共用方式為


保護裝置不遭惡意探索

適用於:

惡意探索防護會自動將數個惡意探索緩解技術套用至作業系統處理程序和應用程式。 從 Windows 10 版本 1709、Windows 11 和 Windows Server 版本 1803 開始,即支援惡意探索防護。

惡意探索防護與適用於端點的 Defender 配合使用時效果最佳 - 能提供您針對惡意探索防護事件和封鎖的詳細報告,做為一般警示調查案例的一部分。

您可以在個別裝置上啟用惡意探索防護,然後使用群組原則將 XML 檔案一次散發至多個裝置。

在裝置上找到緩和措施時,會從控制中心顯示通知。 您可以使用公司詳細資料和連絡資訊自訂通知。 您也可以個別啟用規則,以自訂功能要監視的技術。

您也可以使用稽核模式,評估如果啟用惡意探索防護,其會對您的組織造成什麼影響。

增強的風險降低體驗工具組 (EMET) 中的許多功能包含在惡意探索防護中。 事實上,您可以將現有 EMET 設定的設定檔轉換並匯入惡意探索防護。 若要深入了解,請參閱匯入、匯出及部署惡意探索防護設定

重要事項

如果您目前正在使用 EMET,請注意 EMET 已於 2018 年 7 月 31 日終止支援。 請考慮以 Windows 10 中的惡意探索防護取代 EMET。

警告

某些安全緩解技術可能有某些應用程式的相容性問題。 您應該先使用稽核模式,在所有目標使用案例中測試惡意探索防護,然後再將設定部署至生產環境或網路的其餘部分。

在 Microsoft Defender 入口網站中檢閱惡意探索保護事件

適用於端點的 Defender 提供事件和封鎖的詳細報告,做為警示調查案例的一部分。

您可以使用進階搜捕來查詢適用於端點的 Defender 資料。 如果您使用稽核模式,您可以使用進階搜捕來查看惡意探索防護設定如何影響您的環境。

以下為範例查詢:

DeviceEvents
| where ActionType startswith 'ExploitGuard' and ActionType !contains 'NetworkProtection'

惡意探索保護和進階搜捕

以下是可用於惡意探索保護的進階搜捕動作類型。

惡意探索保護防護功能名稱 惡意探索保護 - 進階搜捕 - ActionTypes
任意程式碼防護 ExploitGuardAcgAudited
ExploitGuardAcgEnforced
不允許子處理序 ExploitGuardChildProcessAudited
ExploitGuardChildProcessBlocked
匯出位址篩選 (EAF) ExploitGuardEafViolationAudited
ExploitGuardEafViolationBlocked
匯入位址篩選 (IAF) ExploitGuardIafViolationAudited
ExploitGuardIafViolationBlocked
封鎖低完整性映像 ExploitGuardLowIntegrityImageAudited
ExploitGuardLowIntegrityImageBlocked
程式碼完整性防護 ExploitGuardNonMicrosoftSignedAudited
ExploitGuardNonMicrosoftSignedBlocked
• 模擬執行 (SimExec)
• 驗證呼叫端的 API 調用 (檢查)
• 驗證 StackPivot (堆疊完整性)
ExploitGuardRopExploitAudited
ExploitGuardRopExploitBlocked
封鎖遠端映像 ExploitGuardSharedBinaryAudited
ExploitGuardSharedBinaryBlocked
停用 Win32k 系統呼叫 ExploitGuardWin32SystemCallAudited
ExploitGuardWin32SystemCallBlocked

在 Windows 事件檢視器中檢閱惡意探索防護事件

您可以檢閱 Windows 事件記錄,以查看當惡意探索防護封鎖 (或稽核) 應用程式時所建立的事件:

提供者/來源 事件識別碼 描述
安全性 - 緩和措施 1 ACG 稽核
安全性 - 緩和措施 2 ACG 強制執行
安全性 - 緩和措施 3 不允許子處理序稽核
安全性 - 緩和措施 4 不允許子處理序封鎖
安全性 - 緩和措施 5 封鎖低完整性映像稽核
安全性 - 緩和措施 6 封鎖低完整性映像封鎖
安全性 - 緩和措施 7 封鎖遠端映像稽核
安全性 - 緩和措施 8 封鎖遠端映像封鎖
安全性 - 緩和措施 9 停用 win32k 系統呼叫稽核
安全性 - 緩和措施 10 停用 win32k 系統呼叫封鎖
安全性 - 緩和措施 11 程式碼完整性防護稽核
安全性 - 緩和措施 12 程式碼完整性防護封鎖
安全性 - 緩和措施 13 EAF 稽核
安全性 - 緩和措施 14 EAF 強制執行
安全性 - 緩和措施 15 EAF+ 稽核
安全性 - 緩和措施 16 EAF+ 強制執行
安全性 - 緩和措施 17 IAF 稽核
安全性 - 緩和措施 18 IAF 強制執行
安全性 - 緩和措施 19 ROP StackPivot 稽核
安全性 - 緩和措施 20 ROP StackPivot 強制執行
安全性 - 緩和措施 21 ROP CallerCheck 稽核
安全性 - 緩和措施 22 ROP CallerCheck 強制執行
安全性 - 緩和措施 23 ROP SimExec 稽核
安全性 - 緩和措施 24 ROP SimExec 強制執行
WER-Diagnostics 5 CFG 封鎖
Win32K 260 不信任的字型

緩和措施比較

EMET 中提供的緩和措施原生包含在 Windows 10 (從版本 1709 開始)、Windows 11 和 Windows Server (從版本 1803 開始) 的惡意探索防護下。

本節中的表格指出 EMET 與惡意探索防護之間,原生緩和措施的可用性和支援。

緩和措施 可在 [惡意探索防護] 下使用 可在 EMET 中使用
任意程式碼防護 (ACG)
做為「記憶體保護檢查」
封鎖遠端映像
做為「載入程式庫檢查」
封鎖不信任的字型
資料執行防護 (DEP)
匯出位址篩選 (EAF)
強制執行映像隨機化 (強制 ASLR)
NullPage 安全性緩和措施
原生包含在 Windows 10 和 Windows 11 中
如需詳細資訊,請參閱使用 Windows 10 安全性功能減輕威脅
隨機記憶體配置 (由下而上 ASLR)
模擬執行 (SimExec)
驗證 API 引動過程 (CallerCheck)
驗證例外狀況鏈結 (SEHOP)
驗證堆疊完整性 (StackPivot)
憑證信任 (可設定的憑證關聯) Windows 10 和 Windows 11 提供企業憑證關聯
堆積噴濺分配 對較新的瀏覽器型惡意探索沒有作用;較新的緩和措施提供更好的保護
如需詳細資訊,請參閱使用 Windows 10 安全性功能減輕威脅
封鎖低完整性映像
程式碼完整性防護
停用擴充點
停用 Win32k 系統呼叫
不允許子處理序
匯入位址篩選 (IAF)
驗證控制代碼使用方式
驗證堆積完整性
驗證映像相依性完整性

注意事項

EMET 中提供的進階 ROP 緩和措施已由 Windows 10 和 Windows 11 中的 ACG 取代,預設會啟用其他 EMET 進階設定,做為啟用處理程序的反 ROP 緩和措施的一部分。 如需 Windows 10 如何運用現有EMET技術的詳細資訊,請參閱使用 Windows 10安全性功能來降低威脅

另請參閱

提示

想要深入了解? Engage 技術社群中的Microsoft安全性社群:適用於端點的 Microsoft Defender 技術社群。