Del via


Beskyt enheder mod misbrug

Gælder for:

Exploit Protection anvender automatisk mange teknikker til afhjælpning af udnyttelse på operativsystemets processer og apps. Udnyttelsesbeskyttelse understøttes fra og med Windows 10, version 1709, Windows 11 og Windows Server, version 1803.

Udnyttelsesbeskyttelse fungerer bedst sammen med Defender for Endpoint – hvilket giver dig detaljeret rapportering om hændelser og blokke for udnyttelse af beskyttelse som en del af de sædvanlige scenarier til undersøgelse af vigtige beskeder.

Du kan aktivere beskyttelse mod udnyttelse på en individuel enhed og derefter bruge Gruppepolitik til at distribuere XML-filen til flere enheder på én gang.

Når der findes en afhjælpning på enheden, vises der en meddelelse fra Løsningscenter. Du kan tilpasse meddelelsen med dine firmaoplysninger og kontaktoplysninger. Du kan også aktivere reglerne individuelt for at tilpasse, hvilke teknikker funktionen overvåger.

Du kan også bruge overvågningstilstand til at evaluere, hvordan udnyttelsesbeskyttelse ville påvirke din organisation, hvis den blev aktiveret.

Mange af funktionerne i EMET (Enhanced Mitigation Experience Toolkit) er inkluderet i beskyttelse mod udnyttelse. Du kan faktisk konvertere og importere eksisterende DINE EMET-konfigurationsprofiler til udnyttelsesbeskyttelse. Du kan få mere at vide under Importér, eksportér og udrul konfigurationer til udnyttelse af beskyttelse.

Vigtigt!

Hvis du i øjeblikket bruger EMET, skal du være opmærksom på, at EMET nåede ophør af support den 31. juli 2018. Overvej at erstatte EMET med udnyttelsesbeskyttelse i Windows 10.

Advarsel

Nogle teknologier til afhjælpning af sikkerhed kan have kompatibilitetsproblemer med nogle programmer. Du skal teste Exploit Protection i alle målscenarier ved hjælp af overvågningstilstand, før du udruller konfigurationen på tværs af et produktionsmiljø eller resten af netværket.

Gennemse beskyttelseshændelser for udnyttelse på Microsoft Defender-portalen

Defender for Endpoint giver detaljeret rapportering om hændelser og blokke som en del af scenarierne til undersøgelse af vigtige beskeder.

Du kan forespørge Defender om slutpunktsdata ved hjælp af Avanceret jagt. Hvis du bruger overvågningstilstand, kan du bruge avanceret jagt til at se, hvordan beskyttelsesindstillinger for udnyttelse kan påvirke dit miljø.

Her er et eksempel på en forespørgsel:

DeviceEvents
| where ActionType startswith 'ExploitGuard' and ActionType !contains 'NetworkProtection'

Gennemse beskyttelseshændelser for udnyttelse i Windows Logbog

Du kan gennemse Windows-hændelsesloggen for at se hændelser, der oprettes, når en app udnyttes (eller overvåges):

Udbyder/kilde Hændelses-id Beskrivelse
Security-Mitigations 1 ACG-overvågning
Security-Mitigations 2 ACG-gennemtving
Security-Mitigations 3 Tillad ikke overvågning af underordnede processer
Security-Mitigations 4 Tillad ikke blok for underordnede processer
Security-Mitigations 5 Bloker for billeder med lav integritet
Security-Mitigations 6 Bloker blok for billeder med lav integritet
Security-Mitigations 7 Bloker overvågning fjernafbildninger
Security-Mitigations 8 Bloker fjernbilleder
Security-Mitigations 9 Deaktiver overvågning af Win32k-systemkald
Security-Mitigations 10 Deaktiver blokering af win32k-systemkald
Security-Mitigations 11 Overvåg beskyttelse af kodeintegritet
Security-Mitigations 12 Blok for kodeintegritetsbeskyttelse
Security-Mitigations 13 EAF-revision
Security-Mitigations 14 Gennemtving EAF
Security-Mitigations 15 EAF+ audit
Security-Mitigations 16 Gennemtving EAF+
Security-Mitigations 17 IAF-revision
Security-Mitigations 18 Gennemtving IAF
Security-Mitigations 19 ROP StackPivot-overvågning
Security-Mitigations 20 ROP StackPivot gennemtving
Security-Mitigations 21 ROP CallerCheck audit
Security-Mitigations 22 ROP CallerCheck gennemtving
Security-Mitigations 23 ROP SimExec-overvågning
Security-Mitigations 24 ROP SimExec gennemtvinge
WER-Diagnostics 5 CFG-blok
Win32K 260 Der er ikke tillid til skrifttype

Sammenligning af afhjælpning

De afhjælpninger, der er tilgængelige i EMET, er inkluderet i Windows 10 (startende med version 1709), Windows 11 og Windows Server (startende med version 1803) under Beskyttelse mod udnyttelse.

Tabellen i dette afsnit angiver tilgængeligheden og understøttelsen af oprindelige afhjælpninger mellem EMET og udnyttelsesbeskyttelse.

Afhjælpning Tilgængelig under udnyttelsesbeskyttelse Tilgængelig i EMET
ACG (Arbitrary Code Guard; beskyttelse mod skadelig kode) Ja Ja
Som "Kontrol af hukommelsesbeskyttelse"
Bloker fjernafbildninger Ja Ja
Som "Indlæs bibliotekskontrol"
Bloker de skrifttyper, der ikke er tillid til Ja Ja
Forhindring af datakørsel (DEP) Ja Ja
Eksportadressefiltrering (EAF) Ja Ja
Gennemtving tilfældigheder for afbildninger (obligatorisk ASLR) Ja Ja
Sikkerhedsmitigering af NullPage Ja
Inkluderet oprindeligt i Windows 10 og Windows 11
Du kan få flere oplysninger under Afhjælpning af trusler ved hjælp af Windows 10 sikkerhedsfunktioner
Ja
Randomiser hukommelsesallokeringer (bottom-up ASLR) Ja Ja
Simuler udførelse (SimExec) Ja Ja
Valider API-aktivering (CallerCheck) Ja Ja
Valider undtagelseskæder (SEHOP) Ja Ja
Valider stakintegritet (StackPivot) Ja Ja
Certifikattillid (konfigurerbar certifikatfastgørelse) Windows 10 og Windows 11 angive fastgørelse af virksomhedscertifikater Ja
Allokering af heap spray Ineffektiv mod nyere browserbaserede udnyttelser; nyere afhjælpninger giver bedre beskyttelse
Du kan få flere oplysninger under Afhjælpning af trusler ved hjælp af Windows 10 sikkerhedsfunktioner
Ja
Bloker for afbildninger med lav integritet Ja Nej
Beskyttelse af kodeintegritet Ja Nej
Deaktiver udvidelsespunkter Ja Nej
Deaktiver Win32k-systemkald Ja Nej
Tillad ikke underprocesser Ja Nej
Importadressefiltrering (IAF) Ja Nej
Ugyldig anvendelse af handle Ja Nej
Valider heap-integriteten Ja Nej
Valider integriteten af afbildningsafhængighed Ja Nej

Bemærk!

De avancerede ROP-afhjælpninger, der er tilgængelige i EMET, erstattes af ACG i Windows 10 og Windows 11, som andre avancerede EMET-indstillinger er aktiveret som standard som en del af aktivering af anti-ROP-afhjælpninger for en proces. Du kan finde flere oplysninger om, hvordan Windows 10 anvender eksisterende EMET-teknologi, under Afhjælpning af trusler ved hjælp af Windows 10 sikkerhedsfunktioner.

Se også

Tip

Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.