Vyhodnocení ochrany před zneužitím
Platí pro:
- Plán 1 pro Microsoft Defender for Endpoint
- Plán 2 pro Microsoft Defender pro koncový bod
- Microsoft Defender XDR
Chcete vyzkoušet Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,
Ochrana před zneužitím pomáhá chránit zařízení před malwarem, který využívá zneužití k šíření a infikování dalších zařízení. Zmírnění rizik je možné použít buď pro operační systém, nebo pro jednotlivé aplikace. Mnoho funkcí, které byly součástí sady Enhanced Mitigation Experience Toolkit (EMET), jsou součástí ochrany před zneužitím. (EMET dosáhl konce podpory.)
V auditování můžete zjistit, jak funguje zmírnění rizik u určitých aplikací v testovacím prostředí. To ukazuje, co by se stalo, kdybyste v produkčním prostředí povolili ochranu před zneužitím. Tímto způsobem můžete ověřit, že ochrana před zneužitím nepříznivě neovlivňuje vaše obchodní aplikace, a zjistit, ke kterým podezřelým nebo škodlivým událostem dochází.
Povolení ochrany před zneužitím pro testování
Zmírnění rizik můžete nastavit v testovacím režimu pro konkrétní programy pomocí aplikace Zabezpečení Windows nebo Windows PowerShell.
Aplikace zabezpečení Windows
Otevřít aplikaci Zabezpečení Windows. Vyberte ikonu štítu na hlavním panelu nebo v nabídce Start vyhledejte Zabezpečení Windows.
Vyberte dlaždici Řízení aplikací a prohlížečů (nebo ikonu aplikace na levém řádku nabídek) a pak vyberte Ochrana Exploit Protection.
Přejděte do Nastavení programu a zvolte aplikaci, u které chcete použít ochranu:
- Pokud už je aplikace, kterou chcete nakonfigurovat, uvedená, vyberte ji a pak vyberte Upravit
- Pokud aplikace není uvedená v horní části seznamu, vyberte Přidat program, který chcete přizpůsobit. Pak zvolte, jak chcete aplikaci přidat.
- Pokud chcete, aby se zmírnění rizik použilo u všech spuštěných procesů s tímto názvem, použijte příkaz Přidat podle názvu programu. Zadejte soubor s příponou. Můžete zadat úplnou cestu, abyste omezení rizik omezili jenom na aplikaci s tímto názvem v daném umístění.
- Pokud chcete k vyhledání a výběru požadovaného souboru použít standardní okno pro výběr Průzkumník Windows souboru, použijte možnost Zvolit přesnou cestu k souboru.
Po výběru aplikace se zobrazí seznam všech omezení rizik, která je možné použít. Pokud zvolíte Audit , omezení rizik se použije jenom v testovacím režimu. Budete upozornění pokud bude potřeba restartovat proces, aplikaci nebo Windows.
Tento postup opakujte pro všechny aplikace a omezení rizik, která chcete nakonfigurovat. Až dokončíte nastavení konfigurace, vyberte Použít.
PowerShell
Pokud chcete nastavit zmírnění rizik na úrovni aplikace do testovacího režimu, použijte Set-ProcessMitigation rutinu režimu auditování .
Nakonfigurujte každé zmírnění rizik v následujícím formátu:
Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>
Kde:
-
<Obor>:
-
-Name, aby bylo zřejmé, že by se omezení rizik měla použít pro konkrétní aplikaci. Po tomto příznaku zadejte spustitelný soubor aplikace.
-
-
<Akce>:
-
-Enablepro povolení zmírnění rizik-
-Disablepro zakázání zmírnění rizik
-
-
-
<Zmírnění rizik>:
- Rutina zmírnění rizik definovaná v následující tabulce. Každé zmírnění rizik je odděleno čárkou.
| Zmírnění rizik | Rutina testovacího režimu |
|---|---|
| Ochrana proti spuštění libovolného kódu (ACG) | AuditDynamicCode |
| Blokovat obrázky s nízkou integritou | AuditImageLoad |
| Blokovat nedůvěryhodná písma |
AuditFont, FontAuditOnly |
| Ochrana integrity kódu |
AuditMicrosoftSigned, AuditStoreSigned |
| Zakázat systémová volání Win32k | AuditSystemCall |
| Nepovolit podřízené procesy | AuditChildProcess |
Pokud například chcete povolit ochranu ACG (Arbitrary Code Guard) v testovacím režimu pro aplikaci s názvemtesting.exe, spusťte následující příkaz:
Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable AuditDynamicCode
Režim auditování můžete zakázat nahrazením -Enable za -Disable.
Kontrola událostí auditováním ochrany před zneužitím
Pokud chcete zkontrolovat, které aplikace by se zablokovaly, otevřete Prohlížeč událostí a vyfiltrujte následující události v protokolu omezení zabezpečení.
| Funkce | Poskytovatel/zdroj | ID události | Popis |
|---|---|---|---|
| Ochrana před zneužitím | Omezení zabezpečení (Režim jádra/Uživatelský režim) | 1 | ACG audit |
| Ochrana před zneužitím | Omezení zabezpečení (Režim jádra/Uživatelský režim) | 3 | Nepovolit audit podřízených procesů |
| Ochrana před zneužitím | Omezení zabezpečení (Režim jádra/Uživatelský režim) | 5 | Blokovat audit obrázků s nízkou integritou |
| Ochrana před zneužitím | Omezení zabezpečení (Režim jádra/Uživatelský režim) | 7 | Blokovat audit vzdálených obrázků |
| Ochrana před zneužitím | Omezení zabezpečení (Režim jádra/Uživatelský režim) | 9 | Zakázat audit systémových volání win32k |
| Ochrana před zneužitím | Omezení zabezpečení (Režim jádra/Uživatelský režim) | 11 | Audit ochrany integrity kódu |
Viz také
- Povolení ochrany před zneužitím
- Konfigurace a auditování zmírnění rizik ochrany před zneužitím
- Import, export a nasazení konfigurací ochrany před zneužitím
- Řešení potíží s ochranou před zneužitím
Tip
Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.