Chroń urządzenia przed wykorzystaniem
Dotyczy:
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
- Microsoft Defender XDR
Ochrona przed lukami w zabezpieczeniach automatycznie stosuje wiele technik ograniczania ryzyka luk w zabezpieczeniach w procesach i aplikacjach systemu operacyjnego. Ochrona przed lukami w zabezpieczeniach jest obsługiwana od Windows 10, wersji 1709, Windows 11 i Windows Server w wersji 1803.
Ochrona przed lukami w zabezpieczeniach działa najlepiej w usłudze Defender for Endpoint — dzięki czemu można szczegółowo raportować zdarzenia i bloki ochrony przed lukami w zabezpieczeniach w ramach typowych scenariuszy badania alertów.
Możesz włączyć ochronę przed lukami w zabezpieczeniach na pojedynczym urządzeniu, a następnie użyć zasady grupy do dystrybucji pliku XML na wielu urządzeniach jednocześnie.
Po znalezieniu środka zaradczego na urządzeniu zostanie wyświetlone powiadomienie z Centrum akcji. Powiadomienie można dostosować przy użyciu danych firmy i informacji kontaktowych. Można również włączyć reguły indywidualnie, aby dostosować techniki monitorów funkcji.
Możesz również użyć trybu inspekcji , aby ocenić, jak ochrona przed lukami w zabezpieczeniach wpłynie na organizację, jeśli zostałaby włączona.
Wiele funkcji w zestawie narzędzi Enhanced Mitigation Experience Toolkit (EMET) jest uwzględnionych w ochronie przed lukami w zabezpieczeniach. W rzeczywistości możesz przekonwertować i zaimportować istniejące profile konfiguracji pakietu EMET do ochrony przed lukami w zabezpieczeniach. Aby dowiedzieć się więcej, zobacz Import, export, and deploy exploit protection configurations (Importowanie, eksportowanie i wdrażanie konfiguracji ochrony przed lukami w zabezpieczeniach).
Ważna
Jeśli obecnie używasz pakietu EMET, należy pamiętać, że EMET osiągnął koniec wsparcia 31 lipca 2018 r. Rozważ zastąpienie programu EMET ochroną przed lukami w zabezpieczeniach w Windows 10.
Ostrzeżenie
Niektóre technologie ograniczania ryzyka w ramach zabezpieczeń mogą mieć problemy ze zgodnością w odniesieniu do niektórych aplikacji. Przed wdrożeniem konfiguracji w środowisku produkcyjnym lub w pozostałej części sieci należy przetestować ochronę przed programami wykorzystującymi luki we wszystkich docelowych scenariuszach użycia za pomocą trybu inspekcji.
Przeglądanie zdarzeń ochrony przed lukami w zabezpieczeniach w portalu Microsoft Defender
Usługa Defender for Endpoint udostępnia szczegółowe raporty dotyczące zdarzeń i bloków w ramach scenariuszy badania alertów.
Możesz wykonywać zapytania dotyczące usługi Defender pod kątem danych punktu końcowego przy użyciu zaawansowanego wyszukiwania zagrożeń. Jeśli używasz trybu inspekcji, możesz użyć zaawansowanego wyszukiwania zagrożeń, aby zobaczyć, jak ustawienia ochrony przed lukami w zabezpieczeniach mogą wpływać na środowisko.
Oto przykładowe zapytanie:
DeviceEvents
| where ActionType startswith 'ExploitGuard' and ActionType !contains 'NetworkProtection'
Exploit Protection i zaawansowane wyszukiwanie zagrożeń
Poniżej przedstawiono zaawansowane typy akcji wyszukiwania zagrożeń dostępne dla programu Exploit Protection.
Nazwa ograniczania ryzyka w usłudze Exploit Protection | Exploit Protection — Zaawansowane wyszukiwanie zagrożeń — ActionTypes |
---|---|
Dowolna ochrona kodu | ExploitGuardAcgAudited ExploitGuardAcgEnforced |
Nie zezwalaj na procesy podrzędne | ExploitGuardChildProcessAudited ExploitGuardChildProcessBlocked |
Filtrowanie adresów eksportu (EAF) | ExploitGuardEafViolationAudited ExploitGuardEafViolationBlocked |
Filtrowanie adresów importu (IAF) | ExploitGuardIafViolationAudited ExploitGuardIafViolationBlocked |
Blokuj obrazy o niskiej integralności | ExploitGuardLowIntegrityImageAudited ExploitGuardLowIntegrityImageBlocked |
Ochrona integralności kodu | ExploitGuardNonMicrosoftSignedAudited ExploitGuardNonMicrosoftSignedBlocked |
• Symulowanie wykonywania (SimExec) • Weryfikowanie wywołania interfejsu API (CallerCheck) • Weryfikowanie integralności stosu (StackPivot) |
ExploitGuardRopExploitAudited ExploitGuardRopExploitBlocked |
Blokuj obrazy zdalne | ExploitGuardSharedBinaryAudited ExploitGuardSharedBinaryBlocked |
Wyłącz wywołania systemowe Win32k | ExploitGuardWin32SystemCallAudited ExploitGuardWin32SystemCallBlocked |
Przejrzyj zdarzenia ochrony przed lukami w zabezpieczeniach w systemie Windows Podgląd zdarzeń
Możesz przejrzeć dziennik zdarzeń systemu Windows, aby wyświetlić zdarzenia, które są tworzone, gdy ochrona przed lukami w zabezpieczeniach blokuje (lub przeprowadza inspekcje) aplikacji:
Dostawca/źródło | Identyfikator zdarzenia | Opis |
---|---|---|
Security-Mitigations | 1 | Inspekcja ACG |
Security-Mitigations | 2 | Wymuszanie acg |
Security-Mitigations | 3 | Nie zezwalaj na inspekcję procesów podrzędnych |
Security-Mitigations | 4 | Nie zezwalaj na blok procesów podrzędnych |
Security-Mitigations | 5 | Blokuj inspekcję obrazów o niskiej integralności |
Security-Mitigations | 6 | Blokuj blok obrazów o niskiej integralności |
Security-Mitigations | 7 | Blokuj inspekcję obrazów zdalnych |
Security-Mitigations | 8 | Blokuj zdalny blok obrazów |
Security-Mitigations | 9 | Wyłącz inspekcję wywołań systemowych win32k |
Security-Mitigations | 10 | Wyłącz blok wywołań systemowych win32k |
Security-Mitigations | 11 | Ochrona integralności kodu |
Security-Mitigations | 12 | Blok ochrony integralności kodu |
Security-Mitigations | 13 | Inspekcja zapory aplikacji internetowej |
Security-Mitigations | 14 | Wymuszanie zapory aplikacji internetowej |
Security-Mitigations | 15 | Inspekcja EAF+ |
Security-Mitigations | 16 | Wymuszanie aplikacji EAF+ |
Security-Mitigations | 17 | Inspekcja zapory aplikacji internetowej |
Security-Mitigations | 18 | Wymuszanie zapory aplikacji internetowej |
Security-Mitigations | 19 | Inspekcja ROP StackPivot |
Security-Mitigations | 20 | Wymuszanie ROP StackPivot |
Security-Mitigations | 21 | Inspekcja kontroli wywołań ROP |
Security-Mitigations | 22 | Wymuszanie wywołania ROP |
Security-Mitigations | 23 | Inspekcja ROP SimExec |
Security-Mitigations | 24 | Wymuszanie ROP SimExec |
WER-Diagnostics | 5 | Blok CFG |
Win32K | 260 | Niezaufane czcionki |
Porównanie środków zaradczych
Środki zaradcze dostępne w programie EMET są uwzględniane natywnie w Windows 10 (począwszy od wersji 1709), Windows 11 i Windows Server (począwszy od wersji 1803) w ramach ochrony przed programem Exploit.
Tabela w tej sekcji wskazuje dostępność i obsługę natywnych środków zaradczych między programem EMET i ochroną przed lukami w zabezpieczeniach.
Ograniczenie ryzyka | Dostępne w ramach ochrony przed lukami w zabezpieczeniach | Dostępne w programie EMET |
---|---|---|
Ochrona dowolnego kodu (ACG) | Tak | Tak Jako "Kontrola ochrony pamięci" |
Blokuj obrazy zdalne | Tak | Tak Jako "Sprawdzanie biblioteki ładowania" |
Blokuj niezaufane czcionki | Tak | Tak |
Zapobieganie wykonywaniu danych (DEP) | Tak | Tak |
Filtrowanie adresów eksportu (EAF) | Tak | Tak |
Wymuś losowe generowanie obrazów (obowiązkowa funkcja ASLR) | Tak | Tak |
Środki zaradcze zabezpieczeń nullpage | Tak Uwzględnione natywnie w Windows 10 i Windows 11 Aby uzyskać więcej informacji, zobacz Mitigate threats by using Windows 10 security features (Eliminowanie zagrożeń przy użyciu funkcji zabezpieczeń Windows 10) |
Tak |
Generuj losowo alokacje pamięci (funkcja ASLR „od dołu do góry”) | Tak | Tak |
Symuluj wykonywanie (SimExec) | Tak | Tak |
Weryfikuj wywołanie interfejsu API (CallerCheck) | Tak | Tak |
Weryfikuj łańcuchy wyjątków (SEHOP) | Tak | Tak |
Weryfikuj integralność stosu (StackPivot) | Tak | Tak |
Zaufanie certyfikatu (konfigurowalne przypinanie certyfikatu) | Windows 10 i Windows 11 zapewniają przypinanie certyfikatów przedsiębiorstwa | Tak |
Alokacja natrysku sterty | Nieskuteczne w stosunku do nowszych opartych na przeglądarce exploitów; nowsze środki zaradcze zapewniają lepszą ochronę Aby uzyskać więcej informacji, zobacz Mitigate threats by using Windows 10 security features (Eliminowanie zagrożeń przy użyciu funkcji zabezpieczeń Windows 10) |
Tak |
Blokuj obrazy o niskiej integralności | Tak | Nie |
Ochrona integralności kodu | Tak | Nie |
Wyłącz punkty rozszerzeń | Tak | Nie |
Wyłącz wywołania systemowe Win32k | Tak | Nie |
Nie zezwalaj na procesy podrzędne | Tak | Nie |
Filtrowanie adresów importu (IAF) | Tak | Nie |
Weryfikuj użycie dojścia | Tak | Nie |
Weryfikuj integralność stosu | Tak | Nie |
Weryfikuj integralność zależności obrazu | Tak | Nie |
Uwaga
Zaawansowane środki zaradcze ROP dostępne w usłudze EMET są zastępowane przez usługę ACG w Windows 10 i Windows 11, które domyślnie są włączone w innych zaawansowanych ustawieniach EMET w ramach włączania środków zaradczych związanych z zabezpieczeniami przed ropą dla procesu. Aby uzyskać więcej informacji na temat sposobu, w jaki Windows 10 wykorzystuje istniejącą technologię EMET, zobacz Artykuł Mitigation threats by using Windows 10 security features (Ograniczanie zagrożeń za pomocą funkcji zabezpieczeń Windows 10).
Zobacz też
- Konfigurowanie i inspekcja środków ograniczania ryzyka dla ochrony przed programami wykorzystującymi luki w zabezpieczeniach
- Rozwiązywanie problemów z ochroną przed programami wykorzystującymi luki w zabezpieczeniach
- Optymalizowanie wdrażania i wykrywania reguł usługi ASR
Porada
Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.