Utvärdera sårbarhetsskyddEvaluate exploit protection

Gäller för:Applies to:

Vill du uppleva Microsoft Defender för Slutpunkt?Want to experience Microsoft Defender for Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.Sign up for a free trial.

Sårbarhetsskydd skyddar enheter mot skadlig programvara som använder sårbarheter för att sprida och smitta andra enheter.Exploit protection helps protect devices from malware that uses exploits to spread and infect other devices. Minskningar kan tillämpas antingen på operativsystemet eller på ett enskilt program.Mitigation can be applied to either the operating system or to an individual app. Många av funktionerna som ingick i emet (Enhanced Mitigation Experience Toolkit) ingår i sårbarhetsskydd.Many of the features that were part of the Enhanced Mitigation Experience Toolkit (EMET) are included in exploit protection. (Supporten för EMET har nått sitt slut.)(The EMET has reached its end of support.)

I granskningen kan du se hur åtgärder fungerar för vissa appar i en testmiljö.In audit, you can see how mitigation works for certain apps in a test environment. Det visar vad som skulle ha hänt om du aktiverat sårbarhetsskydd i produktionsmiljön.This shows what would have happened if you enabled exploit protection in your production environment. På så sätt kan du verifiera att sårbarhetsskydd inte påverkar dina affärsappar negativt och se vilka misstänkta eller skadliga händelser som inträffar.This way, you can verify that exploit protection doesn't adversely affect your line-of-business apps, and see which suspicious or malicious events occur.

Tips

Du kan också besöka webbplatsen för Microsoft Defender Testground demo.wd.microsoft.com för att se hur sårbarhetsskydd fungerar.You can also visit the Microsoft Defender Testground website at demo.wd.microsoft.com to see how exploit protection works.

Aktivera sårbarhetsskydd för testningEnable exploit protection for testing

Du kan ställa in åtgärder i ett testläge för specifika program med hjälp av Windows-säkerhetsappen eller Windows PowerShell.You can set mitigations in a testing mode for specific programs by using the Windows Security app or Windows PowerShell.

Appen Windows-säkerhetWindows Security app

  1. Öppna Windows-säkerhetsappen.Open the Windows Security app. Välj sköldikonen i aktivitetsfältet eller sök på Start-menyn efter Defender.Select the shield icon in the task bar or search the start menu for Defender.

  2. Välj panelen & för webbläsaren (eller appikonen på den vänstra menyraden) och välj sedan Sårbarhetsskydd.Select the App & browser control tile (or the app icon on the left menu bar) and then select Exploit protection.

  3. Gå till Programinställningar och välj det program som du vill tillämpa skydd på:Go to Program settings and choose the app you want to apply protection to:

    1. Om programmet du vill konfigurera redan finns med i listan markerar du det och väljer sedan RedigeraIf the app you want to configure is already listed, select it and then select Edit
    2. Om programmet inte visas högst upp i listan väljer du Lägg till program för att anpassa.If the app is not listed at the top of the list select Add program to customize. Välj sedan hur du vill lägga till programmet.Then, choose how you want to add the app.
      • Använd Lägg till efter programnamn om du vill att begränsningen ska tillämpas på en löpande process med det namnet.Use Add by program name to have the mitigation applied to any running process with that name. Ange en fil med ett filnamnstillägg.Specify a file with an extension. Du kan ange en fullständig sökväg för att begränsa begränsningen till bara appen med det namnet på den platsen.You can enter a full path to limit the mitigation to only the app with that name in that location.
      • Använd Välj exakt sökväg till ett standardfönster för filväljaren i Utforskaren för att hitta och välja den fil du vill använda.Use Choose exact file path to use a standard Windows Explorer file picker window to find and select the file you want.
  4. När du har valt programmet visas en lista över alla åtgärder som kan tillämpas.After selecting the app, you'll see a list of all the mitigations that can be applied. Om du väljer Granskning används minskningar endast i granskningsläge.Choosing Audit will apply the mitigation in audit mode only. Du får ett meddelande om du behöver starta om processen, appen eller Windows.You'll be notified if you need to restart the process, app, or Windows.

  5. Upprepa proceduren för alla program och åtgärder som du vill konfigurera.Repeat this procedure for all the apps and mitigations you want to configure. Välj Använd när du är klar med konfigurationen.Select Apply when you're done setting up your configuration.

PowerShellPowerShell

Om du vill ställa in åtgärder på programnivå till granskningsläge använder Set-ProcessMitigation du med cmdleten Granskningsläge. To set app-level mitigations to audit mode, use Set-ProcessMitigation with the Audit mode cmdlet.

Konfigurera alla åtgärder i följande format:Configure each mitigation in the following format:

Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>

Var:Where:

* \<Scope>:
  * `-Name` to indicate the mitigations should be applied to a specific app. Specify the app's executable after this flag.
* \<Action>:
  * `-Enable` to enable the mitigation
    * `-Disable` to disable the mitigation
* \<Mitigation>:
  * The mitigation's cmdlet as defined in the following table. Each mitigation is separated with a comma.
MinskningMitigation Cmdlet för granskningslägeAudit mode cmdlet
Arbitrary Code Guard (ACG)Arbitrary Code Guard (ACG) AuditDynamicCode
Blockera bilder med låg integritetBlock low integrity images AuditImageLoad
Blockera icke betrodda teckensnittBlock untrusted fonts AuditFont, FontAuditOnlyAuditFont, FontAuditOnly
KodintegritetsskyddCode integrity guard AuditMicrosoftSigned, AuditStoreSignedAuditMicrosoftSigned, AuditStoreSigned
Inaktivera Win32k-systemsamtalDisable Win32k system calls AuditSystemCall
Tillåt inte underordnade processerDo not allow child processes AuditChildProcess

Om du till exempel vill aktivera ACG (Arbitrary Code Guard) i granskningsläge för en app med namnettesting.exe kör du följande kommando:For example, to enable Arbitrary Code Guard (ACG) in audit mode for an app named testing.exe, run the following command:

Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable AuditDynamicCode

Du kan inaktivera granskningsläget genom att ersätta -Enable med -Disable .You can disable audit mode by replacing -Enable with -Disable.

Granska granskning av sårbarhetsskyddsgranskningarReview exploit protection audit events

Om du vill granska vilka appar som skulle ha blockerats öppnar du Loggboken och filtrerar efter följande händelser i Security-Mitigations loggen.To review which apps would have been blocked, open Event Viewer and filter for the following events in the Security-Mitigations log.

FunktionFeature Leverantör/källaProvider/source Händelse-IDEvent ID BeskrivningDescription
SårbarhetsskyddExploit protection Security-Mitigations (Kernel-läge/användarläge)Security-Mitigations (Kernel Mode/User Mode) 11 ACG-granskningACG audit
SårbarhetsskyddExploit protection Security-Mitigations (Kernel-läge/användarläge)Security-Mitigations (Kernel Mode/User Mode) 33 Tillåt inte granskning av underordnade processerDo not allow child processes audit
SårbarhetsskyddExploit protection Security-Mitigations (Kernel-läge/användarläge)Security-Mitigations (Kernel Mode/User Mode) 55 Blockera bilder med låg integritetBlock low integrity images audit
SårbarhetsskyddExploit protection Security-Mitigations (Kernel-läge/användarläge)Security-Mitigations (Kernel Mode/User Mode) 77 Blockera fjärrbildergranskningBlock remote images audit
SårbarhetsskyddExploit protection Security-Mitigations (Kernel-läge/användarläge)Security-Mitigations (Kernel Mode/User Mode) 99 Inaktivera granskning av win32k-systemsamtalDisable win32k system calls audit
SårbarhetsskyddExploit protection Security-Mitigations (Kernel-läge/användarläge)Security-Mitigations (Kernel Mode/User Mode) 1111 KodintegritetsskyddsgranskningCode integrity guard audit

Se ävenSee also