Tilpas Exploit Protection
Gælder for:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
Vil du opleve Defender for Endpoint? Tilmeld dig en gratis prøveversion.
Exploit Protection anvender automatisk en række teknikker til afhjælpning af udnyttelse på både operativsystemets processer og på individuelle apps.
Konfigurer disse indstillinger ved hjælp af Windows Sikkerhed-appen på en enkelt enhed. Eksportér derefter konfigurationen som en XML-fil, så du kan installere den på andre enheder. Brug Gruppepolitik til at distribuere XML-filen til flere enheder på én gang. Du kan også konfigurere afhjælpningerne med PowerShell.
Denne artikel indeholder en liste over hver af de afhjælpninger, der er tilgængelige i Exploit Protection. Den angiver, om afhjælpningen kan anvendes på hele systemet eller på individuelle apps, og giver en kort beskrivelse af, hvordan afhjælpningen fungerer.
Den beskriver også, hvordan du aktiverer eller konfigurerer afhjælpninger ved hjælp af Windows Sikkerhed, PowerShell og udbydere af tjenester til konfiguration af MDM (administration af mobilenheder). Dette er det første trin til oprettelse af en konfiguration, som du kan installere på hele netværket. Det næste trin omfatter oprettelse, eksport, import og udrulning af konfigurationen på flere enheder.
Advarsel
Nogle teknologier til afhjælpning af sikkerhed kan have kompatibilitetsproblemer med nogle programmer. Du skal teste Exploit Protection i alle målscenarier ved hjælp af overvågningstilstand, før du udruller konfigurationen på tværs af et produktionsmiljø eller resten af netværket.
Exploit Protection-afhjælpninger
Alle afhjælpninger kan konfigureres for individuelle apps. Nogle afhjælpninger kan også anvendes på niveauet for operativsystemet.
Du kan slå de enkelte afhjælpninger til eller fra eller angive dem til deres standardværdi. Nogle afhjælpninger har flere indstillinger, der er angivet i beskrivelsen i tabellen.
Standardværdier angives altid i kantede parenteser ud for indstillingen Benyt som standard for hver afhjælpning. I følgende eksempel er standarden for Forhindring af datakørsel slået "Til".
Konfigurationen Benyt som standard for hver af indstillingerne for afhjælpning angiver vores anbefaling til et grundlæggende beskyttelsesniveau til hverdagsbrug for private brugere. Virksomhedsudrulninger bør overveje den beskyttelse, der kræves til deres individuelle behov, og det kan være nødvendigt at ændre konfigurationen i forhold til standardindstillingerne.
Du kan finde de tilknyttede PowerShell-cmdlet'er for hver afhjælpning i PowerShell-referencetabellen nederst i denne artikel.
| Afhjælpning | Beskrivelse | Kan anvendes på | Overvågningstilstand er tilgængelig |
|---|---|---|---|
| Kontrolflowbeskyttelse (CFG) | Sikrer integritet af kontrolflow for indirekte kald. Kan vælge at undertrykke eksporter og bruge streng CFG. | System- og appniveau | Nej |
| Forhindring af datakørsel (DEP) | Forhindrer, at kode køres fra hukommelsessider, der kun indeholder data, f.eks. heap og stakke. Kan kun konfigureres til 32-bit apps (x86), der er permanent aktiveret for alle andre arkitekturer. Kan vælge at aktivere ATL-thunk-emulering. | System- og appniveau | Nej |
| Gennemtving tilfældigheder for afbildninger (obligatorisk ASLR) | Gennemtvinger flytning af de afbildninger, der ikke er kompileret med /DYNAMICBASE. Kan vælge at fejle indlæsning af afbildninger, der ikke har oplysninger om flytning. | System- og appniveau | Nej |
| Randomiser hukommelsesallokeringer (bottom-up ASLR) | Bruger tilfældige placeringer til allokering af virtuel hukommelse. Det omfatter heaps, stakke, TEB'er og PEB'er i systemstrukturen. Kan vælge at bruge en bredere randomiseringsvarians til 64-bit processer. | System- og appniveau | Nej |
| Valider undtagelseskæder (SEHOP) | Sikrer integriteten af en undtagelseskæde under afsendelse som en undtagelse. Kan kun konfigureres til 32-bit programmer (x86). | System- og appniveau | Nej |
| Valider heap-integriteten | Afslutter en proces, når der registreres beskadigelse af heap. | System- og appniveau | Nej |
| ACG (Arbitrary Code Guard; beskyttelse mod skadelig kode) | Forhindrer introduktionen af eksekverbar kode, der ikke er baseret på en afbildning, og forhindrer, at kodesider ændres. Kan vælge at tillade fravalg af trådning og at tillade fjernnedgradering (kan kun konfigureres med PowerShell). | Kun på appniveau | Ja |
| Bloker for afbildninger med lav integritet | Forhindrer indlæsning af de afbildninger, der er markeret med lav integritet. | Kun på appniveau | Ja |
| Bloker fjernafbildninger | Forhindrer indlæsning af afbildninger fra fjernenheder. | Kun på appniveau | Nej |
| Bloker de skrifttyper, der ikke er tillid til | Forhindrer indlæsning af GDI-baserede skrifttyper, der ikke er installeret i mappen med systemskrifttyper, især skrifttyper fra internettet. | Kun på appniveau | Ja |
| Beskyttelse af kodeintegritet | Begrænser indlæsning af afbildninger, der er signeret af Microsoft, WHQL eller nyere. Kan vælge at tillade Microsoft Store-signerede afbildninger. | Kun på appniveau | Ja |
| Deaktiver udvidelsespunkter | Deaktiverer forskellige udvidelsesmekanismer, der tillader DLL-injektion i alle processer, f.eks. AppInit DLL-filer, vindueshooks og Winsock-tjenesteudbydere. | Kun på appniveau | Nej |
| Deaktiver Win32k-systemkald | Forhindrer en app i at bruge tabellen til Win32k-systemkald. | Kun på appniveau | Ja |
| Tillad ikke underprocesser | Forhindrer en app i at oprette underprocesser. | Kun på appniveau | Ja |
| Eksportadressefiltrering (EAF) | Registrerer farlige handlinger, der løses af skadelig kode. Kan vælge at validere adgang for moduler, der ofte bruges af udnyttelser. | Kun på appniveau | Ja |
| Importadressefiltrering (IAF) | Registrerer farlige handlinger, der løses af skadelig kode. | Kun på appniveau | Ja |
| Simuler udførelse (SimExec) | Sikrer, at kald til følsomme API'er vender tilbage til legitime kaldere. Kan kun konfigureres til 32-bit programmer (x86). Ikke kompatibel med ACG. | Kun på appniveau | Ja |
| Valider API-aktivering (CallerCheck) | Sikrer, at følsomme API'er aktiveres af legitime kaldere. Kan kun konfigureres til 32-bit programmer (x86). Ikke kompatibel med ACG | Kun på appniveau | Ja |
| Ugyldig anvendelse af handle | Medfører, at der udløses en undtagelse på alle ugyldige handlereferencer. | Kun på appniveau | Nej |
| Valider integriteten af afbildningsafhængighed | Gennemtvinger kodesignering for indlæsning af Windows-afbildningsafhængighed. | Kun på appniveau | Nej |
| Valider stakintegritet (StackPivot) | Sikrer, at stakken ikke er blevet omdirigeret for følsomme API'er. Ikke kompatibel med ACG. | Kun på appniveau | Ja |
Vigtigt!
Hvis du føjer en app til sektionen Programindstillinger og konfigurerer individuelle indstillinger for afhjælpning der, vil de blive overholdt over konfigurationen for de samme afhjælpninger, der er angivet i afsnittet Systemindstillinger. . Følgende matrix og eksempler hjælper med at illustrere, hvordan standardindstillinger fungerer:
| Aktiveret i Programindstillinger | Aktiveret i Systemindstillinger | Funktionsmåde |
|---|---|---|
| Ja | Nej | Som defineret i Programindstillinger |
| Ja | Ja | Som defineret i Programindstillinger |
| Nej | Ja | Som defineret i Systemindstillinger |
| Nej | Nej | Standard som defineret i Brug standardindstilling |
Eksempel 1 Mikael konfigurerer, at DEP (forhindring af datakørsel) i sektionen Systemindstillinger skal være slået fra som standard. Mikael føjer derefter appen test.exe til sektionen Programindstillinger. I indstillingerne for den pågældende app under Forhindring af datakørsel (DEP) aktiverer han indstillingen Tilsidesæt systemindstillinger og slår skift til Til. Der er ikke angivet andre apps i sektionen Programindstillinger. Resultatet vil være, at DEP kun vil være aktiveret for test.exe. DEP er ikke anvendt for alle andre apps.
Eksempel 2 Josie konfigurerer, at DEP (forhindring af datakørsel) i sektionen Systemindstillinger skal være slået fra som standard. Josie føjer derefter appen test.exe til sektionen Programindstillinger. I indstillingerne for den pågældende app under Forhindring af datakørsel (DEP) aktiverer hun indstillingen Tilsidesæt systemindstillinger og indstiller omskifteren til Til. Josie føjer også appen miles.exe til afsnittet Programindstillinger og konfigurerer Kontrolflowbeskyttelse (CFG) til Til. Hun aktiverer ikke indstillingen Tilsidesæt systemindstillinger for DEP eller andre afhjælpninger for den pågældende app. Resultatet vil være, at DEP vil være aktiveret for test.exe. DEP vil ikke blive aktiveret for andre apps, herunder miles.exe. CFG aktiveres for miles.exe.
Bemærk!
Hvis du har fundet problemer i denne artikel, kan du rapportere det direkte til en Windows Server/Windows-klientpartner eller bruge Microsofts tekniske supportnumre til dit land/område.
Konfigurer afhjælpninger på systemniveau med Windows Sikkerhed-appen
Åbn Windows Sikkerhed-appen ved enten at vælge skjoldikonet på proceslinjen eller ved at søge i menuen Start for Windows Sikkerhed.
Vælg feltetApp- og browserstyring (eller appikonet på venstre menulinje), og vælg derefter Exploit Protection.
Find den afhjælpning, du vil konfigurere, under sektionen Systemindstillinger, og vælg derefter en af følgende. Apps, der ikke er konfigureret individuelt i sektionen Programindstillinger, bruger de indstillinger, der er konfigureret her:
- Slået til som standard – Afhjælpningen er aktiveret for apps, der ikke har dette afhjælpningssæt i det app-specifikke afsnit Programindstillinger
- Slået fra som standard – Afhjælpningen er deaktiveret for apps, der ikke har dette afhjælpningssæt i det app-specifikke afsnit Programindstillinger
- Brug standard – Afhjælpningen er enten aktiveret eller deaktiveret, afhængigt af den standardkonfiguration, der er konfigureret af Windows 10- eller Windows 11-installation. Standardværdien (Til eller Fra) er altid angivet ud for Brug standardmærkaten for hver afhjælpning
Bemærk!
Du får muligvis vist vinduet Kontrol af brugerkonti, når du ændrer nogle indstillinger. Angiv administratorens legitimationsoplysninger for at anvende indstillingen.
Hvis du ændrer nogle indstillinger, skal systemet muligvis genstartes.
Gentag trin 6 for alle de afhjælpninger på systemniveau, du vil konfigurere.
Gå til sektionen Programindstillinger, og vælg den app, du vil anvende afhjælpninger på:
- Hvis den app, du vil konfigurere, allerede er angivet, skal du markere den og derefter vælge Rediger
- Hvis appen ikke vises, skal du vælge Tilføj det program, du vil tilpasse øverst på listen og derefter vælge, hvordan du vil tilføje appen:
- Brug Tilføj efter programnavn for at anvende afhjælpningen på alle kørende processer med dette navn. Du skal angive en fil med et filtypenavn. Du kan angive en komplet sti for kun at begrænse afhjælpningen til den app, der har det pågældende navn på den pågældende placering.
- Brug Vælg nøjagtig filsti til at bruge et standardvindue til Windows Stifinder filvælger til at finde og vælge den ønskede fil.
Når du har valgt appen, får du vist en liste over alle de afhjælpninger, der kan anvendes. Hvis du vil aktivere afhjælpningen, skal du markere afkrydsningsfeltet og derefter ændre skyderen til Til. Vælg eventuelt yderligere indstillinger. Hvis du vælger Overvågning, anvendes afhjælpningen kun i overvågningstilstand. Du får besked, hvis du har brug for at genstarte processen eller appen, eller hvis du har brug for at genstarte Windows.
Gentag disse trin for alle de apps og afhjælpninger, du vil konfigurere. Vælg Anvend, når du er færdig med at konfigurere din konfiguration.
Du kan nu eksportere disse indstillinger som en XML-fil eller fortsætte med at konfigurere app-specifikke afhjælpninger.
Hvis du eksporterer konfigurationen som en XML-fil, kan du kopiere konfigurationen fra én enhed til andre enheder.
PowerShell-reference
Du kan bruge appen Windows Sikkerhed til at konfigurere Exploit Protection, eller du kan bruge PowerShell-cmdlet'er.
De konfigurationsindstillinger, der senest er blevet ændret, anvendes altid – uanset om du bruger PowerShell eller Windows Sikkerhed. Det betyder, at hvis du bruger appen til at konfigurere en afhjælpning og derefter bruger PowerShell til at konfigurere den samme afhjælpning, opdateres appen for at vise de ændringer, du har foretaget med PowerShell. Hvis du derefter bruger appen til at ændre afhjælpningen igen, anvendes ændringen.
Vigtigt!
Alle ændringer, der installeres på en enhed via Gruppepolitik, tilsidesætter den lokale konfiguration. Når du konfigurerer en indledende konfiguration, skal du bruge en enhed, hvor der ikke er anvendt en konfiguration af Gruppepolitik, for at sikre, at dine ændringer ikke overskrives.
Du kan bruge PowerShell-verbet Get eller Set med cmdlet'en ProcessMitigation. Hvis du bruger Get, vises den aktuelle konfigurationsstatus for eventuelle afhjælpninger, der er aktiveret på enheden. Tilføj -Name cmdlet og app-exe for kun at få vist afhjælpninger for den pågældende app:
Get-ProcessMitigation -Name processName.exe
Vigtigt!
Afhjælpninger på systemniveau, der ikke er konfigureret, viser statussen NOTSET.
I forbindelse med indstillinger på systemniveau angiver NOTSET standardindstillingen for den pågældende afhjælpning.
For indstillinger på appniveau angiver NOTSET indstillingen på systemniveau for afhjælpningen.
Standardindstillingen for hver afhjælpning på systemniveau kan ses i Windows Sikkerhed.
Brug Set til at konfigurere hver afhjælpning i følgende format:
Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>
Hvor:
-
<Område>:
-
-Namefor at angive, at afhjælpningerne skal anvendes på en bestemt app. Angiv appens eksekverbare fil efter dette flag. -
-Systemfor at angive, at afhjælpningen skal anvendes på systemniveau
-
-
<Handling>:
-
-Enablefor at aktivere afhjælpningen -
-Disablefor at deaktivere afhjælpningen
-
-
<Afhjælpning>:
- Afhjælpningens cmdlet, som defineret i tabellen med afhjælpnings-cmdlet'er nedenfor, sammen med eventuelle underindstillinger (omgivet af mellemrum). Hver afhjælpning er adskilt med et komma.
Hvis du f.eks. vil aktivere afhjælpning af forhindring af datakørsel med ATL-emulering og for en eksekverbar fil kaldet testing.exe i mappen C:\Apps\LOB\tests og forhindre, at den eksekverbare fil opretter underordnede processer, skal du bruge følgende kommando:
Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable DEP, EmulateAtlThunks, DisallowChildProcessCreation
Vigtigt!
Adskil hver afhjælpningsindstilling med kommaer.
Hvis du vil anvende DEP på systemniveau, skal du bruge følgende kommando:
Set-Processmitigation -System -Enable DEP
Hvis du vil deaktivere afhjælpninger, kan du erstatte -Enable med -Disable. For afhjælpninger på appniveau tvinger dette dog kun afhjælpningen til at være deaktiveret for den pågældende app.
Hvis du vil gendanne afhjælpningen tilbage til systemstandarden, skal du også medtage -Remove cmdlet som i følgende eksempel:
Set-Processmitigation -Name test.exe -Remove -Disable DEP
Du kan også indstille nogle afhjælpninger til overvågningstilstand. I stedet for at bruge PowerShell-cmdlet'en til afhjælpningen skal du bruge cmdlet'en Overvågningstilstand som angivet i tabellen med afhjælpnings-cmdlet'er.
Hvis du f.eks. vil aktivere ACG (Arbitrary Code Guard) i overvågningstilstand for test.exe, der blev brugt tidligere, skal du bruge følgende kommando:
Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable AuditDynamicCode
Du kan deaktivere overvågningstilstand ved hjælp af den samme kommando, men erstatte -Enable med -Disable.
PowerShell-referencetabel
I denne tabel vises de PowerShell-cmdlet'er (og den tilknyttede cmdlet for overvågningstilstand), der kan bruges til at konfigurere de enkelte afhjælpninger.
| Afhjælpning | Gælder for | PowerShell-cmdlet'er | Cmdlet for overvågningstilstand |
|---|---|---|---|
| Kontrolflowbeskyttelse (CFG) | System- og appniveau | CFG, StrictCFG, SuppressExports | Overvågning er ikke tilgængelig |
| Forhindring af datakørsel (DEP) | System- og appniveau | DEP, EmulateAtlThunks | Overvågning er ikke tilgængelig |
| Gennemtving tilfældigheder for afbildninger (obligatorisk ASLR) | System- og appniveau | ForceRelocateImages | Overvågning er ikke tilgængelig |
| Randomiser hukommelsesallokeringer (bottom-up ASLR) | System- og appniveau | BottomUp, HighEntropy | Overvågning er ikke tilgængelig |
| Valider undtagelseskæder (SEHOP) | System- og appniveau | SEHOP, SEHOPTelemetry | Overvågning er ikke tilgængelig |
| Valider heap-integriteten | System- og appniveau | TerminateOnError | Overvågning er ikke tilgængelig |
| ACG (Arbitrary Code Guard; beskyttelse mod skadelig kode) | Kun på appniveau | DynamicCode | AuditDynamicCode |
| Bloker for afbildninger med lav integritet | Kun på appniveau | BlockLowLabel | AuditImageLoad |
| Bloker fjernafbildninger | Kun på appniveau | BlockRemoteImages | Overvågning er ikke tilgængelig |
| Bloker de skrifttyper, der ikke er tillid til | Kun på appniveau | DisableNonSystemFonts | AuditFont, FontAuditOnly |
| Beskyttelse af kodeintegritet | Kun på appniveau | BlockNonMicrosoftSigned, AllowStoreSigned | AuditMicrosoftSigned, AuditStoreSigned |
| Deaktiver udvidelsespunkter | Kun på appniveau | ExtensionPoint | Overvågning er ikke tilgængelig |
| Deaktiver Win32k-systemkald | Kun på appniveau | DisableWin32kSystemCalls | AuditSystemCall |
| Tillad ikke underprocesser | Kun på appniveau | DisallowChildProcessCreation | AuditChildProcess |
| Eksportadressefiltrering (EAF) | Kun på appniveau | EnableExportAddressFilterPlus, EnableExportAddressFilter [1] | Overvågning er ikke tilgængelig[2] |
| Importadressefiltrering (IAF) | Kun på appniveau | EnableImportAddressFilter | Overvågning er ikke tilgængelig[2] |
| Simuler udførelse (SimExec) | Kun på appniveau | EnableRopSimExec | Overvågning er ikke tilgængelig[2] |
| Valider API-aktivering (CallerCheck) | Kun på appniveau | EnableRopCallerCheck | Overvågning er ikke tilgængelig[2] |
| Ugyldig anvendelse af handle | Kun på appniveau | StrictHandle | Overvågning er ikke tilgængelig |
| Valider integriteten af afbildningsafhængighed | Kun på appniveau | EnforceModuleDepencySigning | Overvågning er ikke tilgængelig |
| Valider stakintegritet (StackPivot) | Kun på appniveau | EnableRopStackPivot | Overvågning er ikke tilgængelig[2] |
[1]: Brug følgende format til at aktivere EAF-moduler for dll-filer til en proces:
Set-ProcessMitigation -Name processName.exe -Enable EnableExportAddressFilterPlus -EAFModules dllName1.dll,dllName2.dll
[2]: Overvågning af denne afhjælpning er ikke tilgængelig via PowerShell-cmdlet'er.
Tilpas meddelelsen
Du kan finde flere oplysninger om tilpasning af meddelelsen, når en regel udløses og blokerer en app eller fil, under Windows Sikkerhed.
Se også
- Beskyt enheder mod misbrug
- Evaluer beskyttelse mod udnyttelse
- Aktivér Exploit Protection
- Importer, eksporter og implementer konfigurationer af Exploit Protection
Tip
Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.