Evaluer beskyttelse mod udnyttelse
Gælder for:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
Vil du opleve Microsoft Defender for Endpoint? Tilmeld dig en gratis prøveversion.
Exploit Protection hjælper med at beskytte mod malware, der bruger udnyttelser til at inficere andre enheder og sprede sig. Reduktion kan anvendes på enten operativsystemet eller på en individuel app. Mange funktioner fra EMET (Enhanced Mitigation Experience Toolkit) er inkluderet i Exploit Protection. (EMET'et har nået ophør af support).
I overvågning kan du se, hvordan reduktion fungerer for visse apps i et testmiljø. Dette viser, hvad der ville være sket, hvis du aktiverede Exploit Protection i dit produktionsmiljø. På denne måde kan du tjekke, at Exploit Protection ikke påvirker dine line of business-apps negativt, og se, hvilke mistænkelige eller skadelige hændelser der forekommer.
Aktivér Exploit Protection til test
Du kan angive reduktioner i en testtilstand for bestemte programmer ved hjælp af Windows Sikkerhed-appen eller Windows PowerShell.
Windows Sikkerhed app
Åbn Windows Sikkerhed-appen. Åbn Windows Sikkerhed-appen ved enten at vælge skjoldikonet på proceslinjen eller ved at søge i menuen Start efter Windows Sikkerhed.
Vælg feltetApp- og browserstyring (eller appikonet på venstre menulinje), og vælg derefter Exploit Protection.
Gå til Programindstillinger, og vælg den app, du vil anvende beskyttelse på:
- Hvis den app, du vil konfigurere, allerede er angivet, skal du markere den og derefter vælge Rediger
- Hvis appen ikke er angivet øverst på listen, skal du vælge Tilføj program, der skal tilpasses. Vælg derefter, hvordan du vil tilføje appen.
- Brug Tilføj efter programnavn for at anvende afhjælpningen på alle kørende processer med dette navn. Angiv en fil med et filtypenavn. Du kan angive en komplet sti for kun at begrænse afhjælpningen til den app, der har det pågældende navn på den pågældende placering.
- Brug Vælg nøjagtig filsti til at bruge et standardvindue til Windows Stifinder filvælger til at finde og vælge den ønskede fil.
Når du har valgt appen, får du vist en liste over alle de afhjælpninger, der kan anvendes. Hvis du vælger Overvågning , anvendes afhjælpningen kun i testtilstand. Du får besked, hvis du har brug for at genstarte processen, appen Windows.
Gentag trin 3-4 for alle de apps og reduktioner, du vil konfigurere. Vælg Anvend, når du er færdig med at konfigurere din konfiguration.
PowerShell
Hvis du vil angive afhjælpninger på appniveau til testtilstand, skal du bruge Set-ProcessMitigation med cmdlet'en Overvågningstilstand .
Konfigurer hver reduktion i følgende format:
Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>
Hvor:
-
<Område>:
-
-Namefor at angive, at afhjælpningerne skal anvendes på en bestemt app. Angiv appens eksekverbare fil efter dette flag.
-
-
<Handling>:
-
-Enablefor at aktivere afhjælpningen-
-Disablefor at deaktivere afhjælpningen
-
-
-
<Afhjælpning>:
- Reduktionens cmdlet som defineret i følgende tabel. Hver afhjælpning er adskilt med et komma.
| Reduktion | Cmdlet til testtilstand |
|---|---|
| ACG (Arbitrary Code Guard) | AuditDynamicCode |
| Bloker for afbildninger med lav integritet | AuditImageLoad |
| Bloker de skrifttyper, der ikke er tillid til |
AuditFont, FontAuditOnly |
| Beskyttelse af kodeintegritet |
AuditMicrosoftSigned, AuditStoreSigned |
| Deaktiver Win32k-systemkald | AuditSystemCall |
| Tillad ikke underprocesser | AuditChildProcess |
Hvis du f.eks. vil aktivere Arbitr Code Guard (ACG) i testtilstand for en app med navnet testing.exe, skal du køre følgende kommando:
Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable AuditDynamicCode
Du kan deaktivere overvågningstilstand ved at erstatte -Enable med -Disable.
Gennemse Exploit Protection for beskyttelse overvågningshændelser
Hvis du vil gennemse, hvilke apps der ville være blevet blokeret, skal du åbne Logbog og filtrere efter følgende hændelser i loggen til sikkerhedsreduktion.
| Funktion | Udbyder/kilde | Hændelses-id | Beskrivelse |
|---|---|---|---|
| Exploit Protection | Sikkerhedsreduktion (kernetilstand/brugertilstand) | 1 | ACG-overvågning |
| Exploit Protection | Sikkerhedsreduktion (kernetilstand/brugertilstand) | 3 | Tillad ikke overvågning af underprocesser |
| Exploit Protection | Sikkerhedsreduktion (kernetilstand/brugertilstand) | 5 | Bloker for billeder med lav integritet |
| Exploit Protection | Sikkerhedsreduktion (kernetilstand/brugertilstand) | 7 | Bloker overvågning fjernafbildninger |
| Exploit Protection | Sikkerhedsreduktion (kernetilstand/brugertilstand) | 9 | Deaktiver overvågning af Win32k-systemkald |
| Exploit Protection | Sikkerhedsreduktion (kernetilstand/brugertilstand) | 11 | Overvåg beskyttelse af kodeintegritet |
Se også
- Aktivér Exploit Protection
- Konfigurer og overvåg afhjælpninger Med Exploit Protection
- Importer, eksporter og implementer konfigurationer af Exploit Protection
- Fejlfinding af Exploit Protection
Tip
Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.