保护设备免遭攻击
适用于:
Exploit Protection 自动将大量攻击缓解技术应用于操作系统进程和应用。 从 Windows 10 版本 1709、Windows 11 和 Windows Server 版本 1803 开始支持 Exploit Protection。
Exploit Protection 最适用于 Microsoft Defender for Endpoint,向你详细报告 Exploit Protection 事件和阻止,作为常见警报调查方案的一部分。
可以在单个设备上启用 Exploit Protection,然后使用组策略将 XML 文件一次性分发到多个设备。
在设备上找到缓解措施时,将从操作中心显示通知。 你可以使用公司的详细信息和联系人信息自定义通知。 还可以单独启用规则以自定义功能所监视的技术。
还可以使用审核模式评估 Exploit Protection(如果已启用)对你的组织有何影响。
增强型减灾体验工具包(EMET)中的许多功能都包含在 Exploit Protection 中。 实际上,你可以将现有的 EMET 配置文件转换并导入到 Exploit Protection 中。 如需了解更多信息,请参阅导入、导出和部署 Exploit Protection 配置。
重要
如果你当前使用的是 EMET,请注意 EMET 已于 2018 年 7 月 31 日终止支持。 请考虑将 EMET 替换为 Windows 10 中的 Exploit Protection。
警告
某些安全缓解技术可能存在某些应用程序的兼容性问题。 应在生产环境或网络的其余部分中部署配置之前,使用审核模式测试所有目标使用方案中的 Exploit Protection。
在Microsoft Defender门户中查看攻击保护事件
Microsoft Defender for Endpoint 向你详细报告事件和阻止,作为其警报调查方案的一部分。
可以使用高级搜寻查询 Microsoft Defender for Endpoint 数据。 如果你使用的是审核模式,则可以使用高级搜寻来了解 Exploit Protection 设置对你的环境有何影响。
示例查询如下:
DeviceEvents
| where ActionType startswith 'ExploitGuard' and ActionType !contains 'NetworkProtection'
攻击保护和高级搜寻
下面是可用于 Exploit Protection 的高级搜寻操作类型。
Exploit Protection 缓解名称 | 攻击防护 - 高级搜寻 - ActionTypes |
---|---|
任意代码防护 | ExploitGuardAcgAudited ExploitGuardAcgEnforced |
不允许子进程 | ExploitGuardChildProcessAudited ExploitGuardChildProcessBlocked |
导出地址筛选(EAF) | ExploitGuardEafViolationAudited ExploitGuardEafViolationBlocked |
导入地址筛选(IAF) | ExploitGuardIafViolationAudited ExploitGuardIafViolationBlocked |
阻止低完整性图像 | ExploitGuardLowIntegrityImageAudited ExploitGuardLowIntegrityImageBlocked |
代码完整性防护 | ExploitGuardNonMicrosoftSignedAudited ExploitGuardNonMicrosoftSignedBlocked |
• 模拟 simExec) (执行 • 验证 API 调用 (调用方Check) • (StackPivot) 验证堆栈完整性 |
ExploitGuardRopExploitAudited ExploitGuardRopExploitBlocked |
阻止远程图像 | ExploitGuardSharedBinaryAudited ExploitGuardSharedBinaryBlocked |
禁用 Win32k 系统调用 | ExploitGuardWin32SystemCallAudited ExploitGuardWin32SystemCallBlocked |
在 Windows 事件查看器中查看 Exploit Protection 事件
可以查看 Windows 事件日志以了解在 Exploit Protection 阻止(或审核)应用时创建的事件:
提供程序/源 | 事件 ID | 描述 |
---|---|---|
安全缓解 | 1 | ACG 审核 |
安全缓解 | 2 | ACG 强制 |
安全缓解 | 3 | 不允许子进程审核 |
安全缓解 | 4 | 不允许子进程阻止 |
安全缓解 | 5 | 阻止低完整性图像审核 |
安全缓解 | 6 | 阻止低完整性图像阻止 |
安全缓解 | 7 | 阻止远程图像审核 |
安全缓解 | 8 | 阻止远程图像阻止 |
安全缓解 | 9 | 禁用 win32k 系统调用审核 |
安全缓解 | 10 | 禁用 win32k 系统调用阻止 |
安全缓解 | 11 | 代码完整性防护审核 |
安全缓解 | 12 | 代码完整性防护阻止 |
安全缓解 | 13 | EAF 审核 |
安全缓解 | 14 | EAF 强制 |
安全缓解 | 15 | EAF+ 审核 |
安全缓解 | 16 | EAF+ 强制 |
安全缓解 | 17 | IAF 审核 |
安全缓解 | 18 | IAF 强制 |
安全缓解 | 19 | ROP StackPivot 审核 |
安全缓解 | 20 | ROP StackPivot 强制 |
安全缓解 | 21 | ROP CallerCheck 审核 |
安全缓解 | 22 | ROP CallerCheck 强制 |
安全缓解 | 23 | ROP SimExec 审核 |
安全缓解 | 24 | ROP SimExec 强制 |
WER-诊断 | 5 | CFG 阻止 |
Win32K | 260 | 不受信任的字体 |
缓解比较
EMET 中提供的缓解包含在 Exploit Protection 下的本地 Windows 10(从版本 1709 开始)、Windows 11 和 Windows Server(从版本 1803 开始)中。
本部分中的表格表示 EMET 和 Exploit Protection 之间的本机缓解的可用性和支持。
缓解 | 在 Exploit protection 下可用 | 在 EMET 中可用 |
---|---|---|
任意代码防护(ACG) | 是 | 是 作为“内存保护检查” |
阻止远程图像 | 是 | 是 作为“加载库检查” |
阻止不受信任的字体 | 是 | 是 |
数据执行保护(DEP) | 是 | 是 |
导出地址筛选(EAF) | 是 | 是 |
强制图像随机化(强制 ASLR) | 是 | 是 |
Null 页安全缓解 | 是 包含在本地 Windows 10 和 Windows 11 中 有关详细信息,请参阅使用Windows 10安全功能缓解威胁 |
是 |
随机内存分配(由下而上 ASLR) | 是 | 是 |
模拟执行(SimExec) | 是 | 是 |
验证 API 调用(CallerCheck) | 是 | 是 |
验证异常链(SEHOP) | 是 | 是 |
验证堆栈完整性(StackPivot) | 是 | 是 |
证书信任(可配置的证书固定) | Windows 10 和 Windows 11 提供企业证书固定 | 是 |
堆喷射分配 | 对基于浏览器的较新攻击无效;较新的缓解可提供更好的保护 有关详细信息,请参阅使用Windows 10安全功能缓解威胁 |
是 |
阻止低完整性图像 | 是 | 否 |
代码完整性防护 | 是 | 否 |
禁用扩展点 | 是 | 否 |
禁用 Win32k 系统调用 | 是 | 否 |
不允许子进程 | 是 | 否 |
导入地址筛选(IAF) | 是 | 否 |
验证处理使用情况 | 是 | 否 |
验证堆完整性 | 是 | 否 |
验证映像依赖项完整性 | 是 | 否 |
注意
EMET 中提供的高级 ROP 缓解已由 Windows 10 和 Windows 11 中的 ACG 取代,默认情况下,在为进程启用反 ROP 缓解的过程将启用其他 EMET 高级设置。 有关Windows 10如何采用现有 EMET 技术的详细信息,请参阅使用Windows 10安全功能缓解威胁。
另请参阅
提示
想要了解更多信息? Engage技术社区中的Microsoft安全社区:Microsoft Defender for Endpoint技术社区。