保护设备免遭攻击

适用于:

Exploit Protection 自动将大量攻击缓解技术应用于操作系统进程和应用。 从 Windows 10 版本 1709、Windows 11 和 Windows Server 版本 1803 开始支持 Exploit Protection。

提示

可以在 demo.wd.microsoft.com 中访问 Windows Defender Testground 网站,确认该功能是否正常运行并查看其工作原理。

备注

位于 demo.wd.microsoft.com 处的 Defender for Endpoint 演示网站已弃用,并将在未来删除。

Exploit Protection 最适用于 Microsoft Defender for Endpoint,向你详细报告 Exploit Protection 事件和阻止,作为常见警报调查方案的一部分。

可以在单个设备上启用 Exploit Protection,然后使用组策略将 XML 文件一次性分发到多个设备。

在设备上找到缓解时,操作中心将显示一条通知。 你可以使用公司的详细信息和联系人信息自定义通知。 还可以单独启用规则以自定义功能所监视的技术。

还可以使用审核模式评估 Exploit Protection(如果已启用)对你的组织有何影响。

增强型减灾体验工具包(EMET)中的许多功能都包含在 Exploit Protection 中。 实际上,你可以将现有的 EMET 配置文件转换并导入到 Exploit Protection 中。 如需了解更多信息,请参阅导入、导出和部署 Exploit Protection 配置

重要

如果当前使用的是 EMET,则应注意 EMET 已于 2018 年 7 月 31 日终止支持。请考虑在 Windows 10 中将 EMET 替换为攻击保护。

警告

某些安全缓解技术可能与某些应用程序存在兼容性问题。在跨生产环境或网络的其余部分部署配置之前,应通过使用 审核模式 在所有目标使用方案中测试攻击保护。

在 Microsoft 365 Defender 门户中查看攻击保护事件

Microsoft Defender for Endpoint 向你详细报告事件和阻止,作为其警报调查方案的一部分。

可以使用高级搜寻查询 Microsoft Defender for Endpoint 数据。 如果你使用的是审核模式,则可以使用高级搜寻来了解 Exploit Protection 设置对你的环境有何影响。

示例查询如下:

DeviceEvents
| where ActionType startswith 'ExploitGuard' and ActionType !contains 'NetworkProtection'

在 Windows 事件查看器中查看 Exploit Protection 事件

可以查看 Windows 事件日志以了解在 Exploit Protection 阻止(或审核)应用时创建的事件:

提供程序/源 事件 ID 描述
安全缓解 1 ACG 审核
安全缓解 2 ACG 强制
安全缓解 3 不允许子进程审核
安全缓解 4 不允许子进程阻止
安全缓解 5 阻止低完整性图像审核
安全缓解 6 阻止低完整性图像阻止
安全缓解 7 阻止远程图像审核
安全缓解 8 阻止远程图像阻止
安全缓解 9 禁用 win32k 系统调用审核
安全缓解 10 禁用 win32k 系统调用阻止
安全缓解 11 代码完整性防护审核
安全缓解 12 代码完整性防护阻止
安全缓解 13 EAF 审核
安全缓解 14 EAF 强制
安全缓解 15 EAF+ 审核
安全缓解 16 EAF+ 强制
安全缓解 17 IAF 审核
安全缓解 18 IAF 强制
安全缓解 19 ROP StackPivot 审核
安全缓解 20 ROP StackPivot 强制
安全缓解 21 ROP CallerCheck 审核
安全缓解 22 ROP CallerCheck 强制
安全缓解 23 ROP SimExec 审核
安全缓解 24 ROP SimExec 强制
WER-诊断 5 CFG 阻止
Win32K 260 不受信任的字体

缓解比较

EMET 中提供的缓解包含在 Exploit Protection 下的本地 Windows 10(从版本 1709 开始)、Windows 11 和 Windows Server(从版本 1803 开始)中。

本部分中的表格表示 EMET 和 Exploit Protection 之间的本机缓解的可用性和支持。

缓解 在 Exploit protection 下可用 在 EMET 中可用
任意代码防护(ACG)
作为“内存保护检查”
阻止远程图像
作为“加载库检查”
阻止不受信任的字体
数据执行保护(DEP)
导出地址筛选(EAF)
强制图像随机化(强制 ASLR)
Null 页安全缓解
包含在本地 Windows 10 和 Windows 11 中
有关详细信息,请参阅使用 Windows 10 安全功能缓解威胁
随机内存分配(由下而上 ASLR)
模拟执行(SimExec)
验证 API 调用(CallerCheck)
验证异常链(SEHOP)
验证堆栈完整性(StackPivot)
证书信任(可配置的证书固定) Windows 10 和 Windows 11 提供企业证书固定
堆喷射分配 对基于浏览器的较新攻击无效;较新的缓解可提供更好的保护
有关详细信息,请参阅使用 Windows 10 安全功能缓解威胁
阻止低完整性图像
代码完整性防护
禁用扩展点
禁用 Win32k 系统调用
不允许子进程
导入地址筛选(IAF)
验证处理使用情况
验证堆完整性
验证映像依赖项完整性

备注

EMET 中提供的高级 ROP 缓解已由 Windows 10 和 Windows 11 中的 ACG 取代,默认情况下,在为进程启用反 ROP 缓解的过程将启用其他 EMET 高级设置。 请参阅使用 Windows 10 安全功能缓解威胁以了解有关 Windows 10 如何利用现有 EMET 技术的详细信息。

另请参阅