Utvärdera sårbarhetsskydd
Gäller för:
- Microsoft Defender för Endpoint Abonnemang 1
- Microsoft Defender för Endpoint Abonnemang 2
- Microsoft Defender XDR
Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.
Sårbarhetsskydd hjälper till att skydda enheter från skadlig kod som använder exploits för att sprida och infektera andra enheter. Riskreducering kan tillämpas antingen på operativsystemet eller på en enskild app. Många av de funktioner som ingick i EMET (Enhanced Mitigation Experience Toolkit) ingår i sårbarhetsskyddet. (Supporten för EMET har upphört.)
I granskning kan du se hur riskreducering fungerar för vissa appar i en testmiljö. Detta visar vad som skulle ha hänt om du aktiverade sårbarhetsskydd i produktionsmiljön. På så sätt kan du kontrollera att sårbarhetsskydd inte påverkar verksamhetsspecifika appar negativt och se vilka misstänkta eller skadliga händelser som inträffar.
Aktivera sårbarhetsskydd för testning
Du kan ange riskreduceringar i ett testläge för specifika program med hjälp av Windows Security-appen eller Windows PowerShell.
Windows-säkerhet app
Öppna Windows-säkerhetsappen. Välj sköldikonen i aktivitetsfältet eller sök efter Windows-säkerhet på startmenyn.
Välj panelen App- & webbläsarkontroll (eller appikonen på den vänstra menyraden) och välj sedan Sårbarhetsskydd.
Gå till Programinställningar och välj den app som du vill tillämpa skydd för:
- Om den app som du vill konfigurera redan finns med i listan markerar du den och väljer sedan Redigera
- Om appen inte visas överst i listan väljer du Lägg till program att anpassa. Välj sedan hur du vill lägga till appen.
- Använd Lägg till efter programnamn om du vill att åtgärden ska tillämpas på alla processer som körs med det namnet. Ange en fil med ett filnamnstillägg. Du kan ange en fullständig sökväg för att begränsa begränsningen till endast appen med det namnet på den platsen.
- Använd Välj exakt filsökväg om du vill använda ett standardfönster för utforskaren för att söka efter och välja den fil du vill använda.
När du har valt appen visas en lista över alla åtgärder som kan tillämpas. Om du väljer Granskning tillämpas endast riskreduceringen i testläge. Du meddelas om du behöver starta om processen, appen eller Windows.
Upprepa den här proceduren för alla appar och åtgärder som du vill konfigurera. Välj Använd när du är klar med konfigurationen.
PowerShell
Om du vill ställa in åtgärder på appnivå till testläge använder Set-ProcessMitigation du cmdleten Granskningsläge .
Konfigurera varje åtgärd i följande format:
Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>
Var:
- <Omfång>:
-Nameför att ange att åtgärder ska tillämpas på en specifik app. Ange appens körbara fil efter den här flaggan.
- <Åtgärd>:
-Enableför att aktivera åtgärden-Disableför att inaktivera åtgärden
- <Åtgärd:>
- Åtgärdens cmdlet enligt definitionen i följande tabell. Varje åtgärd avgränsas med kommatecken.
| Riskreducering | Cmdlet för testläge |
|---|---|
| ACG (Godtyckligt kodskydd) | AuditDynamicCode |
| Blockera bilder med låg integritet | AuditImageLoad |
| Blockera teckensnitt som inte är betrodda | AuditFont, FontAuditOnly |
| Kodintegritetsskydd | AuditMicrosoftSigned, AuditStoreSigned |
| Inaktivera Win32k-systemanrop | AuditSystemCall |
| Tillåt inte blockering av underordnade processer | AuditChildProcess |
Om du till exempel vill aktivera Godtycklig Code Guard (ACG) i testläge för en app med namnet testing.exekör du följande kommando:
Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable AuditDynamicCode
Du kan inaktivera granskningsläget genom att ersätta -Enable med -Disable.
Granska granskningshändelser för sårbarhetsskydd
Om du vill granska vilka appar som skulle ha blockerats öppnar du Loggboken och filtrerar efter följande händelser i loggen säkerhet-åtgärder.
| Funktion | Leverantör/källa | Händelse-ID | Beskrivning |
|---|---|---|---|
| Exploateringsskydd | Säkerhet-Åtgärder (kernelläge/användarläge) | 1 | ACG-granskning |
| Exploateringsskydd | Säkerhet-Åtgärder (kernelläge/användarläge) | 3 | Tillåt inte granskning av underordnade processer |
| Exploateringsskydd | Säkerhet-Åtgärder (kernelläge/användarläge) | 5 | Blockera granskning av bilder med låg integritet |
| Exploateringsskydd | Säkerhet-Åtgärder (kernelläge/användarläge) | 7 | Blockera granskning av fjärrbilder |
| Exploateringsskydd | Säkerhet-Åtgärder (kernelläge/användarläge) | 9 | Inaktivera granskning av win32k-systemanrop |
| Exploateringsskydd | Säkerhet-Åtgärder (kernelläge/användarläge) | 11 | Granskning av kodintegritetsskydd |
Se även
- Aktivera exploateringsskydd
- Konfigurera och granska riskreduceringar för exploateringsskydd
- Konfigurationer för att import, export och distribuering av exploateringsskydd
- Felsöka exploateringsskydd
Tips
Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för