啟用入侵防護

適用於:

提示

想要體驗 Defender for Endpoint? 注册免費試用版。

Exploit protection 可協助防範惡意程式碼,以利用利用方式感染裝置和傳播。 Exploit protection 包含許多可用於作業系統或個別應用程式的緩解措施。

重要

.NET 2.0 與某些 exploit protection 功能不相容,特別是匯出位址篩選 (EAF) 和匯入位址篩選 (IAF) 。 如果您已啟用 .NET 2.0,EAF 和 IAF 的使用不受支援。

「增強型緩解經驗」工具組 (EMET) 中的許多功能都包含在 exploit protection 中。

您可以使用下列任何一種方法,分別啟用每個緩解:

在 Windows 10 和 Windows 11 中,預設會設定 Exploit protection。 您可以將每個緩解措施設定為 [開啟]、[關閉] 或 [其預設值]。 有些遷移具有更多選項。 您可以將 這些設定匯出為 XML 檔案,然後將其部署至其他裝置。

您也可以將 [緩解] 設定為 [稽核模式]。 稽核模式可讓您測試緩解的運作方式 (和審查事件) 不會影響裝置的正常使用。

Windows 安全性應用程式

  1. 在您的工作列上選取盾牌圖示,或搜尋 [開始] 功能表以取得 安全性,以開啟 Windows 安全性應用程式。

  2. 在左功能表列上,選取 [ 應用程式] & 瀏覽器控制項 磚 (或 app 圖示) 然後選取 [ Exploit protection 設定]。

  3. 移至 [ 程式設定 ],然後選擇您要套用緩解的應用程式。

    • 如果您想要設定的應用程式已經列出,請選取它,然後選取 [ 編輯]。
    • 若未列出該應用程式,請在清單頂端選取 [ 新增程式] 以自訂 ,然後選擇您想要新增應用程式的方式。
    • 使用 [ 依程式名稱新增 ],可對任何執行的程式套用具有該名稱的緩解。 指定副檔名為的檔案。 您可以輸入完整的路徑,以限制僅限此位置的應用程式的緩解。
    • 使用 [選擇確切 的檔案路徑],使用標準的 Windows Explorer 檔案選擇器] 視窗來尋找並選取您想要的檔。
  4. 選取應用程式之後,您會看到可套用的所有緩解措施清單。 選擇 [ 審計 ] 只會在審計模式中套用緩解。 如果您需要重新開機此程式或應用程式,或需要重新開機 Windows,您會收到通知。

  5. 針對您要設定的所有應用程式和緩解措施,重複步驟3-4。

  6. 在 [ 系統設定 ] 區段下,找出您要設定的緩解措施,然後指定下列其中一項設定。 未在 [ 程式設定 ] 區段中個別設定的應用程式會使用這裡設定的設定。

    • 根據預設,在[應用程式專用 程式設定] 區段中,針對未採用此緩解設定的應用程式 啟用 緩解功能。
    • 依預設關閉:在應用程式特定的 程式設定 區段中,對於未具有此緩解設定的應用程式 停用 此緩解功能
    • 使用預設 值:緩解已啟用或已停用,視 Windows 10 或 Windows 11 安裝所設定的預設設定而定; (開啟關閉) 的預設值,永遠會在每個緩解的 使用預設 標籤旁指定
  7. 針對您要設定的所有系統層級緩解重複步驟6。 當您設定好 設定後, 請選取 [套用]。

如果您將應用程式新增至 [ 程式設定 ] 區段中,並在其中設定個別的緩解設定,則會在 [ 系統設定 ] 區段中所指定的相同緩解措施的設定之上進行設定。 下列矩陣和範例可協助說明預設值的運作方式:

啟用于 程式設定 在 [系統設定] 中啟用 行為
程式設定 中所定義
程式設定 中所定義
系統設定 中所定義
使用預設 選項中定義的預設值

範例1: Mikael 設定系統設定區段中的資料執行防護預設為關閉

Mikael 會將應用程式 test.exe 新增至 [ 程式設定 ] 區段。 在該應用程式的選項中,在 [ 資料執行防護 (DEP)] 底下,Mikael 啟用 [覆 寫系統設定 ] 選項,並將開關設定為 [ 開啟]。 [ 程式設定 ] 區段中沒有列出任何其他應用程式。

結果是只會為 test.exe 啟用 DEP。 所有其他應用程式都不會套用 DEP。

範例2: Josie 將系統設定中的資料執行防護設定為預設關閉

Josie 會將應用程式 test.exe 新增至 [ 程式設定 ] 區段。 在該應用程式的選項中,在 [ 資料執行防護 (DEP)] 底下,Josie 啟用 [覆 寫系統設定 ] 選項,並將開關設定為 [ 開啟]。

Josie 也會將應用程式 miles.exe 新增至 [ 程式設定 ] 區段,並將 控制流程防護 (CFG) 設定為 [ 開啟]。 Josie 不會為此應用程式啟用 DEP 或任何其他緩解的覆 寫系統設定 選項。

結果是已為 test.exe 啟用 DEP。 任何其他應用程式(包括 miles.exe)都不會啟用 DEP。 將為 miles.exe 啟用 CFG。

  1. 選取工作列中的盾牌圖示,或搜尋 Windows 安全性 的 [開始] 功能表,以開啟 Windows 安全性應用程式。

  2. 在左功能表列上選取 [ app & browser control (或 app 圖示) 然後選取 [利用方式 保護]。

  3. 移至 [ 程式設定 ],然後選擇您要套用緩解的應用程式。

    • 如果您想要設定的應用程式已經列出,請選取它,然後選取 [ 編輯]。
    • 若未列出該應用程式,請在清單頂端選取 [ 新增程式] 以自訂 ,然後選擇您想要新增應用程式的方式。
      • 使用 [ 依程式名稱新增 ],可對任何執行的程式套用具有該名稱的緩解。 指定副檔名為的檔案。 您可以輸入完整的路徑,以限制僅限此位置的應用程式的緩解。
      • 使用 [選擇確切 的檔案路徑],使用標準的 Windows Explorer 檔案選擇器] 視窗來尋找並選取您想要的檔。
  4. 選取應用程式之後,您會看到可套用的所有緩解措施清單。 選擇 [ 審計 ] 只會在審計模式中套用緩解。 如果您需要重新開機此程式或應用程式,或需要重新開機 Windows,您將會收到通知。

  5. 針對您要設定的所有應用程式和緩解措施,重複步驟3-4。 當您設定好 設定後, 請選取 [套用]。

Intune

  1. 登入 Azure 入口網站 並開啟 Intune。

  2. 移至 裝置配置 > > 建立設定檔

  3. 命名設定檔,選擇 [ Windows 10 和更新版本] 和 [ Endpoint protection]。

    建立 endpoint protection 設定檔。

  4. 選取 [設定 > Windows Defender 利用防護 > exploit protection]。

  5. 使用 exploit protection 設定 Upload XML檔案:

    在 Intune 中啟用網路保護。

  6. 選取 [確定] 以儲存每個開啟的刀片式伺服器,然後選擇 [ 建立]。

  7. 選取 [設定檔 指派 ] 索引標籤,將原則指派給 所有使用者 & 所有裝置,然後選取 [ 儲存]。

MDM

使用 /Vendor/MSFT/Policy/Config/ExploitGuard/ExploitProtectionSettings configuration service PROVIDER (CSP) 來啟用或停用 exploit protection 緩解或使用稽核模式。

Microsoft 端點管理員

  1. 在 Microsoft 端點管理員中,請移至 端點的安全性 > 攻擊面降減

  2. 選取 [ 建立原則 > 平臺],並針對 [ 設定檔] 選擇 [ 利用保護]。 然後選取 [ 建立]。

  3. 指定名稱和描述,然後選擇 [下一步]

  4. 選擇 [ 選取 XML 檔 ],然後流覽至 EXPLOIT protection XML 檔案的位置。 選取檔,然後選擇 [下一步]

  5. 必要時設定 範圍標記工作分派

  6. 在 [ 複查 + 建立] 下,複查您的設定,然後選擇 [ 建立]。

Microsoft Endpoint Configuration Manager

  1. 在 Microsoft Endpoint Configuration Manager 中,移至 資產及規範 > Endpoint Protection > Windows Defender Exploit Guard

  2. 選取 [ 首頁 > 建立 Exploit Guard 原則]。

  3. 指定名稱和描述,選取 [ 利用防護],然後選擇 [下一步]

  4. 流覽至 exploit protection XML 檔案的位置,然後選取 [下一步]。

  5. 請複查設定,然後選擇 [下一步] 建立原則。

  6. 建立原則之後,請選取 [ 關閉]。

群組原則

  1. 在您的群組原則管理裝置上,開啟 [ 群組原則管理主控台],以滑鼠右鍵按一下您要設定的群組原則物件,然後按一下 [ 編輯]。

  2. 在 [ 群組原則管理編輯器 ] 中,移至 [ 電腦 設定],然後選取 [ 管理範本]。

  3. 展開樹狀目錄以 Windows 元件 > Windows Defender exploit > protection 利用方式保護 > 使用一組通用的 Exploit protection 設定

  4. 選取 [ 啟用 ],然後輸入 XML檔案的位置,然後選擇 [確定]

PowerShell

您可以使用 PowerShell 動詞 GetSet Cmdlet ProcessMitigation 。 使用 Get 會列出已在裝置上啟用之任何緩解作業的目前設定狀態-新增 -Name Cmdlet 和應用程式 exe,以查看僅適用于該應用程式的緩解:

Get-ProcessMitigation -Name processName.exe

重要

尚未設定的系統層級緩解措施會顯示狀態 NOTSET

  • 針對系統層級設定,表示已套用此 NOTSET 緩解的預設設定。
  • 針對應用層級設定, NOTSET 表示將會套用緩解的系統層級設定。 在 Windows 安全性中,您可以看到每個系統層級緩解的預設設定。

使用 Set 以下列格式設定每項緩解措施:

Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>

其中:

  • <Scope>:
    • -Name 表示應將緩解措施套用至特定的應用程式。 指定此旗標之後的應用程式可執行檔。
      • -System 若要指出應該在系統層級套用緩解
  • <Action>:
    • -Enable 啟用緩解
    • -Disable 停用緩解
  • <Mitigation>:
    • 緩解的指令程式,以及任何 suboptions (以空格括住) 。 每個緩解都是以逗號分隔。

例如,若要啟用資料執行防護 (DEP) 以 ATL Thunk 模擬進行緩解,並針對資料夾 C:\Apps\LOB\tests 中稱為 testing.exe 的可執行檔加以緩解,並防止該可執行檔建立子進程,您可以使用下列命令:

Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable DEP, EmulateAtlThunks, DisallowChildProcessCreation

重要

以逗號分隔每個緩解選項。

如果您想要在系統層級應用 DEP,請使用下列命令:

Set-Processmitigation -System -Enable DEP

若要停用緩解,您可以取代 -Enable -Disable 。 不過,針對應用層級的緩解,此動作只會強制停用該應用程式的緩解。

如果您需要將緩解措施還原回系統預設值,您也需要加入 -Remove Cmdlet,如下列範例所示:

Set-Processmitigation -Name test.exe -Remove -Disable DEP

下表列出可搭配或 Cmdlet 參數使用) 時 (和 審核 的個別項緩解 -Enable -Disable

緩解類型 適用於 緩解 Cmdlet 參數關鍵字 稽核模式 Cmdlet 參數
控制流量防護 (CFG) 系統和應用層級 CFG, StrictCFG, SuppressExports 無法使用審計
資料執行防護 (DEP) 系統和應用層級 DEP, EmulateAtlThunks 無法使用審計
強制執行映像隨機化 (強制 ASLR) 系統和應用層級 ForceRelocateImages 無法使用審計
隨機記憶體配置 (由下而上 ASLR) 系統和應用層級 BottomUp, HighEntropy 無法使用審計
驗證例外狀況鏈結 (SEHOP) 系統和應用層級 SEHOP, SEHOPTelemetry 無法使用審計
驗證堆積完整性 系統和應用層級 TerminateOnError 無法使用審計
任意程式碼防護 (ACG) 僅限應用層級 DynamicCode AuditDynamicCode
封鎖低完整性映像 僅限應用層級 BlockLowLabel AuditImageLoad
封鎖遠端映像 僅限應用層級 BlockRemoteImages 無法使用審計
封鎖不信任的字型 僅限應用層級 DisableNonSystemFonts AuditFont, FontAuditOnly
程式碼完整性防護 僅限應用層級 BlockNonMicrosoftSigned, AllowStoreSigned AuditMicrosoftSigned, AuditStoreSigned
停用擴充點 僅限應用層級 ExtensionPoint 無法使用審計
停用 Win32k 系統呼叫 僅限應用層級 DisableWin32kSystemCalls AuditSystemCall
不允許子處理序 僅限應用層級 DisallowChildProcessCreation AuditChildProcess
匯出位址篩選 (EAF) 僅限應用層級 EnableExportAddressFilterPlusEnableExportAddressFilter [ 1 ] 無法使用審核 [ 2 ]
匯入位址篩選 (IAF) 僅限應用層級 EnableImportAddressFilter 無法使用審核 [ 2 ]
模擬執行 (SimExec) 僅限應用層級 EnableRopSimExec 無法使用審核 [ 2 ]
驗證 API 引動過程 (CallerCheck) 僅限應用層級 EnableRopCallerCheck 無法使用審核 [ 2 ]
驗證控制代碼使用方式 僅限應用層級 StrictHandle 無法使用審計
驗證映像相依性完整性 僅限應用層級 EnforceModuleDepencySigning 無法使用審計
驗證堆疊完整性 (StackPivot) 僅限應用層級 EnableRopStackPivot 無法使用審核 [ 2 ]

[ 1 ] :使用下列格式為處理常式啟用 dll 的 EAF 模組:

Set-ProcessMitigation -Name processName.exe -Enable EnableExportAddressFilterPlus -EAFModules dllName1.dll,dllName2.dll

[ 2 ] :無法透過 PowerShell Cmdlet 取得此緩解措施的審計。

自訂通知

如需在觸發規則時自訂通知,以及應用程式或檔案遭到封鎖的詳細資訊,請參閱Windows 安全性

另請參閱