Schützen von Geräten vor Sicherheitsrisiken

Gilt für:

Beim Exploit-Schutz werden normalerweise eine Reihe von Risikominimierungstechniken auf Betriebssystemprozesse und Apps angewendet. Der Exploit-Schutz wird ab Windows 10, Version 1709, und Windows Server, Version 1803, unterstützt.

Tipp

Besuchen Sie die Windows Defender Testground-Website unter demo.wd.microsoft.com, um zu bestätigen, dass das Feature funktioniert und wie es funktioniert.

Der Exploit-Schutz funktioniert am besten mit Defender für Endpunkt, wodurch Sie detaillierte Berichte zu Exploit-Schutzereignissen und -blöcken als Teil der üblichen Warnungsuntersuchungsszenarien erhalten.

Sie können auf einem einzelnen Gerät den Exploit-Schutz aktivieren und dann Gruppenrichtlinie verwenden, um die XML-Datei auf mehrere Geräte gleichzeitig zu verteilen.

Wenn auf dem Computer eine Risikominderung gefunden wird, wird im Info-Center eine Benachrichtigung angezeigt. Mit Ihren Unternehmensdetails und Kontaktinformationen können Sie die Benachrichtigung anpassen. Sie können die Regeln auch einzeln aktivieren, um anzupassen, welche Techniken das Feature überwacht.

Sie können auch Überwachungsmodus verwenden, um zu bewerten, wie sich der Exploit-Schutz auf Ihre Organisation auswirken würde, wenn er aktiviert wäre.

Viele der Features im Enhanced Mitigation Experience Toolkit (EMET) sind im Exploit-Schutz enthalten. Tatsächlich können Sie vorhandene EMET-Konfigurationsprofile in Exploit-Schutz konvertieren und importieren. Weitere Informationen finden Sie unter Importieren, Exportieren und Bereitstellen von Exploit-Schutzkonfigurationen.

Wichtig

Wenn Sie derzeit EMET verwenden, sollten Sie beachten, dass EMET am 31. Juli 2018 das Ende des Supports erreicht hat. Sie sollten in Betracht ziehen, EMET durch Exploit-Schutz in Windows 10 zu ersetzen.

Warnung

Einige Risikominderungstechnologien für Sicherheitsprobleme weisen möglicherweise Kompatibilitätsprobleme bei einigen Anwendungen auf. Sie sollten den Exploit-Schutz in allen Zielverwendungsszenarien testen, indem Sie Überwachungsmodus verwenden, bevor Sie die Konfiguration in einer Produktionsumgebung oder im restlichen Netzwerk bereitstellen.

Überprüfen von Ereignissen zum Schutz vor Sicherheitsrisiken im Microsoft Security Center

Defender für Endpunkt bietet detaillierte Berichte zu Ereignissen und Blöcken als Teil seiner Warnungsuntersuchungsszenarien.

Sie können Defender für Endpunktdaten abfragen, indem Sie Erweiterte Sucheverwenden. Wenn Sie Überwachungsmodusverwenden, können Sie mithilfe der erweiterten Suche ermitteln, wie sich Exploit-Schutzeinstellungen auf Ihre Umgebung auswirken können.

Hier ist eine Beispielabfrage:

DeviceEvents
| where ActionType startswith 'ExploitGuard' and ActionType !contains 'NetworkProtection'

Überprüfen von Ereignissen zum Schutzes vor Sicherheitsrisiken in der Windows-Ereignisanzeige

Sie können das Windows-Ereignisprotokoll überprüfen, um Ereignisse anzuzeigen, die erstellt werden, wenn der Exploit-Schutz eine App blockiert (oder überprüft):

Anbieter/Quelle Ereignis-ID Beschreibung
Gegenmaßnahmen 1 ACG-Überwachung
Gegenmaßnahmen 2 ACG-Erzwingung
Gegenmaßnahmen 3 Untergeordnete Prozesse nicht zulassen (Überwachung)
Gegenmaßnahmen 4 Untergeordnete Prozesse nicht zulassen (Blockierung)
Gegenmaßnahmen 5 Blockieren von Abbildern mit niedriger Integrität (Überwachung)
Gegenmaßnahmen 6 Blockieren von Abbildern mit niedriger Integrität (Blockierung)
Gegenmaßnahmen 7 Blockieren von Remote-Abbildern (Überwachung)
Gegenmaßnahmen 8 Blockieren von Remote-Abbildern (Blockierung)
Gegenmaßnahmen 9 Win32k Systemaufrufe deaktivieren (Überwachung)
Gegenmaßnahmen 10 Win32k Systemaufrufe deaktivieren (Blockierung)
Gegenmaßnahmen 11 Codeintegrität (Überwachung)
Gegenmaßnahmen 12 Codeintegrität (Blockierung)
Gegenmaßnahmen 13 EAF-Überwachung
Gegenmaßnahmen 14 EAF-Erzwingung
Gegenmaßnahmen 15 EAF+ (Überwachung)
Gegenmaßnahmen 16 EAF + Erzwingung
Gegenmaßnahmen 17 IAF-Überwachung
Gegenmaßnahmen 18 IAF-Erzwingung
Gegenmaßnahmen 19 ROP StackPivot (Überwachung)
Gegenmaßnahmen 20 ROP StackPivot (Erzwingen)
Gegenmaßnahmen 21 ROP CallerCheck (Überwachung)
Gegenmaßnahmen 22 ROP CallerCheck (Erzwingen)
Gegenmaßnahmen 23 ROP SimExec (Überwachung)
Gegenmaßnahmen 24 ROP SimExec (Erzwingen)
WER-Diagnose 5 CFG (Blockieren)
Win32K 260 Nicht vertrauenswürdige Schriftart

Vergleich der Risikominderungen

Die in EMET verfügbaren Risikominderungen sind nativ in Windows 10 (ab Version 1709) und Windows Server (ab Version 1803) unter Exploit-Schutzenthalten.

Die Tabelle in diesem Abschnitt gibt die Verfügbarkeit und Unterstützung nativer Risikominderungen zwischen EMET und Exploit-Schutz an.

Risikominderung Verfügbar unter Exploit-Schutz Verfügbar in EMET
Arbitrary Code Guard (ACG) ja ja
Als "Überprüfung des Arbeitsspeicherschutzes"
Remoteimages blockieren ja ja
Als "Bibliotheksüberprüfung laden"
Nicht vertrauenswürdige Schriftarten blockieren ja ja
Datenausführungsverhinderung (DATA Execution Prevention, DEP) ja ja
Export-Adressfilterung (EAF) ja ja
Erzwingen von zufälligen Abbildern (obligatorisches ASLR) ja ja
NullPage-Sicherheitsminderung Ja
Nativ in Windows 10 enthalten
Weitere Informationen finden Sie unter Minimieren von Bedrohungen mithilfe von Windows 10 Sicherheitsfeatures.
Ja
Zufällige Speicherbelegungen (Bottom-Up ASLR) ja ja
Simulieren der Ausführung (SimExec) ja ja
Überprüfen des API-Aufrufs (CallerCheck) ja ja
Überprüfen von Ausnahmeketten (SEHOP) ja ja
Überprüfen der Stapelintegrität (StackPivot) ja ja
Zertifikatvertrauensstellung (konfigurierbares Anheften von Zertifikaten) Windows 10 bietet Unternehmen das Anheften von Zertifikaten an. Ja
Heap-Spray-Zuordnung Ist gegen neuere browserbasierte Angriffe wirkungslos; neuere Schutzmaßnahmen bieten besseren Schutz
Weitere Informationen finden Sie unter Minimieren von Bedrohungen mithilfe von Windows 10 Sicherheitsfeatures.
Ja
Bilder mit niedriger Integrität blockieren ja nein
Codeintegritätsschutz ja nein
Deaktivieren von Erweiterungspunkten ja nein
Win32k-Systemaufrufe deaktivieren ja nein
Untergeordnete Prozesse nicht zulassen ja nein
Import-Adressfilterung (IAF) ja nein
Überprüfen der Handleverwendung ja nein
Überprüfen der Heapintegrität ja nein
Überprüfen der Integrität von Imageabhängigkeiten ja nein

Hinweis

Die erweiterten ROP-Risikominderungen, die im EMET verfügbar sind, werden durch ACG unter Windows 10 ersetzt. Andere erweiterte EMENT-Einstellungen werden standardmäßig aktiviert, um die Anti-ROP-Risikominderungen für einen Prozess zu aktivieren. Weitere Informationen dazu, wie Windows 10 vorhandene EMET-Technologie einsetzen, finden Sie in der Risikominderung mithilfe von Windows 10 Sicherheitsfeatures .

Siehe auch