Udostępnij za pośrednictwem


Chroń urządzenia przed wykorzystaniem

Dotyczy:

Ochrona przed lukami w zabezpieczeniach automatycznie stosuje wiele technik ograniczania ryzyka luk w zabezpieczeniach w procesach i aplikacjach systemu operacyjnego. Ochrona przed lukami w zabezpieczeniach jest obsługiwana od Windows 10, wersji 1709, Windows 11 i Windows Server w wersji 1803.

Ochrona przed lukami w zabezpieczeniach działa najlepiej w usłudze Defender for Endpoint — dzięki czemu można szczegółowo raportować zdarzenia i bloki ochrony przed lukami w zabezpieczeniach w ramach typowych scenariuszy badania alertów.

Możesz włączyć ochronę przed lukami w zabezpieczeniach na pojedynczym urządzeniu, a następnie użyć zasady grupy do dystrybucji pliku XML na wielu urządzeniach jednocześnie.

Po znalezieniu środka zaradczego na urządzeniu zostanie wyświetlone powiadomienie z Centrum akcji. Powiadomienie można dostosować przy użyciu danych firmy i informacji kontaktowych. Można również włączyć reguły indywidualnie, aby dostosować techniki monitorów funkcji.

Możesz również użyć trybu inspekcji , aby ocenić, jak ochrona przed lukami w zabezpieczeniach wpłynie na organizację, jeśli zostałaby włączona.

Wiele funkcji w zestawie narzędzi Enhanced Mitigation Experience Toolkit (EMET) jest uwzględnionych w ochronie przed lukami w zabezpieczeniach. W rzeczywistości możesz przekonwertować i zaimportować istniejące profile konfiguracji pakietu EMET do ochrony przed lukami w zabezpieczeniach. Aby dowiedzieć się więcej, zobacz Import, export, and deploy exploit protection configurations (Importowanie, eksportowanie i wdrażanie konfiguracji ochrony przed lukami w zabezpieczeniach).

Ważna

Jeśli obecnie używasz pakietu EMET, należy pamiętać, że EMET osiągnął koniec wsparcia 31 lipca 2018 r. Rozważ zastąpienie programu EMET ochroną przed lukami w zabezpieczeniach w Windows 10.

Ostrzeżenie

Niektóre technologie ograniczania ryzyka w ramach zabezpieczeń mogą mieć problemy ze zgodnością w odniesieniu do niektórych aplikacji. Przed wdrożeniem konfiguracji w środowisku produkcyjnym lub w pozostałej części sieci należy przetestować ochronę przed programami wykorzystującymi luki we wszystkich docelowych scenariuszach użycia za pomocą trybu inspekcji.

Przeglądanie zdarzeń ochrony przed lukami w zabezpieczeniach w portalu Microsoft Defender

Usługa Defender for Endpoint udostępnia szczegółowe raporty dotyczące zdarzeń i bloków w ramach scenariuszy badania alertów.

Możesz wykonywać zapytania dotyczące usługi Defender pod kątem danych punktu końcowego przy użyciu zaawansowanego wyszukiwania zagrożeń. Jeśli używasz trybu inspekcji, możesz użyć zaawansowanego wyszukiwania zagrożeń, aby zobaczyć, jak ustawienia ochrony przed lukami w zabezpieczeniach mogą wpływać na środowisko.

Oto przykładowe zapytanie:

DeviceEvents
| where ActionType startswith 'ExploitGuard' and ActionType !contains 'NetworkProtection'

Exploit Protection i zaawansowane wyszukiwanie zagrożeń

Poniżej przedstawiono zaawansowane typy akcji wyszukiwania zagrożeń dostępne dla programu Exploit Protection.

Nazwa ograniczania ryzyka w usłudze Exploit Protection Exploit Protection — Zaawansowane wyszukiwanie zagrożeń — ActionTypes
Dowolna ochrona kodu ExploitGuardAcgAudited
ExploitGuardAcgEnforced
Nie zezwalaj na procesy podrzędne ExploitGuardChildProcessAudited
ExploitGuardChildProcessBlocked
Filtrowanie adresów eksportu (EAF) ExploitGuardEafViolationAudited
ExploitGuardEafViolationBlocked
Filtrowanie adresów importu (IAF) ExploitGuardIafViolationAudited
ExploitGuardIafViolationBlocked
Blokuj obrazy o niskiej integralności ExploitGuardLowIntegrityImageAudited
ExploitGuardLowIntegrityImageBlocked
Ochrona integralności kodu ExploitGuardNonMicrosoftSignedAudited
ExploitGuardNonMicrosoftSignedBlocked
• Symulowanie wykonywania (SimExec)
• Weryfikowanie wywołania interfejsu API (CallerCheck)
• Weryfikowanie integralności stosu (StackPivot)
ExploitGuardRopExploitAudited
ExploitGuardRopExploitBlocked
Blokuj obrazy zdalne ExploitGuardSharedBinaryAudited
ExploitGuardSharedBinaryBlocked
Wyłącz wywołania systemowe Win32k ExploitGuardWin32SystemCallAudited
ExploitGuardWin32SystemCallBlocked

Przejrzyj zdarzenia ochrony przed lukami w zabezpieczeniach w systemie Windows Podgląd zdarzeń

Możesz przejrzeć dziennik zdarzeń systemu Windows, aby wyświetlić zdarzenia, które są tworzone, gdy ochrona przed lukami w zabezpieczeniach blokuje (lub przeprowadza inspekcje) aplikacji:

Dostawca/źródło Identyfikator zdarzenia Opis
Security-Mitigations 1 Inspekcja ACG
Security-Mitigations 2 Wymuszanie acg
Security-Mitigations 3 Nie zezwalaj na inspekcję procesów podrzędnych
Security-Mitigations 4 Nie zezwalaj na blok procesów podrzędnych
Security-Mitigations 5 Blokuj inspekcję obrazów o niskiej integralności
Security-Mitigations 6 Blokuj blok obrazów o niskiej integralności
Security-Mitigations 7 Blokuj inspekcję obrazów zdalnych
Security-Mitigations 8 Blokuj zdalny blok obrazów
Security-Mitigations 9 Wyłącz inspekcję wywołań systemowych win32k
Security-Mitigations 10 Wyłącz blok wywołań systemowych win32k
Security-Mitigations 11 Ochrona integralności kodu
Security-Mitigations 12 Blok ochrony integralności kodu
Security-Mitigations 13 Inspekcja zapory aplikacji internetowej
Security-Mitigations 14 Wymuszanie zapory aplikacji internetowej
Security-Mitigations 15 Inspekcja EAF+
Security-Mitigations 16 Wymuszanie aplikacji EAF+
Security-Mitigations 17 Inspekcja zapory aplikacji internetowej
Security-Mitigations 18 Wymuszanie zapory aplikacji internetowej
Security-Mitigations 19 Inspekcja ROP StackPivot
Security-Mitigations 20 Wymuszanie ROP StackPivot
Security-Mitigations 21 Inspekcja kontroli wywołań ROP
Security-Mitigations 22 Wymuszanie wywołania ROP
Security-Mitigations 23 Inspekcja ROP SimExec
Security-Mitigations 24 Wymuszanie ROP SimExec
WER-Diagnostics 5 Blok CFG
Win32K 260 Niezaufane czcionki

Porównanie środków zaradczych

Środki zaradcze dostępne w programie EMET są uwzględniane natywnie w Windows 10 (począwszy od wersji 1709), Windows 11 i Windows Server (począwszy od wersji 1803) w ramach ochrony przed programem Exploit.

Tabela w tej sekcji wskazuje dostępność i obsługę natywnych środków zaradczych między programem EMET i ochroną przed lukami w zabezpieczeniach.

Ograniczenie ryzyka Dostępne w ramach ochrony przed lukami w zabezpieczeniach Dostępne w programie EMET
Ochrona dowolnego kodu (ACG) Tak Tak
Jako "Kontrola ochrony pamięci"
Blokuj obrazy zdalne Tak Tak
Jako "Sprawdzanie biblioteki ładowania"
Blokuj niezaufane czcionki Tak Tak
Zapobieganie wykonywaniu danych (DEP) Tak Tak
Filtrowanie adresów eksportu (EAF) Tak Tak
Wymuś losowe generowanie obrazów (obowiązkowa funkcja ASLR) Tak Tak
Środki zaradcze zabezpieczeń nullpage Tak
Uwzględnione natywnie w Windows 10 i Windows 11
Aby uzyskać więcej informacji, zobacz Mitigate threats by using Windows 10 security features (Eliminowanie zagrożeń przy użyciu funkcji zabezpieczeń Windows 10)
Tak
Generuj losowo alokacje pamięci (funkcja ASLR „od dołu do góry”) Tak Tak
Symuluj wykonywanie (SimExec) Tak Tak
Weryfikuj wywołanie interfejsu API (CallerCheck) Tak Tak
Weryfikuj łańcuchy wyjątków (SEHOP) Tak Tak
Weryfikuj integralność stosu (StackPivot) Tak Tak
Zaufanie certyfikatu (konfigurowalne przypinanie certyfikatu) Windows 10 i Windows 11 zapewniają przypinanie certyfikatów przedsiębiorstwa Tak
Alokacja natrysku sterty Nieskuteczne w stosunku do nowszych opartych na przeglądarce exploitów; nowsze środki zaradcze zapewniają lepszą ochronę
Aby uzyskać więcej informacji, zobacz Mitigate threats by using Windows 10 security features (Eliminowanie zagrożeń przy użyciu funkcji zabezpieczeń Windows 10)
Tak
Blokuj obrazy o niskiej integralności Tak Nie
Ochrona integralności kodu Tak Nie
Wyłącz punkty rozszerzeń Tak Nie
Wyłącz wywołania systemowe Win32k Tak Nie
Nie zezwalaj na procesy podrzędne Tak Nie
Filtrowanie adresów importu (IAF) Tak Nie
Weryfikuj użycie dojścia Tak Nie
Weryfikuj integralność stosu Tak Nie
Weryfikuj integralność zależności obrazu Tak Nie

Uwaga

Zaawansowane środki zaradcze ROP dostępne w usłudze EMET są zastępowane przez usługę ACG w Windows 10 i Windows 11, które domyślnie są włączone w innych zaawansowanych ustawieniach EMET w ramach włączania środków zaradczych związanych z zabezpieczeniami przed ropą dla procesu. Aby uzyskać więcej informacji na temat sposobu, w jaki Windows 10 wykorzystuje istniejącą technologię EMET, zobacz Artykuł Mitigation threats by using Windows 10 security features (Ograniczanie zagrożeń za pomocą funkcji zabezpieczeń Windows 10).

Zobacz też

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.