Aktivera exploateringsskydd

Gäller för:

Tips

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Sårbarhetsskydd hjälper till att skydda mot skadlig programvara som använder sårbarheter för att smitta enheter och sprida dem. Sårbarhetsskydd består av många minskningar som kan tillämpas på antingen operativsystemet eller enskilda appar.

Viktigt

.NET 2.0 är inte kompatibelt med vissa sårbarhetsskyddsfunktioner, särskilt exportadressfiltrering (EAF) och importadressfiltrering (IAF). Om du har aktiverat .NET 2.0 stöds inte användningen av EAF och IAF.

Många funktioner från verktygen för förbättrad minskningsupplevelse (EMET) ingår i sårbarhetsskydd.

Du kan aktivera de olika åtgärderna separat genom att använda någon av följande metoder:

Sårbarhetsskydd konfigureras som standard i Windows 10 och Windows 11. Du kan ange att alla åtgärder ska vara på, av eller till standardvärdet. Vissa åtgärder har fler alternativ. Du kan exportera de här inställningarna som en XML-fil och distribuera dem till andra enheter.

Du kan också ange åtgärder för granskningsläge. I granskningsläget kan du testa hur minskningar fungerar (och granska händelser) utan att påverka den normala användningen av enheten.

Windows-säkerhet appen

  1. Öppna Windows-säkerhet genom att antingen välja sköldikonen i aktivitetsfältet eller genom att söka Start-menyn efter säkerhet.

  2. Välj panelen & ( eller appikonen på den vänstra menyraden) och välj sedan Sårbarhetsskyddsinställningar.

  3. Gå till Programinställningar och välj den app som du vill tillämpa åtgärder på.

    • Om det program du vill konfigurera redan finns med i listan markerar du det och väljer sedan Redigera.
    • Om programmet inte finns med i listan väljer du Lägg till program för att anpassa högst upp i listan och väljer sedan hur du vill lägga till programmet.
    • Använd Lägg till efter programnamn om du vill att begränsningen ska tillämpas på en löpande process med det namnet. Ange en fil med filnamnstillägget. Du kan ange en fullständig sökväg för att begränsa begränsningen till bara appen med det namnet på den platsen.
    • Använd Välj exakt filsökväg om du vill använda Windows standardfönster för filväljaren i Utforskaren för att hitta och välja den fil du vill använda.
  4. När du har valt programmet visas en lista över alla åtgärder som kan tillämpas. Om du väljer Granskning används minskningar endast i granskningsläge. Du får ett meddelande om du behöver starta om processen eller programmet, eller om du behöver starta om Windows.

  5. Upprepa steg 3–4 för alla program och åtgärder som du vill konfigurera.

  6. Leta reda på den minskning du vill konfigurera under Systeminställningar och ange sedan någon av följande inställningar. Appar som inte konfigureras individuellt i avsnittet Programinställningar använder de inställningar som är konfigurerade här.

    • På som standard: Minskningar är aktiverade för program som inte har den här minskning som angetts i avsnittet programspecifika programinställningar
    • Av som standard: Minskningarna är inaktiverade för program som inte har den här minskning som angetts i avsnittet programspecifika programinställningar
    • Använd standard: Minskningar är antingen aktiverade eller inaktiverade, beroende på standardkonfigurationen som konfigureras av Windows 10 eller Windows 11-installationen. Standardvärdet (På eller Av) anges alltid bredvid Använd standardetikett för varje minskning
  7. Upprepa steg 6 för alla åtgärder på systemnivå som du vill konfigurera. Välj Använd när du är klar med konfigurationen.

Om du lägger till en app i avsnittet Programinställningar och konfigurerar enskilda åtgärder där så används de ovanför konfigurationen för samma åtgärder som anges i avsnittet Systeminställningar . I följande matris och exempel kan du illustrera hur standardinställningar fungerar:

Aktiverad i programinställningar Aktiverad i Systeminställningar Beteende
Ja Nej Enligt programinställningarna
Ja Ja Enligt programinställningarna
Nej Ja Enligt systeminställningarna
Nej Ja Standard som definierats i alternativet Använd standard

Exempel 1: Mikael konfigurerar avsnittet Dataexekveringsskydd i systeminställningar till av som standard

Mikael lägger till appen test.exe i avsnittet Programinställningar . I alternativen för den appen, under Dataexekveringsskydd (DEP), aktiverar Mikael alternativet Åsidosätt systeminställningar och ställer in växeln på . Det finns inga andra program listade i avsnittet Programinställningar .

Resultatet är att DEP endast aktiveras för test.exe. Alla andra appar kommer inte att använda DEP.

Exempel 2: Josie konfigurerar dataexekveringsskydd i systeminställningar så att det är av som standard

Josie lägger till appen test.exe i avsnittet Programinställningar . I alternativen för den appen, under Data Execution Prevention (DEP), aktiverar Josie alternativet Åsidosätta systeminställningar och ställer in växlingsknappen på .

Josie lägger också till miles.exe i avsnittet Programinställningar och konfigurerar CfG (Control Flow Guard) till . Josie aktiverar inte alternativet Åsidosätt systeminställningar för DEP eller andra åtgärder för den appen.

Resultatet är att DEP har aktiverats för test.exe. DEP aktiveras inte för andra appar, även miles.exe. CFG aktiveras för miles.exe.

  1. Öppna Windows-säkerhet genom att välja sköldikonen i aktivitetsfältet eller söka på startmenyn för att Windows-säkerhet.

  2. Välj panelen & för webbläsaren (eller programikonen på den vänstra menyraden) och välj sedan Sårbarhetsskydd.

  3. Gå till Programinställningar och välj den app som du vill tillämpa åtgärder på.

    • Om det program du vill konfigurera redan finns med i listan markerar du det och väljer sedan Redigera.
    • Om programmet inte finns med i listan väljer du Lägg till program för att anpassa högst upp i listan och väljer sedan hur du vill lägga till programmet.
      • Använd Lägg till efter programnamn om du vill att begränsningen ska tillämpas på en löpande process med det namnet. Ange en fil med ett filnamnstillägg. Du kan ange en fullständig sökväg för att begränsa begränsningen till bara appen med det namnet på den platsen.
      • Använd Välj exakt filsökväg om du vill använda Windows standardfönster för filväljaren i Utforskaren för att hitta och välja den fil du vill använda.
  4. När du har valt programmet visas en lista över alla åtgärder som kan tillämpas. Om du väljer Granskning används minskningar endast i granskningsläge. Du får ett meddelande om du behöver starta om processen eller programmet, eller om du behöver starta om Windows.

  5. Upprepa steg 3–4 för alla program och åtgärder som du vill konfigurera. Välj Använd när du är klar med konfigurationen.

Intune

  1. Logga in på Azure Portal och öppna Intune.

  2. Gå till Profiler för enhetskonfiguration > > Skapa profil.

  3. Namnge profilen, välj Windows 10 senare och Slutpunktsskydd.

    Skapa profil för slutpunktsskydd.

  4. Välj Konfigurera > Windows Defender sårbarhetsskydd i > Exploit Guard.

  5. Upload en XML-fil med inställningarna för sårbarhetsskydd:

    Aktivera nätverksskydd i Intune.

  6. Välj OK för att spara alla öppna blad och välj sedan Skapa.

  7. Välj fliken Uppgifter i profilen, tilldela principen till Alla användare och & alla enheter och välj sedan Spara.

MDM

Använd konfigurationstjänsten ./Vendor/MSFT/Policy/Config/ExploitGuard/ExploitProtectionSettings för att aktivera eller inaktivera sårbarhetsskyddsåtgärder eller använda granskningsläge.

Microsoft Endpoint Manager

  1. I Microsoft Endpoint Manager du till Minska slutpunktssäkerhetsattackytan>.

  2. Välj Skapa principplattform > och för Profil väljer du Sårbarhetsskydd. Välj sedan Skapa.

  3. Ange ett namn och en beskrivning och välj sedan Nästa.

  4. Välj Välj XML-fil och bläddra till platsen för sårbarhetsskydds-XML-filen. Markera filen och välj nästa.

  5. Konfigurera omfattningstaggar och tilldelningar om det behövs.

  6. Granska dina konfigurationsinställningar under Granska + skapa och välj sedan Skapa.

Microsoft Endpoint Configuration Manager

  1. I Microsoft Endpoint Configuration Manager går du till Tillgångar och Endpoint Protection > > Windows Defender Exploit Guard.

  2. Välj Home > Create Exploit Guard-policy.

  3. Ange ett namn och en beskrivning, välj Sårbarhetsskydd och välj sedan Nästa.

  4. Bläddra till platsen för XML-skyddsfilen för sårbarhet och välj Nästa.

  5. Granska inställningarna och välj Nästa för att skapa principen.

  6. När principen har skapats väljer du Stäng.

Grupprincip

  1. Öppna konsolen Grupprinciphantering på enheten för grupprinciphantering , högerklicka på det grupprincipobjekt du vill konfigurera och klicka på Redigera.

  2. I redigeraren för grupprinciphantering går du till Datorkonfiguration och väljer Administrativa mallar.

  3. Expandera trädet för att Windows säkerhetskomponenter > Windows Defender sårbarhetsskydd av > Sårbarhetsskydd > Använd en gemensam uppsättning inställningar för sårbarhetsskydd.

  4. Välj Aktiverad och ange XML-filens plats och välj sedan OK.

PowerShell

Du kan använda PowerShell-verbet Get eller Set med cmdleten ProcessMitigation. Användning Get visar aktuell konfigurationsstatus för åtgärder som har aktiverats på enheten – -Name lägg till cmdlet och app exe för att se åtgärder för just det programmet:

Get-ProcessMitigation -Name processName.exe

Viktigt

Åtgärder på systemnivå som inte har konfigurerats visar statusen för NOTSET.

  • Anger standardinställningen för NOTSET den minskning som har tillämpats för systemnivåinställningar.
  • För inställningar på programnivå anger NOTSET du systeminställningen för minskningar. Standardinställningen för de olika minskningarna på systemnivån finns i Windows-säkerhet.

Används för Set att konfigurera åtgärder i följande format:

Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>

Var:

  • <Scope>:
    • -Name för att indikera att minskningar bör tillämpas på en viss app. Ange appens körbara efter den här flaggan.
      • -System för att indikera att minskningar bör tillämpas på systemnivån
  • <Action>:
    • -Enable för att aktivera minskningar
    • -Disable för att inaktivera minskningar
  • <Mitigation>:
    • Minsknings-cmdleten tillsammans med eventuella underalternativ (omgivna av blanksteg). Alla åtgärder är åtskilda med kommatecken.

Om du till exempel vill aktivera dataexekveringsskydd (DEP) med ATL-thunk-egulering, och för en körbar fil som kallas testing.exe i mappen C:\Apps\LOB\tests, och för att förhindra att körbara processer skapas använder du följande kommando:

Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable DEP, EmulateAtlThunks, DisallowChildProcessCreation

Viktigt

Avgränsa varje alternativ för minskning med kommatecken.

Om du vill använda DEP på systemnivå använder du följande kommando:

Set-Processmitigation -System -Enable DEP

Om du vill inaktivera minskningar kan du ersätta -Enable med -Disable. För åtgärder på programnivå måste emellertid den här åtgärden inaktiveras endast för den appen.

Om du behöver återställa begränsningen till systemstandarden måste -Remove du inkludera cmdleten och i följande exempel:

Set-Processmitigation -Name test.exe -Remove -Disable DEP

I följande tabell visas de enskilda minskningar (och granskningar, när de är tillgängliga) som ska användas -Enable med parametrarna eller -Disable cmdleten.

Minskningstyp Gäller för Nyckelord för minskningsparameter Cmdlet-parameter för granskningsläge
Kontrollflödesskydd (CFG) System- och appnivå CFG, StrictCFG, SuppressExports Granskning inte tillgänglig
Dataexekveringsskydd (DEP) System- och appnivå DEP, EmulateAtlThunks Granskning inte tillgänglig
Framtvinga slumpmässighet för bilder (obligatorisk ASLR) System- och appnivå ForceRelocateImages Granskning inte tillgänglig
Slumpmässiga minnesallokeringar (ASLR nedifrån och upp) System- och appnivå BottomUp, HighEntropy Granskning inte tillgänglig
Verifiera undantagskedjor (SEHOP) System- och appnivå SEHOP, SEHOPTelemetry Granskning inte tillgänglig
Verifiera integritet för heap System- och appnivå TerminateOnError Granskning inte tillgänglig
ACG (Arbitrary code guard) Endast på programnivå DynamicCode AuditDynamicCode
Blockera bilder med låg integritet Endast på programnivå BlockLowLabel AuditImageLoad
Blockera fjärrbilder Endast på programnivå BlockRemoteImages Granskning inte tillgänglig
Blockera teckensnitt som inte är betrodda Endast på programnivå DisableNonSystemFonts AuditFont, FontAuditOnly
Kodintegritetsskydd Endast på programnivå BlockNonMicrosoftSigned, AllowStoreSigned AuditMicrosoftSigned, AuditStoreSigned
Inaktivera tilläggspunkter Endast på programnivå ExtensionPoint Granskning inte tillgänglig
Inaktivera Win32k-systemanrop Endast på programnivå DisableWin32kSystemCalls AuditSystemCall
Tillåt inte underprocesser Endast på programnivå DisallowChildProcessCreation AuditChildProcess
EAF (Export address filtering) Endast på programnivå EnableExportAddressFilterPlus, EnableExportAddressFilter [1] Granskning inte tillgänglig [2]
IAF (Import address filtering) Endast på programnivå EnableImportAddressFilter Granskning inte tillgänglig [2]
Simulera körning (SimExec) Endast på programnivå EnableRopSimExec Granskning inte tillgänglig [2]
Verifiera API-anrop (CallerCheck) Endast på programnivå EnableRopCallerCheck Granskning inte tillgänglig [2]
Verifiera referensanvändning Endast på programnivå StrictHandle Granskning inte tillgänglig
Verifiera integritet för bildberoende Endast på programnivå EnforceModuleDepencySigning Granskning inte tillgänglig
Verifiera stackintegritet (StackPivot) Endast på programnivå EnableRopStackPivot Granskning inte tillgänglig [2]

[1]: Använd följande format för att aktivera EAF-moduler för DLL-filer för en process:

Set-ProcessMitigation -Name processName.exe -Enable EnableExportAddressFilterPlus -EAFModules dllName1.dll,dllName2.dll

[2]: Granskning av den här begränsningen är inte tillgänglig via PowerShell-cmdlets.

Anpassa meddelandet

Mer information om hur du anpassar meddelandet när en regel utlöses och en app eller fil blockeras finns i Windows-säkerhet.

Se även