Hyökkäysten eston mukauttaminen
Koskee seuraavia:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.
Hyökkäysten esto käyttää automaattisesti useita hyökkäysten lieventämistekniikoita sekä käyttöjärjestelmäprosesseissa että yksittäisissä sovelluksissa.
Määritä nämä asetukset käyttämällä Windowsin suojaus-sovellusta yksittäisessä laitteessa. Vie sitten määritys XML-tiedostona, jotta voit ottaa sen käyttöön muissa laitteissa. Käytä ryhmäkäytäntö XML-tiedoston jakamiseen useisiin laitteisiin kerralla. Voit myös määrittää lievennykset PowerShellin avulla.
Tässä artikkelissa luetellaan kaikki hyökkäysten torjuntaan käytettävissä olevat lievennykset. Se ilmaisee, voidaanko lievennystä soveltaa koko järjestelmään vai yksittäisiin sovelluksiin, ja antaa lyhyen kuvauksen siitä, miten lievennys toimii.
Siinä kuvataan myös, miten lievennykset otetaan käyttöön tai määritetään Windowsin suojaus, PowerShellin ja mobiililaitteiden hallinnan (MDM) määrityspalveluntarjoajien (CSP) avulla. Tämä on ensimmäinen vaihe määrityksen luomisessa, jonka voit ottaa käyttöön koko verkossa. Seuraavassa vaiheessa luodaan, viedään, tuodaan ja otetaan käyttöön määrityksiä useissa laitteissa.
Varoitus
Joillakin suojauksen lieventämistekniikoilla voi olla yhteensopivuusongelmia joidenkin sovellusten kanssa. Kokeile hyökkäysten estoa kaikissa kohdekäytön skenaarioissa valvontatilan avulla, ennen kuin otat määrityksen käyttöön tuotantoympäristössä tai muussa verkossa.
Hyökkäysten eston lievennykset
Kaikki lievennykset voidaan määrittää yksittäisille sovelluksille. Jotkin lievennykset voidaan ottaa käyttöön myös käyttöjärjestelmän tasolla.
Voit määrittää kunkin lievennyksen käyttöön, pois käytöstä tai niiden oletusarvon. Joissakin lievennyksissä on lisäasetuksia, jotka on merkitty taulukon kuvaukseen.
Oletusarvot määritetään aina hakasulkeissa käytä oletusasetusta kullekin lievennystoiminnolle. Seuraavassa esimerkissä tietojen suorittamisen estämisen oletusasetus on Käytössä.
Käytä oletusmääritystä kullekin lievennysasetukselle ilmaisee suosituksemme kotikäyttäjien päivittäisen käytön perussuojaustasosta. Yrityskäyttöönottojen tulee harkita yksilöllisten tarpeidensa edellyttämää suojausta, ja niiden on ehkä muokattava määrityksiä pois oletusarvoista.
Kunkin lievennyksen liittyvät PowerShell-cmdlet-komennot ovat tämän artikkelin alareunassa olevassa PowerShell-viitetaulukossa.
| Lieventäminen | Kuvaus | Voidaan käyttää kohteeseen | Valvontatila käytettävissä |
|---|---|---|---|
| Hallintavirran suojaus (CFG) | Varmistaa hallintavirran yhtenäisyyden epäsuorissa puheluissa. Voi valinnaisesti estää viennit ja käyttää tiukkaa CFG:tä. | Järjestelmä- ja sovellustaso | Ei |
| Tietojen suorittamisen esto (DEP) | Estää koodin suorittamisen vain tietojen muistisivuilta, kuten keilta ja pinoilta. Määritettävissä vain 32-bittisille (x86) sovelluksille, jotka ovat pysyvästi käytössä kaikissa muissa arkkitehtuureja varten. Ota käyttöön ATL thunk -emulaatio. | Järjestelmä- ja sovellustaso | Ei |
| Pakota kuvien satunnaistaminen (pakollinen ASLR) | Siirtää väkisin kuvat, jotka eivät ole käännettyjä /DYNAMICBASE-kohteella. Voi valinnaisesti hylätä sellaisten kuvien lataamisen, joilla ei ole uudelleensijoitustietoja. | Järjestelmä- ja sovellustaso | Ei |
| Satunnaista muistiallokoinnit (Alhaalta ylös ASLR) | Satunnaistaa näennäismuistin varausten sijainnit. Se sisältää järjestelmän rakenteen kekoja, pinoja, TEB-objekteja ja PEB-objekteja. Voi halutessaan käyttää laajempaa satunnaismuuttujaa 64-bittisissä prosesseissa. | Järjestelmä- ja sovellustaso | Ei |
| Vahvistaa poikkeusketjut (SEHOP) | Varmistaa poikkeusketjun eheyden poikkeuksen lähettämisen aikana. Määritettävissä vain 32-bittisille (x86) sovelluksille. | Järjestelmä- ja sovellustaso | Ei |
| Vahvistaa keon eheyden | Lopettaa prosessin, kun keon vioittuminen havaitaan. | Järjestelmä- ja sovellustaso | Ei |
| Satunnauskoodisuojaus (ACG) | Estää muun kuin kuvapohjaisen suoritettavan koodin käyttöönoton ja estää koodisivujen muokkaamisen. Voi halutessaan sallia säikeen kieltäytymisen ja sallia etätuen (määritettävissä vain PowerShellin avulla). | Vain sovellustaso | Kyllä |
| Estä eheydeltään alhaiset kuvat | Estää alhaisella eheydellä merkittyjen kuvien lataamisen. | Vain sovellustaso | Kyllä |
| Estä etäkuvat | Estää kuvien lataamisen etälaitteista. | Vain sovellustaso | Ei |
| Estä muut kuin luotetut fontit | Estää lataamasta GDI-pohjaisia fontteja, joita ei ole asennettu järjestelmän fonttihakemistoon, erityisesti verkosta peräisin olevia fontteja. | Vain sovellustaso | Kyllä |
| Koodin yhtenäisyyssuojaus | Rajoittaa Microsoftin, WHQL:n tai uudempien versioiden allekirjoittamien kuvien lataamista. Voi halutessaan sallia Microsoft Storen allekirjoitettuja kuvia. | Vain sovellustaso | Kyllä |
| Poista laajennuskohdat käytöstä | Poistaa käytöstä erilaisia laajennusmekanismeja, jotka sallivat DLL-injektoinnin kaikkiin prosesseihin, kuten AppInit DLL -tiedostoihin, ikkunakoukkuihin ja Winsock-palveluntarjoajiin. | Vain sovellustaso | Ei |
| Poista Win32k-järjestelmäpuhelut käytöstä | Estää sovellusta käyttämästä Win32k-järjestelmän kutsutaulukkoa. | Vain sovellustaso | Kyllä |
| Älä salli alaprosesseja | Estää sovellusta luomasta aliprosesseja. | Vain sovellustaso | Kyllä |
| Tuontiosoitteen suodatus (EAF) | Tunnistaa haitallisen koodin ratkaisemat vaaralliset toiminnot. Voi valinnaisesti vahvistaa käyttöoikeuksia moduulien avulla, joita käytetään yleisesti heikkoutta hyödyntäviä moduuleja käytettäessä. | Vain sovellustaso | Kyllä |
| Osoitesuodatuksen tuonti (IAF) | Tunnistaa haitallisen koodin ratkaisemat vaaralliset toiminnot. | Vain sovellustaso | Kyllä |
| Simuloi toteutus (SimExec) | Varmistaa, että arkaluontoisiin ohjelmointirajapintoihin soitettavat puhelut palautetaan luotettaville soittajille. Määritettävissä vain 32-bittisille (x86) sovelluksille. Ei yhteensopiva ACG:n kanssa. | Vain sovellustaso | Kyllä |
| Vahvistaa API-turvaukset (CallerCheck) | Varmistaa, että luotettavat soittajat käynnistävät arkaluonteiset ohjelmointirajapinnat. Määritettävissä vain 32-bittisille (x86) sovelluksille. Ei yhteensopiva ACG:n kanssa | Vain sovellustaso | Kyllä |
| Vahvistaa käsittelykäytön | Aiheuttaa poikkeuksen virheellisten kahvaviittausten yhteydessä. | Vain sovellustaso | Ei |
| Vahvistaa kuvariippuvuuden eheyden | Pakottaa koodin allekirjoituksen Windowsin näköistiedostoriippuvuuden lataamista varten. | Vain sovellustaso | Ei |
| Vahvistaa pinon eheyden (StackPivot) | Varmistaa, että pinoa ei ole ohjattu uudelleen arkaluontoisille ohjelmointirajapinnoille. Ei yhteensopiva ACG:n kanssa. | Vain sovellustaso | Kyllä |
Tärkeää
Jos lisäät sovelluksen Ohjelma-asetukset-osioon ja määrität siellä yksittäisiä lievennysasetuksia, niitä käytetään ennen samoja Järjestelmäasetukset-osiossa määritettyjä lievennyksiä. Seuraava matriisi ja esimerkit auttavat havainnollistamaan oletusasetusten toimintaa:
| Käytössä Ohjelma-asetuksissa | Käytössä Järjestelmäasetuksissa | Toiminta |
|---|---|---|
| Kyllä | Ei | Kuten määritetty Ohjelma-asetuksissa |
| Kyllä | Kyllä | Kuten määritetty Ohjelma-asetuksissa |
| Ei | Kyllä | Kuten määritetty Järjestelmäasetuksissa |
| Ei | Ei | Oletus, joka määritetty Käytä oletusasetusta -vaihtoehdossa |
Esimerkki 1 Mikael määrittää Järjestelmän asetukset -osan tietojen suorittamisen estämisen (DEP)oletusarvoisesti pois käytöstä. Mikael lisää sovelluksen test.exeOhjelma-asetukset -osaan. Sovelluksen asetuksissa, Tietojen suorittamisen estäminen (DEP) -kohdassa, hän ottaa käyttöön Ohita järjestelmäasetukset -vaihtoehdon ja määrittää kytkimen arvoksi Käytössä. Ohjelma-asetukset -osassa ei ole muita sovelluksia. Tuloksena on, että DEP otetaan käyttöön vain test.exe-tiedostolle. Kaikissa muissa sovelluksissa DEP ei ole käytössä.
Esimerkki 2 Josie määrittää Järjestelmän asetukset -osan tietojen suorittamisen estämisen (DEP)oletusarvoisesti pois käytöstä. Josie lisää sitten app test.exe -ohjelmanOhjelman asetukset -osioon. Sovelluksen asetuksissa, Tietojen suorittamisen estäminen (DEP) -kohdassa, hän ottaa käyttöön Ohita järjestelmäasetukset -vaihtoehdon ja asettaa kytkimen käyttöön. Josie lisää myös sovelluksen miles.exeOhjelma-asetukset -osaan ja määrittää sovelluksenControl flow guard (CFG) arvoon Käytössä. Hän ei ota käyttöön Ohita järjestelmän asetukset -vaihtoehtoa DEP:lle tai muita lievennyksiä kyseiselle sovellukselle. Tuloksena on, että DEP otetaan käyttöön test.exe-ohjelmalle. DEP ei ole käytössä missään muussa sovelluksessa, mukaan lukien miles.exe. CFG otetaan käyttöön sovelluksessa miles.exe.
Huomautus
Jos olet löytänyt tästä artikkelista ongelmia, voit ilmoittaa siitä suoraan Windows Server/Windows Client -kumppanille tai käyttää Microsoftin teknisen tuen numeroita maassasi/alueellasi.
Järjestelmätason lievennysten määrittäminen Windowsin suojaus-sovelluksella
Avaa Windowsin suojaus -sovellus valitsemalla tehtäväpalkin kilpikuvake tai etsimällä aloitusvalikosta Windowsin suojaus.
Valitse Sovellusten ja selainten hallinta -ruutu (tai vasemmanpuoleisen valikkorivin sovelluskuvake) ja valitse sitten Hyökkäysten esto.
Etsi Järjestelmän asetukset -osiosta lievennys, jonka haluat määrittää, ja valitse jokin seuraavista. Sovellukset, joita ei ole määritetty erikseen Ohjelman asetukset -osassa, käyttävät tässä määritettyjä asetuksia:
- Käytössä oletusarvoisesti – lievennys on käytössä sovelluksissa, joilla ei ole tätä lievennystä määritettynä sovelluskohtaisessa Ohjelma-asetukset-osassa
- Oletusarvoisesti poissa käytöstä - Lievennys on poistettu käytöstä sovelluksissa, joilla ei ole tätä lievennystä määritettynä sovelluskohtaisten ohjelma-asetusten osiossa
- Käytä oletusarvoa – lievennys on joko käytössä tai poistettu käytöstä sen mukaan, mikä oletuskokoonpano on määritetty Windows 10- tai Windows 11 -asennuksessa; oletusarvo (Käytössä tai Ei käytössä) määritetään aina Käytä oletusselite -kohdan vieressä kullekin lievennystoiminnolle
Huomautus
Saatat nähdä Käyttäjätilien valvonta -ikkunan, kun muutat joitakin asetuksia. Ota asetus käyttöön antamalla järjestelmänvalvojan tunnistetiedot.
Joidenkin asetusten muuttaminen saattaa edellyttää uudelleenkäynnistystä.
Toista tämä kaikille järjestelmätason lievennyksille, jotka haluat määrittää.
Siirry Ohjelman asetukset - osaan ja valitse sovellus, johon haluat käyttää lievennyksiä:
- Jos sovellus, jonka haluat määrittää, on jo luettelossa, valitse se ja valitse sitten Muokkaa
- Jos sovellusta ei ole luettelossa, valitse luettelon yläreunassa Mukauta lisää ohjelma ja valitse sitten, miten haluat lisätä sovelluksen:
- Valitse Lisää ohjelman nimen mukaan, jos haluat, että lievennystä käytetään käynnissä olevaan prosessiin, jolla on tämä nimi. Sinun on määritettävä tiedosto, jolla on tunniste. Voit kirjoittaa koko polun, jonka avulla voit rajoittaa lievennyksen vain kyseisessä sijainnissa olevalle sovellukselle, jolla on kyseinen nimi.
- Valitse vaihtoehto Valitse tarkka tiedostopolku, jos haluat käyttää Resurssienhallinnan vakiotiedoston valitsinikkunaa haluamasi tiedoston etsimiseen ja valitsemiseen.
Kun olet valinnut sovelluksen, näet luettelon kaikista lievennyksistä, joita voidaan käyttää. Voit ottaa lievennyksen käyttöön valitsemalla valintaruudun ja vaihtamalla sitten liukusäätimen arvoksi Käytössä. Valitse muut vaihtoehdot. Valvonnan valitseminen ottaa lievennyksen käyttöön vain valvontatilassa. Saat ilmoituksen, jos sinun on käynnistettävä prosessi tai sovellus uudelleen tai jos sinun on käynnistettävä Windows uudelleen.
Toista nämä vaiheet kaikille sovelluksille ja lievennyksille, jotka haluat määrittää. Valitse Käytä kun olet määrittänyt asetukset.
Voit nyt viedä nämä asetukset XML-tiedostona tai jatkaa sovelluskohtaisten lievennysten määrittämistä.
Kun viet määrityksen XML-tiedostona, voit kopioida määritykset yhdestä laitteesta muihin laitteisiin.
PowerShell-viittaus
Voit käyttää Windowsin suojaus-sovellusta hyökkäysten eston määrittämiseen, tai voit käyttää PowerShellin cmdlet-komentoja.
Viimeksi muokatut määritysasetukset otetaan aina käyttöön riippumatta siitä, käytätkö PowerShelliä vai Windowsin suojaus. Tämä tarkoittaa sitä, että jos määrität lievennyksen sovelluksen avulla ja määrität sitten saman lievennyksen PowerShellin avulla, sovellus päivittyy näyttämään PowerShellin avulla tekemäsi muutokset. Jos käyttäisit sitten sovellusta lievennyksen muuttamiseen uudelleen, muutos koskisi tätä muutosta.
Tärkeää
Kaikki muutokset, jotka otetaan käyttöön laitteessa ryhmäkäytäntö kautta, ohittavat paikallisen määrityksen. Kun määrität ensimmäistä määritystä, käytä laitetta, jossa ei ole ryhmäkäytäntö määritystä, varmistaaksesi, että muutoksia ei ohiteta.
Voit käyttää PowerShell-verbiä Get tai Set cmdlet-komennon ProcessMitigation kanssa. Käyttämällä Get luetteloidaan laitteessa käyttöön otettujen lievennysten nykyisen kokoonpanon tila. Lisää -Name cmdlet-komento ja sovellus exe, jotta näet vain kyseisen sovelluksen lievennykset:
Get-ProcessMitigation -Name processName.exe
Tärkeää
Järjestelmätason lievennykset, joita ei ole määritetty, näyttävät tilan NOTSET.
Järjestelmätason asetuksissa NOTSET ilmaisee, että lievennyksen oletusasetus on otettu käyttöön.
Sovellustason asetuksissa NOTSET ilmaisee, että lievennyksen järjestelmätason asetusta käytetään.
Kunkin järjestelmätason lievennyksen oletusasetus näkyy Windowsin suojauksessa.
Käytä Set kunkin lievennyksen määrittämiseen seuraavassa muodossa:
Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>
Jossa:
-
<Käyttöalue>:
-
-Nameosoittamaan, että lievennyksiä tulee soveltaa tiettyyn sovellukseen. Määritä sovelluksen suoritettava tiedosto tämän merkinnän jälkeen. -
-Systemosoittamaan, että lievennystä tulee käyttää järjestelmätasolla
-
-
<Toiminto>:
-
-Enablelievennyksen ottamiseksi käyttöön -
-Disablepoistaaksesi lievennyksen käytöstä
-
-
<Lievennys>:
- Lievennyksen cmdlet-komento, joka on määritetty alla olevassa lievennyksen cmdlet-komennot-taulukossa, sekä mahdolliset alivaihtoehdot (välilyönnit). Kukin lievennys erotetaan toisistaan pilkulla.
Jos esimerkiksi haluat ottaa käyttöön tietojen suorittamisen eston (DEP) lievennyksen ATL thunk -emuloinnin avulla ja suoritettavalle tiedostolle nimeltä testing.exe kansiossa C:\Apps\LOB\tests ja estää suoritettavaa tiedostoa luomasta aliprosesseja, käytä seuraavaa komentoa:
Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable DEP, EmulateAtlThunks, DisallowChildProcessCreation
Tärkeää
Erota kukin lievennysvaihtoehto pilkuilla.
Jos haluat käyttää DEP-toimintoa järjestelmätasolla, käytä seuraavaa komentoa:
Set-Processmitigation -System -Enable DEP
Voit poistaa lievennykset käytöstä korvaamalla -Enable arvolla -Disable. Sovellustason lievennysten tapauksessa tämä kuitenkin pakottaa lievennyksen pois käytöstä vain kyseisessä sovelluksessa.
Jos haluat palauttaa lievennyksen takaisin järjestelmän oletusarvoon, sinun on sisällytettävä myös -Remove cmdlet -komento, kuten seuraavassa esimerkissä:
Set-Processmitigation -Name test.exe -Remove -Disable DEP
Voit myös määrittää joitakin lievennyksiä valvontatilaan. Sen sijaan, että käyttäisit PowerShellin cmdlet-komentoa lievennykseen, käytä valvontatilan cmdlet-komentoa alla olevassa lievennyksen cmdlet-komennot-taulukossa määritetyllä tavalla.
Jos esimerkiksi haluat ottaa käyttöön satunnaisen koodisuojan (ACG) valvontatilassa aiemmin käytetylle testing.exe-ohjelmalle, käytä seuraavaa komentoa:
Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable AuditDynamicCode
Voit poistaa valvontatilan käytöstä käyttämällä samaa komentoa, mutta korvata -Enable-Disable.
PowerShell-viitetaulukko
Tässä taulukossa on lueteltu PowerShellin cmdlet-komennot (ja niihin liittyvät valvontatilan cmdlet-komennot), joita voidaan käyttää kunkin lievennyksen määrittämiseen.
| Lieventäminen | Koskee seuraavaa: | PowerShellin cmdlet-komennot | Valvontatilan cmdlet-komento |
|---|---|---|---|
| Hallintavirran suojaus (CFG) | Järjestelmä- ja sovellustaso | CFG, StrictCFG, SuppressExports | Valvonta ei ole saatavilla |
| Tietojen suorittamisen esto (DEP) | Järjestelmä- ja sovellustaso | DEP, EmulateAtlThunks | Valvonta ei ole saatavilla |
| Pakota kuvien satunnaistaminen (pakollinen ASLR) | Järjestelmä- ja sovellustaso | ForceRelocateImages | Valvonta ei ole saatavilla |
| Satunnaista muistiallokoinnit (Alhaalta ylös ASLR) | Järjestelmä- ja sovellustaso | BottomUp, HighEntropy | Valvonta ei ole saatavilla |
| Vahvistaa poikkeusketjut (SEHOP) | Järjestelmä- ja sovellustaso | SEHOP, SEHOPTelemetry | Valvonta ei ole saatavilla |
| Vahvistaa keon eheyden | Järjestelmä- ja sovellustaso | TerminateOnError | Valvonta ei ole saatavilla |
| Satunnauskoodisuojaus (ACG) | Vain sovellustaso | DynamicCode | AuditDynamicCode |
| Estä eheydeltään alhaiset kuvat | Vain sovellustaso | BlockLowLabel | AuditImageLoad |
| Estä etäkuvat | Vain sovellustaso | BlockRemoteImages | Valvonta ei ole saatavilla |
| Estä muut kuin luotetut fontit | Vain sovellustaso | DisableNonSystemFonts | AuditFont, FontAuditOnly |
| Koodin yhtenäisyyssuojaus | Vain sovellustaso | BlockNonMicrosoftSigned, AllowStoreSigned | AuditMicrosoftSigned, AuditStoreSigned |
| Poista laajennuskohdat käytöstä | Vain sovellustaso | ExtensionPoint | Valvonta ei ole saatavilla |
| Poista Win32k-järjestelmäpuhelut käytöstä | Vain sovellustaso | DisableWin32kSystemCalls | AuditSystemCall |
| Älä salli alaprosesseja | Vain sovellustaso | DisallowChildProcessCreation | AuditChildProcess |
| Tuontiosoitteen suodatus (EAF) | Vain sovellustaso | EnableExportAddressFilterPlus, EnableExportAddressFilter [1] | Valvonta ei ole käytettävissä[2] |
| Osoitesuodatuksen tuonti (IAF) | Vain sovellustaso | EnableImportAddressFilter | Valvonta ei ole käytettävissä[2] |
| Simuloi toteutus (SimExec) | Vain sovellustaso | EnableRopSimExec | Valvonta ei ole käytettävissä[2] |
| Vahvistaa API-turvaukset (CallerCheck) | Vain sovellustaso | EnableRopCallerCheck | Valvonta ei ole käytettävissä[2] |
| Vahvistaa käsittelykäytön | Vain sovellustaso | StrictHandle | Valvonta ei ole saatavilla |
| Vahvistaa kuvariippuvuuden eheyden | Vain sovellustaso | EnforceModuleDepencySigning | Valvonta ei ole saatavilla |
| Vahvistaa pinon eheyden (StackPivot) | Vain sovellustaso | EnableRopStackPivot | Valvonta ei ole käytettävissä[2] |
[1]: Ota EAF-moduulit käyttöön dll-tiedostoille prosessissa seuraavan muodon avulla:
Set-ProcessMitigation -Name processName.exe -Enable EnableExportAddressFilterPlus -EAFModules dllName1.dll,dllName2.dll
[2]: Tämän lievennyksen valvonta ei ole käytettävissä PowerShellin cmdlet-komentojen kautta.
Mukauta ilmoitusta
Lisätietoja ilmoituksen mukauttamisesta, kun sääntö käynnistetään ja estää sovelluksen tai tiedoston, on Windowsin suojaus.
Tutustu myös seuraaviin ohjeartikkeleihin:
- Suojaa laitteita hyökkäyksiltä
- Hyökkäysten eston arviointi
- Ota hyökkäysten esto käyttöön
- Tuo, vie ja ota käyttöön hyökkäysten eston määrityksiä
Vihje
Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.