Utvärdera sårbarhetsskydd
Gäller för:
- Microsoft Defender för Endpoint Abonnemang 1
- Microsoft Defender för Endpoint Abonnemang 2
- Microsoft 365 Defender
Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.
Sårbarhetsskydd skyddar enheter mot skadlig programvara som använder sårbarheter för att sprida och smitta andra enheter. Minskningar kan tillämpas antingen på operativsystemet eller på ett enskilt program. Många av funktionerna som ingick i emet (Enhanced Mitigation Experience Toolkit) ingår i sårbarhetsskydd. (Supporten för EMET har nått sitt slut.)
I granskningen kan du se hur åtgärder fungerar för vissa appar i en testmiljö. Det visar vad som skulle ha hänt om du aktiverat sårbarhetsskydd i produktionsmiljön. På så sätt kan du verifiera att sårbarhetsskydd inte påverkar dina affärsappar negativt och se vilka misstänkta eller skadliga händelser som inträffar.
Tips
Du kan också besöka webbplatsen för Microsoft Defender-demoscenarier på demo.wd.microsoft.com för att se hur sårbarhetsskydd fungerar.
Aktivera sårbarhetsskydd för testning
Du kan ange åtgärder i ett testläge för specifika program genom att använda Windows-säkerhet-appen eller Windows PowerShell.
Windows-säkerhet appen
Öppna Windows-säkerhetsappen. Välj sköldikonen i aktivitetsfältet eller sök på Start-menyn efter Windows-säkerhet.
Välj panelen & för webbläsaren (eller programikonen på den vänstra menyraden) och välj sedan Sårbarhetsskydd.
Gå till Programinställningar och välj det program som du vill använda skydd för:
- Om programmet du vill konfigurera redan finns med i listan markerar du det och väljer sedan Redigera
- Om programmet inte visas högst upp i listan väljer du Lägg till program att anpassa. Välj sedan hur du vill lägga till programmet.
- Använd Lägg till efter programnamn om du vill att begränsningen ska tillämpas på en löpande process med det namnet. Ange en fil med ett filnamnstillägg. Du kan ange en fullständig sökväg för att begränsa begränsningen till bara appen med det namnet på den platsen.
- Använd Välj exakt filsökväg om du vill använda Windows standardfönster för filväljaren i Utforskaren för att hitta och välja den fil du vill använda.
När du har valt programmet visas en lista över alla åtgärder som kan tillämpas. Om du väljer Granskning används minskningar endast i granskningsläge. Du får ett meddelande om du behöver starta om processen, appen eller Windows.
Upprepa proceduren för alla program och åtgärder som du vill konfigurera. Välj Använd när du är klar med konfigurationen.
PowerShell
Om du vill ställa in åtgärder på programnivå till granskningsläge använder du Set-ProcessMitigation med cmdleten Granskningsläge.
Konfigurera alla åtgärder i följande format:
Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>
Var:
- <Scope>:
-Nameför att indikera att minskningar bör tillämpas på en viss app. Ange appens körbara efter den här flaggan.
- <Action>:
-Enableför att aktivera minskningar-Disableför att inaktivera minskningar
- <Mitigation>:
- Minsknings cmdleten som definieras i följande tabell. Alla åtgärder är åtskilda med kommatecken.
| Riskreducering | Cmdlet för granskningsläge |
|---|---|
| Arbitrary Code Guard (ACG) | AuditDynamicCode |
| Blockera bilder med låg integritet | AuditImageLoad |
| Blockera teckensnitt som inte är betrodda | AuditFont, FontAuditOnly |
| Kodintegritetsskydd | AuditMicrosoftSigned, AuditStoreSigned |
| Inaktivera Win32k-systemanrop | AuditSystemCall |
| Tillåt inte underprocesser | AuditChildProcess |
Om du till exempel vill aktivera ACG (Arbitrary Code Guard) i granskningsläge för en app med namnettesting.exe kör du följande kommando:
Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable AuditDynamicCode
Du kan inaktivera granskningsläget genom att ersätta -Enable med -Disable.
Granska granskning av sårbarhetsskyddsgranskningar
Om du vill granska vilka appar som skulle ha blockerats öppnar du Loggboken och filtrerar efter följande händelser i Security-Mitigations loggen.
| Funktion | Leverantör/källa | Händelse-ID | Beskrivning |
|---|---|---|---|
| Exploateringsskydd | Security-Mitigations (Kernel-läge/användarläge) | 1 | ACG-granskning |
| Exploateringsskydd | Security-Mitigations (Kernel-läge/användarläge) | 3 | Tillåt inte granskning av underordnade processer |
| Exploateringsskydd | Security-Mitigations (Kernel-läge/användarläge) | 5 | Blockera granskning av bilder med låg integritet |
| Exploateringsskydd | Security-Mitigations (Kernel-läge/användarläge) | 7 | Blockera granskning av fjärrbilder |
| Exploateringsskydd | Security-Mitigations (Kernel-läge/användarläge) | 9 | Inaktivera granskning av win32k-systemanrop |
| Exploateringsskydd | Security-Mitigations (Kernel-läge/användarläge) | 11 | Granskning av kodintegritetsskydd |