Utvärdera sårbarhetsskydd

Gäller för:

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Sårbarhetsskydd skyddar enheter mot skadlig programvara som använder sårbarheter för att sprida och smitta andra enheter. Minskningar kan tillämpas antingen på operativsystemet eller på ett enskilt program. Många av funktionerna som ingick i emet (Enhanced Mitigation Experience Toolkit) ingår i sårbarhetsskydd. (Supporten för EMET har nått sitt slut.)

I granskningen kan du se hur åtgärder fungerar för vissa appar i en testmiljö. Det visar vad som skulle ha hänt om du aktiverat sårbarhetsskydd i produktionsmiljön. På så sätt kan du verifiera att sårbarhetsskydd inte påverkar dina affärsappar negativt och se vilka misstänkta eller skadliga händelser som inträffar.

Tips

Du kan också besöka webbplatsen för Microsoft Defender-demoscenarier på demo.wd.microsoft.com för att se hur sårbarhetsskydd fungerar.

Aktivera sårbarhetsskydd för testning

Du kan ange åtgärder i ett testläge för specifika program genom att använda Windows-säkerhet-appen eller Windows PowerShell.

Windows-säkerhet appen

  1. Öppna Windows-säkerhetsappen. Välj sköldikonen i aktivitetsfältet eller sök på Start-menyn efter Windows-säkerhet.

  2. Välj panelen & för webbläsaren (eller programikonen på den vänstra menyraden) och välj sedan Sårbarhetsskydd.

  3. Gå till Programinställningar och välj det program som du vill använda skydd för:

    1. Om programmet du vill konfigurera redan finns med i listan markerar du det och väljer sedan Redigera
    2. Om programmet inte visas högst upp i listan väljer du Lägg till program att anpassa. Välj sedan hur du vill lägga till programmet.
      • Använd Lägg till efter programnamn om du vill att begränsningen ska tillämpas på en löpande process med det namnet. Ange en fil med ett filnamnstillägg. Du kan ange en fullständig sökväg för att begränsa begränsningen till bara appen med det namnet på den platsen.
      • Använd Välj exakt filsökväg om du vill använda Windows standardfönster för filväljaren i Utforskaren för att hitta och välja den fil du vill använda.
  4. När du har valt programmet visas en lista över alla åtgärder som kan tillämpas. Om du väljer Granskning används minskningar endast i granskningsläge. Du får ett meddelande om du behöver starta om processen, appen eller Windows.

  5. Upprepa proceduren för alla program och åtgärder som du vill konfigurera. Välj Använd när du är klar med konfigurationen.

PowerShell

Om du vill ställa in åtgärder på programnivå till granskningsläge använder du Set-ProcessMitigation med cmdleten Granskningsläge.

Konfigurera alla åtgärder i följande format:

Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>

Var:

  • <Scope>:
    • -Name för att indikera att minskningar bör tillämpas på en viss app. Ange appens körbara efter den här flaggan.
  • <Action>:
    • -Enable för att aktivera minskningar
      • -Disable för att inaktivera minskningar
  • <Mitigation>:
    • Minsknings cmdleten som definieras i följande tabell. Alla åtgärder är åtskilda med kommatecken.
Riskreducering Cmdlet för granskningsläge
Arbitrary Code Guard (ACG) AuditDynamicCode
Blockera bilder med låg integritet AuditImageLoad
Blockera teckensnitt som inte är betrodda AuditFont, FontAuditOnly
Kodintegritetsskydd AuditMicrosoftSigned, AuditStoreSigned
Inaktivera Win32k-systemanrop AuditSystemCall
Tillåt inte underprocesser AuditChildProcess

Om du till exempel vill aktivera ACG (Arbitrary Code Guard) i granskningsläge för en app med namnettesting.exe kör du följande kommando:

Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable AuditDynamicCode

Du kan inaktivera granskningsläget genom att ersätta -Enable med -Disable.

Granska granskning av sårbarhetsskyddsgranskningar

Om du vill granska vilka appar som skulle ha blockerats öppnar du Loggboken och filtrerar efter följande händelser i Security-Mitigations loggen.

Funktion Leverantör/källa Händelse-ID Beskrivning
Exploateringsskydd Security-Mitigations (Kernel-läge/användarläge) 1 ACG-granskning
Exploateringsskydd Security-Mitigations (Kernel-läge/användarläge) 3 Tillåt inte granskning av underordnade processer
Exploateringsskydd Security-Mitigations (Kernel-läge/användarläge) 5 Blockera granskning av bilder med låg integritet
Exploateringsskydd Security-Mitigations (Kernel-läge/användarläge) 7 Blockera granskning av fjärrbilder
Exploateringsskydd Security-Mitigations (Kernel-läge/användarläge) 9 Inaktivera granskning av win32k-systemanrop
Exploateringsskydd Security-Mitigations (Kernel-läge/användarläge) 11 Granskning av kodintegritetsskydd

Se även