Utvärdera sårbarhetsskydd
Gäller för:
- Microsoft Defender för Endpoint Abonnemang 1
- Microsoft Defender för Endpoint Abonnemang 2
- Microsoft Defender XDR
Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.
Sårbarhetsskydd hjälper till att skydda enheter från skadlig kod som använder exploits för att sprida och infektera andra enheter. Riskreducering kan tillämpas antingen på operativsystemet eller på en enskild app. Många av de funktioner som ingick i EMET (Enhanced Mitigation Experience Toolkit) ingår i sårbarhetsskyddet. (Supporten för EMET har upphört.)
I granskning kan du se hur riskreducering fungerar för vissa appar i en testmiljö. Detta visar vad som skulle hända om du aktiverar exploateringsskydd i produktionsmiljön. På så sätt kan du kontrollera att sårbarhetsskydd inte påverkar verksamhetsspecifika appar negativt och se vilka misstänkta eller skadliga händelser som inträffar.
Allmänna riktlinjer
Riskreducering av sårbarhetsskydd fungerar på en låg nivå i operativsystemet, och vissa typer av programvara som utför liknande åtgärder på låg nivå kan ha kompatibilitetsproblem när de är konfigurerade för att skyddas med hjälp av sårbarhetsskydd.
Vilka typer av programvara bör inte skyddas av sårbarhetsskydd?
- Program för skydd mot skadlig kod och intrångsskydd eller identifiering
- Felsökningsprogram
- Programvara som hanterar DRM-tekniker (digital rights management) (det vill ex. videospel)
- Programvara som använder tekniker för felsökning, fördunklare eller hooking
Vilken typ av program bör du överväga att aktivera sårbarhetsskydd?
Program som tar emot eller hanterar ej betrodda data.
Vilken typ av processer ligger utanför omfånget för sårbarhetsskydd?
Tjänster
- Systemtjänster
- Nätverkstjänster
Sårbarhetsskyddsreducering aktiverad som standard
| Riskreducering | Aktiverad som standard |
|---|---|
| Dataexekveringsskydd (DEP) | 64-bitars- och 32-bitarsprogram |
| Verifiera undantagskedjor (SEHOP) | 64-bitarsprogram |
| Verifiera integritet för heap | 64-bitars- och 32-bitarsprogram |
Inaktuella åtgärder för programinställningar
| Åtgärder för programinställningar | Förnuft |
|---|---|
| EAF (Export address filtering) | Problem med programkompatibilitet |
| IAF (Import address filtering) | Problem med programkompatibilitet |
| Simulera körning (SimExec) | Ersatt med Godtycklig Code Guard (ACG) |
| Verifiera API-anrop (CallerCheck) | Ersatt med Godtycklig Code Guard (ACG) |
| Verifiera stackintegritet (StackPivot) | Ersatt med Godtycklig Code Guard (ACG) |
Metodtips för Office-program
I stället för att använda Exploit Protection för Office-program som Outlook, Word, Excel, PowerPoint och OneNote bör du överväga att använda en modernare metod för att förhindra missbruk: Regler för minskning av attackytan (ASR-regler):
- Blockera körbart innehåll från e-postklienten och webbmeddelandet
- Blockera Office-program från att skapa körbart innehåll
- Blockera alla Office-program från att skapa underordnade processer
- Blockera Office-kommunikationsprogram från att skapa underordnade processer
- Blockera Office-program från att mata in kod i andra processer
- Blockera körning av potentiellt dolda skript
- Blockera Win32 API-anrop från Office-makron
Använd följande ASR-regel för Adobe Reader:
• Blockera Adobe Reader från att skapa underordnade processer
Lista över programkompatibilitet
I följande tabell visas specifika produkter som har kompatibilitetsproblem med de åtgärder som ingår i sårbarhetsskyddet. Du måste inaktivera specifika inkompatibla åtgärder om du vill skydda produkten med hjälp av sårbarhetsskydd. Tänk på att den här listan tar hänsyn till standardinställningarna för de senaste versionerna av produkten. Kompatibilitetsproblem kan introduceras när du tillämpar vissa tillägg eller andra komponenter på standardprogramvaran.
| Produkt | Riskreducering för sårbarhetsskydd |
|---|---|
| .NET 2.0/3.5 | EAF/IAF |
| 7-Zip Console/GUI/File Manager | EAF |
| AMD 62xx-processorer | EAF |
| Power Broker för Avecto (bortom förtroende) | EAF, EAF+, Stack Pivot |
| Vissa AMD-videodrivrutiner (ATI) | System ASLR=AlwaysOn |
| DropBox | EAF |
| Excel Power Query, Power View, Power Map och PowerPivot | EAF |
| Google Chrome | EAF+ |
| Immidio Flex+ | EAF |
| Microsoft Office Web Components (OWC) | System DEP=AlwaysOn |
| Microsoft PowerPoint | EAF |
| Microsoft Teams | EAF+ |
| Oracle Javaǂ | Heapspray |
| Pitney Bowes Print Audit 6 | SimExecFlow |
| Siebel CRM-versionen är 8.1.1.9 | SEHOP |
| Skype | EAF |
| SolarWinds Syslogd Manager | EAF |
| Windows mediespelare | MandatoryASLR, EAF |
ǂ EMET-åtgärder kan vara inkompatibla med Oracle Java när de körs med hjälp av inställningar som reserverar en stor mängd minne för den virtuella datorn (d.v.s. med hjälp av alternativet -Xms).
Aktivera systeminställningar för exploateringsskydd för testning
De här systeminställningarna för sårbarhetsskydd är aktiverade som standard förutom aslr(Mandatory Address Space Layout Randomization) på Windows 10 och senare, Windows Server 2019 och senare, och i Windows Server version 1803 core edition och senare.
| Systeminställningar | Inställning |
|---|---|
| Control Flow Guard (CFG) | Använd standard (på) |
| Dataexekveringsskydd (DEP) | Använd standard (på) |
| Framtvinga slumpmässighet för bilder (obligatorisk ASRL) | Använd standard (av) |
| Randomisera minnesallokeringar (ASRL nedifrån och upp) | Använd standard (på) |
| ASRL med hög entropi | Använd standard (på) |
| Verifiera undantagskedjor (SEHOP) | Använd standard (på) |
XML-exemplet finns nedan
<?xml version="1.0" encoding="UTF-8"?>
<MitigationPolicy>
<SystemConfig>
<DEP Enable="true" EmulateAtlThunks="false" />
<ASLR ForceRelocateImages="false" RequireInfo="false" BottomUp="true" HighEntropy="true" />
<ControlFlowGuard Enable="true" SuppressExports="false" />
<SEHOP Enable="true" TelemetryOnly="false" />
<Heap TerminateOnError="true" />
</SystemConfig>
</MitigationPolicy>
Aktivera programinställningar för exploateringsskydd för testning
Tips
Vi rekommenderar starkt att du granskar den moderna metoden för sårbarhetsminskningar, som är att använda regler för minskning av attackytan (ASR-regler).
Du kan ange riskreduceringar i ett testläge för specifika program med hjälp av Windows Security-appen eller Windows PowerShell.
Windows-säkerhet app
Öppna Windows-säkerhetsappen. Välj sköldikonen i aktivitetsfältet eller sök efter Windows-säkerhet på startmenyn.
Välj panelen App- & webbläsarkontroll (eller appikonen på den vänstra menyraden) och välj sedan Sårbarhetsskydd.
Gå till Programinställningar och välj den app som du vill tillämpa skydd för:
Om den app som du vill konfigurera redan visas markerar du den och väljer sedan Redigera.
Om appen inte visas överst i listan väljer du Lägg till program att anpassa. Välj sedan hur du vill lägga till appen.
- Använd Lägg till efter programnamn om du vill att åtgärden ska tillämpas på alla processer som körs med det namnet. Ange en fil med ett filnamnstillägg. Du kan ange en fullständig sökväg för att begränsa begränsningen till endast appen med det namnet på den platsen.
- Använd Välj exakt filsökväg om du vill använda ett standardfönster för utforskaren för att söka efter och välja den fil du vill använda.
När du har valt appen visas en lista över alla åtgärder som kan tillämpas. Om du väljer Granskning tillämpas begränsningen endast i testläge. Du meddelas om du behöver starta om processen, appen eller Windows.
Upprepa den här proceduren för alla appar och åtgärder som du vill konfigurera. Välj Använd när du är klar med konfigurationen.
PowerShell
Om du vill ställa in åtgärder på appnivå till testläge använder Set-ProcessMitigation du cmdleten Granskningsläge .
Konfigurera varje åtgärd i följande format:
Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>
Var:
-
<Omfång>:
-
-Nameför att ange att åtgärder ska tillämpas på en specifik app. Ange appens körbara fil efter den här flaggan.
-
-
<Åtgärd>:
-
-Enableför att aktivera åtgärden-
-Disableför att inaktivera åtgärden
-
-
-
<Åtgärd:>
- Åtgärdens cmdlet enligt definitionen i följande tabell. Varje åtgärd avgränsas med kommatecken.
| Riskreducering | Cmdlet för testläge |
|---|---|
| ACG (Godtyckligt kodskydd) | AuditDynamicCode |
| Blockera bilder med låg integritet | AuditImageLoad |
| Blockera teckensnitt som inte är betrodda |
AuditFont, FontAuditOnly |
| Kodintegritetsskydd |
AuditMicrosoftSigned, AuditStoreSigned |
| Inaktivera Win32k-systemanrop | AuditSystemCall |
| Tillåt inte blockering av underordnade processer | AuditChildProcess |
Om du till exempel vill aktivera Godtycklig Code Guard (ACG) i testläge för en app med namnet testing.exekör du följande kommando:
Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable AuditDynamicCode
Du kan inaktivera granskningsläget genom att ersätta -Enable med -Disable.
Granska granskningshändelser för sårbarhetsskydd
Om du vill granska vilka appar som ska blockeras öppnar du Loggboken och filtrerar efter följande händelser i Security-Mitigations loggen.
| Funktion | Leverantör/källa | Händelse-ID | Beskrivning |
|---|---|---|---|
| Exploateringsskydd | Säkerhet-Åtgärder (kernelläge/användarläge) | 1 | ACG-granskning |
| Exploateringsskydd | Säkerhet-Åtgärder (kernelläge/användarläge) | 3 | Tillåt inte granskning av underordnade processer |
| Exploateringsskydd | Säkerhet-Åtgärder (kernelläge/användarläge) | 5 | Blockera granskning av bilder med låg integritet |
| Exploateringsskydd | Säkerhet-Åtgärder (kernelläge/användarläge) | 7 | Blockera granskning av fjärrbilder |
| Exploateringsskydd | Säkerhet-Åtgärder (kernelläge/användarläge) | 9 | Inaktivera granskning av win32k-systemanrop |
| Exploateringsskydd | Säkerhet-Åtgärder (kernelläge/användarläge) | 11 | Granskning av kodintegritetsskydd |
Se även
- Aktivera exploateringsskydd
- Konfigurera och granska riskreduceringar för exploateringsskydd
- Konfigurationer för att import, export och distribuering av exploateringsskydd
- Felsöka exploateringsskydd
Tips
Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.