej tabeli wymieniono określone produkty, które mają problemy ze zgodnością z ograniczeniami ryzyka, które są uwzględnione w ochronie przed programami wykorzystującymi luki w zabezpieczeniach. Jeśli chcesz chronić produkt przy użyciu ochrony przed lukami w zabezpieczeniach, musisz wyłączyć określone niezgodne środki zaradcze. Należy pamiętać, że ta lista uwzględnia ustawienia domyślne dla najnowszych wersji produktu. Problemy ze zgodnością można wprowadzić po zastosowaniu niektórych dodatków lub innych składników do standardowego oprogramowania.
| Rezultat | Ograniczanie ochrony przed lukami w zabezpieczeniach |
|---|---|
| .NET 2.0/3.5 | EAF/IAF |
| konsola 7-Zip/graficzny interfejs użytkownika/menedżer plików | EAF |
| Procesory AMD 62xx | EAF |
| Avecto (Beyond Trust) Power Broker | EAF, EAF+, Stack Pivot |
| Niektóre sterowniki wideo amd (ATI) | System ASLR=AlwaysOn |
| DropBox | EAF |
| Excel Power Query, Power View, Power Map i PowerPivot | EAF |
| Google Chrome | EAF+ |
| Immidio Flex+ | EAF |
| Microsoft Office Web Components (OWC) | System DEP=AlwaysOn |
| Microsoft PowerPoint | EAF |
| Microsoft Teams | EAF+ |
| Oracle Javaǂ | Heapspray |
| Pitney Bowes Print Audit 6 | SimExecFlow |
| Siebel CRM w wersji 8.1.1.9 | SEHOP |
| Skype | EAF |
| SolarWinds Syslogd Manager | EAF |
| Odtwarzacz multimedialny Windows | MandatoryASLR, EAF |
ǂ Środki zaradcze EMET mogą być niezgodne z językiem Oracle Java, gdy są uruchamiane przy użyciu ustawień, które rezerwują dużą część pamięci dla maszyny wirtualnej (czyli przy użyciu opcji -Xms).
Włączanie ustawień systemu ochrony przed lukami w zabezpieczeniach na potrzeby testowania
Te ustawienia systemu programu Exploit Protection są domyślnie włączone z wyjątkiem randomizacji obowiązkowego układu przestrzeni adresowej (ASLR) w Windows 10 i nowszych wersjach, w systemie Windows Server 2019 i nowszych wersjach oraz w systemie Windows Server w wersji 1803 core i nowszej.
| Ustawienia systemu | Ustawienie |
|---|---|
| Ochrona przepływu sterowania (CFG) | Użyj wartości domyślnej (włączone) |
| Zapobieganie wykonywaniu danych (DEP) | Użyj wartości domyślnej (włączone) |
| Wymuszanie randomizacji obrazów (obowiązkowe asrl) | Użyj wartości domyślnej (wyłączone) |
| Losowe alokacje pamięci (oddolne asrl) | Użyj wartości domyślnej (włączone) |
| Asrl o wysokiej entropii | Użyj wartości domyślnej (włączone) |
| Weryfikuj łańcuchy wyjątków (SEHOP) | Użyj wartości domyślnej (włączone) |
Przykład xml jest dostępny poniżej
<?xml version="1.0" encoding="UTF-8"?>
<MitigationPolicy>
<SystemConfig>
<DEP Enable="true" EmulateAtlThunks="false" />
<ASLR ForceRelocateImages="false" RequireInfo="false" BottomUp="true" HighEntropy="true" />
<ControlFlowGuard Enable="true" SuppressExports="false" />
<SEHOP Enable="true" TelemetryOnly="false" />
<Heap TerminateOnError="true" />
</SystemConfig>
</MitigationPolicy>
Włączanie ustawień programu ochrony przed lukami w zabezpieczeniach na potrzeby testowania
Porada
Zdecydowanie zalecamy zapoznanie się z nowoczesnym podejściem do ograniczania luk w zabezpieczeniach, które polega na używaniu reguł zmniejszania obszaru podatnego na ataki (reguł ASR).
Możesz ustawić środki ograniczania ryzyka w trybie testowania dla określonych programów przy użyciu aplikacji Zabezpieczenia Windows lub programu Windows PowerShell.
Aplikacja Zabezpieczenia Windows
Otwórz aplikację Zabezpieczenia Windows. Wybierz ikonę tarczy na pasku zadań lub wyszukaj w menu Start pozycję Zabezpieczenia Windows.
Wybierz kafelek Sterowanie aplikacjami i przeglądarką (lub ikonę aplikacji na pasku menu po lewej stronie), a następnie wybierz Ochronę przed programami wykorzystującymi luki w zabezpieczeniach.
Przejdź do obszaru Ustawienia programu i wybierz aplikację dla chcesz zastosować ochronę:
Jeśli aplikacja, którą chcesz skonfigurować, jest już wyświetlana, wybierz ją, a następnie wybierz pozycję Edytuj.
Jeśli aplikacja nie znajduje się na liście w górnej części listy, wybierz pozycję Dodaj program do dostosowania. Następnie wybierz w jaki sposób chcesz dodać aplikację.
- Użyj polecenia Dodaj według nazwy programu, aby zastosować środki ograniczania ryzyka do dowolnego uruchomionego procesu o tej nazwie. Określ plik z jego rozszerzeniem. Możesz wprowadzić pełną ścieżkę, aby ograniczyć zastosowanie środków ograniczania ryzyka tylko do aplikacji o tej nazwie w danej lokalizacji.
- Użyj opcji Wybierz dokładną ścieżkę pliku, aby użyć standardowego okna selektora plików Eksploratora Windows w celu znalezienia i wybrania odpowiedniego pliku.
Po wybraniu aplikacji zostanie wyświetlona lista wszystkich środków ograniczania ryzyka, które można zastosować. Wybranie opcji Inspekcja powoduje zastosowanie ograniczenia ryzyka tylko w trybie testowym. Otrzymasz powiadomienie, jeśli musisz ponownie uruchomić proces, aplikację lub system Windows.
Powtórz tę procedurę dla wszystkich aplikacji i środków ograniczania ryzyka, które chcesz skonfigurować. Po zakończeniu konfiguracji wybierz pozycję Zastosuj.
PowerShell
Aby ustawić środki zaradcze na poziomie aplikacji na tryb testowania, użyj polecenia Set-ProcessMitigation cmdlet Trybu inspekcji .
Skonfiguruj poszczególne środki ograniczania ryzyka w następującym formacie:
Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>
Gdzie:
-
<Zakres>:
-
-Namewskazujące, że środki ograniczania ryzyka należy zastosować do określonej aplikacji. Określ plik wykonywalny aplikacji po tym oflagowaniu.
-
-
<Akcja>:
-
-Enable, aby włączyć środki ograniczania ryzyka-
-Disable, aby wyłączyć środki ograniczania ryzyka
-
-
-
<Środki zaradcze>:
- Polecenie cmdlet środków ograniczania ryzyka zgodnie z definicją w poniższej tabeli. Poszczególne środki ograniczania ryzyka są oddzielone przecinkami.
| Środki ograniczania ryzyka | Polecenie cmdlet trybu testowego |
|---|---|
| Ochrona przed wykonaniem dowolnego kodu (ACG) | AuditDynamicCode |
| Blokuj obrazy o niskiej integralności | AuditImageLoad |
| Blokuj niezaufane czcionki |
AuditFont, FontAuditOnly |
| Ochrona integralności kodu |
AuditMicrosoftSigned, AuditStoreSigned |
| Wyłącz wywołania systemowe Win32k | AuditSystemCall |
| Nie zezwalaj na procesy podrzędne | AuditChildProcess |
Aby na przykład włączyć dowolną funkcję Code Guard (ACG) w trybie testowym dla aplikacji o nazwie testing.exe, uruchom następujące polecenie:
Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable AuditDynamicCode
Możesz wyłączyć tryb inspekcji zastępując -Enable-Disable.
Przejrzyj zdarzenia inspekcji ochrony przed programami wykorzystujących luki w zabezpieczeniach
Aby sprawdzić, które aplikacje zostaną zablokowane, otwórz Podgląd zdarzeń i odfiltruj następujące zdarzenia w dzienniku Security-Mitigations.
| Funkcja | Dostawca/źródło | Identyfikator zdarzenia | Opis |
|---|---|---|---|
| Ochrona przed wykorzystywaniem | Security-Mitigations (tryb jądra/tryb użytkownika) | 1 | Inspekcja ACG |
| Ochrona przed wykorzystywaniem | Security-Mitigations (tryb jądra/tryb użytkownika) | 3 | Nie zezwalaj na inspekcję procesów podrzędnych |
| Ochrona przed wykorzystywaniem | Security-Mitigations (tryb jądra/tryb użytkownika) | 5 | Blokuj inspekcję obrazów o niskiej integralności |
| Ochrona przed wykorzystywaniem | Security-Mitigations (tryb jądra/tryb użytkownika) | 7 | Blokuj inspekcję obrazów zdalnych |
| Ochrona przed wykorzystywaniem | Security-Mitigations (tryb jądra/tryb użytkownika) | 9 | Wyłącz inspekcję wywołań systemowych win32k |
| Ochrona przed wykorzystywaniem | Security-Mitigations (tryb jądra/tryb użytkownika) | 11 | Ochrona integralności kodu |
Zobacz też
- Włącz ochronę przed wykorzystaniem
- Konfigurowanie i inspekcja środków ograniczania ryzyka dla ochrony przed programami wykorzystującymi luki w zabezpieczeniach
- Importuj, eksportuj i wdrażaj konfigurację ochrony przed wykorzystaniem
- Rozwiązywanie problemów z ochroną przed programami wykorzystującymi luki w zabezpieczeniach
Porada
Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.