Поделиться через


Оценка защиты от эксплойтов

Область применения:

Хотите попробовать Microsoft Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

Защита от эксплойтов помогает защитить устройства от вредоносных программ, которые используют эксплойты для распространения и заражения других устройств. Меры можно применить либо к операционной системе, либо к отдельному приложению. Многие функции, которые вошли в набор средств Enhanced Mitigation Experience Toolkit (EMET), включены в защиту от эксплойтов. (Поддержка EMET заканчивается.)

В ходе аудита вы можете увидеть, как работают меры для определенных приложений в тестовой среде. Это показывает, что произойдет , если включить защиту от эксплойтов в рабочей среде. Таким образом вы можете убедиться, что защита от эксплойтов не оказывает негативного влияния на бизнес-приложения и какие подозрительные или вредоносные события происходят.

Общие рекомендации

Защита от эксплойтов работает на низком уровне в операционной системе, и некоторые виды программного обеспечения, выполняющие аналогичные низкоуровневые операции, могут иметь проблемы совместимости, если они настроены для защиты с помощью защиты от эксплойтов.

Какие типы программного обеспечения не следует защищать с помощью защиты от эксплойтов?

  • Программное обеспечение для защиты от вредоносных программ и вторжений или их обнаружения
  • Отладчики
  • Программное обеспечение, обрабатывающее технологии управления цифровыми правами (DRM) (то есть видеоигры)
  • Программное обеспечение, использующее технологии защиты от отладки, запутывания или перехвата

Какой тип приложений следует включить защиту от эксплойтов?

Приложения, которые получают или обрабатывают ненадежные данные.

Какой тип процессов не область для защиты от эксплойтов?

Службы

  • Системные службы
  • Сетевые службы

Защита от эксплойтов включена по умолчанию

Устранение рисков Включено по умолчанию
Предотвращение выполнения данных (DEP) 64-разрядные и 32-разрядные приложения
Проверка цепочек исключений (SEHOP) 64-разрядные приложения
Проверка целостности кучи 64-разрядные и 32-разрядные приложения

Нерекомендуемые меры по устранению рисков "Параметры программы"

Устранение рисков с помощью параметров программы Reason
Фильтрация адресов экспорта (EAF) Проблемы с совместимостью приложений
Фильтрация адресов импорта (IAF) Проблемы с совместимостью приложений
Имитация выполнения (SimExec) Заменено произвольным code Guard (ACG)
Проверка вызова API (CallerCheck) Заменено произвольным code Guard (ACG)
Проверка целостности стека (StackPivot) Заменено произвольным code Guard (ACG)

Рекомендации по приложениям Office

Вместо использования защиты от эксплойтов для приложений Office, таких как Outlook, Word, Excel, PowerPoint и OneNote, рассмотрите возможность использования более современного подхода для предотвращения их неправильного использования: правила сокращения направлений атак (правила ASR):

Для Adobe Reader используйте следующее правило ASR:

Запретить Adobe Reader создавать дочерние процессы

Список совместимости приложений

В следующей таблице перечислены определенные продукты, которые имеют проблемы совместимости с средствами защиты от эксплойтов. Чтобы защитить продукт с помощью защиты от эксплойтов, необходимо отключить определенные несовместимые меры по устранению рисков. Имейте в виду, что в этом списке учитываются параметры по умолчанию для последних версий продукта. Проблемы совместимости могут возникать при применении определенных надстроек или других компонентов к стандартному программному обеспечению.

Продукт Защита от эксплойтов
.NET 2.0/3.5 EAF/IAF
7-Zip console/GUI/File Manager EAF
Процессоры AMD 62xx EAF
Avecto (вне доверия) Power Broker EAF, EAF+, Stack Pivot
Некоторые видеодрайверы AMD (ATI) System ASLR=AlwaysOn
DropBox EAF
Excel Power Query, Power View, Power Map и PowerPivot EAF
Google Chrome EAF+
Immidio Flex+ EAF
веб-компоненты Microsoft Office (OWC) System DEP=AlwaysOn
Microsoft PowerPoint EAF
Microsoft Teams EAF+
Oracle Javaǂ Heapspray
Питни Боуз Печати Аудит 6 SimExecFlow
Siebel CRM версии 8.1.1.9 SEHOP
Skype EAF
SolarWinds Syslogd Manager EAF
Проигрыватель Windows Media ОбязательныйASLR, EAF

ǂ Устранение рисков EMET может быть несовместимо с Oracle Java, если они выполняются с помощью параметров, резервируют большой объем памяти для виртуальной машины (то есть с помощью параметра -Xms).

Включение параметров системы защиты от эксплойтов для тестирования

Эти системные параметры защиты от эксплойтов включены по умолчанию, за исключением обязательного рандомизации макета адресного пространства (ASLR) в Windows 10 и более поздних версиях, Windows Server 2019 и более поздних версий, а также в Windows Server версии 1803 Core и более поздних версиях.

Параметры системы Setting
Защита потока управления (CFG) Использование по умолчанию (включено)
Предотвращение выполнения данных (DEP) Использование по умолчанию (включено)
Принудительная рандомизация для изображений (обязательное asrl) Использовать по умолчанию (выкл.)
Случайное выделение памяти (ASRL снизу вверх) Использование по умолчанию (включено)
ASRL с высокой энтропией Использование по умолчанию (включено)
Проверка цепочек исключений (SEHOP) Использование по умолчанию (включено)

Пример xml доступен ниже.

<?xml version="1.0" encoding="UTF-8"?>
<MitigationPolicy>
  <SystemConfig>
    <DEP Enable="true" EmulateAtlThunks="false" />
    <ASLR ForceRelocateImages="false" RequireInfo="false" BottomUp="true" HighEntropy="true" />
    <ControlFlowGuard Enable="true" SuppressExports="false" />
    <SEHOP Enable="true" TelemetryOnly="false" />
    <Heap TerminateOnError="true" />
  </SystemConfig>
</MitigationPolicy>

Включение параметров программы защиты от эксплойтов для тестирования

Совет

Мы настоятельно рекомендуем ознакомиться с современным подходом к устранению уязвимостей, который заключается в использовании правил сокращения направлений атаки (правила ASR).

Вы можете настроить меры в режиме тестирования для определенных программ с помощью приложения "Безопасность Windows" или Windows PowerShell.

Приложение "Безопасность Windows"

  1. Откройте приложение "Безопасность Windows". Выберите значок щита на панели задач или в меню "Пуск" выберите пункт Безопасность Windows.

  2. Выберите плитку Управление приложениями и браузером (или значок приложения в левой панели меню), а затем выберите Защита от эксплойтов.

  3. Перейдите в Параметры программы и выберите приложение, к которому вы хотите применить защиту:

    1. Если приложение, которое вы хотите настроить, уже указано в списке, выберите его и нажмите кнопку Изменить.

    2. Если приложение не указано в верхней части списка, выберите Добавить программу для настройки. Затем выберите, как вы хотите добавить приложение.

      • Используйте Добавить по имени программы, чтобы применить меры к любым запущенным процессам с таким именем. Укажите файл с расширением. Вы можете ввести полный путь, чтобы ограничить применение мер только приложением с таким именем в этом расположении.
      • Нажмите Выбрать точный путь файла, чтобы использовать стандартное окно выбора файлов проводника Windows Explorer для поиска и выбора нужного файла.
  4. После выбора приложения вы увидите список всех мер, которые можно применить. При выборе аудита применяется устранение рисков только в тестовом режиме. Вы получите уведомление о необходимости перезапуска процесса, приложения или Windows.

  5. Повторите эту процедуру для всех приложений и мер, которые вы хотите настроить. После настройки конфигурации выберите Применить.

PowerShell

Чтобы настроить устранение рисков на уровне приложения в тестовом режиме, используйте Set-ProcessMitigation командлет Audit mode .

Настройте каждое решение в следующем формате:

Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>

Где:

  • <Область:>
    • -Name для указания мер, которые следует применить к определенному приложению. Укажите исполняемый файл приложения после того, как поставите этот флажок.
  • <Действие>:
    • -Enable, чтобы включить меры
      • -Disable, чтобы отключить меры
  • <Устранение рисков>.
    • Командлет решений определен в соответствии со следующей таблицей. Каждая мера отделена запятой.
Устранение рисков Командлет тестового режима
Произвольный Code Guard (ACG) AuditDynamicCode
Блокировать изображений с низкой целостностью AuditImageLoad
Блокировка ненадежные шрифты AuditFont, FontAuditOnly
Защита целостности кода AuditMicrosoftSigned, AuditStoreSigned
Отключить системные вызовы Win32k AuditSystemCall
Не разрешать дочерние процессы AuditChildProcess

Например, чтобы включить Произвольный Code Guard (ACG) в тестовом режиме для приложения с именемtesting.exe, выполните следующую команду:

Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable AuditDynamicCode

Вы можете отключить режим аудита, заменив -Enable на -Disable.

Просмотр событий аудита защиты от эксплойтов

Чтобы проверить, какие приложения будут заблокированы, откройте Просмотр событий и отфильтруйте следующие события в журнале Security-Mitigations.

Возможность Поставщик/источник Идентификатор события Описание
Защита от эксплойтов Меры безопасности (режим ядра/режим пользователя) 1 Аудит ACG
Защита от эксплойтов Меры безопасности (режим ядра/режим пользователя) 3 Не разрешать аудит для дочерних процессов
Защита от эксплойтов Меры безопасности (режим ядра/режим пользователя) 5 Блокировать аудит изображений с низкой целостностью
Защита от эксплойтов Меры безопасности (режим ядра/режим пользователя) 7 Блокировать аудит удаленных изображений
Защита от эксплойтов Меры безопасности (режим ядра/режим пользователя) 9 Отключить аудит системных вызовов Win32k
Защита от эксплойтов Меры безопасности (режим ядра/режим пользователя) 11 Аудит защиты целостности кода

См. также

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.