Auswerten des Exploit-Schutzes
Gilt für:
- Microsoft Defender für Endpunkt Plan 1
- Microsoft Defender für Endpunkt Plan 2
- Microsoft Defender XDR
Möchten Sie Microsoft Defender für Endpunkt ausprobieren? Registrieren Sie sich für eine kostenlose Testversion.
Der Exploit-Schutz trägt zum Schutz von Geräten vor Schadsoftware bei, die Exploits verwendet, um Geräte zu infizieren und sich zu verbreiten. Die Risikominderung kann entweder auf das Betriebssystem oder auf eine einzelne App angewendet werden. Viele der Features, die Teil des Enhanced Mitigation Experience Toolkits (EMET) waren, sind im Exploit-Schutz enthalten. (Das EMET hat das Ende des Supports erreicht.)
Bei der Überwachung können Sie sehen, wie die Risikominderung für bestimmte Apps in einer Testumgebung funktioniert. Dabei wird verdeutlicht, was passiert wäre, wenn Sie den Exploit-Schutz in Ihrer Produktionsumgebung aktiviert hätten. Auf diese Weise können Sie überprüfen, ob der Exploit-Schutz keine negativen Auswirkungen auf Ihre branchenspezifischen Apps hat, und sehen, welche verdächtigen oder bösartigen Ereignisse auftreten.
Aktivieren des Exploit-Schutzes zu Testzwecken
Mithilfe der Windows-Sicherheit-App oder Windows PowerShell können Sie Risikominderungen in einem Testmodus für bestimmte Programme festlegen.
Windows-Sicherheit-App
Öffnen Sie die Windows-Sicherheit-App. Klicken Sie entweder das Schildsymbol in der Taskleiste an oder suchen Sie im Startmenü nach Windows-Sicherheit.
Wählen Sie die Kachel App- und Browsersteuerung (oder das App-Symbol auf der linken Menüleiste) und dann Exploit-Schutz aus.
Wechseln Sie zu den Programmeinstellungen, und wählen Sie die App aus, auf die Sie Schutzfunktionen anwenden möchten:
- Wenn die App, die Sie konfigurieren möchten, bereits aufgeführt ist, wählen Sie sie aus, und klicken Sie dann auf Bearbeiten.
- Wenn die App nicht oben in der Liste aufgeführt ist, wählen Sie Programm zum Anpassen hinzufügen aus. Wählen Sie dann aus, wie die App hinzugefügt werden soll.
- Wählen Sie Nach Programmnamen hinzufügen, damit die Risikominderung auf alle laufenden Prozesse mit diesem Namen angewendet wird. Geben Sie eine Datei samt einer Erweiterung an. Sie können einen vollständigen Pfad angeben, um die Risikominderung auf die App mit diesem Namen an diesem Speicherort zu beschränken.
- Wählen Sie Genauen Dateipfad auswählen, um über ein Standard-Windows-Explorer-Fenster die gewünschte Datei zu suchen und auszuwählen.
Nach dem Auswählen der App wird eine Liste aller Risikominderungsfunktionen angezeigt, die angewendet werden können. Wenn Sie Überwachung auswählen, wird die Entschärfung nur im Testmodus angewendet. Sie werden darüber benachrichtigt, ob Sie den Prozess, die App oder Windows neu starten müssen.
Wiederholen Sie den Vorgang für alle Apps und Risikominderungsfunktionen, die Sie konfigurieren möchten. Klicken Sie auf Übernehmen, wenn Sie mit der Einrichtung Ihrer Konfiguration fertig sind.
PowerShell
Um Entschärfungen auf App-Ebene auf den Testmodus festzulegen, verwenden Sie Set-ProcessMitigation mit dem Cmdlet Überwachungsmodus .
Konfigurieren Sie die einzelnen Risikominderungen im folgenden Format:
Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>
Dabei gilt:
-
<Bereich>:
-
-Name, um anzugeben, dass die Risikominderungen auf eine bestimmte App angewendet werden sollen. Geben Sie die ausführbare Datei der App nach diesem Flag an.
-
-
<Aktion>:
-
-Enable, um die Risikominderung zu aktivieren-
-Disable, um die Risikominderung zu deaktivieren
-
-
-
<Entschärfung>:
- Das Cmdlet der Risikominderung, wie in der folgenden Tabelle angegeben. Die einzelnen Risikominderungen sind durch ein Komma getrennt.
| Risikominderung | Cmdlet für den Testmodus |
|---|---|
| Arbitrary Code Guard (ACG) | AuditDynamicCode |
| Bilder mit niedriger Integrität blockieren | AuditImageLoad |
| Nicht vertrauenswürdige Schriftarten blockieren |
AuditFont, FontAuditOnly |
| Codeintegritätsschutz |
AuditMicrosoftSigned, AuditStoreSigned |
| Win32k-Systemaufrufe deaktivieren | AuditSystemCall |
| Untergeordnete Prozesse nicht zulassen | AuditChildProcess |
Führen Sie beispielsweise den folgenden Befehl aus, um Arbitrary Code Guard (ACG) im Testmodus für eine App mit dem Namen testing.exezu aktivieren:
Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable AuditDynamicCode
Sie können den Überwachungsmodus deaktivieren, indem Sie -Enable durch -Disable ersetzen.
Überprüfen von Exploit-Schutzüberwachungsereignissen
Um zu überprüfen, welche Apps blockiert worden wären, öffnen Sie die Ereignisanzeige, und filtern Sie im Protokoll für Sicherheitsmaßnahmen nach den folgenden Ereignissen.
| Feature | Anbieter/Quelle | Ereignis-ID | Beschreibung |
|---|---|---|---|
| Exploit-Schutz | Sicherheitsmaßnahmen (Kernelmodus/Benutzermodus) | 1 | ACG-Überwachung |
| Exploit-Schutz | Sicherheitsmaßnahmen (Kernelmodus/Benutzermodus) | 3 | Untergeordnete Prozesse nicht zulassen (Überwachung) |
| Exploit-Schutz | Sicherheitsmaßnahmen (Kernelmodus/Benutzermodus) | 5 | Blockieren von Abbildern mit niedriger Integrität (Überwachung) |
| Exploit-Schutz | Sicherheitsmaßnahmen (Kernelmodus/Benutzermodus) | 7 | Blockieren von Remote-Abbildern (Überwachung) |
| Exploit-Schutz | Sicherheitsmaßnahmen (Kernelmodus/Benutzermodus) | 9 | Win32k Systemaufrufe deaktivieren (Überwachung) |
| Exploit-Schutz | Sicherheitsmaßnahmen (Kernelmodus/Benutzermodus) | 11 | Codeintegrität (Überwachung) |
Siehe auch
- Aktivieren des Exploit-Schutzes
- Konfigurieren und Überwachen von Risikominderungen für den Exploit-Schutz
- Importieren, Exportieren und Bereitstellen von Konfigurationen für Exploit-Schutz
- Problembehandlung beim Exploit-Schutz
Tipp
Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.