Aktivieren des Exploit-Schutzes

Gilt für:

Tipp

Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion

Exploit-Schutz schützt vor Schadsoftware, die Exploits verwendet, um Geräte zu infizieren und sich zu verbreiten. Exploit-Schutz besteht aus vielen Gegenmaßnahmen, die entweder auf das Betriebssystem oder einzelne Apps angewendet werden können.

Wichtig

.NET 2.0 ist nicht mit einigen Exploit-Schutzfunktionen kompatibel, insbesondere mit EAF (Export Address Filtering) und Import Address Filtering (IAF). Wenn Sie .NET 2.0 aktiviert haben, wird die Verwendung von EAF und IAF nicht unterstützt.

Viele Features aus dem Enhanced Mitigation Experience Toolkit (EMET) sind im Exploit-Schutz enthalten.

Sie können jede Gegenmaßnahme mithilfe einer der folgenden Methoden separat aktivieren:

Exploit-Schutz ist in Windows 10 standardmäßig konfiguriert. Sie können jede Risikominderung auf "Ein", "Aus" oder "Standardwert" festlegen. Einige Gegenmaßnahmen haben mehr Optionen. Sie können diese Einstellungen als XML-Datei exportieren und auf anderen Geräten bereitstellen.

Sie können Gegenmaßnahmen auch auf den Überwachungsmodusfestlegen. Im Überwachungsmodus können Sie testen, wie die Gegenmaßnahmen funktionieren (und Ereignisse überprüfen), ohne die normale Verwendung des Geräts zu beeinträchtigen.

Windows-Sicherheit-App

  1. Öffnen Sie die Windows-Sicherheit App, indem Sie entweder das Schildsymbol in der Taskleiste auswählen oder die Startmenü nach Sicherheit durchsuchen.

  2. Wählen Sie die Kachel "App & Browsersteuerelement" (oder das App-Symbol auf der linken Menüleiste) aus, und wählen Sie dann Exploit-Schutzeinstellungen aus.

  3. Wechseln Sie zu "Programmeinstellungen", und wählen Sie die App aus, auf die Sie Gegenmaßnahmen anwenden möchten.

    • Wenn die App, die Sie konfigurieren möchten, bereits aufgeführt ist, wählen Sie sie aus, und wählen Sie dann Bearbeiten aus.
    • Wenn die App nicht aufgeführt ist, wählen Sie oben in der Liste "Programm hinzufügen" aus, das Sie anpassen möchten, und wählen Sie dann aus, wie Sie die App hinzufügen möchten.
    • Verwenden Sie "Nach Programmnamen hinzufügen", um die Gegenmaßnahme auf einen ausgeführten Prozess mit diesem Namen anzuwenden. Geben Sie eine Datei mit ihrer Erweiterung an. Sie können einen vollständigen Pfad eingeben, um die Gegenmaßnahme nur auf die App mit diesem Namen an diesem Speicherort zu beschränken.
    • Verwenden Sie "Exakten Dateipfad auswählen", um die gewünschte Datei in einem standardmäßigen Windows Explorer-Dateiauswahlfenster zu suchen und auszuwählen.
  4. Nachdem Sie die App ausgewählt haben, wird eine Liste aller Gegenmaßnahmen angezeigt, die angewendet werden können. Wenn Sie "Überwachung" auswählen, wird die Gegenmaßnahme nur im Überwachungsmodus angewendet. Sie werden benachrichtigt, wenn Sie den Prozess oder die App neu starten müssen oder wenn Sie Windows neu starten müssen.

  5. Wiederholen Sie die Schritte 3 bis 4 für alle Apps und Gegenmaßnahmen, die Sie konfigurieren möchten.

  6. Suchen Sie im Abschnitt "Systemeinstellungen" die Gegenmaßnahme, die Sie konfigurieren möchten, und geben Sie dann eine der folgenden Einstellungen an. Apps, die im Abschnitt "Programmeinstellungen" nicht einzeln konfiguriert sind, verwenden die hier konfigurierten Einstellungen.

    • Standardmäßig aktiviert: Die Gegenmaßnahme ist für Apps aktiviert, für die diese Gegenmaßnahme im Abschnitt "App-spezifische Programmeinstellungen" nicht festgelegt ist.
    • Standardmäßig deaktiviert: Die Gegenmaßnahme ist für Apps deaktiviert, für die diese Gegenmaßnahme nicht im Abschnitt "App-spezifische Programmeinstellungen" festgelegt ist.
    • Standard: Die Gegenmaßnahme ist entweder aktiviert oder deaktiviert, abhängig von der Standardkonfiguration, die von Windows 10 Installation eingerichtet wird. Der Standardwert (Ein oder Aus) wird immer neben der Standardbezeichnung "Verwenden" für jede Gegenmaßnahme angegeben.
  7. Wiederholen Sie Schritt 6 für alle Gegenmaßnahmen auf Systemebene, die Sie konfigurieren möchten. Wählen Sie "Übernehmen" aus, wenn Sie die Konfiguration eingerichtet haben.

Wenn Sie eine App zum Abschnitt "Programmeinstellungen" hinzufügen und dort einzelne Gegenmaßnahmen konfigurieren, werden diese oberhalb der Konfiguration für die gleichen Gegenmaßnahmen berücksichtigt, die im Abschnitt "Systemeinstellungen" angegeben sind. In der folgenden Matrix und in den folgenden Beispielen wird die Funktionsweise von Standardeinstellungen veranschaulicht:

Aktiviert in den Programmeinstellungen Aktiviert in den Systemeinstellungen Verhalten
Ja Nein Wie in den Programmeinstellungen definiert
Ja Ja Wie in den Programmeinstellungen definiert
Nein Ja Wie in den Systemeinstellungen definiert
Nein Ja Standard wie in "Standardoption verwenden" definiert

Beispiel 1: Mikael konfiguriert die Datenausführungsverhinderung im Abschnitt "Systemeinstellungen" standardmäßig als deaktiviert

Mikael fügt die App test.exe zum Abschnitt "Programmeinstellungen" hinzu. In den Optionen für diese App aktiviert Mikael unter Datenausführungsverhinderung (Data Execution Prevention, DEP) die Option "Systemeinstellungen überschreiben" und legt den Schalter auf "Ein" fest. Im Abschnitt "Programmeinstellungen" sind keine anderen Apps aufgeführt.

Das Ergebnis ist, dass DEP nur für test.exe aktiviert ist. Auf alle anderen Apps wird DEP nicht angewendet.

Beispiel 2: Josie konfiguriert die Datenausführungsverhinderung in den Systemeinstellungen standardmäßig als deaktiviert.

Josie fügt die App test.exe zum Abschnitt "Programmeinstellungen" hinzu. In den Optionen für diese App aktiviert Josie unter Datenausführungsverhinderung (Data Execution Prevention, DEP) die Option "Systemeinstellungen überschreiben" und legt den Schalter auf "Ein" fest.

Josie fügt auch die App miles.exe zum Abschnitt "Programmeinstellungen" hinzu und konfiguriert den Ablaufsteuerungsschutz (Control Flow Guard, CFG) auf "Ein". Josie aktiviert nicht die Option "Systemeinstellungen außer Kraft setzen" für DEP oder andere Gegenmaßnahmen für diese App.

Das Ergebnis ist, dass DEP für test.exe aktiviert ist. DEP wird für keine andere App aktiviert, einschließlich miles.exe. CFG wird für miles.exe aktiviert.

  1. Öffnen Sie die Windows-Sicherheit App, indem Sie das Schildsymbol in der Taskleiste auswählen oder das Startmenü nach Defender durchsuchen.

  2. Wählen Sie die Kachel "App & Browsersteuerelement" (oder das App-Symbol auf der linken Menüleiste) aus, und wählen Sie dann Exploit-Schutz aus.

  3. Wechseln Sie zu "Programmeinstellungen", und wählen Sie die App aus, auf die Sie Gegenmaßnahmen anwenden möchten.

    • Wenn die App, die Sie konfigurieren möchten, bereits aufgeführt ist, wählen Sie sie aus, und wählen Sie dann Bearbeiten aus.
    • Wenn die App nicht aufgeführt ist, wählen Sie oben in der Liste "Programm hinzufügen" aus, das Sie anpassen möchten, und wählen Sie dann aus, wie Sie die App hinzufügen möchten.
      • Verwenden Sie "Nach Programmnamen hinzufügen", um die Gegenmaßnahme auf einen ausgeführten Prozess mit diesem Namen anzuwenden. Geben Sie eine Datei mit der Erweiterung an. Sie können einen vollständigen Pfad eingeben, um die Gegenmaßnahme nur auf die App mit diesem Namen an diesem Speicherort zu beschränken.
      • Verwenden Sie "Exakten Dateipfad auswählen", um die gewünschte Datei in einem standardmäßigen Windows Explorer-Dateiauswahlfenster zu suchen und auszuwählen.
  4. Nachdem Sie die App ausgewählt haben, wird eine Liste aller Gegenmaßnahmen angezeigt, die angewendet werden können. Wenn Sie "Überwachung" auswählen, wird die Gegenmaßnahme nur im Überwachungsmodus angewendet. Sie werden benachrichtigt, wenn Sie den Prozess oder die App neu starten müssen oder wenn Sie Windows neu starten müssen.

  5. Wiederholen Sie die Schritte 3 bis 4 für alle Apps und Gegenmaßnahmen, die Sie konfigurieren möchten. Wählen Sie "Übernehmen" aus, wenn Sie die Konfiguration eingerichtet haben.

Intune

  1. Melden Sie sich beim Azure-Portal an, und öffnen Sie Intune.

  2. Wechseln Sie zu "Gerätekonfigurationsprofile > > erstellen".

  3. Benennen Sie das Profil, wählen Sie Windows 10 und höher und Endpunktschutz aus.

    Erstellen Sie ein Endpunktschutzprofil.

  4. Wählen Sie > "Konfigurieren Windows Defender Exploit Guard > Exploit-Schutz" aus.

  5. Hochladen einer XML-Datei mit den Exploit-Schutzeinstellungen:

    Aktivieren Sie den Netzwerkschutz in Intune.

  6. Wählen Sie "OK" aus, um jedes geöffnete Blatt zu speichern, und wählen Sie dann "Erstellen" aus.

  7. Wählen Sie die Registerkarte "Profilzuweisungen" aus, weisen Sie die Richtlinie allen Benutzern & "Alle Geräte" zu, und wählen Sie dann "Speichern" aus.

MDM

Verwenden Sie den Konfigurationsdienstanbieter ./Vendor/MSFT/Policy/Config/ExploitGuard/ExploitProtectionSettings (CSP), um Exploit-Schutz-Gegenmaßnahmen zu aktivieren oder zu deaktivieren oder den Überwachungsmodus zu verwenden.

Microsoft Endpoint Manager

  1. Wechseln Sie in Microsoft Endpoint Manager zu Endpoint Security Attack > Surface Reduction.

  2. Wählen Sie "Richtlinienplattform erstellen" > und für "Profil" exploit-Schutz aus. Wählen Sie dann Erstellen aus.

  3. Geben Sie einen Namen und eine Beschreibung an, und klicken Sie dann auf "Weiter".

  4. Wählen Sie "XML-Datei auswählen" aus, und navigieren Sie zum Speicherort der EXPLOIT-Schutz-XML-Datei. Wählen Sie die Datei aus, und klicken Sie dann auf "Weiter".

  5. Konfigurieren Sie bei Bedarf Bereichstags und Zuweisungen.

  6. Überprüfen Sie unter "Überprüfen + Erstellen", überprüfen Sie Ihre Konfigurationseinstellungen, und wählen Sie dann "Erstellen" aus.

Microsoft Endpoint Configuration Manager

  1. Wechseln Sie in Microsoft Endpoint Configuration Manager zu Assets and Compliance > Endpoint Protection Windows Defender > Exploit Guard.

  2. Wählen Sie "Home > Create Exploit Guard Policy" aus.

  3. Geben Sie einen Namen und eine Beschreibung an, wählen Sie Exploit-Schutz aus, und klicken Sie dann auf "Weiter".

  4. Navigieren Sie zum Speicherort der EXPLOIT-Schutz-XML-Datei, und wählen Sie "Weiter" aus.

  5. Überprüfen Sie die Einstellungen, und wählen Sie dann "Weiter" aus, um die Richtlinie zu erstellen.

  6. Nachdem die Richtlinie erstellt wurde, wählen Sie Schließen aus.

Gruppenrichtlinien

  1. Öffnen Sie auf Ihrem Gerät für die Gruppenrichtlinienverwaltung die Gruppenrichtlinien-Verwaltungskonsole,klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinienobjekt, das Sie konfigurieren möchten, und klicken Sie auf "Bearbeiten".

  2. Wechseln Sie im Gruppenrichtlinienverwaltungs-Editor zur Computerkonfiguration, und wählen Sie Administrative Vorlagen aus.

  3. Erweitern Sie die Struktur, um Windows Komponenten Windows Defender > Exploit Guard > Exploit-Schutz einen allgemeinen Satz von > Exploit-Schutzeinstellungen verwenden.

  4. Wählen Sie "Aktiviert" aus, geben Sie den Speicherort der XML-Dateiein, und klicken Sie dann auf "OK".

PowerShell

Sie können das PowerShell-Verb Get oder Set das Cmdlet ProcessMitigation verwenden. Using Get listet den aktuellen Konfigurationsstatus aller Gegenmaßnahmen auf, die auf dem Gerät aktiviert wurden. Fügen Sie das Cmdlet und die -Name App-EXE hinzu, um Gegenmaßnahmen für genau diese App anzuzeigen:

Get-ProcessMitigation -Name processName.exe

Wichtig

Gegenmaßnahmen auf Systemebene, die nicht konfiguriert wurden, zeigen den Status NOTSET an.

  • Gibt für Einstellungen auf Systemebene NOTSET die Standardeinstellung für diese Gegenmaßnahme an.
  • Gibt für Einstellungen auf App-Ebene NOTSET an, dass die Einstellung auf Systemebene für die Gegenmaßnahme angewendet wird. Die Standardeinstellung für jede Gegenmaßnahme auf Systemebene wird im Windows-Sicherheit angezeigt.

Verwenden Sie Set diese Einstellung, um jede Gegenmaßnahme im folgenden Format zu konfigurieren:

Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>

Dabei gilt:

  • <Scope>:
    • -Name um anzugeben, dass die Gegenmaßnahmen auf eine bestimmte App angewendet werden sollen. Geben Sie die ausführbare Datei der App nach diesem Flag an.
      • -System um anzugeben, dass die Risikominderung auf Systemebene angewendet werden soll
  • <Action>:
    • -Enable zum Aktivieren der Risikominderung
    • -Disable so deaktivieren Sie die Gegenmaßnahme
  • <Mitigation>:
    • Das Cmdlet der Risikominderung zusammen mit allen Unteroptions (umgeben von Leerzeichen). Jede Gegenmaßnahme wird durch ein Komma getrennt.

Um beispielsweise die Datenausführungsverhinderung (Data Execution Prevention, DEP) mit ATL-Thunk-Emulation und für eine ausführbare Datei mit dem Namen testing.exe im Ordner "C:\Apps\LOB\tests" zu aktivieren und zu verhindern, dass die ausführbare Datei untergeordnete Prozesse erstellt, verwenden Sie den folgenden Befehl:

Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable DEP, EmulateAtlThunks, DisallowChildProcessCreation

Wichtig

Trennen Sie jede Risikominderungsoption durch Kommas.

Wenn Sie DEP auf Systemebene anwenden möchten, verwenden Sie den folgenden Befehl:

Set-Processmitigation -System -Enable DEP

Um Gegenmaßnahmen zu deaktivieren, können Sie -Enable sie durch -Disable ersetzen. Bei Gegenmaßnahmen auf App-Ebene erzwingt diese Aktion jedoch, dass die Gegenmaßnahme nur für diese App deaktiviert wird.

Wenn Sie die Gegenmaßnahme wieder auf die Systemstandardeinstellung zurücksetzen müssen, müssen Sie auch das -Remove Cmdlet einschließen, wie im folgenden Beispiel gezeigt:

Set-Processmitigation -Name test.exe -Remove -Disable DEP

In der folgenden Tabelle sind die einzelnen Gegenmaßnahmen (und Überwachungen, sofern verfügbar) aufgeführt, die mit den -Enable Parametern oder Cmdlet-Parametern verwendet werden -Disable sollen.

Risikominderungstyp Gilt für Cmdlet-Parameterschlüsselwort "Mitigation" Cmdlet-Parameter für den Überwachungsmodus
Ablaufsteuerungsschutz (Control Flow Guard, CFG) System- und App-Ebene CFG, StrictCFG, SuppressExports Überwachung nicht verfügbar
Datenausführungsverhinderung (DATA Execution Prevention, DEP) System- und App-Ebene DEP, EmulateAtlThunks Überwachung nicht verfügbar
Erzwingen von zufälligen Abbildern (obligatorisches ASLR) System- und App-Ebene ForceRelocateImages Überwachung nicht verfügbar
Zufällige Speicherbelegungen (Bottom-Up ASLR) System- und App-Ebene BottomUp, HighEntropy Überwachung nicht verfügbar
Überprüfen von Ausnahmeketten (SEHOP) System- und App-Ebene SEHOP, SEHOPTelemetry Überwachung nicht verfügbar
Überprüfen der Heapintegrität System- und App-Ebene TerminateOnError Überwachung nicht verfügbar
Arbitrary Code Guard (ACG) Nur App-Ebene DynamicCode AuditDynamicCode
Bilder mit niedriger Integrität blockieren Nur App-Ebene BlockLowLabel AuditImageLoad
Remoteimages blockieren Nur App-Ebene BlockRemoteImages Überwachung nicht verfügbar
Nicht vertrauenswürdige Schriftarten blockieren Nur App-Ebene DisableNonSystemFonts AuditFont, FontAuditOnly
Codeintegritätsschutz Nur App-Ebene BlockNonMicrosoftSigned, AllowStoreSigned AuditMicrosoftSigned, AuditStoreSigned
Deaktivieren von Erweiterungspunkten Nur App-Ebene ExtensionPoint Überwachung nicht verfügbar
Win32k-Systemaufrufe deaktivieren Nur App-Ebene DisableWin32kSystemCalls AuditSystemCall
Untergeordnete Prozesse nicht zulassen Nur App-Ebene DisallowChildProcessCreation AuditChildProcess
Export-Adressfilterung (EAF) Nur App-Ebene EnableExportAddressFilterPlus, EnableExportAddressFilter [ 1 ] Überwachung nicht verfügbar [ 2 ]
Import-Adressfilterung (IAF) Nur App-Ebene EnableImportAddressFilter Überwachung nicht verfügbar [ 2 ]
Simulieren der Ausführung (SimExec) Nur App-Ebene EnableRopSimExec Überwachung nicht verfügbar [ 2 ]
Überprüfen des API-Aufrufs (CallerCheck) Nur App-Ebene EnableRopCallerCheck Überwachung nicht verfügbar [ 2 ]
Überprüfen der Handleverwendung Nur App-Ebene StrictHandle Überwachung nicht verfügbar
Überprüfen der Integrität von Imageabhängigkeiten Nur App-Ebene EnforceModuleDepencySigning Überwachung nicht verfügbar
Überprüfen der Stapelintegrität (StackPivot) Nur App-Ebene EnableRopStackPivot Überwachung nicht verfügbar [ 2 ]

[ 1: ] Verwenden Sie das folgende Format, um EAF-Module für DLLs für einen Prozess zu aktivieren:

Set-ProcessMitigation -Name processName.exe -Enable EnableExportAddressFilterPlus -EAFModules dllName1.dll,dllName2.dll

[ 2: ] Die Überwachung auf diese Gegenmaßnahme ist nicht über PowerShell-Cmdlets verfügbar.

Anpassen der Benachrichtigung

Informationen zum Anpassen der Benachrichtigung, wenn eine Regel ausgelöst wird und eine App oder Datei blockiert wird, finden Sie unter Windows-Sicherheit.

Siehe auch