Ocenianie ochrony przed exploitami

Dotyczy:

Chcesz mieć dostęp do programu Microsoft Defender dla punktu końcowego? Zarejestruj się, aby korzystać z bezpłatnej wersji próbnej.

Exploit Protection pomaga chronić urządzenia przed złośliwym oprogramowaniem wykorzystującym wykorzystywanie do rozpowszechniania i infekowania innych urządzeń. Środki zaradcze można zastosować do systemu operacyjnego lub do poszczególnych aplikacji. Wiele funkcji, które wchodziły w skład zestawu narzędzi Enhanced Mitigation Experience Toolkit (EMET), jest uwzględnionych w ochronie przed wykorzystywaniem luk. (Program EMET zakończył wsparcie techniczne).

W ramach inspekcji możesz zobaczyć, jak działa środki zaradcze dla niektórych aplikacji w środowisku testowym. To pokazuje, co by się stało, jeśli włączono ochronę przed wykorzystywaniem luk w środowisku produkcyjnym. Dzięki temu można sprawdzić, czy wykorzystywanie ochrony nie wpływa negatywnie na aplikacje biznesowe, oraz sprawdzać, które podejrzane lub złośliwe zdarzenia występują.

Porada

Możesz również odwiedzić witrynę internetową scenariuszy pokazu programu Microsoft Defender w witrynie demo.wd.microsoft.com , aby dowiedzieć się, jak działa ochrona przed wykorzystywaniem luk.

Uwaga

Witryna pokazowa usługi Defender for Endpoint w demo.wd.microsoft.com jest przestarzała i zostanie usunięta w przyszłości.

Włączanie ochrony przed lukami podczas testowania

Możesz ustawić środki zaradcze w trybie testowania dla określonych programów, używając Zabezpieczenia Windows lub Windows PowerShell.

Zabezpieczenia Windows aplikacji

  1. Otwórz Zabezpieczenia Windows aplikacji. Wybierz ikonę tarczy na pasku zadań lub wyszukaj w menu Start Zabezpieczenia Windows.

  2. Wybierz kafelek Aplikacji & sterowania przeglądarką (lub ikonę aplikacji na lewym pasku menu), a następnie wybierz pozycję Exploit Protection.

  3. Przejdź do ustawień programu i wybierz aplikację, do której chcesz zastosować ochronę:

    1. Jeśli aplikacja, którą chcesz skonfigurować, jest już na liście, zaznacz ją, a następnie wybierz pozycję Edytuj
    2. Jeśli aplikacja nie jest wymieniona u góry listy, wybierz pozycję Dodaj program, aby dostosować. Następnie wybierz sposób dodawania aplikacji.
      • Użyj przycisku Dodaj według nazwy programu, aby zastosować środki zaradcze do każdego uruchomionego procesu o tej nazwie. Określ plik z rozszerzeniem. Możesz wprowadzić pełną ścieżkę, aby ograniczyć ograniczenie do tylko aplikacji o tej nazwie w tej lokalizacji.
      • Użyj opcji Wybierz dokładną ścieżkę pliku, aby użyć standardowego Windows selektora plików Eksploratora w celu znalezienia i wybrania odpowiedniego pliku.
  4. Po wybraniu aplikacji zostanie wyświetlona lista wszystkich środków zaradczych, które można zastosować. Wybranie opcji Inspekcja spowoduje zastosowanie ograniczenia tylko w trybie inspekcji. Otrzymasz powiadomienie, jeśli musisz ponownie uruchomić proces, aplikację lub Windows.

  5. Powtórz tę procedurę dla wszystkich aplikacji i środków zaradczych, które chcesz skonfigurować. Po skonfigurowaniu konfiguracji wybierz pozycję Zastosuj.

PowerShell

Aby ustawić środki zaradcze na poziomie aplikacji do trybu inspekcji, użyj polecenia Set-ProcessMitigation cmdlet Tryb inspekcji.

Skonfiguruj każdy środki zaradcze w następującym formacie:

Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>

Gdzie:

  • <Scope>:
    • -Name aby wskazać, że środki zaradcze powinny być stosowane do konkretnej aplikacji. Określ plik wykonywalny aplikacji po tej flagi.
  • <Action>:
    • -Enable aby włączyć środki zaradcze
      • -Disable aby wyłączyć środki zaradcze
  • <Mitigation>:
    • Polecenie cmdlet środki zaradcze, zdefiniowane w poniższej tabeli. Każdy czynnik zaradczy jest rozdzielany przecinkiem.
Środki zaradcze Polecenie cmdlet trybu inspekcji
Arbitrary Code Guard (ACG) AuditDynamicCode
Blokowanie obrazów o niskiej integralności AuditImageLoad
Blokowanie niezaufanych czcionek AuditFont, FontAuditOnly
Ochrona integralności kodu AuditMicrosoftSigned, AuditStoreSigned
Wyłączanie połączeń systemowych Win32k AuditSystemCall
Nie zezwalaj na procesy podrzędne AuditChildProcess

Aby na przykład włączyć funkcję Arbitrary Code Guard (ACG) w trybie inspekcji dla aplikacji o nazwietesting.exe, uruchom następujące polecenie:

Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable AuditDynamicCode

Tryb inspekcji można wyłączyć, zamieniając na -Enable .-Disable

Przeglądanie zdarzeń inspekcji ochrony przed lukami w zabezpieczeniach

Aby sprawdzić, które aplikacje byłyby zablokowane, otwórz przeglądarkę zdarzeń i przefiltruj następujące zdarzenia w Security-Mitigations zdarzeń.

Funkcja Dostawca/źródło Identyfikator zdarzenia Opis
Exploit Protection Security-Mitigations (tryb kernel/tryb użytkownika) 1 Inspekcja ACG
Exploit Protection Security-Mitigations (tryb kernel/tryb użytkownika) 3 Nie zezwalaj na inspekcję procesów podrzędnych
Exploit Protection Security-Mitigations (tryb kernel/tryb użytkownika) 5 Blokowanie inspekcji obrazów o niskiej integralności
Exploit Protection Security-Mitigations (tryb kernel/tryb użytkownika) 7 Blokowanie inspekcji obrazów zdalnych
Exploit Protection Security-Mitigations (tryb kernel/tryb użytkownika) 9 Wyłączanie inspekcji połączeń systemowych win32k
Exploit Protection Security-Mitigations (tryb kernel/tryb użytkownika) 11 Inspekcja ochrony integralności kodu

Zobacz też