Оценка защиты от эксплойтовEvaluate exploit protection

Область применения:Applies to:

Хотите испытать Microsoft Defender для конечной точки?Want to experience Microsoft Defender for Endpoint? Зарегистрився для бесплатной пробной.Sign up for a free trial.

Защита от эксплойтов помогает защитить устройства от вредоносных программ, которые используют эксплойты для распространения и заражения других устройств.Exploit protection helps protect devices from malware that uses exploits to spread and infect other devices. Смягчение последствий может применяться либо к операционной системе, либо к отдельному приложению.Mitigation can be applied to either the operating system or to an individual app. Многие функции, которые были частью расширенной системы набор средств (EMET), включены в защиту от эксплойтов.Many of the features that were part of the Enhanced Mitigation Experience Toolkit (EMET) are included in exploit protection. (EmET достигла своего конца поддержки.)(The EMET has reached its end of support.)

В аудите вы можете увидеть, как смягчение работает для определенных приложений в тестовой среде.In audit, you can see how mitigation works for certain apps in a test environment. Это показывает, что произошло бы, если бы вы включили защиту от эксплойтов в производственной среде.This shows what would have happened if you enabled exploit protection in your production environment. Таким образом можно убедиться, что защита от эксплойтов не оказывает негативного влияния на ваши бизнес-приложения, и увидеть, какие подозрительные или вредоносные события происходят.This way, you can verify that exploit protection doesn't adversely affect your line-of-business apps, and see which suspicious or malicious events occur.

Совет

Вы также можете посетить веб-сайт тестового поля Защитника Майкрософт в demo.wd.microsoft.com, чтобы узнать, как работает защита от эксплойтов. You can also visit the Microsoft Defender Testground website at demo.wd.microsoft.com to see how exploit protection works.

Включить защиту эксплойтов для тестированияEnable exploit protection for testing

Вы можете настроить меры по смягчению последствий в режиме тестирования для определенных программ с помощью приложения windows Security или Windows PowerShell.You can set mitigations in a testing mode for specific programs by using the Windows Security app or Windows PowerShell.

Приложение Безопасности WindowsWindows Security app

  1. Откройте приложение Windows Security.Open the Windows Security app. Выберите значок щита в панели задач или выберите меню пусков для Defender.Select the shield icon in the task bar or search the start menu for Defender.

  2. Выберите плитку управления & браузера (или значок приложения в левой панели меню), а затем выберите защиту exploit.Select the App & browser control tile (or the app icon on the left menu bar) and then select Exploit protection.

  3. Перейдите к настройкам программы и выберите приложение, к которое необходимо применить защиту:Go to Program settings and choose the app you want to apply protection to:

    1. Если приложение, которое нужно настроить, уже перечислены, выберите его и выберите ИзменитьIf the app you want to configure is already listed, select it and then select Edit
    2. Если приложение не перечислены в верхней части списка выберите Добавить программу для настройки.If the app is not listed at the top of the list select Add program to customize. Затем выберите, как добавить приложение.Then, choose how you want to add the app.
      • Используйте Add по имени программы, чтобы смягчение было применено к любому запущенного процесса с этим именем.Use Add by program name to have the mitigation applied to any running process with that name. Укажите файл с расширением.Specify a file with an extension. Вы можете ввести полный путь, чтобы ограничить смягчение только приложение с этим именем в этом расположении.You can enter a full path to limit the mitigation to only the app with that name in that location.
      • Выберите точный путь к файлу, чтобы использовать стандартное окно выбора файлов Windows Explorer для поиска и выбора нужного файла.Use Choose exact file path to use a standard Windows Explorer file picker window to find and select the file you want.
  4. После выбора приложения вы увидите список всех смягчающих последствий, которые можно применить.After selecting the app, you'll see a list of all the mitigations that can be applied. Выбор аудита будет применяться только в режиме аудита.Choosing Audit will apply the mitigation in audit mode only. Вы будете уведомлены, если вам потребуется перезапустить процесс, приложение или Windows.You'll be notified if you need to restart the process, app, or Windows.

  5. Повторите эту процедуру для всех приложений и смягчения последствий, которые необходимо настроить.Repeat this procedure for all the apps and mitigations you want to configure. Выберите Применить, когда вы закончили настройку конфигурации.Select Apply when you're done setting up your configuration.

PowerShellPowerShell

Чтобы настроить режим аудита на уровне приложений, используйте Set-ProcessMitigation с помощью комлета режима аудита.To set app-level mitigations to audit mode, use Set-ProcessMitigation with the Audit mode cmdlet.

Настройте каждое смягчение в следующем формате:Configure each mitigation in the following format:

Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>

Где:Where:

* \<Scope>:
  * `-Name` to indicate the mitigations should be applied to a specific app. Specify the app's executable after this flag.
* \<Action>:
  * `-Enable` to enable the mitigation
    * `-Disable` to disable the mitigation
* \<Mitigation>:
  * The mitigation's cmdlet as defined in the following table. Each mitigation is separated with a comma.
Устранение рисковMitigation Комлет режима аудитаAudit mode cmdlet
Произвольный код Guard (ACG)Arbitrary Code Guard (ACG) AuditDynamicCode
Блокировка изображений с низкой целостностьюBlock low integrity images AuditImageLoad
Блокировка ненарушимого шрифтаBlock untrusted fonts AuditFont, FontAuditOnlyAuditFont, FontAuditOnly
Охрана целостности кодаCode integrity guard AuditMicrosoftSigned, AuditStoreSignedAuditMicrosoftSigned, AuditStoreSigned
Отключение вызовов системы Win32kDisable Win32k system calls AuditSystemCall
Не разрешайте детские процессыDo not allow child processes AuditChildProcess

Например, чтобы включить произвольный код Guard (ACG) в режиме аудита для приложения с именем testing.exe, запустите следующую команду:For example, to enable Arbitrary Code Guard (ACG) in audit mode for an app named testing.exe, run the following command:

Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable AuditDynamicCode

Режим аудита можно отключить, заменив -Enable -Disable .You can disable audit mode by replacing -Enable with -Disable.

Просмотр событий аудита защиты от эксплойтовReview exploit protection audit events

Чтобы просмотреть, какие приложения были заблокированы, откройте viewer событий и фильтр для следующих событий в Security-Mitigations журнале.To review which apps would have been blocked, open Event Viewer and filter for the following events in the Security-Mitigations log.

ФункцияFeature Поставщик/источникProvider/source Идентификатор событияEvent ID ОписаниеDescription
Защита от эксплойтовExploit protection Security-Mitigations (Режим ядра/режим пользователя)Security-Mitigations (Kernel Mode/User Mode) 11 Аудит ACGACG audit
Защита от эксплойтовExploit protection Security-Mitigations (Режим ядра/режим пользователя)Security-Mitigations (Kernel Mode/User Mode) 33 Не разрешайте аудит детских процессовDo not allow child processes audit
Защита от эксплойтовExploit protection Security-Mitigations (Режим ядра/режим пользователя)Security-Mitigations (Kernel Mode/User Mode) 5 5 Блок аудита изображений с низкой целостностьюBlock low integrity images audit
Защита от эксплойтовExploit protection Security-Mitigations (Режим ядра/режим пользователя)Security-Mitigations (Kernel Mode/User Mode) 7 7 Блокировка аудита удаленных изображенийBlock remote images audit
Защита от эксплойтовExploit protection Security-Mitigations (Режим ядра/режим пользователя)Security-Mitigations (Kernel Mode/User Mode) 9 9 Отключение аудита вызовов системы win32kDisable win32k system calls audit
Защита от эксплойтовExploit protection Security-Mitigations (Режим ядра/режим пользователя)Security-Mitigations (Kernel Mode/User Mode) 1111 Аудит охраны целостности кодаCode integrity guard audit

См. такжеSee also