Skydda enheter mot exploateringar
Gäller för:
- Microsoft Defender för Endpoint Abonnemang 1
- Microsoft Defender för Endpoint Abonnemang 2
- Microsoft Defender XDR
Sårbarhetsskydd tillämpar automatiskt många sårbarhetstekniker för operativsystemets processer och appar. Sårbarhetsskydd stöds från Windows 10, version 1709, Windows 11 och Windows, version 1803.
Exploateringsskydd fungerar bäst med Defender för Endpoint, som ger dig detaljerad rapportering om händelser och blockeringar för exploateringsskydd som en del av vanligt förekommande scenarier för aviseringsundersökning.
Du kan aktivera exploateringsskydd på en enskild enhet och sedan använda grupprincip för att distribuera XML-filen till flera enheter samtidigt.
När en åtgärd hittas på enheten visas ett meddelande från Åtgärdscenter. Du kan anpassa aviseringen med företagets information och kontaktinformation. Du kan även aktivera reglerna individuellt för att anpassa vilka tekniker som funktionen ska övervaka.
Du kan också använda granskningsläge för att utvärdera hur sårbarhetsskydd skulle påverka organisationen om det var aktiverat.
Många av funktionerna i EMET (Enhanced Mitigation Experience Toolkit) ingår i exploateringsskyddet. I själva verket kan du konvertera och importera befintliga EMET-konfigurationsprofiler till exploateringsskyddet. Mer information finns i Importera, exportera och distribuera konfigurationer för exploateringsskydd.
Viktigt
Om du för närvarande använder EMET bör du vara medveten om att supporten för EMET upphörde den 31 juli 2018. Överväg att ersätta EMET med exploateringsskydd i Windows 10.
Varning
Vissa tekniker för riskreducering kan ha kompatibilitetsproblem med vissa program. Du bör testa exploateringsskyddet i alla målanvändningsscenarier med hjälp av granskningsläget innan du distribuerar konfigurationen i en produktionsmiljö eller i resten av nätverket.
Granska exploateringsskyddshändelser i Microsoft Defender-portalen
Defender för Endpoint tillhandahåller detaljerad rapportering om händelser och blockeringar som en del av scenarier för aviseringsundersökning.
Du kan efterfråga data för Defender för Endpoint med hjälp av Avancerad jakt. Om du använder granskningsläget kan du använda avancerad jakt för att se hur inställningarna för exploateringsskydd kan påverka din miljö.
Här är en exempelfråga:
DeviceEvents
| where ActionType startswith 'ExploitGuard' and ActionType !contains 'NetworkProtection'
Sårbarhetsskydd och avancerad jakt
Nedan visas de avancerade jaktåtgärdstyperna som är tillgängliga för Exploit Protection.
| Riskreduceringsnamn för sårbarhetsskydd | Sårbarhetsskydd – Avancerad jakt – ActionTypes |
|---|---|
| Godtycklig kodskydd | ExploitGuardAcgAudited ExploitGuardAcgEnforced |
| Tillåt inte blockering av underordnade processer | ExploitGuardChildProcessAudited ExploitGuardChildProcessBlocked |
| EAF (Export address filtering) | ExploitGuardEafViolationAudited ExploitGuardEafViolationBlocked |
| IAF (Import address filtering) | ExploitGuardIafViolationAudited ExploitGuardIafViolationBlocked |
| Blockera bilder med låg integritet | ExploitGuardLowIntegrityImageAudited ExploitGuardLowIntegrityImageBlocked |
| Kodintegritetsskydd | ExploitGuardNonMicrosoftSignedAudited ExploitGuardNonMicrosoftSignedBlocked |
| • Simulera körning (SimExec) • Verifiera API-anrop (CallerCheck) • Verifiera stackintegritet (StackPivot) |
ExploitGuardRopExploitAudited ExploitGuardRopExploitBlocked |
| Blockera fjärrbilder | ExploitGuardSharedBinaryAudited ExploitGuardSharedBinaryBlocked |
| Inaktivera Win32k-systemanrop | ExploitGuardWin32SystemCallAudited ExploitGuardWin32SystemCallBlocked |
Granska händelser för exploateringsskydd i Windows Loggboken
Du kan granska händelseloggen för Windows för att se händelser som skapas när exploateringsskyddet blockerar (eller granskar) en app:
| Leverantör/källa | Händelse-ID | Beskrivning |
|---|---|---|
| Säkerhet – Riskreduceringar | 1 | ACG-granskning |
| Säkerhet – Riskreduceringar | 2 | ACG-tillämpning |
| Säkerhet – Riskreduceringar | 3 | Tillåt inte granskning av underordnade processer |
| Säkerhet – Riskreduceringar | 4 | Tillåt inte blockering av underordnade processer |
| Säkerhet – Riskreduceringar | 5 | Blockera granskning av bilder med låg integritet |
| Säkerhet – Riskreduceringar | 6 | Blockera blockering av bilder med låg integritet |
| Säkerhet – Riskreduceringar | 7 | Blockera granskning av fjärrbilder |
| Säkerhet – Riskreduceringar | 8 | Blockera blockering av fjärrbilder |
| Säkerhet – Riskreduceringar | 9 | Inaktivera granskning av win32k-systemanrop |
| Säkerhet – Riskreduceringar | 10 | Inaktivera blockering av win32k-systemanrop |
| Säkerhet – Riskreduceringar | 11 | Granskning av kodintegritetsskydd |
| Säkerhet – Riskreduceringar | 12 | Blockering av kodintegritetsskydd |
| Säkerhet – Riskreduceringar | 13 | EAF-granskning |
| Säkerhet – Riskreduceringar | 14 | EAF-tillämpning |
| Säkerhet – Riskreduceringar | 15 | EAF+ granskning |
| Säkerhet – Riskreduceringar | 16 | EAF+ tillämpning |
| Säkerhet – Riskreduceringar | 17 | IAF-granskning |
| Säkerhet – Riskreduceringar | 18 | IAF-tillämpning |
| Säkerhet – Riskreduceringar | 19 | Granskning för ROP StackPivot |
| Säkerhet – Riskreduceringar | 20 | Tillämpning av ROP StackPivot |
| Säkerhet – Riskreduceringar | 21 | Granskning för ROP CallerCheck |
| Säkerhet – Riskreduceringar | 22 | Tillämpning av ROP CallerCheck |
| Säkerhet – Riskreduceringar | 23 | Granskning för ROP SimExec |
| Säkerhet – Riskreduceringar | 24 | Tillämpning av ROP SimExec |
| WER-diagnostik | 5 | CFG-blockering |
| Win32K | 260 | Teckensnitt som inte är betrott |
Jämförelse av riskreducering
Minskningar som finns i EMET ingår inbyggt i Windows 10 (från och med version 1709), Windows 11 och Windows Server (från och med version 1803), under Sårbarhetsskydd.
Tabellen i det här avsnittet anger tillgänglighet och stöd för interna riskreduceringar mellan EMET och exploateringsskydd.
| Riskreducering | Tillgängligt via exploateringsskydd | Tillgängligt i EMET |
|---|---|---|
| ACG (Arbitrary code guard) | Ja | Ja Som "Kontroll av minnesskydd" |
| Blockera fjärrbilder | Ja | Ja Som "Läs in bibliotekskontroll" |
| Blockera teckensnitt som inte är betrodda | Ja | Ja |
| Dataexekveringsskydd (DEP) | Ja | Ja |
| EAF (Export address filtering) | Ja | Ja |
| Framtvinga slumpmässighet för bilder (obligatorisk ASLR) | Ja | Ja |
| Riskreducering för säkerhet för NullPage | Ja Ingår inbyggt i Windows 10 och Windows 11 Mer information finns i Åtgärda hot med hjälp av Windows 10 säkerhetsfunktioner |
Ja |
| Slumpmässiga minnesallokeringar (ASLR nedifrån och upp) | Ja | Ja |
| Simulera körning (SimExec) | Ja | Ja |
| Verifiera API-anrop (CallerCheck) | Ja | Ja |
| Verifiera undantagskedjor (SEHOP) | Ja | Ja |
| Verifiera stackintegritet (StackPivot) | Ja | Ja |
| Certifikatförtroende (konfigurerbar certifikatfästning) | Windows 10 och Windows 11 tillhandahåller fästa företagscertifikat | Ja |
| Allokering av Heap spray | Ineffektivt mot nyare webbläsarbaserade exploateringar, nyare riskreduceringar ger bättre skydd Mer information finns i Åtgärda hot med hjälp av Windows 10 säkerhetsfunktioner |
Ja |
| Blockera bilder med låg integritet | Ja | Nej |
| Kodintegritetsskydd | Ja | Nej |
| Inaktivera tilläggspunkter | Ja | Nej |
| Inaktivera Win32k-systemanrop | Ja | Nej |
| Tillåt inte blockering av underordnade processer | Ja | Nej |
| IAF (Import address filtering) | Ja | Nej |
| Verifiera referensanvändning | Ja | Nej |
| Verifiera integritet för heap | Ja | Nej |
| Verifiera integritet för bildberoende | Ja | Nej |
Obs!
Avancerade ROP-minskningar som är tillgängliga i EMET ersätts av ACG i Windows 10 och Windows 11, som andra avancerade inställningar för EMET aktiveras som standard, som en del av att aktivera åtgärder mot ROP för en process. Mer information om hur Windows 10 använder befintlig EMET-teknik finns i Riskreduceringshot med hjälp av Windows 10 säkerhetsfunktioner.
Se även
- Konfigurera och granska riskreduceringar för exploateringsskydd
- Felsöka exploateringsskydd
- Optimera distribution och identifiering av ASR-regler
Tips
Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.