Eszközök védelme a biztonsági rések kiaknázása ellen
Érintett szolgáltatás:
- Végponthoz készült Microsoft Defender 1. csomag
- Végponthoz készült Microsoft Defender 2. csomag
- Microsoft Defender XDR
A biztonsági rés kiaknázása elleni védelem számos biztonsági rés kiaknázása elleni védelmet alkalmaz az operációs rendszer folyamataiban és alkalmazásaiban. A biztonsági rés kiaknázása elleni védelem a Windows 10 1709-es, Windows 11-es és Windows Server 1803-es verziójától kezdve támogatott.
A biztonsági rés kiaknázása elleni védelem a végponthoz készült Defenderrel működik a legjobban , amely részletes jelentéskészítést biztosít a biztonsági rés kiaknázása elleni védelmi eseményekről és blokkokról a szokásos riasztási vizsgálati forgatókönyvek részeként.
Engedélyezheti a biztonsági rés kiaknázása elleni védelmet egy adott eszközön, majd a Csoportházirend használatával terjesztheti az XML-fájlt egyszerre több eszközre.
Ha kockázatcsökkentést talál az eszközön, a műveletközpontban értesítés jelenik meg. Az értesítést testreszabhatja a céges adatokkal és a kapcsolattartási adatokkal. Külön-külön is engedélyezheti a szabályokat a funkciómonitorozási technikák testreszabásához.
A naplózási móddal azt is kiértékelheti, hogy a biztonsági rés kiaknázása elleni védelem milyen hatással lenne a szervezetére, ha engedélyezve lenne.
Az Enhanced Mitigation Experience Toolkit (EMET) számos funkciója megtalálható a biztonsági rés kiaknázása elleni védelemben. Sőt, a meglévő EMET-konfigurációs profilokat biztonsági rés kiaknázása elleni védelemmé alakíthatja és importálhatja. További információ: Biztonsági rés kiaknázása elleni védelmi konfigurációk importálása, exportálása és üzembe helyezése.
Fontos
Ha jelenleg az EMET-et használja, vegye figyelembe, hogy az EMET 2018. július 31-én elérte a támogatás végét. Fontolja meg az EMET cseréjét biztonsági rés kiaknázása elleni védelemmel Windows 10.
Figyelmeztetés
Egyes biztonsági kockázatcsökkentési technológiák kompatibilitási problémákat okozhatnak bizonyos alkalmazásoknál. A biztonsági rés kiaknázása elleni védelmet minden célhasználati forgatókönyvben tesztelnie kell a naplózási mód használatával, mielőtt üzembe helyezné a konfigurációt egy éles környezetben vagy a hálózat többi részén.
Biztonsági rés kiaknázása elleni védelmi események áttekintése a Microsoft Defender portálon
A Végponthoz készült Defender részletes jelentéskészítést biztosít az eseményekről és blokkokról a riasztási vizsgálati forgatókönyvek részeként.
A Végponthoz készült Defender adatait speciális veszélyforrás-kereséssel kérdezheti le. Ha naplózási módot használ, speciális veszélyforrás-kereséssel ellenőrizheti, hogy a biztonsági rés kiaknázása elleni védelmi beállítások milyen hatással lehetnek a környezetre.
Íme egy példa lekérdezésre:
DeviceEvents
| where ActionType startswith 'ExploitGuard' and ActionType !contains 'NetworkProtection'
Biztonsági rés kiaknázása elleni védelmi események áttekintése a Windows eseménymegtekintő
A Windows eseménynaplójában megtekintheti azokat az eseményeket, amelyek akkor jönnek létre, amikor biztonsági rés kiaknázása elleni védelem blokkol (vagy naplóz) egy alkalmazást:
| Szolgáltató/forrás | Eseményazonosító | Leírás |
|---|---|---|
| Security-Mitigations | 1 | ACG-naplózás |
| Security-Mitigations | 2 | ACG kényszerítése |
| Security-Mitigations | 3 | Gyermekfolyamatok naplózásának mellőzése |
| Security-Mitigations | 4 | Gyermekfolyamat-blokk tiltás letiltása |
| Security-Mitigations | 5 | Alacsony integritású rendszerképek naplózásának letiltása |
| Security-Mitigations | 6 | Alacsony integritású képek blokkolása |
| Security-Mitigations | 7 | Távoli lemezképek naplózásának blokkolása |
| Security-Mitigations | 8 | Távoli lemezképek blokkolása |
| Security-Mitigations | 9 | Win32k rendszerhívások naplózásának letiltása |
| Security-Mitigations | 10 | Win32k rendszerhívási blokk letiltása |
| Security-Mitigations | 11 | Kódintegritási védelem naplózása |
| Security-Mitigations | 12 | Kódintegritási védőblokk |
| Security-Mitigations | 13 | EAF-naplózás |
| Security-Mitigations | 14 | EAF kényszerítése |
| Security-Mitigations | 15 | EAF+ naplózás |
| Security-Mitigations | 16 | EAF+ kényszerítés |
| Security-Mitigations | 17 | IAF-naplózás |
| Security-Mitigations | 18 | IAF kényszerítése |
| Security-Mitigations | 19 | ROP StackPivot-naplózás |
| Security-Mitigations | 20 | ROP StackPivot kényszerítése |
| Security-Mitigations | 21 | ROP-hívó – Audit ellenőrzése |
| Security-Mitigations | 22 | ROP-hívó – Kényszerítés ellenőrzése |
| Security-Mitigations | 23 | ROP SimExec-naplózás |
| Security-Mitigations | 24 | ROP SimExec kényszerítése |
| WER-Diagnostics | 5 | CFG-blokk |
| Win32K | 260 | Nem megbízható betűtípus |
Kockázatcsökkentés összehasonlítása
Az EMET-ben elérhető kockázatcsökkentések natív módon szerepelnek Windows 10 (az 1709-es verziótól kezdve), a Windows 11 és a Windows Server (az 1803-es verziótól kezdődően) a Biztonsági rés kiaknázása elleni védelem területen.
Az ebben a szakaszban található táblázat az EMET és a biztonsági rés kiaknázása elleni védelem közötti natív kockázatcsökkentések rendelkezésre állását és támogatását mutatja.
| Kockázatcsökkentés | Biztonsági rés kiaknázása elleni védelem alatt áll | Elérhető az EMET-ben |
|---|---|---|
| Tetszőleges programkód futtatása elleni védelem (ACG) | Igen | Igen "Memóriavédelem ellenőrzése" |
| Távoli lemezképek blokkolása | Igen | Igen "Kódtár-ellenőrzés betöltése" |
| Nem megbízható betűkészletek blokkolása | Igen | Igen |
| Adatvégrehajtás megakadályozása (DEP) | Igen | Igen |
| Exportcímszűrés (EAF) | Igen | Igen |
| Véletlenszerűsítés kényszerítése a lemezképeknél (kötelező ASLR) | Igen | Igen |
| NullPage biztonsági kockázatcsökkentés | Igen Natív módon szerepel a Windows 10 és a Windows 11 További információ: Fenyegetések elhárítása Windows 10 biztonsági funkciókkal |
Igen |
| Véletlenszerű memóriafoglalás (ASLR alulról felfelé) | Igen | Igen |
| Végrehajtás szimulálása (SimExec) | Igen | Igen |
| API-meghívás ellenőrzése (CallerCheck) | Igen | Igen |
| Kivételláncok ellenőrzése (SEHOP) | Igen | Igen |
| Halomintegritás ellenőrzése (StackPivot) | Igen | Igen |
| Tanúsítványmegbízhatóság (konfigurálható tanúsítványrögzítés) | Windows 10 és Windows 11 vállalati tanúsítványok rögzítésének biztosítása | Igen |
| Halompermet-kiosztás | Hatástalan az újabb böngészőalapú biztonsági résekkel szemben; az újabb kockázatcsökkentések jobb védelmet biztosítanak További információ: Fenyegetések elhárítása Windows 10 biztonsági funkciókkal |
Igen |
| Alacsony integritású lemezképek blokkolása | Igen | Nem |
| Kódintegritás-védelem | Igen | Nem |
| Hosszabbítópontok letiltása | Igen | Nem |
| Win32k rendszerhívások letiltása | Igen | Nem |
| Gyermekfolyamatok tiltása | Igen | Nem |
| Importcímszűrés (IAF) | Igen | Nem |
| Leírókezelés ellenőrzése | Igen | Nem |
| Halommemória-integritás ellenőrzése | Igen | Nem |
| Lemezképfüggőség-integritás ellenőrzése | Igen | Nem |
Megjegyzés:
Az EMET-ben elérhető Speciális ROP-kockázatcsökkentéseket az ACG felülírja Windows 10 és Windows 11, amelyek alapértelmezés szerint más EMET speciális beállításokat is engedélyeznek, az ROP-ellenes kockázatcsökkentések engedélyezésének részeként. A Windows 10 meglévő EMET-technológiájának alkalmazásával kapcsolatos további információkért lásd: Fenyegetések elhárítása Windows 10 biztonsági funkciók használatával.
Lásd még
- Biztonsági rés kiaknázása elleni védelem kockázatcsökkentéseinek konfigurálása és naplózása
- Biztonsági rés kiaknázása elleni védelem hibaelhárítása
- AZ ASR-szabályok üzembe helyezésének és észlelésének optimalizálása
Tipp
Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: