Защита устройств от эксплойтов
Область применения:
- Microsoft Defender для конечной точки (план 1)
- Microsoft Defender для конечной точки (план 2)
- Microsoft Defender XDR
Защита от эксплойтов автоматически применяет множество методов защиты от эксплойтов к процессам и приложениям операционной системы. Защита от эксплойтов поддерживается, начиная с Windows 10 версии 1709, в Windows 11 и Windows Server версии 1803.
Защита от эксплойтов лучше всего работает с Defender для конечной точки, который предоставляет подробные отчеты о событиях и блоках защиты от эксплойтов в рамках обычных сценариев исследования оповещений.
Можно включить защиту от эксплойтов на отдельном устройстве, а затем использовать групповую политику для распространения XML-файла на несколько устройств одновременно.
При обнаружении устранения рисков на устройстве отображается уведомление из Центра уведомлений. Вы можете настроить уведомление, указав сведения о вашей организации и контактные данные. Вы также можете включить правила по отдельности, чтобы настроить, какие методы отслеживает функция.
Вы также можете использовать режим аудита, чтобы оценить, как защита от эксплойтов повлияет на вашу организацию, если она будет включена.
Многие функции в EMET включены в защиту от эксплойтов. Фактически вы можете преобразовать и импортировать существующие профили конфигурации EMET в защиту от эксплойтов. Дополнительные сведения см. в разделе Импорт, экспорт и развертывание конфигураций защиты от эксплойтов
Важно!
Если вы используете EMET, следует помнить, что поддержка EMET была прекращена 31 июля 2018 года. Рассмотрите возможность замены EMET на защиту от эксплойтов в Windows 10.
Предупреждение
Некоторые технологии защиты безопасности могут иметь проблемы совместимости с некоторыми приложениями. Необходимо проверить защиту от эксплойтов во всех сценариях целевого использования с помощью режима аудита перед развертыванием конфигурации в производственной среде или в остальной части сети.
Просмотр событий защиты от эксплойтов на портале Microsoft Defender
Defender для конечной точки предоставляет подробные отчеты о событиях и блоках в рамках сценариев исследования оповещений.
Вы можете запрашивать данные Defender для конечной точки с помощью Расширенной охоты на угрозы. Если вы используете режим аудита, вы можете использовать расширенную охоту на угрозы, чтобы узнать, как параметры защиты от эксплойтов могут повлиять на вашу среду.
Пример:
DeviceEvents
| where ActionType startswith 'ExploitGuard' and ActionType !contains 'NetworkProtection'
Защита от эксплойтов и расширенная охота
Ниже приведены расширенные типы действий охоты, доступные для защиты от эксплойтов.
Имя защиты от эксплойтов | Защита от эксплойтов — расширенная охота — ActionTypes |
---|---|
Произвольный Code Guard | ExploitGuardAcgAudited ExploitGuardAcgEnforced |
Не разрешать дочерние процессы | ExploitGuardChildProcessAudited ExploitGuardChildProcessBlocked |
Фильтрация адресов экспорта (EAF) | ExploitGuardEafViolationAudited ExploitGuardEafViolationBlocked |
Фильтрация адресов импорта (IAF) | ExploitGuardIafViolationAudited ExploitGuardIafViolationBlocked |
Блокировать изображений с низкой целостностью | ExploitGuardLowIntegrityImageAudited ExploitGuardLowIntegrityImageBlocked |
Защита целостности кода | ExploitGuardNonMicrosoftSignedAudited ExploitGuardNonMicrosoftSignedBlocked |
• Имитация выполнения (SimExec) • Проверка вызова API (CallerCheck) • Проверка целостности стека (StackPivot) |
ExploitGuardRopExploitAudited ExploitGuardRopExploitBlocked |
Блокировать удаленные изображения | ExploitGuardSharedBinaryAudited ExploitGuardSharedBinaryBlocked |
Отключить системные вызовы Win32k | ExploitGuardWin32SystemCallAudited ExploitGuardWin32SystemCallBlocked |
Просмотр событий защиты от эксплойтов в средстве просмотра событий Windows
Вы можете просмотреть журнал событий Windows, чтобы просмотреть события, созданные при блокировке (или аудите) защиты от эксплойтов приложения:
Поставщик/источник | Идентификатор события | Описание |
---|---|---|
Безопасность — Устранение рисков | 1 | Аудит ACG |
Безопасность — Устранение рисков | 2 | Принудительное выполнение ACG |
Безопасность — Устранение рисков | 3 | Не разрешать аудит для дочерних процессов |
Безопасность — Устранение рисков | 4 | Не разрешать блокировку дочерних процессов |
Безопасность — Устранение рисков | 5 | Блокировать аудит изображений с низкой целостностью |
Безопасность — Устранение рисков | 6 | Блокировать блок изображений с низкой целостностью |
Безопасность — Устранение рисков | 7 | Блокировать аудит удаленных изображений |
Безопасность — Устранение рисков | 8 | Блокировать блок удаленных изображений |
Безопасность — Устранение рисков | 9 | Отключить аудит системных вызовов Win32k |
Безопасность — Устранение рисков | 10 | Отключить блокировку системных вызовов win32k |
Безопасность — Устранение рисков | 11 | Аудит защиты целостности кода |
Безопасность — Устранение рисков | 12 | Блок защиты целостности кода |
Безопасность — Устранение рисков | 13 | Аудит EAF |
Безопасность — Устранение рисков | 14 | Принудительное выполнение EAF |
Безопасность — Устранение рисков | 15 | EAF + аудит |
Безопасность — Устранение рисков | 16 | EAF+ принудительное выполнение |
Безопасность — Устранение рисков | 17 | Аудит IAF |
Безопасность — Устранение рисков | 18 | Принудительное выполнение IAF |
Безопасность — Устранение рисков | 19 | Аудит ROP StackPivot |
Безопасность — Устранение рисков | 20 | Принудительное выполнение ROP StackPivot |
Безопасность — Устранение рисков | 21 | Аудит ROP CallerCheck |
Безопасность — Устранение рисков | 22 | Принудительное выполнение ROP CallerCheck |
Безопасность — Устранение рисков | 23 | Аудит ROP SimExec |
Безопасность — Устранение рисков | 24 | Принудительное выполнение ROP SimExec |
WER - Диагностика | 5 | Блок CFG |
Win32K | 260 | Ненадежный шрифт |
Сравнение устранения рисков
Средства защиты, доступные в EMET, включены в Windows 10 (начиная с версии 1709), в Windows 11 и Windows Server (начиная с версии 1803) в разделе Защита от эксплойтов.
В таблице этого раздела указаны доступность и поддержка встроенных средств защиты EMET и защиты от эксплойтов.
Устранение рисков | Доступно в рамках защиты от эксплойтов | Доступно в EMET |
---|---|---|
Механизм Arbitrary code guard (ACG) | Да | Да Как "Проверка защиты памяти" |
Блокировать удаленные изображения | Да | Да Как "Загрузка проверки библиотеки" |
Блокировка ненадежные шрифты | Да | Да |
Предотвращение выполнения данных (DEP) | Да | Да |
Фильтрация адресов экспорта (EAF) | Да | Да |
Принудительный случайный выбор изображений (обязательный ASLR) | Да | Да |
Устранение рисков безопасности NullPage | Да Изначально включено в Windows 10 и Windows 11 Дополнительные сведения см. в статье Устранение угроз с помощью Windows 10 функций безопасности. |
Да |
Случайные выделения памяти (ASLR снизу вверх) | Да | Да |
Имитация выполнения (SimExec) | Да | Да |
Проверка вызова API (CallerCheck) | Да | Да |
Проверка цепочек исключений (SEHOP) | Да | Да |
Проверка целостности стека (StackPivot) | Да | Да |
Сертификат доверия (настраиваемое закрепление сертификата) | Windows 10 и Windows 11 обеспечивают закрепление корпоративных сертификатов | Да |
Выделение распыления кучи | Неэффективно в отношении новых браузерных эксплойтов; новые меры защиты обеспечивают лучшую защиту Дополнительные сведения см. в статье Устранение угроз с помощью Windows 10 функций безопасности. |
Да |
Блокировать изображений с низкой целостностью | Да | Нет |
Защита целостности кода | Да | Нет |
Отключить точки расширения | Да | Нет |
Отключить системные вызовы Win32k | Да | Нет |
Не разрешать дочерние процессы | Да | Нет |
Фильтрация адресов импорта (IAF) | Да | Нет |
Проверка использования дескриптора | Да | Нет |
Проверка целостности кучи | Да | Нет |
Проверка целостности зависимостей изображения | Да | Нет |
Примечание.
Расширенные средства защиты от ROP, доступные в EMET, заменены ACG в Windows 10 и Windows 11. Другие дополнительные параметры EMET включены по умолчанию в рамках включения мер защиты от ROP для процесса. Дополнительные сведения о том, как Windows 10 использует существующую технологию EMET, см. в статье Устранение угроз с помощью Windows 10 функций безопасности.
См. также
- Настройка и аудит мер защиты от эксплойтов
- Устранение неполадок защиты от эксплойтов
- Оптимизация развертывания и обнаружений правил сокращения направлений атак
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.