エクスプロイト保護の評価Evaluate exploit protection

適用対象:Applies to:

Microsoft Defender for Endpoint を体験してみませんか?Want to experience Microsoft Defender for Endpoint? 無料試用版にサインアップします。Sign up for a free trial.

エクスプロイト保護 は、悪用を使用して他のデバイスを拡散および感染するマルウェアからデバイスを保護するのに役立ちます。Exploit protection helps protect devices from malware that uses exploits to spread and infect other devices. 軽減策は、オペレーティング システムまたは個々のアプリに適用できます。Mitigation can be applied to either the operating system or to an individual app. 拡張軽減エクスペリエンス サービス (EMET) の一部Toolkit機能の多くは、エクスプロイト保護に含まれています。Many of the features that were part of the Enhanced Mitigation Experience Toolkit (EMET) are included in exploit protection. (EMET はサポートの終了に達しました。(The EMET has reached its end of support.)

監査では、テスト環境の特定のアプリに対する軽減策の仕組みについて確認できます。In audit, you can see how mitigation works for certain apps in a test environment. これは、実稼働 環境で エクスプロイト保護を有効にした場合に何が起こったかを示します。This shows what would have happened if you enabled exploit protection in your production environment. これにより、悪用保護が業務上のアプリに悪影響を及ぼさなかったり、疑わしいイベントや悪意のあるイベントが発生したのか確認できます。This way, you can verify that exploit protection doesn't adversely affect your line-of-business apps, and see which suspicious or malicious events occur.

ヒント

また、Microsoft Defender Testground の Web サイトを 参照して 、demo.wd.microsoft.com の動作を確認できます。You can also visit the Microsoft Defender Testground website at demo.wd.microsoft.com to see how exploit protection works.

テスト用のエクスプロイト保護を有効にするEnable exploit protection for testing

特定のプログラムのテスト モードで軽減策を設定するには、Windows セキュリティ アプリまたはアプリを使用Windows PowerShell。You can set mitigations in a testing mode for specific programs by using the Windows Security app or Windows PowerShell.

Windows セキュリティ アプリWindows Security app

  1. Windows セキュリティ アプリを開きます。Open the Windows Security app. タスク バーのシールド アイコンを選択するか、Defender のスタート メニューを検索 しますSelect the shield icon in the task bar or search the start menu for Defender.

  2. [App & コントロール ] タイル (または左側のメニュー バーのアプリ アイコン) を選択し、[エクスプロイト保護] を選択しますSelect the App & browser control tile (or the app icon on the left menu bar) and then select Exploit protection.

  3. [プログラムの 設定] に移動 し、保護を適用するアプリを選択します。Go to Program settings and choose the app you want to apply protection to:

    1. 構成するアプリが既に一覧表示されている場合は、そのアプリを選択し、[編集] を選択 します。If the app you want to configure is already listed, select it and then select Edit
    2. アプリが一覧の上部に表示されていない場合は、[プログラムの追加] を 選択してカスタマイズしますIf the app is not listed at the top of the list select Add program to customize. 次に、アプリの追加方法を選択します。Then, choose how you want to add the app.
      • [ プログラム名で追加] を 使用して、その名前を持つ実行中のプロセスに軽減策を適用します。Use Add by program name to have the mitigation applied to any running process with that name. 拡張子が付くファイルを指定します。Specify a file with an extension. 完全なパスを入力すると、その場所に名前が付くアプリにのみ軽減策を制限できます。You can enter a full path to limit the mitigation to only the app with that name in that location.
      • 標準の Windows Explorer ファイル ピッカー ウィンドウを使用して、目的のファイルを検索して選択するには、[厳密なファイル パスを選択する] を使用します。Use Choose exact file path to use a standard Windows Explorer file picker window to find and select the file you want.
  4. アプリを選択すると、適用できるすべての軽減策の一覧が表示されます。After selecting the app, you'll see a list of all the mitigations that can be applied. [監査] を選択 すると、監査モードでのみ軽減策が適用されます。Choosing Audit will apply the mitigation in audit mode only. プロセス、アプリ、または Windows を再起動する必要がある場合は、通知されます。You'll be notified if you need to restart the process, app, or Windows.

  5. 構成するアプリと軽減策について、この手順を繰り返します。Repeat this procedure for all the apps and mitigations you want to configure. 構成 の設定 が完了したら、[適用] を選択します。Select Apply when you're done setting up your configuration.

PowerShellPowerShell

アプリ レベルの軽減策を監査モードに設定するには、監査 Set-ProcessMitigation モード コマンドレットを使用 します。To set app-level mitigations to audit mode, use Set-ProcessMitigation with the Audit mode cmdlet.

各軽減策を次の形式で構成します。Configure each mitigation in the following format:

Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>

ここで、Where:

* \<Scope>:
  * `-Name` to indicate the mitigations should be applied to a specific app. Specify the app's executable after this flag.
* \<Action>:
  * `-Enable` to enable the mitigation
    * `-Disable` to disable the mitigation
* \<Mitigation>:
  * The mitigation's cmdlet as defined in the following table. Each mitigation is separated with a comma.
軽減策Mitigation 監査モードのコマンドレットAudit mode cmdlet
任意の Code Guard (ACG)Arbitrary Code Guard (ACG) AuditDynamicCode
低整合性イメージをブロックするBlock low integrity images AuditImageLoad
信頼されていないフォントをブロックするBlock untrusted fonts AuditFont, FontAuditOnlyAuditFont, FontAuditOnly
コード整合性ガードCode integrity guard AuditMicrosoftSigned, AuditStoreSignedAuditMicrosoftSigned, AuditStoreSigned
Win32k システム呼び出しを無効にするDisable Win32k system calls AuditSystemCall
子プロセスを許可しないDo not allow child processes AuditChildProcess

たとえば、次のコマンドを実行して、testing.exeという名前のアプリの監査モードで任意の Code Guard (ACG) を有効にします。For example, to enable Arbitrary Code Guard (ACG) in audit mode for an app named testing.exe, run the following command:

Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable AuditDynamicCode

に置き 換え、 監査モードを無効 -Enable にできます -DisableYou can disable audit mode by replacing -Enable with -Disable.

エクスプロイト保護監査イベントの確認Review exploit protection audit events

ブロックされているアプリを確認するには、イベント ビューアーを開き、次のイベントをフィルター処理して、Security-Mitigationsします。To review which apps would have been blocked, open Event Viewer and filter for the following events in the Security-Mitigations log.

機能Feature プロバイダー/ソースProvider/source イベント IDEvent ID 説明Description
エクスプロイト保護Exploit protection Security-Mitigations (カーネル モード/ユーザー モード)Security-Mitigations (Kernel Mode/User Mode) 11 ACG 監査ACG audit
エクスプロイト保護Exploit protection Security-Mitigations (カーネル モード/ユーザー モード)Security-Mitigations (Kernel Mode/User Mode) 33 子プロセスの監査を許可しないDo not allow child processes audit
エクスプロイト保護Exploit protection Security-Mitigations (カーネル モード/ユーザー モード)Security-Mitigations (Kernel Mode/User Mode) 55 低整合性イメージの監査をブロックするBlock low integrity images audit
エクスプロイト保護Exploit protection Security-Mitigations (カーネル モード/ユーザー モード)Security-Mitigations (Kernel Mode/User Mode) 77 リモート イメージの監査をブロックするBlock remote images audit
エクスプロイト保護Exploit protection Security-Mitigations (カーネル モード/ユーザー モード)Security-Mitigations (Kernel Mode/User Mode) 99 win32k システム呼び出しの監査を無効にするDisable win32k system calls audit
エクスプロイト保護Exploit protection Security-Mitigations (カーネル モード/ユーザー モード)Security-Mitigations (Kernel Mode/User Mode) 1111 コード整合性ガードの監査Code integrity guard audit

関連項目See also