Bescherming tegen misbruik inschakelen

Van toepassing op:

Tip

Wilt u Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.

Bescherming tegen misbruik helpt u te beschermen tegen malware die exploits gebruikt om apparaten te infecteren en te verspreiden. Exploitbeveiliging bestaat uit een groot aantal risico's die kunnen worden toegepast op het besturingssysteem of afzonderlijke apps.

Belangrijk

.NET 2.0 is niet compatibel met bepaalde mogelijkheden voor misbruikbeveiliging, met name EAF (Export Address Filtering) en Import Address Filtering (IAF). Als u .NET 2.0 hebt ingeschakeld, wordt het gebruik van EAF en IAF niet ondersteund.

Veel functies van de Enhanced Mitigation Experience Toolkit (EMET) zijn opgenomen in exploitbeveiliging.

U kunt elke beperking afzonderlijk inschakelen met behulp van een van de volgende methoden:

Exploitbeveiliging is standaard geconfigureerd in Windows 10. U kunt elke beperking instellen op aan, uit of op de standaardwaarde. Sommige risico's hebben meer opties. U kunt deze instellingen exporteren als een XML-bestand en deze implementeren naar andere apparaten.

U kunt ook mitigaties instellen op de auditmodus. Met de controlemodus kunt u testen hoe de risico's werken (en gebeurtenissen controleren) zonder dat dit gevolgen heeft voor het normale gebruik van het apparaat.

Windows-beveiliging app

  1. Open de Windows-beveiliging app door het schildpictogram in de taakbalk te selecteren of door te zoeken in Startmenu voor beveiliging.

  2. Selecteer de tegel App & browserbesturingselement (of het app-pictogram op de linkermenubalk) en selecteer vervolgens Beveiligingsinstellingen voor exploiteren.

  3. Ga naar Programma-instellingen en kies de app op wie u beperking wilt toepassen.

    • Als de app die u wilt configureren al wordt weergegeven, selecteert u deze en selecteert u Vervolgens Bewerken.
    • Als de app niet wordt weergegeven, selecteert u boven aan de lijst Programma toevoegen om aan te passen en kiest u vervolgens hoe u de app wilt toevoegen.
    • Gebruik Toevoegen op programmanaam om de beperking te laten toepassen op een lopend proces met die naam. Geef een bestand op met de extensie. U kunt een volledig pad invoeren om de beperking te beperken tot alleen de app met die naam op die locatie.
    • Gebruik Het exacte bestandspad kiezen om een standaardvenster Windows Verkenner te gebruiken om het juiste bestand te zoeken en te selecteren.
  4. Nadat u de app hebt geselecteerd, ziet u een lijst met alle risico's die kunnen worden toegepast. Als u Audit kiest, wordt de beperking alleen toegepast in de auditmodus. U krijgt een melding als u het proces of de app opnieuw wilt starten of als u de Windows.

  5. Herhaal stap 3-4 voor alle apps en risico's die u wilt configureren.

  6. Zoek onder de sectie Systeeminstellingen de beperking die u wilt configureren en geef vervolgens een van de volgende instellingen op. Apps die niet afzonderlijk zijn geconfigureerd in de sectie Programma-instellingen, gebruiken de instellingen die hier zijn geconfigureerd.

    • Standaard ingeschakeld: De beperking is ingeschakeld voor apps die deze beperking niet hebben ingesteld in de app-specifieke sectie Programma-instellingen
    • Standaard uitgeschakeld: de beperking is uitgeschakeld voor apps die deze beperking niet hebben ingesteld in de app-specifieke sectie Programma-instellingen
    • Standaard gebruiken: de beperking is ingeschakeld of uitgeschakeld, afhankelijk van de standaardconfiguratie die is ingesteld door Windows 10 installatie; de standaardwaarde (Aan of Uit) wordt altijd opgegeven naast het standaardlabel Gebruiken voor elke beperking
  7. Herhaal stap 6 voor alle mitigaties op systeemniveau die u wilt configureren. Selecteer Toepassen wanneer u klaar bent met het instellen van de configuratie.

Als u een app toevoegt aan de sectie Programma-instellingen en daar afzonderlijke instellingen voor beperking configureert, worden deze boven de configuratie geƫerd voor dezelfde beperking die is opgegeven in de sectie Systeeminstellingen. De volgende matrix en voorbeelden geven aan hoe standaardinstellingen werken:

Ingeschakeld in programma-instellingen Ingeschakeld in systeeminstellingen Gedrag
Ja Nee Zoals gedefinieerd in programma-instellingen
Ja Ja Zoals gedefinieerd in programma-instellingen
Nee Ja Zoals gedefinieerd in systeeminstellingen
Nee Ja Standaard zoals gedefinieerd in de standaardoptie Gebruiken

Voorbeeld 1: Mikael configureert preventie van gegevensuitvoering in de sectie systeeminstellingen om standaard uit te staan

Mikael voegt de app-test.exe toe aan de sectie Programma-instellingen. In de opties voor die app, onder Preventie van gegevensuitvoering (DEP), schakelt Mikael de optie Systeeminstellingen overschrijven in en stelt u de overschakeling in op Aan. Er worden geen andere apps weergegeven in de sectie Programma-instellingen.

Het resultaat is dat DEP alleen is ingeschakeld voor test.exe. Voor alle andere apps is DEP niet toegepast.

Voorbeeld 2: Josie configureert preventie van gegevensuitvoering in systeeminstellingen om standaard uitgeschakeld te zijn

Josie voegt de app-test.exe toe aan de sectie Programma-instellingen. In de opties voor die app, onder Preventie van gegevensuitvoering (DEP), schakelt Josie de optie Systeeminstellingen overschrijven in en stelt u de overschakeling in op Aan.

Josie voegt ook de app-miles.exetoe aan de sectie Programma-instellingen en configureert Control Flow Guard (CFG) in aan. Met Josie wordt de optie Systeeminstellingen overschrijven voor DEP of andere risico's voor die app niet ingeschakeld.

Het resultaat is dat DEP is ingeschakeld voor test.exe. DEP is niet ingeschakeld voor een andere app, inclusiefmiles.exe. CFG wordt ingeschakeld voor miles.exe.

  1. Open de Windows-beveiliging app door het schildpictogram in de taakbalk te selecteren of door te zoeken in het startmenu voor Defender.

  2. Selecteer de tegel App & browserbesturingselement (of het app-pictogram op de linkermenubalk) en selecteer vervolgens Beveiliging van exploit.

  3. Ga naar Programma-instellingen en kies de app op wie u beperking wilt toepassen.

    • Als de app die u wilt configureren al wordt weergegeven, selecteert u deze en selecteert u Vervolgens Bewerken.
    • Als de app niet wordt weergegeven, selecteert u boven aan de lijst Programma toevoegen om aan te passen en kiest u vervolgens hoe u de app wilt toevoegen.
    • Gebruik Toevoegen op programmanaam om de beperking te laten toepassen op een lopend proces met die naam. Geef een bestand op met een extensie. U kunt een volledig pad invoeren om de beperking te beperken tot alleen de app met die naam op die locatie.
    • Gebruik Het exacte bestandspad kiezen om een standaardvenster Windows Verkenner te gebruiken om het juiste bestand te zoeken en te selecteren.
  4. Nadat u de app hebt geselecteerd, ziet u een lijst met alle risico's die kunnen worden toegepast. Als u Audit kiest, wordt de beperking alleen toegepast in de auditmodus. U krijgt een melding als u het proces of de app opnieuw wilt starten of als u de app opnieuw wilt Windows.

  5. Herhaal stap 3-4 voor alle apps en risico's die u wilt configureren. Selecteer Toepassen wanneer u klaar bent met het instellen van de configuratie.

Intune

  1. Meld u aan bij de Azure-portal en open Intune.

  2. Ga naar Apparaatconfiguratieprofielen > > Profiel maken.

  3. Noem het profiel een naam, kies Windows 10 en hoger en Endpoint-beveiliging.

    Eindpuntbeveiligingsprofiel maken

  4. Selecteer Configure > Windows Defender Exploit Guard Exploit > protection.

  5. Upload XML-bestand met de beveiligingsinstellingen voor exploits:

    Netwerkbeveiliging inschakelen in Intune

  6. Selecteer OK om elk geopend blad op te slaan en kies vervolgens Maken.

  7. Selecteer het tabblad Profieltoewijzingen, wijs het beleid toe aan alle gebruikers & Alle apparaten en selecteer opslaan.

MDM

Gebruik de CSP (Configuration Service Provider voor ./Vendor/MSFT/Policy/Config/ExploitGuard/ExploitProtectionSettings) om beveiligingsbeperking voor misbruik in of uit te schakelen of om de auditmodus te gebruiken.

Microsoft Endpoint Manager

  1. Ga Microsoft Endpoint Manager naar Endpoint Security > Attack surface reduction.

  2. Selecteer Beleidplatform > maken en kies voor Profiel de optie Exploit Protection. Selecteer vervolgens Maken.

  3. Geef een naam en een beschrijving op en kies volgende.

  4. Kies XML-bestand selecteren en blader naar de locatie van het XML-bestand voor exploitbeveiliging. Selecteer het bestand en kies vervolgens Volgende.

  5. Configureer zo nodig bereiklabels en toewijzingen.

  6. Controleer onder Controleren + maken de configuratie-instellingen en kies vervolgens Maken.

Microsoft Endpoint Configuration Manager

  1. Ga Microsoft Endpoint Configuration Manager naar Assets and Compliance > Endpoint Protection > Windows Defender Exploit Guard.

  2. Selecteer Home > Create Exploit Guard Policy.

  3. Geef een naam en een beschrijving op, selecteer Beveiliging uitbuiten en kies volgende.

  4. Blader naar de locatie van het XML-bestand voor exploitbeveiliging en selecteer Volgende.

  5. Controleer de instellingen en kies vervolgens Volgende om het beleid te maken.

  6. Nadat het beleid is gemaakt, selecteert u Sluiten.

Groepsbeleid

  1. Open op uw apparaat voor groepsbeleidsbeheer de console Groepsbeleidsbeheer, klik met de rechtermuisknop op het groepsbeleidsobject dat u wilt configureren en klik op Bewerken.

  2. Ga in de Editor voor groepsbeleidsbeheer naar Computerconfiguratie en selecteer Beheersjablonen.

  3. Vouw de boom uit Windows onderdelen Windows Defender Exploit Guard Exploit Protection Gebruik een veelgebruikte > > > set beveiligingsinstellingen voor exploits.

  4. Selecteer Ingeschakeld en typ de locatie van het XML-bestanden kies OK.

PowerShell

U kunt het werkwoord PowerShell Get of Set met de cmdlet ProcessMitigation gebruiken. Met behulp van wordt de huidige configuratiestatus weergegeven van eventuele risico's die zijn ingeschakeld op het apparaat: voeg de cmdlet en app exe toe om mitigaties voor alleen die Get -Name app te zien:

Get-ProcessMitigation -Name processName.exe

Belangrijk

Risicobeperking op systeemniveau die niet is geconfigureerd, geeft een status van NOTSET .

  • Voor instellingen op systeemniveau geeft u aan dat de standaardinstelling voor die beperking NOTSET is toegepast.
  • Voor instellingen op app-niveau geeft u aan dat de instelling op systeemniveau voor de beperking NOTSET wordt toegepast. De standaardinstelling voor elke beperking op systeemniveau is zichtbaar in de Windows-beveiliging.

Gebruik Set deze indeling om elke beperking in de volgende indeling te configureren:

Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>

Waarbij:

  • <Scope>:
    • -Name om aan te geven welke risico's moeten worden toegepast op een specifieke app. Geef de uitvoerbare app op na deze vlag.
      • -System om aan te geven dat de beperking moet worden toegepast op systeemniveau
  • <Action>:
    • -Enable om de beperking in te stellen
    • -Disable om de beperking uit te schakelen
  • <Mitigation>:
    • De cmdlet van de mitigatie, samen met eventuele suboptions (omgeven door spaties). Elke beperking wordt gescheiden met een komma.

Als u bijvoorbeeld de preventie van preventie van gegevensuitvoering (DEP) wilt inschakelen met ATL-thunk-emulatie en voor een uitvoerbare testing.exein de map C:\Apps\LOB\tests, en om te voorkomen dat die uitvoerbare uitvoerbare onderliggende processen maakt, gebruikt u de volgende opdracht:

Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable DEP, EmulateAtlThunks, DisallowChildProcessCreation

Belangrijk

Scheid elke optie voor risicobeperking met komma's.

Als u DEP op systeemniveau wilt toepassen, gebruikt u de volgende opdracht:

Set-Processmitigation -System -Enable DEP

Als u beperking wilt uitschakelen, kunt u deze -Enable vervangen door -Disable . Voor beperking op app-niveau is deze actie echter van kracht dat de beperking alleen voor die app wordt uitgeschakeld.

Als u de beperking wilt herstellen naar de standaardinstelling van het systeem, moet u ook de -Remove cmdlet opnemen, evenals in het volgende voorbeeld:

Set-Processmitigation -Name test.exe -Remove -Disable DEP

De volgende tabel bevat de afzonderlijke mitigaties (en audits, indien beschikbaar) die moeten worden gebruikt met de -Enable of -Disable cmdletparameters.

Type beperking Van toepassing op Parametertrefwoord voor mitigatie cmdlet Cmdletparameter auditmodus
Control Flow Guard (CFG) Systeem- en app-niveau CFG, StrictCFG, SuppressExports Audit is niet beschikbaar
Preventie van gegevensuitvoering (DEP) Systeem- en app-niveau DEP, EmulateAtlThunks Audit is niet beschikbaar
Randomisering voor afbeeldingen forceren (verplichte ASLR) Systeem- en app-niveau ForceRelocateImages Audit is niet beschikbaar
Geheugentoewijzingen willekeurig toekennen (bottom-up ASLR). Systeem- en app-niveau BottomUp, HighEntropy Audit is niet beschikbaar
Uitzonderingsketens valideren (SEHOP) Systeem- en app-niveau SEHOP, SEHOPTelemetry Audit is niet beschikbaar
Integriteit van heap valideren Systeem- en app-niveau TerminateOnError Audit is niet beschikbaar
Beveiliging van arbitraire code (ACG) Alleen app-niveau DynamicCode AuditDynamicCode
Afbeeldingen met lage integriteit blokkeren Alleen app-niveau BlockLowLabel AuditImageLoad
Externe afbeeldingen blokkeren Alleen app-niveau BlockRemoteImages Audit is niet beschikbaar
Niet-vertrouwde lettertypen blokkeren Alleen app-niveau DisableNonSystemFonts AuditFont, FontAuditOnly
Beveiliging van code-integriteit Alleen app-niveau BlockNonMicrosoftSigned, AllowStoreSigned AuditMicrosoftSigned, AuditStoreSigned
Uitbreidingspunten uitschakelen Alleen app-niveau ExtensionPoint Audit is niet beschikbaar
Systeemoproepen van Win32k uitschakelen Alleen app-niveau DisableWin32kSystemCalls AuditSystemCall
Geen onderliggende processen toestaan Alleen app-niveau DisallowChildProcessCreation AuditChildProcess
Export address filtering (EAF) Alleen app-niveau EnableExportAddressFilterPlus, EnableExportAddressFilter [ 1 ] Audit niet beschikbaar [ 2 ]
Filteren op adressen importeren (IAF) Alleen app-niveau EnableImportAddressFilter Audit niet beschikbaar [ 2 ]
Uitvoering simuleren (SimExec) Alleen app-niveau EnableRopSimExec Audit niet beschikbaar [ 2 ]
API-aanroep valideren (CallerCheck) Alleen app-niveau EnableRopCallerCheck Audit niet beschikbaar [ 2 ]
Ingangsgebruik valideren Alleen app-niveau StrictHandle Audit is niet beschikbaar
Integriteit van afhankelijkheid van afbeelding valideren Alleen app-niveau EnforceModuleDepencySigning Audit is niet beschikbaar
Integriteit van stack valideren (StackPivot) Alleen app-niveau EnableRopStackPivot Audit niet beschikbaar [ 2 ]

[ 1 ] : Gebruik de volgende indeling om EAF-modules voor DLL's in te stellen voor een proces:

Set-ProcessMitigation -Name processName.exe -Enable EnableExportAddressFilterPlus -EAFModules dllName1.dll,dllName2.dll

[ 2 ] : Controle voor deze beperking is niet beschikbaar via PowerShell-cmdlets.

De melding aanpassen

Zie voor informatie over het aanpassen van de melding wanneer een regel wordt geactiveerd en een app of bestand wordt geblokkeerd, Windows-beveiliging.

Zie ook