Beskyt enheder mod misbrug
Gælder for:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
Exploit Protection anvender automatisk mange teknikker til afhjælpning af udnyttelse på operativsystemets processer og apps. Udnyttelsesbeskyttelse understøttes fra og med Windows 10, version 1709, Windows 11 og Windows Server, version 1803.
Udnyttelsesbeskyttelse fungerer bedst sammen med Defender for Endpoint – hvilket giver dig detaljeret rapportering om hændelser og blokke for udnyttelse af beskyttelse som en del af de sædvanlige scenarier til undersøgelse af vigtige beskeder.
Du kan aktivere beskyttelse mod udnyttelse på en individuel enhed og derefter bruge Gruppepolitik til at distribuere XML-filen til flere enheder på én gang.
Når der findes en afhjælpning på enheden, vises der en meddelelse fra Løsningscenter. Du kan tilpasse meddelelsen med dine firmaoplysninger og kontaktoplysninger. Du kan også aktivere reglerne individuelt for at tilpasse, hvilke teknikker funktionen overvåger.
Du kan også bruge overvågningstilstand til at evaluere, hvordan udnyttelsesbeskyttelse ville påvirke din organisation, hvis den blev aktiveret.
Mange af funktionerne i EMET (Enhanced Mitigation Experience Toolkit) er inkluderet i beskyttelse mod udnyttelse. Du kan faktisk konvertere og importere eksisterende DINE EMET-konfigurationsprofiler til udnyttelsesbeskyttelse. Du kan få mere at vide under Importér, eksportér og udrul konfigurationer til udnyttelse af beskyttelse.
Vigtigt!
Hvis du i øjeblikket bruger EMET, skal du være opmærksom på, at EMET nåede ophør af support den 31. juli 2018. Overvej at erstatte EMET med udnyttelsesbeskyttelse i Windows 10.
Advarsel
Nogle teknologier til afhjælpning af sikkerhed kan have kompatibilitetsproblemer med nogle programmer. Du skal teste Exploit Protection i alle målscenarier ved hjælp af overvågningstilstand, før du udruller konfigurationen på tværs af et produktionsmiljø eller resten af netværket.
Gennemse beskyttelseshændelser for udnyttelse på Microsoft Defender-portalen
Defender for Endpoint giver detaljeret rapportering om hændelser og blokke som en del af scenarierne til undersøgelse af vigtige beskeder.
Du kan forespørge Defender om slutpunktsdata ved hjælp af Avanceret jagt. Hvis du bruger overvågningstilstand, kan du bruge avanceret jagt til at se, hvordan beskyttelsesindstillinger for udnyttelse kan påvirke dit miljø.
Her er et eksempel på en forespørgsel:
DeviceEvents
| where ActionType startswith 'ExploitGuard' and ActionType !contains 'NetworkProtection'
Gennemse beskyttelseshændelser for udnyttelse i Windows Logbog
Du kan gennemse Windows-hændelsesloggen for at se hændelser, der oprettes, når en app udnyttes (eller overvåges):
| Udbyder/kilde | Hændelses-id | Beskrivelse |
|---|---|---|
| Security-Mitigations | 1 | ACG-overvågning |
| Security-Mitigations | 2 | ACG-gennemtving |
| Security-Mitigations | 3 | Tillad ikke overvågning af underordnede processer |
| Security-Mitigations | 4 | Tillad ikke blok for underordnede processer |
| Security-Mitigations | 5 | Bloker for billeder med lav integritet |
| Security-Mitigations | 6 | Bloker blok for billeder med lav integritet |
| Security-Mitigations | 7 | Bloker overvågning fjernafbildninger |
| Security-Mitigations | 8 | Bloker fjernbilleder |
| Security-Mitigations | 9 | Deaktiver overvågning af Win32k-systemkald |
| Security-Mitigations | 10 | Deaktiver blokering af win32k-systemkald |
| Security-Mitigations | 11 | Overvåg beskyttelse af kodeintegritet |
| Security-Mitigations | 12 | Blok for kodeintegritetsbeskyttelse |
| Security-Mitigations | 13 | EAF-revision |
| Security-Mitigations | 14 | Gennemtving EAF |
| Security-Mitigations | 15 | EAF+ audit |
| Security-Mitigations | 16 | Gennemtving EAF+ |
| Security-Mitigations | 17 | IAF-revision |
| Security-Mitigations | 18 | Gennemtving IAF |
| Security-Mitigations | 19 | ROP StackPivot-overvågning |
| Security-Mitigations | 20 | ROP StackPivot gennemtving |
| Security-Mitigations | 21 | ROP CallerCheck audit |
| Security-Mitigations | 22 | ROP CallerCheck gennemtving |
| Security-Mitigations | 23 | ROP SimExec-overvågning |
| Security-Mitigations | 24 | ROP SimExec gennemtvinge |
| WER-Diagnostics | 5 | CFG-blok |
| Win32K | 260 | Der er ikke tillid til skrifttype |
Sammenligning af afhjælpning
De afhjælpninger, der er tilgængelige i EMET, er inkluderet i Windows 10 (startende med version 1709), Windows 11 og Windows Server (startende med version 1803) under Beskyttelse mod udnyttelse.
Tabellen i dette afsnit angiver tilgængeligheden og understøttelsen af oprindelige afhjælpninger mellem EMET og udnyttelsesbeskyttelse.
| Afhjælpning | Tilgængelig under udnyttelsesbeskyttelse | Tilgængelig i EMET |
|---|---|---|
| ACG (Arbitrary Code Guard; beskyttelse mod skadelig kode) | Ja | Ja Som "Kontrol af hukommelsesbeskyttelse" |
| Bloker fjernafbildninger | Ja | Ja Som "Indlæs bibliotekskontrol" |
| Bloker de skrifttyper, der ikke er tillid til | Ja | Ja |
| Forhindring af datakørsel (DEP) | Ja | Ja |
| Eksportadressefiltrering (EAF) | Ja | Ja |
| Gennemtving tilfældigheder for afbildninger (obligatorisk ASLR) | Ja | Ja |
| Sikkerhedsmitigering af NullPage | Ja Inkluderet oprindeligt i Windows 10 og Windows 11 Du kan få flere oplysninger under Afhjælpning af trusler ved hjælp af Windows 10 sikkerhedsfunktioner |
Ja |
| Randomiser hukommelsesallokeringer (bottom-up ASLR) | Ja | Ja |
| Simuler udførelse (SimExec) | Ja | Ja |
| Valider API-aktivering (CallerCheck) | Ja | Ja |
| Valider undtagelseskæder (SEHOP) | Ja | Ja |
| Valider stakintegritet (StackPivot) | Ja | Ja |
| Certifikattillid (konfigurerbar certifikatfastgørelse) | Windows 10 og Windows 11 angive fastgørelse af virksomhedscertifikater | Ja |
| Allokering af heap spray | Ineffektiv mod nyere browserbaserede udnyttelser; nyere afhjælpninger giver bedre beskyttelse Du kan få flere oplysninger under Afhjælpning af trusler ved hjælp af Windows 10 sikkerhedsfunktioner |
Ja |
| Bloker for afbildninger med lav integritet | Ja | Nej |
| Beskyttelse af kodeintegritet | Ja | Nej |
| Deaktiver udvidelsespunkter | Ja | Nej |
| Deaktiver Win32k-systemkald | Ja | Nej |
| Tillad ikke underprocesser | Ja | Nej |
| Importadressefiltrering (IAF) | Ja | Nej |
| Ugyldig anvendelse af handle | Ja | Nej |
| Valider heap-integriteten | Ja | Nej |
| Valider integriteten af afbildningsafhængighed | Ja | Nej |
Bemærk!
De avancerede ROP-afhjælpninger, der er tilgængelige i EMET, erstattes af ACG i Windows 10 og Windows 11, som andre avancerede EMET-indstillinger er aktiveret som standard som en del af aktivering af anti-ROP-afhjælpninger for en proces. Du kan finde flere oplysninger om, hvordan Windows 10 anvender eksisterende EMET-teknologi, under Afhjælpning af trusler ved hjælp af Windows 10 sikkerhedsfunktioner.
Se også
- Konfigurer og overvåg afhjælpninger Med Exploit Protection
- Fejlfinding af Exploit Protection
- Optimer udrulning og registreringer af ASR-regler
Tip
Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.