Del via


Evaluer beskyttelse mod udnyttelse

Gælder for:

Vil du opleve Microsoft Defender for Endpoint? Tilmeld dig en gratis prøveversion.

Exploit Protection hjælper med at beskytte mod malware, der bruger udnyttelser til at inficere andre enheder og sprede sig. Reduktion kan anvendes på enten operativsystemet eller på en individuel app. Mange funktioner fra EMET (Enhanced Mitigation Experience Toolkit) er inkluderet i Exploit Protection. (EMET'et har nået ophør af support).

I overvågning kan du se, hvordan reduktion fungerer for visse apps i et testmiljø. Dette viser, hvad der ville være sket, hvis du aktiverede Exploit Protection i dit produktionsmiljø. På denne måde kan du tjekke, at Exploit Protection ikke påvirker dine line of business-apps negativt, og se, hvilke mistænkelige eller skadelige hændelser der forekommer.

Aktivér Exploit Protection til test

Du kan angive reduktioner i en testtilstand for bestemte programmer ved hjælp af Windows Sikkerhed-appen eller Windows PowerShell.

Windows Sikkerhed app

  1. Åbn Windows Sikkerhed-appen. Åbn Windows Sikkerhed-appen ved enten at vælge skjoldikonet på proceslinjen eller ved at søge i menuen Start efter Windows Sikkerhed.

  2. Vælg feltetApp- og browserstyring (eller appikonet på venstre menulinje), og vælg derefter Exploit Protection.

  3. Gå til Programindstillinger, og vælg den app, du vil anvende beskyttelse på:

    1. Hvis den app, du vil konfigurere, allerede er angivet, skal du markere den og derefter vælge Rediger
    2. Hvis appen ikke er angivet øverst på listen, skal du vælge Tilføj program, der skal tilpasses. Vælg derefter, hvordan du vil tilføje appen.
      • Brug Tilføj efter programnavn for at anvende afhjælpningen på alle kørende processer med dette navn. Angiv en fil med et filtypenavn. Du kan angive en komplet sti for kun at begrænse afhjælpningen til den app, der har det pågældende navn på den pågældende placering.
      • Brug Vælg nøjagtig filsti til at bruge et standardvindue til Windows Stifinder filvælger til at finde og vælge den ønskede fil.
  4. Når du har valgt appen, får du vist en liste over alle de afhjælpninger, der kan anvendes. Hvis du vælger Overvågning , anvendes afhjælpningen kun i testtilstand. Du får besked, hvis du har brug for at genstarte processen, appen Windows.

  5. Gentag trin 3-4 for alle de apps og reduktioner, du vil konfigurere. Vælg Anvend, når du er færdig med at konfigurere din konfiguration.

PowerShell

Hvis du vil angive afhjælpninger på appniveau til testtilstand, skal du bruge Set-ProcessMitigation med cmdlet'en Overvågningstilstand .

Konfigurer hver reduktion i følgende format:

Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>

Hvor:

  • <Område>:
    • -Name for at angive, at afhjælpningerne skal anvendes på en bestemt app. Angiv appens eksekverbare fil efter dette flag.
  • <Handling>:
    • -Enable for at aktivere afhjælpningen
      • -Disable for at deaktivere afhjælpningen
  • <Afhjælpning>:
    • Reduktionens cmdlet som defineret i følgende tabel. Hver afhjælpning er adskilt med et komma.
Reduktion Cmdlet til testtilstand
ACG (Arbitrary Code Guard) AuditDynamicCode
Bloker for afbildninger med lav integritet AuditImageLoad
Bloker de skrifttyper, der ikke er tillid til AuditFont, FontAuditOnly
Beskyttelse af kodeintegritet AuditMicrosoftSigned, AuditStoreSigned
Deaktiver Win32k-systemkald AuditSystemCall
Tillad ikke underprocesser AuditChildProcess

Hvis du f.eks. vil aktivere Arbitr Code Guard (ACG) i testtilstand for en app med navnet testing.exe, skal du køre følgende kommando:

Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable AuditDynamicCode

Du kan deaktivere overvågningstilstand ved at erstatte -Enable med -Disable.

Gennemse Exploit Protection for beskyttelse overvågningshændelser

Hvis du vil gennemse, hvilke apps der ville være blevet blokeret, skal du åbne Logbog og filtrere efter følgende hændelser i loggen til sikkerhedsreduktion.

Funktion Udbyder/kilde Hændelses-id Beskrivelse
Exploit Protection Sikkerhedsreduktion (kernetilstand/brugertilstand) 1 ACG-overvågning
Exploit Protection Sikkerhedsreduktion (kernetilstand/brugertilstand) 3 Tillad ikke overvågning af underprocesser
Exploit Protection Sikkerhedsreduktion (kernetilstand/brugertilstand) 5 Bloker for billeder med lav integritet
Exploit Protection Sikkerhedsreduktion (kernetilstand/brugertilstand) 7 Bloker overvågning fjernafbildninger
Exploit Protection Sikkerhedsreduktion (kernetilstand/brugertilstand) 9 Deaktiver overvågning af Win32k-systemkald
Exploit Protection Sikkerhedsreduktion (kernetilstand/brugertilstand) 11 Overvåg beskyttelse af kodeintegritet

Se også

Tip

Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.