Exploitbeveiliging evaluerenEvaluate exploit protection

Van toepassing op:Applies to:

Wilt u Microsoft Defender voor Eindpunt ervaren?Want to experience Microsoft Defender for Endpoint? Meld u aan voor een gratis proefabonnement.Sign up for a free trial.

Gebruiksbeveiliging helpt apparaten te beschermen tegen malware die exploits gebruikt om andere apparaten te verspreiden en te infecteren.Exploit protection helps protect devices from malware that uses exploits to spread and infect other devices. Beperking kan worden toegepast op het besturingssysteem of op een afzonderlijke app.Mitigation can be applied to either the operating system or to an individual app. Veel van de functies die deel uitmaakten van de Enhanced Mitigation Experience Toolkit (EMET) zijn opgenomen in exploitbeveiliging.Many of the features that were part of the Enhanced Mitigation Experience Toolkit (EMET) are included in exploit protection. (Het EMET heeft het einde van de ondersteuning bereikt.)(The EMET has reached its end of support.)

In audit kunt u zien hoe mitigatie werkt voor bepaalde apps in een testomgeving.In audit, you can see how mitigation works for certain apps in a test environment. Hier ziet u wat er zou zijn gebeurd als u misbruikbeveiliging in uw productieomgeving had ingeschakeld.This shows what would have happened if you enabled exploit protection in your production environment. Op deze manier kunt u controleren of misbruikbeveiliging geen nadelige invloed heeft op uw line-of-business-apps en zien welke verdachte of schadelijke gebeurtenissen zich voordoen.This way, you can verify that exploit protection doesn't adversely affect your line-of-business apps, and see which suspicious or malicious events occur.

Tip

U kunt ook naar de Microsoft Defender Testground-website op demo.wd.microsoft.com om te zien hoe bescherming tegen misbruik werkt.You can also visit the Microsoft Defender Testground website at demo.wd.microsoft.com to see how exploit protection works.

Exploitbeveiliging inschakelen voor testenEnable exploit protection for testing

U kunt mitigaties instellen in een testmodus voor specifieke programma's met behulp van Windows-beveiliging app of Windows PowerShell.You can set mitigations in a testing mode for specific programs by using the Windows Security app or Windows PowerShell.

Windows-beveiliging appWindows Security app

  1. Open de app voor Windows-beveiliging.Open the Windows Security app. Selecteer het schildpictogram op de taakbalk of zoek in het startmenu naar Defender.Select the shield icon in the task bar or search the start menu for Defender.

  2. Selecteer de tegel App & browserbesturingselement (of het app-pictogram op de linkermenubalk) en selecteer vervolgens Beveiliging van exploit.Select the App & browser control tile (or the app icon on the left menu bar) and then select Exploit protection.

  3. Ga naar Programma-instellingen en kies de app op wie u beveiliging wilt toepassen:Go to Program settings and choose the app you want to apply protection to:

    1. Als de app die u wilt configureren al wordt weergegeven, selecteert u deze en selecteert u Vervolgens BewerkenIf the app you want to configure is already listed, select it and then select Edit
    2. Als de app niet bovenaan de lijst staat, selecteert u Programma toevoegen om aan te passen.If the app is not listed at the top of the list select Add program to customize. Kies vervolgens hoe u de app wilt toevoegen.Then, choose how you want to add the app.
      • Gebruik Toevoegen op programmanaam om de beperking te laten toepassen op een lopend proces met die naam.Use Add by program name to have the mitigation applied to any running process with that name. Geef een bestand op met een extensie.Specify a file with an extension. U kunt een volledig pad invoeren om de beperking te beperken tot alleen de app met die naam op die locatie.You can enter a full path to limit the mitigation to only the app with that name in that location.
      • Gebruik Het exacte bestandspad kiezen om een standaardvenster Windows Verkenner te gebruiken om het juiste bestand te zoeken en te selecteren.Use Choose exact file path to use a standard Windows Explorer file picker window to find and select the file you want.
  4. Nadat u de app hebt geselecteerd, ziet u een lijst met alle risico's die kunnen worden toegepast.After selecting the app, you'll see a list of all the mitigations that can be applied. Als u Audit kiest, wordt de beperking alleen toegepast in de auditmodus.Choosing Audit will apply the mitigation in audit mode only. U krijgt een melding als u het proces, de app of de Windows.You'll be notified if you need to restart the process, app, or Windows.

  5. Herhaal deze procedure voor alle apps en mitigaties die u wilt configureren.Repeat this procedure for all the apps and mitigations you want to configure. Selecteer Toepassen wanneer u klaar bent met het instellen van de configuratie.Select Apply when you're done setting up your configuration.

PowerShellPowerShell

Als u beperking op app-niveau wilt instellen op auditmodus, gebruikt u Set-ProcessMitigation de cmdlet Auditmodus.To set app-level mitigations to audit mode, use Set-ProcessMitigation with the Audit mode cmdlet.

Configureer elke beperking in de volgende indeling:Configure each mitigation in the following format:

Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>

Waarbij:Where:

* \<Scope>:
  * `-Name` to indicate the mitigations should be applied to a specific app. Specify the app's executable after this flag.
* \<Action>:
  * `-Enable` to enable the mitigation
    * `-Disable` to disable the mitigation
* \<Mitigation>:
  * The mitigation's cmdlet as defined in the following table. Each mitigation is separated with a comma.
BeperkingMitigation Cmdlet auditmodusAudit mode cmdlet
Willekeurige Code Guard (ACG)Arbitrary Code Guard (ACG) AuditDynamicCode
Afbeeldingen met een lage integriteit blokkerenBlock low integrity images AuditImageLoad
Niet-vertrouwde lettertypen blokkerenBlock untrusted fonts AuditFont, FontAuditOnlyAuditFont, FontAuditOnly
CodeintegriteitswachtCode integrity guard AuditMicrosoftSigned, AuditStoreSignedAuditMicrosoftSigned, AuditStoreSigned
Win32k-systeemoproepen uitschakelenDisable Win32k system calls AuditSystemCall
Onderliggende processen niet toestaanDo not allow child processes AuditChildProcess

Voer bijvoorbeeld de volgende opdracht uit als u Willekeurige Code ** Guard (ACG) wilt inschakelen in de auditmodus voor een app met detesting.exe:For example, to enable Arbitrary Code Guard (ACG) in audit mode for an app named testing.exe, run the following command:

Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable AuditDynamicCode

U kunt de auditmodus uitschakelen door deze te -Enable vervangen door -Disable .You can disable audit mode by replacing -Enable with -Disable.

Controle van beveiligingsauditgebeurtenissen voor exploitsReview exploit protection audit events

Als u wilt controleren welke apps zijn geblokkeerd, opent u Gebeurtenisviewer en filtert u op de volgende gebeurtenissen in het Security-Mitigations logboek.To review which apps would have been blocked, open Event Viewer and filter for the following events in the Security-Mitigations log.

FunctieFeature Provider/bronProvider/source Gebeurtenis-idEvent ID BeschrijvingDescription
Bescherming tegen misbruikExploit protection Security-Mitigations (kernelmodus/gebruikersmodus)Security-Mitigations (Kernel Mode/User Mode) 11 ACG-auditACG audit
Bescherming tegen misbruikExploit protection Security-Mitigations (kernelmodus/gebruikersmodus)Security-Mitigations (Kernel Mode/User Mode) 33 Controle van onderliggende processen niet toestaanDo not allow child processes audit
Bescherming tegen misbruikExploit protection Security-Mitigations (kernelmodus/gebruikersmodus)Security-Mitigations (Kernel Mode/User Mode) 55 Controle van afbeeldingen met lage integriteit blokkerenBlock low integrity images audit
Bescherming tegen misbruikExploit protection Security-Mitigations (kernelmodus/gebruikersmodus)Security-Mitigations (Kernel Mode/User Mode) 77 Externe afbeeldingen controleren blokkerenBlock remote images audit
Bescherming tegen misbruikExploit protection Security-Mitigations (kernelmodus/gebruikersmodus)Security-Mitigations (Kernel Mode/User Mode) 99 Controle van win32k-systeemoproepen uitschakelenDisable win32k system calls audit
Bescherming tegen misbruikExploit protection Security-Mitigations (kernelmodus/gebruikersmodus)Security-Mitigations (Kernel Mode/User Mode) 1111 Controle van de codeintegriteitscontroleCode integrity guard audit

Zie ookSee also