Оценка защиты от эксплойтов
Область применения:
- Microsoft Defender для конечной точки (план 1)
- Microsoft Defender для конечной точки (план 2)
- Microsoft Defender XDR
Хотите попробовать Microsoft Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.
Защита от эксплойтов помогает защитить устройства от вредоносных программ, которые используют эксплойты для распространения и заражения других устройств. Меры можно применить либо к операционной системе, либо к отдельному приложению. Многие функции, которые вошли в набор средств Enhanced Mitigation Experience Toolkit (EMET), включены в защиту от эксплойтов. (Поддержка EMET заканчивается.)
В ходе аудита вы можете увидеть, как работают меры для определенных приложений в тестовой среде. Это показывает, что произойдет , если включить защиту от эксплойтов в рабочей среде. Таким образом вы можете убедиться, что защита от эксплойтов не оказывает негативного влияния на бизнес-приложения и какие подозрительные или вредоносные события происходят.
Общие рекомендации
Защита от эксплойтов работает на низком уровне в операционной системе, и некоторые виды программного обеспечения, выполняющие аналогичные низкоуровневые операции, могут иметь проблемы совместимости, если они настроены для защиты с помощью защиты от эксплойтов.
Какие типы программного обеспечения не следует защищать с помощью защиты от эксплойтов?
- Программное обеспечение для защиты от вредоносных программ и вторжений или их обнаружения
- Отладчики
- Программное обеспечение, обрабатывающее технологии управления цифровыми правами (DRM) (то есть видеоигры)
- Программное обеспечение, использующее технологии защиты от отладки, запутывания или перехвата
Какой тип приложений следует включить защиту от эксплойтов?
Приложения, которые получают или обрабатывают ненадежные данные.
Какой тип процессов не область для защиты от эксплойтов?
Службы
- Системные службы
- Сетевые службы
Защита от эксплойтов включена по умолчанию
Устранение рисков | Включено по умолчанию |
---|---|
Предотвращение выполнения данных (DEP) | 64-разрядные и 32-разрядные приложения |
Проверка цепочек исключений (SEHOP) | 64-разрядные приложения |
Проверка целостности кучи | 64-разрядные и 32-разрядные приложения |
Нерекомендуемые меры по устранению рисков "Параметры программы"
Устранение рисков с помощью параметров программы | Reason |
---|---|
Фильтрация адресов экспорта (EAF) | Проблемы с совместимостью приложений |
Фильтрация адресов импорта (IAF) | Проблемы с совместимостью приложений |
Имитация выполнения (SimExec) | Заменено произвольным code Guard (ACG) |
Проверка вызова API (CallerCheck) | Заменено произвольным code Guard (ACG) |
Проверка целостности стека (StackPivot) | Заменено произвольным code Guard (ACG) |
Рекомендации по приложениям Office
Вместо использования защиты от эксплойтов для приложений Office, таких как Outlook, Word, Excel, PowerPoint и OneNote, рассмотрите возможность использования более современного подхода для предотвращения их неправильного использования: правила сокращения направлений атак (правила ASR):
- Блокировка исполняемого содержимого из почтового клиента и веб-почты
- Запрет приложениям Office создавать исполняемое содержимое
- Запретить всем приложениям Office создавать дочерние процессы
- Запретить приложению Office для общения создавать дочерние процессы
- Запрет приложений Office от внедрения кода в другие процессы
- Блокировать выполнение потенциально запутывающихся скриптов
- Блокировка вызовов API Win32 из макросов Office
Для Adobe Reader используйте следующее правило ASR:
• Запретить Adobe Reader создавать дочерние процессы
Список совместимости приложений
В следующей таблице перечислены определенные продукты, которые имеют проблемы совместимости с средствами защиты от эксплойтов. Чтобы защитить продукт с помощью защиты от эксплойтов, необходимо отключить определенные несовместимые меры по устранению рисков. Имейте в виду, что в этом списке учитываются параметры по умолчанию для последних версий продукта. Проблемы совместимости могут возникать при применении определенных надстроек или других компонентов к стандартному программному обеспечению.
Продукт | Защита от эксплойтов |
---|---|
.NET 2.0/3.5 | EAF/IAF |
7-Zip console/GUI/File Manager | EAF |
Процессоры AMD 62xx | EAF |
Avecto (вне доверия) Power Broker | EAF, EAF+, Stack Pivot |
Некоторые видеодрайверы AMD (ATI) | System ASLR=AlwaysOn |
DropBox | EAF |
Excel Power Query, Power View, Power Map и PowerPivot | EAF |
Google Chrome | EAF+ |
Immidio Flex+ | EAF |
веб-компоненты Microsoft Office (OWC) | System DEP=AlwaysOn |
Microsoft PowerPoint | EAF |
Microsoft Teams | EAF+ |
Oracle Javaǂ | Heapspray |
Питни Боуз Печати Аудит 6 | SimExecFlow |
Siebel CRM версии 8.1.1.9 | SEHOP |
Skype | EAF |
SolarWinds Syslogd Manager | EAF |
Проигрыватель Windows Media | ОбязательныйASLR, EAF |
ǂ Устранение рисков EMET может быть несовместимо с Oracle Java, если они выполняются с помощью параметров, резервируют большой объем памяти для виртуальной машины (то есть с помощью параметра -Xms).
Включение параметров системы защиты от эксплойтов для тестирования
Эти системные параметры защиты от эксплойтов включены по умолчанию, за исключением обязательного рандомизации макета адресного пространства (ASLR) в Windows 10 и более поздних версиях, Windows Server 2019 и более поздних версий, а также в Windows Server версии 1803 Core и более поздних версиях.
Параметры системы | Setting |
---|---|
Защита потока управления (CFG) | Использование по умолчанию (включено) |
Предотвращение выполнения данных (DEP) | Использование по умолчанию (включено) |
Принудительная рандомизация для изображений (обязательное asrl) | Использовать по умолчанию (выкл.) |
Случайное выделение памяти (ASRL снизу вверх) | Использование по умолчанию (включено) |
ASRL с высокой энтропией | Использование по умолчанию (включено) |
Проверка цепочек исключений (SEHOP) | Использование по умолчанию (включено) |
Пример xml доступен ниже.
<?xml version="1.0" encoding="UTF-8"?>
<MitigationPolicy>
<SystemConfig>
<DEP Enable="true" EmulateAtlThunks="false" />
<ASLR ForceRelocateImages="false" RequireInfo="false" BottomUp="true" HighEntropy="true" />
<ControlFlowGuard Enable="true" SuppressExports="false" />
<SEHOP Enable="true" TelemetryOnly="false" />
<Heap TerminateOnError="true" />
</SystemConfig>
</MitigationPolicy>
Включение параметров программы защиты от эксплойтов для тестирования
Совет
Мы настоятельно рекомендуем ознакомиться с современным подходом к устранению уязвимостей, который заключается в использовании правил сокращения направлений атаки (правила ASR).
Вы можете настроить меры в режиме тестирования для определенных программ с помощью приложения "Безопасность Windows" или Windows PowerShell.
Приложение "Безопасность Windows"
Откройте приложение "Безопасность Windows". Выберите значок щита на панели задач или в меню "Пуск" выберите пункт Безопасность Windows.
Выберите плитку Управление приложениями и браузером (или значок приложения в левой панели меню), а затем выберите Защита от эксплойтов.
Перейдите в Параметры программы и выберите приложение, к которому вы хотите применить защиту:
Если приложение, которое вы хотите настроить, уже указано в списке, выберите его и нажмите кнопку Изменить.
Если приложение не указано в верхней части списка, выберите Добавить программу для настройки. Затем выберите, как вы хотите добавить приложение.
- Используйте Добавить по имени программы, чтобы применить меры к любым запущенным процессам с таким именем. Укажите файл с расширением. Вы можете ввести полный путь, чтобы ограничить применение мер только приложением с таким именем в этом расположении.
- Нажмите Выбрать точный путь файла, чтобы использовать стандартное окно выбора файлов проводника Windows Explorer для поиска и выбора нужного файла.
После выбора приложения вы увидите список всех мер, которые можно применить. При выборе аудита применяется устранение рисков только в тестовом режиме. Вы получите уведомление о необходимости перезапуска процесса, приложения или Windows.
Повторите эту процедуру для всех приложений и мер, которые вы хотите настроить. После настройки конфигурации выберите Применить.
PowerShell
Чтобы настроить устранение рисков на уровне приложения в тестовом режиме, используйте Set-ProcessMitigation
командлет Audit mode .
Настройте каждое решение в следующем формате:
Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>
Где:
-
<Область:>
-
-Name
для указания мер, которые следует применить к определенному приложению. Укажите исполняемый файл приложения после того, как поставите этот флажок.
-
-
<Действие>:
-
-Enable
, чтобы включить меры-
-Disable
, чтобы отключить меры
-
-
-
<Устранение рисков>.
- Командлет решений определен в соответствии со следующей таблицей. Каждая мера отделена запятой.
Устранение рисков | Командлет тестового режима |
---|---|
Произвольный Code Guard (ACG) | AuditDynamicCode |
Блокировать изображений с низкой целостностью | AuditImageLoad |
Блокировка ненадежные шрифты |
AuditFont , FontAuditOnly |
Защита целостности кода |
AuditMicrosoftSigned , AuditStoreSigned |
Отключить системные вызовы Win32k | AuditSystemCall |
Не разрешать дочерние процессы | AuditChildProcess |
Например, чтобы включить Произвольный Code Guard (ACG) в тестовом режиме для приложения с именемtesting.exe, выполните следующую команду:
Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable AuditDynamicCode
Вы можете отключить режим аудита, заменив -Enable
на -Disable
.
Просмотр событий аудита защиты от эксплойтов
Чтобы проверить, какие приложения будут заблокированы, откройте Просмотр событий и отфильтруйте следующие события в журнале Security-Mitigations.
Возможность | Поставщик/источник | Идентификатор события | Описание |
---|---|---|---|
Защита от эксплойтов | Меры безопасности (режим ядра/режим пользователя) | 1 | Аудит ACG |
Защита от эксплойтов | Меры безопасности (режим ядра/режим пользователя) | 3 | Не разрешать аудит для дочерних процессов |
Защита от эксплойтов | Меры безопасности (режим ядра/режим пользователя) | 5 | Блокировать аудит изображений с низкой целостностью |
Защита от эксплойтов | Меры безопасности (режим ядра/режим пользователя) | 7 | Блокировать аудит удаленных изображений |
Защита от эксплойтов | Меры безопасности (режим ядра/режим пользователя) | 9 | Отключить аудит системных вызовов Win32k |
Защита от эксплойтов | Меры безопасности (режим ядра/режим пользователя) | 11 | Аудит защиты целостности кода |
См. также
- Включить защиту от эксплойтов
- Настройка и аудит мер защиты от эксплойтов
- Импорт, экспорт и развертывание конфигураций защиты от эксплойтов
- Устранение неполадок защиты от эксплойтов
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.