Aktivér Exploit Protection

Gælder for:

• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender XDR

Tip

Vil du opleve Defender for Endpoint? Tilmeld dig en gratis prøveversion.

Exploit Protection hjælper med at beskytte mod malware, der bruger udnyttelser til at inficere enheder og sprede sig. Exploit Protection består af mange afhjælpninger, der kan anvendes på enten operativsystemet eller individuelle apps.

Vigtigt!

.NET 2.0 er ikke kompatibel med visse Exploit Protection-funktioner, især EAF (Export Address Filtering) og IAF (Import Address Filtering). Hvis du har aktiveret .NET 2.0, understøttes brug af EAF og IAF ikke.

Mange funktioner fra EMET (Enhanced Mitigation Experience Toolkit) er inkluderet i Exploit Protection.

Du kan aktivere hver afhjælpning separat ved hjælp af en af disse metoder:

• Windows Sikkerhed app
• Microsoft Intune
• Administration af mobilenheder (MDM)
• Microsoft Configuration Manager
• Gruppepolitik
• PowerShell

Exploit Protection er som standard konfigureret i Windows 10 og Windows 11. Du kan indstille hver afhjælpning til til, fra eller til standardværdien. Nogle afhjælpninger har flere muligheder. Du kan eksportere disse indstillinger som en XML-fil og installere dem på andre enheder.

Du kan også indstille afhjælpninger til overvågningstilstand. Overvågningstilstand giver dig mulighed for at teste, hvordan afhjælpningerne fungerer (og gennemse hændelser) uden at påvirke den normale brug af enheden.

Windows Sikkerhed app

1. Åbn Windows Sikkerhed-appen ved enten at vælge skjoldikonet på proceslinjen eller ved at søge i menuen Start for Sikkerhed.

2. Vælg feltet App- og browserstyring (eller appikonet på menulinjen til venstre), og vælg derefter Indstillinger for Exploit Protection.

3. Gå til Programindstillinger, og vælg den app, du vil anvende afhjælpninger på.

   • Hvis den app, du vil konfigurere, allerede er angivet, skal du markere den og derefter vælge Rediger.
   • Hvis appen ikke er angivet, skal du øverst på listen vælge Tilføj program, der skal tilpasses , og derefter vælge, hvordan du vil tilføje appen.
   • Brug Tilføj efter programnavn for at anvende afhjælpningen på alle kørende processer med dette navn. Angiv en fil med dets filtypenavn. Du kan angive en komplet sti for kun at begrænse afhjælpningen til den app, der har det pågældende navn på den pågældende placering.
   • Brug Vælg nøjagtig filsti til at bruge et standardvindue til Windows Stifinder filvælger til at finde og vælge den ønskede fil.

4. Når du har valgt appen, får du vist en liste over alle de afhjælpninger, der kan anvendes. Hvis du vælger Overvågning, anvendes afhjælpningen kun i overvågningstilstand. Du får besked, hvis du har brug for at genstarte processen eller appen, eller hvis du har brug for at genstarte Windows.

5. Gentag trin 3-4 for alle de apps og afhjælpninger, du vil konfigurere.

6. Find den afhjælpning, du vil konfigurere, under sektionen Systemindstillinger, og angiv derefter en af følgende indstillinger. Apps, der ikke er konfigureret individuelt i sektionen Programindstillinger, bruger de indstillinger, der er konfigureret her.

   • Slået til som standard: Afhjælpningen er aktiveret for apps, der ikke har dette afhjælpningssæt i det app-specifikke afsnit Programindstillinger
   • Slået fra som standard: Afhjælpningen er deaktiveret for apps, der ikke har dette afhjælpningssæt i det app-specifikke afsnit programindstillinger
   • Brug standard: Afhjælpningen er enten aktiveret eller deaktiveret, afhængigt af den standardkonfiguration, der er konfigureret af Windows 10- eller Windows 11-installation; er standardværdien (Til eller Fra) altid angivet ud for Brug standardmærkaten for hver afhjælpning

7. Gentag trin 6 for alle de afhjælpninger på systemniveau, du vil konfigurere. Vælg Anvend, når du er færdig med at konfigurere din konfiguration.

Hvis du føjer en app til afsnittet Programindstillinger og konfigurerer individuelle afhjælpningsindstillinger der, anvendes de over konfigurationen for de samme afhjælpninger, der er angivet i afsnittet Systemindstillinger . Følgende matrix og eksempler hjælper med at illustrere, hvordan standardindstillinger fungerer:

Aktiveret i Programindstillinger	Aktiveret i Systemindstillinger	Funktionsmåde
Ja	Nej	Som defineret i Programindstillinger
Ja	Ja	Som defineret i Programindstillinger
Nej	Ja	Som defineret i Systemindstillinger
Nej	Nej	Standard som defineret i Brug standardindstilling

Eksempel 1: Mikael konfigurerer forhindring af datakørsel i sektionen systemindstillinger til at være slået fra som standard

Mikael føjer appen test.exe til sektionen Programindstillinger. I indstillingerne for den pågældende app under Forhindring af datakørsel (DEP) aktiverer Mikael Indstillingen Tilsidesæt systemindstillinger og slår skift til Til. Der er ikke angivet andre apps i sektionen Programindstillinger.

Resultatet er, at DEP kun er aktiveret for test.exe. Der er ikke anvendt forhindring af datadata for alle andre apps.

Eksempel 2: Josie konfigurerer forhindring af datakørsel i sektionen systemindstillinger til at være slået fra som standard

Josie føjer appen test.exe til sektionen Programindstillinger. I indstillingerne for den pågældende app under Forhindring af datakørsel (DEP) aktiverer Josie Indstillingen Tilsidesæt systemindstillinger og indstiller omskifteren til Til.

Josie føjer også appen miles.exe til afsnittet Programindstillinger og konfigurerer Kontrolflowbeskyttelse (CFG) til Til. Josie aktiverer ikke indstillingen Tilsidesæt systemindstillinger for DEP eller andre afhjælpninger for den pågældende app.

Resultatet er, at DEP er aktiveret for test.exe. Forhindring af dataaktivering aktiveres ikke for nogen anden app, herunder miles.exe. CFG aktiveres for miles.exe.

1. Åbn Windows Sikkerhed-appen ved enten at vælge skjoldikonet på proceslinjen eller ved at søge i menuen Start for Windows Sikkerhed.

2. Vælg feltetApp- og browserstyring (eller appikonet på venstre menulinje), og vælg derefter Exploit Protection.

3. Gå til Programindstillinger, og vælg den app, du vil anvende afhjælpninger på.
   

   • Hvis den app, du vil konfigurere, allerede er angivet, skal du markere den og derefter vælge Rediger.
   • Hvis appen ikke er angivet, skal du øverst på listen vælge Tilføj program, der skal tilpasses , og derefter vælge, hvordan du vil tilføje appen.
     
     • Brug Tilføj efter programnavn for at anvende afhjælpningen på alle kørende processer med dette navn. Angiv en fil med et filtypenavn. Du kan angive en komplet sti for kun at begrænse afhjælpningen til den app, der har det pågældende navn på den pågældende placering.
     • Brug Vælg nøjagtig filsti til at bruge et standardvindue til Windows Stifinder filvælger til at finde og vælge den ønskede fil.

4. Når du har valgt appen, får du vist en liste over alle de afhjælpninger, der kan anvendes. Hvis du vælger Overvågning, anvendes afhjælpningen kun i overvågningstilstand. Du får besked, hvis du har brug for at genstarte processen eller appen, eller hvis du har brug for at genstarte Windows.

5. Gentag trin 3-4 for alle de apps og afhjælpninger, du vil konfigurere. Vælg Anvend, når du er færdig med at konfigurere din konfiguration.

Intune

1. Log på Azure Portal, og åbn Intune.

2. Gå tilKonfigurationsprofiler> for enhedskonfiguration>Create profil.

3. Navngiv profilen, vælg Windows 10 og nyere, vælg skabeloner til profiltype, og vælg Slutpunktsbeskyttelse under skabelonnavn.

   

4. Vælg Konfigurer>Windows Defender Exploit Guard>Exploit Protection.

5. Upload en XML-fil med indstillingerne for Exploit Protection:

   

6. Vælg OK for at gemme hvert åbent blad, og vælg derefter Opret.

7. Vælg fanen Profiltildelinger, tildel politikken til Alle brugere og alle enheder og vælg derefter Gem.

MDM

Brug ./Vendor/MSFT/Policy/Config/ExploitGuard/ExploitProtectionSettings CSP (Configuration Service Provider) til at aktivere eller deaktivere afhjælpning af udnyttelsesbeskyttelse eller til at bruge overvågningstilstand.

Microsoft Configuration Manager

Slutpunktssikkerhed

1. I Microsoft Configuration Manager skal du gå tilOverfladereduktion afslutpunktssikkerhedsangreb>.

2. Vælg Create politikplatform>, og vælg Exploit Protection for Profil. Vælg derefter Opret.

3. Angiv et navn og en beskrivelse, og vælg derefter Næste.

4. Vælg Vælg XML-fil og gå til placeringen af XML-filen til Exploit Protection. Markér filen, og vælg derefter Næste.

5. Konfigurer Områdemærker og Tildelinger, hvis det er nødvendigt.

6. Gennemgå dine konfigurationsindstillinger under Gennemse + opret, og vælg derefter Opret.

Aktiver og overholdelse af angivne standarder

1. I Microsoft Configuration Manager skal du gå til Assets and Compliance>Endpoint Protection>Windows Defender Exploit Guard.

2. Vælg Home>Create Exploit Guard Policy.

3. Angiv et navn og en beskrivelse, og vælg Exploit Protection, og vælg dernæst Næste.

4. Gå til placeringen af XML-filen til Exploit Protection, og vælg Næste.

5. Gennemse indstillingerne, og vælg derefter Næste for at oprette politikken.

6. Når politikken er oprettet, skal du vælge Luk.

Gruppepolitik

1. Åbn Group Policy Management Console på Gruppepolitik administrationsenheden, højreklik på det Gruppepolitik objekt, du vil konfigurere, og klik på Rediger.

2. I redigeringsprogrammet til administration af gruppepolitik skal du gå til Computerkonfiguration og vælge Administrative skabeloner.

3. Udvid træet til Windows-komponenter>Windows Defender Exploit Guard>Exploit Protection>Brug et fælles sæt beskyttelsesindstillinger for udnyttelse.

4. Vælg Aktiveret, skriv placeringen af XML-filen, og vælg derefter OK.

PowerShell

Du kan bruge PowerShell-verbet Get eller Set med cmdlet'en ProcessMitigation. Hvis du bruger Get, vises den aktuelle konfigurationsstatus for eventuelle afhjælpninger, der er aktiveret på enheden. Tilføj -Name cmdlet og app-exe for kun at få vist afhjælpninger for den pågældende app:

Get-ProcessMitigation -Name processName.exe

Vigtigt!

Afhjælpninger på systemniveau, der ikke er konfigureret, viser statussen NOTSET.

• I forbindelse med indstillinger på systemniveau angiver NOTSET standardindstillingen for den pågældende afhjælpning.
• For indstillinger på appniveau angiver NOTSET indstillingen på systemniveau for afhjælpningen. Standardindstillingen for hver afhjælpning på systemniveau kan ses i Windows Sikkerhed.

Brug Set til at konfigurere hver afhjælpning i følgende format:

Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>

Hvor:

• <Område>:
  • -Name for at angive, at afhjælpningerne skal anvendes på en bestemt app. Angiv appens eksekverbare fil efter dette flag.
    • -System for at angive, at afhjælpningen skal anvendes på systemniveau
• <Handling>:
  • -Enable for at aktivere afhjælpningen
  • -Disable for at deaktivere afhjælpningen
• <Afhjælpning>:
  • Afhjælpningens cmdlet sammen med eventuelle underindstillinger (omgivet af mellemrum). Hver afhjælpning er adskilt med et komma.

Hvis du f.eks. vil aktivere afhjælpning af forhindring af datakørsel med ATL-emulering og for en eksekverbar fil kaldet testing.exe i mappen C:\Apps\LOB\tests og forhindre, at den eksekverbare fil opretter underordnede processer, skal du bruge følgende kommando:

Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable DEP, EmulateAtlThunks, DisallowChildProcessCreation

Vigtigt!

Adskil hver afhjælpningsindstilling med kommaer.

Hvis du vil anvende DEP på systemniveau, skal du bruge følgende kommando:

Set-Processmitigation -System -Enable DEP

Hvis du vil deaktivere afhjælpninger, kan du erstatte -Enable med -Disable. For afhjælpninger på appniveau tvinger denne handling dog kun afhjælpningen til at være deaktiveret for den pågældende app.

Hvis du vil gendanne afhjælpningen tilbage til systemstandarden, skal du også medtage -Remove cmdlet som i følgende eksempel:

Set-Processmitigation -Name test.exe -Remove -Disable DEP

I følgende tabel vises de individuelle Afhjælpninger (og Overvågninger, når de er tilgængelige), der skal bruges sammen med -Enable eller -Disable cmdlet-parametre.

Afhjælpningstype	Gælder for	Parameternøgleord for afhjælpnings-cmdlet	Cmdlet-parameter for overvågningstilstand
Kontrolflowbeskyttelse (CFG)	System- og appniveau	CFG, StrictCFG, SuppressExports	Overvågning er ikke tilgængelig
Forhindring af datakørsel (DEP)	System- og appniveau	DEP, EmulateAtlThunks	Overvågning er ikke tilgængelig
Gennemtving tilfældigheder for afbildninger (obligatorisk ASLR)	System- og appniveau	ForceRelocateImages	Overvågning er ikke tilgængelig
Randomiser hukommelsesallokeringer (bottom-up ASLR)	System- og appniveau	BottomUp, HighEntropy	Overvågning er ikke tilgængelig
Valider undtagelseskæder (SEHOP)	System- og appniveau	SEHOP, SEHOPTelemetry	Overvågning er ikke tilgængelig
Valider heap-integriteten	System- og appniveau	TerminateOnError	Overvågning er ikke tilgængelig
ACG (Arbitrary Code Guard; beskyttelse mod skadelig kode)	Kun på appniveau	DynamicCode	AuditDynamicCode
Bloker for afbildninger med lav integritet	Kun på appniveau	BlockLowLabel	AuditImageLoad
Bloker fjernafbildninger	Kun på appniveau	BlockRemoteImages	Overvågning er ikke tilgængelig
Bloker de skrifttyper, der ikke er tillid til	Kun på appniveau	DisableNonSystemFonts	AuditFont, FontAuditOnly
Beskyttelse af kodeintegritet	Kun på appniveau	BlockNonMicrosoftSigned, AllowStoreSigned	AuditMicrosoftSigned, AuditStoreSigned
Deaktiver udvidelsespunkter	Kun på appniveau	ExtensionPoint	Overvågning er ikke tilgængelig
Deaktiver Win32k-systemkald	Kun på appniveau	DisableWin32kSystemCalls	AuditSystemCall
Tillad ikke underprocesser	Kun på appniveau	DisallowChildProcessCreation	AuditChildProcess
Eksportadressefiltrering (EAF)	Kun på appniveau	EnableExportAddressFilterPlus, EnableExportAddressFilter[1]	Overvågning er ikke tilgængelig [2]
Importadressefiltrering (IAF)	Kun på appniveau	EnableImportAddressFilter	Overvågning er ikke tilgængelig [2]
Simuler udførelse (SimExec)	Kun på appniveau	EnableRopSimExec	Overvågning er ikke tilgængelig [2]
Valider API-aktivering (CallerCheck)	Kun på appniveau	EnableRopCallerCheck	Overvågning er ikke tilgængelig [2]
Ugyldig anvendelse af handle	Kun på appniveau	StrictHandle	Overvågning er ikke tilgængelig
Valider integriteten af afbildningsafhængighed	Kun på appniveau	EnforceModuleDepencySigning	Overvågning er ikke tilgængelig
Valider stakintegritet (StackPivot)	Kun på appniveau	EnableRopStackPivot	Overvågning er ikke tilgængelig [2]

[1]: Brug følgende format til at aktivere EAF-moduler for DLL'er for en proces:

Set-ProcessMitigation -Name processName.exe -Enable EnableExportAddressFilterPlus -EAFModules dllName1.dll,dllName2.dll

[2]: Overvågning af denne afhjælpning er ikke tilgængelig via PowerShell-cmdlet'er.

Tilpas meddelelsen

Du kan få oplysninger om tilpasning af meddelelsen, når en regel udløses, og en app eller fil blokeres, under Windows Sikkerhed.

Se også

• Evaluer beskyttelse mod udnyttelse
• Konfigurer og overvåg afhjælpninger Med Exploit Protection
• Importer, eksporter og implementer konfigurationer af Exploit Protection

Tip

Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.