Freigeben über


Auswerten des Exploit-Schutzes

Gilt für:

Möchten Sie Microsoft Defender für Endpunkt ausprobieren? Registrieren Sie sich für eine kostenlose Testversion.

Der Exploit-Schutz trägt zum Schutz von Geräten vor Schadsoftware bei, die Exploits verwendet, um Geräte zu infizieren und sich zu verbreiten. Die Risikominderung kann entweder auf das Betriebssystem oder auf eine einzelne App angewendet werden. Viele der Features, die Teil des Enhanced Mitigation Experience Toolkits (EMET) waren, sind im Exploit-Schutz enthalten. (Das EMET hat das Ende des Supports erreicht.)

Bei der Überwachung können Sie sehen, wie die Risikominderung für bestimmte Apps in einer Testumgebung funktioniert. Dabei wird verdeutlicht, was passiert wäre, wenn Sie den Exploit-Schutz in Ihrer Produktionsumgebung aktiviert hätten. Auf diese Weise können Sie überprüfen, ob der Exploit-Schutz keine negativen Auswirkungen auf Ihre branchenspezifischen Apps hat, und sehen, welche verdächtigen oder bösartigen Ereignisse auftreten.

Aktivieren des Exploit-Schutzes zu Testzwecken

Mithilfe der Windows-Sicherheit-App oder Windows PowerShell können Sie Risikominderungen in einem Testmodus für bestimmte Programme festlegen.

Windows-Sicherheit-App

  1. Öffnen Sie die Windows-Sicherheit-App. Klicken Sie entweder das Schildsymbol in der Taskleiste an oder suchen Sie im Startmenü nach Windows-Sicherheit.

  2. Wählen Sie die Kachel App- und Browsersteuerung (oder das App-Symbol auf der linken Menüleiste) und dann Exploit-Schutz aus.

  3. Wechseln Sie zu den Programmeinstellungen, und wählen Sie die App aus, auf die Sie Schutzfunktionen anwenden möchten:

    1. Wenn die App, die Sie konfigurieren möchten, bereits aufgeführt ist, wählen Sie sie aus, und klicken Sie dann auf Bearbeiten.
    2. Wenn die App nicht oben in der Liste aufgeführt ist, wählen Sie Programm zum Anpassen hinzufügen aus. Wählen Sie dann aus, wie die App hinzugefügt werden soll.
      • Wählen Sie Nach Programmnamen hinzufügen, damit die Risikominderung auf alle laufenden Prozesse mit diesem Namen angewendet wird. Geben Sie eine Datei samt einer Erweiterung an. Sie können einen vollständigen Pfad angeben, um die Risikominderung auf die App mit diesem Namen an diesem Speicherort zu beschränken.
      • Wählen Sie Genauen Dateipfad auswählen, um über ein Standard-Windows-Explorer-Fenster die gewünschte Datei zu suchen und auszuwählen.
  4. Nach dem Auswählen der App wird eine Liste aller Risikominderungsfunktionen angezeigt, die angewendet werden können. Wenn Sie Überwachung auswählen, wird die Entschärfung nur im Testmodus angewendet. Sie werden darüber benachrichtigt, ob Sie den Prozess, die App oder Windows neu starten müssen.

  5. Wiederholen Sie den Vorgang für alle Apps und Risikominderungsfunktionen, die Sie konfigurieren möchten. Klicken Sie auf Übernehmen, wenn Sie mit der Einrichtung Ihrer Konfiguration fertig sind.

PowerShell

Um Entschärfungen auf App-Ebene auf den Testmodus festzulegen, verwenden Sie Set-ProcessMitigation mit dem Cmdlet Überwachungsmodus .

Konfigurieren Sie die einzelnen Risikominderungen im folgenden Format:

Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>

Dabei gilt:

  • <Bereich>:
    • -Name, um anzugeben, dass die Risikominderungen auf eine bestimmte App angewendet werden sollen. Geben Sie die ausführbare Datei der App nach diesem Flag an.
  • <Aktion>:
    • -Enable, um die Risikominderung zu aktivieren
      • -Disable, um die Risikominderung zu deaktivieren
  • <Entschärfung>:
    • Das Cmdlet der Risikominderung, wie in der folgenden Tabelle angegeben. Die einzelnen Risikominderungen sind durch ein Komma getrennt.
Risikominderung Cmdlet für den Testmodus
Arbitrary Code Guard (ACG) AuditDynamicCode
Bilder mit niedriger Integrität blockieren AuditImageLoad
Nicht vertrauenswürdige Schriftarten blockieren AuditFont, FontAuditOnly
Codeintegritätsschutz AuditMicrosoftSigned, AuditStoreSigned
Win32k-Systemaufrufe deaktivieren AuditSystemCall
Untergeordnete Prozesse nicht zulassen AuditChildProcess

Führen Sie beispielsweise den folgenden Befehl aus, um Arbitrary Code Guard (ACG) im Testmodus für eine App mit dem Namen testing.exezu aktivieren:

Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable AuditDynamicCode

Sie können den Überwachungsmodus deaktivieren, indem Sie -Enable durch -Disable ersetzen.

Überprüfen von Exploit-Schutzüberwachungsereignissen

Um zu überprüfen, welche Apps blockiert worden wären, öffnen Sie die Ereignisanzeige, und filtern Sie im Protokoll für Sicherheitsmaßnahmen nach den folgenden Ereignissen.

Feature Anbieter/Quelle Ereignis-ID Beschreibung
Exploit-Schutz Sicherheitsmaßnahmen (Kernelmodus/Benutzermodus) 1 ACG-Überwachung
Exploit-Schutz Sicherheitsmaßnahmen (Kernelmodus/Benutzermodus) 3 Untergeordnete Prozesse nicht zulassen (Überwachung)
Exploit-Schutz Sicherheitsmaßnahmen (Kernelmodus/Benutzermodus) 5 Blockieren von Abbildern mit niedriger Integrität (Überwachung)
Exploit-Schutz Sicherheitsmaßnahmen (Kernelmodus/Benutzermodus) 7 Blockieren von Remote-Abbildern (Überwachung)
Exploit-Schutz Sicherheitsmaßnahmen (Kernelmodus/Benutzermodus) 9 Win32k Systemaufrufe deaktivieren (Überwachung)
Exploit-Schutz Sicherheitsmaßnahmen (Kernelmodus/Benutzermodus) 11 Codeintegrität (Überwachung)

Siehe auch

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.