Apparaten beschermen tegen misbruik

Van toepassing op:

Misbruikbeveiliging past automatisch een aantal technieken voor het beperken van het risico op aanvallen toe op processen en apps van het besturingssysteem. Misbruikbeveiliging wordt ondersteund vanaf Windows 10, versie 1709 en Windows Server, versie 1803.

Tip

Ga naar de website Windows Defender Testground op demo.wd.microsoft.com om te controleren of de functie werkt en te zien hoe deze werkt.

Misbruikbeveiliging werkt het beste met Defender voor Eindpunt, waarmee u gedetailleerde rapportage krijgt over gebeurtenissen en blokkeringen van misbruikbeveiliging als onderdeel van de gebruikelijke scenario's voor waarschuwingsonderzoek.

U kunt misbruikbeveiliging inschakelen op een afzonderlijk apparaat en vervolgens Groepsbeleid gebruiken om het XML-bestand naar meerdere apparaten tegelijk te distribueren.

Wanneer er een risicobeperking wordt aangetroffen op het apparaat, wordt er een melding weergegeven vanuit het Actiecentrum. U kunt de melding aanpassen met uw bedrijfs- en contactgegevens. U kunt de regels ook afzonderlijk inschakelen om aan te passen welke technieken de functie bewaakt.

U kunt ook controlemodus gebruiken om te evalueren hoe misbruikbeveiliging van invloed is op uw organisatie als deze functie is ingeschakeld.

Veel van de functies in de Enhanced Mitigation Experience Toolkit (EMET) zijn opgenomen in misbruikbeveiliging. U kunt bestaande EMET-configuratieprofielen zelfs converteren en importeren in misbruikbeveiliging. Zie Configuraties voor misbruikbeveiliging importeren, exporteren en implementeren voor meer informatie.

Belangrijk

Als u momenteel EMET gebruikt, moet u er rekening mee houden dat EMET de ondersteuning op 31 juli 2018 heeft beƫindigd. Overweeg om EMET te vervangen door misbruikbeveiliging in Windows 10.

Waarschuwing

Sommige technologieƫn voor misbruikbeveiliging kunnen compatibiliteitsproblemen hebben met sommige toepassingen. Test misbruikbeveiliging in alle scenario's voor doelgebruik met behulp van controlemodus, voordat u de configuratie implementeert in een productieomgeving of de rest van uw netwerk.

Gebeurtenissen van misbruikbeveiliging in het Microsoft Beveiligingscentrum controleren

Defender voor Eindpunt biedt gedetailleerde rapportage over gebeurtenissen en blokkeringen als onderdeel van de scenario's voor waarschuwingsonderzoek.

U kunt query's uitvoeren op Defender voor Eindpunt-gegevens met behulp van Geavanceerde opsporing. Als u controlemodus gebruikt, kunt u geavanceerde opsporing gebruiken om te zien hoe instellingen voor misbruikbeveiliging van invloed kunnen zijn op uw omgeving.

Hier volgt een voorbeeldquery:

DeviceEvents
| where ActionType startswith 'ExploitGuard' and ActionType !contains 'NetworkProtection'

Gebeurtenissen van misbruikbeveiliging controleren in Windows Logboeken

U kunt het Windows-gebeurtenislogboek bekijken om gebeurtenissen te zien die worden gemaakt wanneer een app door misbruikbeveiliging wordt geblokkeerd (of gecontroleerd):

Provider/bron Gebeurtenis-id Omschrijving
Beveiligingsbeperkingen 1 ACG-controle
Beveiligingsbeperkingen 2 ACG afdwingen
Beveiligingsbeperkingen 3 Geen controle van onderliggende processen toestaan
Beveiligingsbeperkingen 4 Blokkeren van onderliggende processen niet toestaan
Beveiligingsbeperkingen 5 Controle van afbeeldingen met lage integriteit blokkeren
Beveiligingsbeperkingen 6 Blokkeren van afbeeldingen met lage integriteit blokkeren
Beveiligingsbeperkingen 7 Blokkeren van controle externe afbeeldingen
Beveiligingsbeperkingen 8 Blokkeren van blokkering externe afbeeldingen
Beveiligingsbeperkingen 9 Controle van systeemoproepen van Win32k uitschakelen
Beveiligingsbeperkingen 10 Blokkeren van systeemoproepen van Win32k uitschakelen
Beveiligingsbeperkingen 11 Controle van beveiliging van code-integriteit
Beveiligingsbeperkingen 12 Blokkeren van beveiliging van code-integriteit
Beveiligingsbeperkingen 13 EAF-controle
Beveiligingsbeperkingen 14 EAF afdwingen
Beveiligingsbeperkingen 15 EAF + controle
Beveiligingsbeperkingen 16 EAF + afdwingen
Beveiligingsbeperkingen 17 IAF-controle
Beveiligingsbeperkingen 18 IAF afdwingen
Beveiligingsbeperkingen 19 ROP StackPivot-controle
Beveiligingsbeperkingen 20 ROP StackPivot afdwingen
Beveiligingsbeperkingen 21 ROP CallerCheck-controle
Beveiligingsbeperkingen 22 ROP CallerCheck afdwingen
Beveiligingsbeperkingen 23 ROP SimExec-controle
Beveiligingsbeperkingen 24 ROP SimExec afdwingen
Diagnostische gegevens WER 5 CFG blokkeren
Win32K 260 Niet-vertrouwd lettertype

Vergelijking van risicobeperking

De risicobeperkingen die beschikbaar zijn in EMET zijn systeemeigen opgenomen in Windows 10 (vanaf versie 1709) en Windows Server (vanaf versie 1803), onder Misbruikbeveiliging.

De tabel in deze sectie geeft de beschikbaarheid en ondersteuning aan van systeemeigen oplossingen tussen EMET en misbruikbeveiliging.

Risicobeperking Beschikbaar onder misbruikbeveiliging Beschikbaar in EMET
Beveiliging van arbitraire code (ACG) ja ja
Als 'Controle van geheugenbeveiliging'
Externe afbeeldingen blokkeren ja ja
Als 'Bibliotheekcontrole laden'
Niet-vertrouwde lettertypen blokkeren ja ja
Preventie van gegevensuitvoering (DEP) ja ja
Export address filtering (EAF) ja ja
Randomisering voor afbeeldingen forceren (verplichte ASLR) ja ja
NullPage-beveiligingsbeperking ja
Systeemeigen opgenomen in Windows 10
Zie Risico's beperken met beveiligingsfuncties van Windows 10 voor meer informatie
ja
Geheugentoewijzingen willekeurig toekennen (bottom-up ASLR). ja ja
Uitvoering simuleren (SimExec) ja ja
API-aanroep valideren (CallerCheck) ja ja
Uitzonderingsketens valideren (SEHOP) ja ja
Integriteit van stack valideren (StackPivot) ja ja
Certificaatvertrouwen (configureerbare certificaatpinfunctie) Windows 10 biedt het vastmaken van bedrijfscertificaten ja
Toewijzing van heap spray Ineffectief tegen nieuwere aanvallen op browserbasis; nieuwere oplossingen bieden betere beveiliging
Zie Risico's beperken met beveiligingsfuncties van Windows 10 voor meer informatie
ja
Afbeeldingen met lage integriteit blokkeren ja nee
Beveiliging van code-integriteit ja nee
Uitbreidingspunten uitschakelen ja nee
Systeemoproepen van Win32k uitschakelen ja nee
Geen onderliggende processen toestaan ja nee
Filteren op adressen importeren (IAF) ja nee
Ingangsgebruik valideren ja nee
Integriteit van heap valideren ja nee
Integriteit van afhankelijkheid van afbeelding valideren ja nee

Notitie

De geavanceerde ROP-oplossingen die beschikbaar zijn in EMET, worden vervangen door ACG in Windows 10. Andere geavanceerde EMET-instellingen worden standaard ingeschakeld als onderdeel van het inschakelen van de anti-ROP-oplossingen voor een proces. Zie Bedreigingen beperken met behulp van Windows 10-beveiligingsfuncties voor meer informatie over hoe Windows 10 bestaande EMET-technologie gebruikt.

Zie ook