Поделиться через


Защита устройств от эксплойтов

Область применения:

Защита от эксплойтов автоматически применяет множество методов защиты от эксплойтов к процессам и приложениям операционной системы. Защита от эксплойтов поддерживается, начиная с Windows 10 версии 1709, в Windows 11 и Windows Server версии 1803.

Защита от эксплойтов лучше всего работает с Defender для конечной точки, который предоставляет подробные отчеты о событиях и блоках защиты от эксплойтов в рамках обычных сценариев исследования оповещений.

Можно включить защиту от эксплойтов на отдельном устройстве, а затем использовать групповую политику для распространения XML-файла на несколько устройств одновременно.

При обнаружении устранения рисков на устройстве отображается уведомление из Центра уведомлений. Вы можете настроить уведомление, указав сведения о вашей организации и контактные данные. Вы также можете включить правила по отдельности, чтобы настроить, какие методы отслеживает функция.

Вы также можете использовать режим аудита, чтобы оценить, как защита от эксплойтов повлияет на вашу организацию, если она будет включена.

Многие функции в EMET включены в защиту от эксплойтов. Фактически вы можете преобразовать и импортировать существующие профили конфигурации EMET в защиту от эксплойтов. Дополнительные сведения см. в разделе Импорт, экспорт и развертывание конфигураций защиты от эксплойтов

Важно!

Если вы используете EMET, следует помнить, что поддержка EMET была прекращена 31 июля 2018 года. Рассмотрите возможность замены EMET на защиту от эксплойтов в Windows 10.

Предупреждение

Некоторые технологии защиты безопасности могут иметь проблемы совместимости с некоторыми приложениями. Необходимо проверить защиту от эксплойтов во всех сценариях целевого использования с помощью режима аудита перед развертыванием конфигурации в производственной среде или в остальной части сети.

Просмотр событий защиты от эксплойтов на портале Microsoft Defender

Defender для конечной точки предоставляет подробные отчеты о событиях и блоках в рамках сценариев исследования оповещений.

Вы можете запрашивать данные Defender для конечной точки с помощью Расширенной охоты на угрозы. Если вы используете режим аудита, вы можете использовать расширенную охоту на угрозы, чтобы узнать, как параметры защиты от эксплойтов могут повлиять на вашу среду.

Пример:

DeviceEvents
| where ActionType startswith 'ExploitGuard' and ActionType !contains 'NetworkProtection'

Защита от эксплойтов и расширенная охота

Ниже приведены расширенные типы действий охоты, доступные для защиты от эксплойтов.

Имя защиты от эксплойтов Защита от эксплойтов — расширенная охота — ActionTypes
Произвольный Code Guard ExploitGuardAcgAudited
ExploitGuardAcgEnforced
Не разрешать дочерние процессы ExploitGuardChildProcessAudited
ExploitGuardChildProcessBlocked
Фильтрация адресов экспорта (EAF) ExploitGuardEafViolationAudited
ExploitGuardEafViolationBlocked
Фильтрация адресов импорта (IAF) ExploitGuardIafViolationAudited
ExploitGuardIafViolationBlocked
Блокировать изображений с низкой целостностью ExploitGuardLowIntegrityImageAudited
ExploitGuardLowIntegrityImageBlocked
Защита целостности кода ExploitGuardNonMicrosoftSignedAudited
ExploitGuardNonMicrosoftSignedBlocked
• Имитация выполнения (SimExec)
• Проверка вызова API (CallerCheck)
• Проверка целостности стека (StackPivot)
ExploitGuardRopExploitAudited
ExploitGuardRopExploitBlocked
Блокировать удаленные изображения ExploitGuardSharedBinaryAudited
ExploitGuardSharedBinaryBlocked
Отключить системные вызовы Win32k ExploitGuardWin32SystemCallAudited
ExploitGuardWin32SystemCallBlocked

Просмотр событий защиты от эксплойтов в средстве просмотра событий Windows

Вы можете просмотреть журнал событий Windows, чтобы просмотреть события, созданные при блокировке (или аудите) защиты от эксплойтов приложения:

Поставщик/источник Идентификатор события Описание
Безопасность — Устранение рисков 1 Аудит ACG
Безопасность — Устранение рисков 2 Принудительное выполнение ACG
Безопасность — Устранение рисков 3 Не разрешать аудит для дочерних процессов
Безопасность — Устранение рисков 4 Не разрешать блокировку дочерних процессов
Безопасность — Устранение рисков 5 Блокировать аудит изображений с низкой целостностью
Безопасность — Устранение рисков 6 Блокировать блок изображений с низкой целостностью
Безопасность — Устранение рисков 7 Блокировать аудит удаленных изображений
Безопасность — Устранение рисков 8 Блокировать блок удаленных изображений
Безопасность — Устранение рисков 9 Отключить аудит системных вызовов Win32k
Безопасность — Устранение рисков 10 Отключить блокировку системных вызовов win32k
Безопасность — Устранение рисков 11 Аудит защиты целостности кода
Безопасность — Устранение рисков 12 Блок защиты целостности кода
Безопасность — Устранение рисков 13 Аудит EAF
Безопасность — Устранение рисков 14 Принудительное выполнение EAF
Безопасность — Устранение рисков 15 EAF + аудит
Безопасность — Устранение рисков 16 EAF+ принудительное выполнение
Безопасность — Устранение рисков 17 Аудит IAF
Безопасность — Устранение рисков 18 Принудительное выполнение IAF
Безопасность — Устранение рисков 19 Аудит ROP StackPivot
Безопасность — Устранение рисков 20 Принудительное выполнение ROP StackPivot
Безопасность — Устранение рисков 21 Аудит ROP CallerCheck
Безопасность — Устранение рисков 22 Принудительное выполнение ROP CallerCheck
Безопасность — Устранение рисков 23 Аудит ROP SimExec
Безопасность — Устранение рисков 24 Принудительное выполнение ROP SimExec
WER - Диагностика 5 Блок CFG
Win32K 260 Ненадежный шрифт

Сравнение устранения рисков

Средства защиты, доступные в EMET, включены в Windows 10 (начиная с версии 1709), в Windows 11 и Windows Server (начиная с версии 1803) в разделе Защита от эксплойтов.

В таблице этого раздела указаны доступность и поддержка встроенных средств защиты EMET и защиты от эксплойтов.

Устранение рисков Доступно в рамках защиты от эксплойтов Доступно в EMET
Механизм Arbitrary code guard (ACG) Да Да
Как "Проверка защиты памяти"
Блокировать удаленные изображения Да Да
Как "Загрузка проверки библиотеки"
Блокировка ненадежные шрифты Да Да
Предотвращение выполнения данных (DEP) Да Да
Фильтрация адресов экспорта (EAF) Да Да
Принудительный случайный выбор изображений (обязательный ASLR) Да Да
Устранение рисков безопасности NullPage Да
Изначально включено в Windows 10 и Windows 11
Дополнительные сведения см. в статье Устранение угроз с помощью Windows 10 функций безопасности.
Да
Случайные выделения памяти (ASLR снизу вверх) Да Да
Имитация выполнения (SimExec) Да Да
Проверка вызова API (CallerCheck) Да Да
Проверка цепочек исключений (SEHOP) Да Да
Проверка целостности стека (StackPivot) Да Да
Сертификат доверия (настраиваемое закрепление сертификата) Windows 10 и Windows 11 обеспечивают закрепление корпоративных сертификатов Да
Выделение распыления кучи Неэффективно в отношении новых браузерных эксплойтов; новые меры защиты обеспечивают лучшую защиту
Дополнительные сведения см. в статье Устранение угроз с помощью Windows 10 функций безопасности.
Да
Блокировать изображений с низкой целостностью Да Нет
Защита целостности кода Да Нет
Отключить точки расширения Да Нет
Отключить системные вызовы Win32k Да Нет
Не разрешать дочерние процессы Да Нет
Фильтрация адресов импорта (IAF) Да Нет
Проверка использования дескриптора Да Нет
Проверка целостности кучи Да Нет
Проверка целостности зависимостей изображения Да Нет

Примечание.

Расширенные средства защиты от ROP, доступные в EMET, заменены ACG в Windows 10 и Windows 11. Другие дополнительные параметры EMET включены по умолчанию в рамках включения мер защиты от ROP для процесса. Дополнительные сведения о том, как Windows 10 использует существующую технологию EMET, см. в статье Устранение угроз с помощью Windows 10 функций безопасности.

См. также

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.