Ota hyökkäysten esto käyttöön

  • Artikkeli

Koskee seuraavia:

Vihje

Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.

Hyökkäysten esto auttaa suojautumaan haittaohjelmilta, jotka käyttävät hyökkäyksiä laitteiden tartuttamiseen ja leviämiseen. Hyökkäysten esto koostuu useista lievennyksistä, joita voidaan soveltaa joko käyttöjärjestelmään tai yksittäisiin sovelluksiin.

Tärkeää

.NET 2.0 ei ole yhteensopiva joidenkin hyökkäysten torjuntaominaisuuksien kanssa, erityisesti Export Address Filtering (EAF) ja Import Address Filtering (IAF). Jos olet ottanut .NET 2.0:n käyttöön, EAF:n ja IAF:n käyttöä ei tueta.

Monet EMET (Enhanced Mitigation Experience Toolkit) -työkalujen ominaisuudet sisältyvät hyökkäysten estoon.

Voit ottaa kunkin lievennyksen käyttöön erikseen millä tahansa seuraavista tavoista:

Hyökkäysten esto on oletusarvoisesti määritetty Windows 10:ssä ja Windows 11:ssä. Voit määrittää kunkin lievennyksen käyttöön, pois käytöstä tai sen oletusarvoon. Joillakin lievennyksillä on enemmän vaihtoehtoja. Voit viedä nämä asetukset XML-tiedostona ja ottaa ne käyttöön muissa laitteissa.

Voit myös määrittää lievennykset valvontatilaan. Valvontatilan avulla voit testata, miten lievennykset toimivat (ja tarkastella tapahtumia) vaikuttamatta laitteen normaaliin käyttöön.

Windowsin suojaus -sovellus

  1. Avaa Windowsin suojaus -sovellus joko valitsemalla tehtäväpalkin kilpikuvake tai etsimällä aloitusvalikosta suojaus.

  2. Valitse Sovellusten ja selainten hallinta -ruutu (tai vasemmanpuoleisen valikkorivin sovelluskuvake) ja valitse sitten Hyökkäysten eston asetukset.

  3. Siirry ohjelma-asetuksiin ja valitse sovellus, johon haluat käyttää lievennyksiä.

    • Jos sovellus, jonka haluat määrittää, on jo luettelossa, valitse se ja valitse sitten Muokkaa.
    • Jos sovellusta ei näy luettelossa, valitse luettelon yläosasta Lisää ohjelma mukautettavaksi ja valitse sitten, miten haluat lisätä sovelluksen.
    • Valitse Lisää ohjelman nimen mukaan, jos haluat, että lievennystä käytetään käynnissä olevaan prosessiin, jolla on tämä nimi. Määritä tiedosto tiedostotunnisteineen. Voit kirjoittaa koko polun, jonka avulla voit rajoittaa lievennyksen vain kyseisessä sijainnissa olevalle sovellukselle, jolla on kyseinen nimi.
    • Valitse vaihtoehto Valitse tarkka tiedostopolku, jos haluat käyttää Resurssienhallinnan vakiotiedoston valitsinikkunaa haluamasi tiedoston etsimiseen ja valitsemiseen.

  4. Kun olet valinnut sovelluksen, näet luettelon kaikista lievennyksistä, joita voidaan käyttää. Valvonnan valitseminen ottaa lievennyksen käyttöön vain valvontatilassa. Saat ilmoituksen, jos prosessi tai sovellus on käynnistettävä uudelleen tai jos windows on käynnistettävä uudelleen.

  5. Toista vaiheet 3-4 kaikille sovelluksille ja lievennyksille, jotka haluat määrittää.

  6. Etsi Järjestelmäasetukset-osiosta lievennys, jonka haluat määrittää, ja määritä sitten jokin seuraavista asetuksista. Sovellukset, joita ei ole määritetty erikseen Ohjelma-asetukset-osassa, käyttävät tässä määritettyjä asetuksia.

    • Käytössä oletusarvoisesti: Lievennys on käytössä sovelluksissa, joilla ei ole tätä lievennystä määritettynä sovelluskohtaisissa ohjelma-asetukset-osassa
    • Poissa käytöstä oletusarvoisesti: Lievennys on poissa käytöstä sovelluksissa, joilla ei ole tätä lievennystä määritettynä sovelluskohtaisissa ohjelma-asetukset-osassa
    • Käytä oletusasetusta: Lievennys on joko käytössä tai poistettu käytöstä sen mukaan, mikä oletusasetus on määritetty Windows 10- tai Windows 11 -asennuksessa. Oletusarvo (Käytössä tai Pois käytöstä) on aina määritetty Käytä oletusta -selitteen kohdalla kullekin lievennykselle

  7. Toista vaihe 6 kaikille järjestelmätason lievennyksille, jotka haluat määrittää. Valitse Käytä kun olet määrittänyt asetukset.

Jos lisäät sovelluksen Ohjelman asetukset - osioon ja määrität siihen yksittäisiä lievennysasetuksia, niitä kunnioitetaan määrityksen yläpuolella samoissa lievennyksissä, jotka on määritetty Järjestelmän asetukset -osassa. Seuraava matriisi ja esimerkit auttavat havainnollistamaan oletusasetusten toimintaa:

Käytössä Ohjelma-asetuksissa Käytössä Järjestelmäasetuksissa Toiminta
Kyllä Ei Kuten määritetty Ohjelma-asetuksissa
Kyllä Kyllä Kuten määritetty Ohjelma-asetuksissa
Ei Kyllä Kuten määritetty Järjestelmäasetuksissa
Ei Ei Oletus, joka määritetty Käytä oletusasetusta -vaihtoehdossa

Esimerkki 1: Mikael määrittää, että tietojen suorittamisen estäminen järjestelmäasetuksissa on oletusarvoisesti poissa käytöstä

Mikael lisää sovelluksen test.exeOhjelma-asetukset -osaan. Sen sovelluksen asetuksissa kohdasta Tietojen suorittamisen estäminen (DEP) Mikael ottaa käyttöön Ohita järjestelmäasetukset -asetuksen ja määrittää valitsimen arvoksi Käytössä. Ohjelma-asetukset -osassa ei ole muita sovelluksia.

Tuloksena on, että DEP on käytössä vain kohteessa test.exe. Kaikissa muissa sovelluksissa ei käytetä dep-tutkinta.

Esimerkki 2: Josie määrittää, että tietojen suorittamisen estäminen järjestelmäasetuksissa on oletusarvoisesti poissa käytöstä

Josie lisää sovelluksen test.exeOhjelma-asetukset -osaan. Sen sovelluksen asetuksissa kohdasta Tietojen suorittamisen estäminen (DEP) Josie ottaa käyttöön Ohita järjestelmäasetukset -asetuksen ja määrittää valitsimen arvoksi Käytössä.

Josie lisää myös sovelluksen miles.exeOhjelma-asetukset -osaan ja määrittää sovelluksenControl flow guard (CFG) arvoon Käytössä. Josie ei ota käyttöön Ohita järjestelmäasetukset -asetusta tai muita lievennyksiä kyseiselle sovellukselle.

Tuloksena on, että DEP on käytössä kohteessa test.exe. Dep-toimintoa ei oteta käyttöön missään muussa sovelluksessa, mukaan lukien miles.exe. CFG otetaan käyttöön sovelluksessa miles.exe.

  1. Avaa Windowsin suojaus -sovellus valitsemalla tehtäväpalkin kilpikuvake tai etsimällä aloitusvalikosta Windowsin suojaus.

  2. Valitse Sovellusten ja selainten hallinta -ruutu (tai vasemmanpuoleisen valikkorivin sovelluskuvake) ja valitse sitten Hyökkäysten esto.

  3. Siirry ohjelma-asetuksiin ja valitse sovellus, johon haluat käyttää lievennyksiä.

    • Jos sovellus, jonka haluat määrittää, on jo luettelossa, valitse se ja valitse sitten Muokkaa.
    • Jos sovellusta ei näy luettelossa, valitse luettelon yläosasta Lisää ohjelma mukautettavaksi ja valitse sitten, miten haluat lisätä sovelluksen.
      • Valitse Lisää ohjelman nimen mukaan, jos haluat, että lievennystä käytetään käynnissä olevaan prosessiin, jolla on tämä nimi. Määritä tiedosto ja tiedostotunniste. Voit kirjoittaa koko polun, jonka avulla voit rajoittaa lievennyksen vain kyseisessä sijainnissa olevalle sovellukselle, jolla on kyseinen nimi.
      • Valitse vaihtoehto Valitse tarkka tiedostopolku, jos haluat käyttää Resurssienhallinnan vakiotiedoston valitsinikkunaa haluamasi tiedoston etsimiseen ja valitsemiseen.

  4. Kun olet valinnut sovelluksen, näet luettelon kaikista lievennyksistä, joita voidaan käyttää. Valvonnan valitseminen ottaa lievennyksen käyttöön vain valvontatilassa. Saat ilmoituksen, jos prosessi tai sovellus on käynnistettävä uudelleen tai jos windows on käynnistettävä uudelleen.

  5. Toista vaiheet 3-4 kaikille sovelluksille ja lievennyksille, jotka haluat määrittää. Valitse Käytä kun olet määrittänyt asetukset.

Intune

  1. Kirjaudu Azure-portaaliin ja avaa Intune.

  2. Siirry kohtaan Laitteen määrityksen>määritysprofiilit>Create profiili.

  3. Anna profiilille nimi, valitse Windows 10 ja uudemmat, valitse profiilityypille mallit ja valitse mallin nimestä Päätepisteen suojaus.

    Luo päätepistesuojauksen profiili

  4. Valitse Määritä>Windows Defender Hyödynnä Guard>Exploit -suojausta.

  5. Lataa XML-tiedosto, jossa on hyökkäysten estoasetukset:

    Verkkosuojauksen käyttöönotto Intunessa

  6. Tallenna jokainen avoin ruutu valitsemalla OK ja valitse sitten Luo.

  7. Valitse profiilin Tehtävät -välilehti, määritä käytäntö Kaikki käyttäjät ja kaikki laitteet ja valitse sitten Tallenna.

MDM

Käytä ./Vendor/MSFT/Policy/Config/ExploitGuard/ExploitProtectionSettings asetuksen palveluntarjoajaa (CSP) ottaaksesi käyttöön tai poistaaksesi käytöstä hyökkäyssuojauksen lievennyksiä tai käyttääksesi valvontatilaa.

Microsoft Configuration Manager

Päätepisteen suojaus

  1. Siirry Microsoft Configuration Manager kohtaan Päätepisteen suojaushyökkäyksen>pinnan pienentäminen.

  2. Valitse Create Käytäntöympäristö> ja valitse profiiliksiHyödynnä suojausta. Valitse sitten Luo.

  3. Määritä nimi ja kuvaus ja valitse sitten Seuraava.

  4. Valitse Valitse XML-tiedosto ja selaa hyökkäyksen eston XML-tiedoston sijaintiin. Valitse tiedosto ja valitse sitten Seuraava.

  5. Määritä tarvittaessa Laajuustunnisteet ja Tehtävät.

  6. Tarkista määritysasetukset kohdasta Tarkista ja luo ja valitse sitten Luo.

Resurssit ja vaatimustenmukaisuus

  1. Siirry Microsoft Configuration Manager kohtaan Assets and Compliance>Endpoint Protection>Windows Defender Exploit Guard.

  2. Valitse Aloitus>Create Hyödynnä vartiokäytäntöä.

  3. Määritä nimi ja kuvaus, valitse Hyökkäysten esto ja valitse sitten Seuraava.

  4. Selaa hyökkäyssuojauksen XML-tiedoston sijaintiin ja valitse Seuraava.

  5. Tarkista asetukset ja luo sitten käytäntö valitsemalla Seuraava.

  6. Kun käytäntö on luotu, valitse Sulje.

Ryhmäkäytäntö

  1. Avaa ryhmäkäytäntöjen hallintalaitteessa , Ryhmäkäytäntöjen hallintakonsoli napsauta hiiren kakkospainikkeella ryhmäkäytäntöobjektia, jonka haluat määrittää, ja valitse Muokkaa.

  2. Siirry ryhmäkäytäntö Hallintaeditorissatietokoneen määritykseen ja valitse hallintamallit.

  3. Laajenna puu Windows-osiin>Windows Defender Hyödynnä Guard>Exploit Protection>Käytä yleisiä hyödynnön suojausasetuksia.

  4. Valitse Käytössä ja kirjoita XML-tiedoston sijainti ja valitse sitten OK.

PowerShell

Voit käyttää PowerShell-verbiä Get tai Set cmdlet-komennon ProcessMitigation kanssa. Käyttämällä Get luetteloidaan laitteessa käyttöön otettujen lievennysten nykyisen kokoonpanon tila. Lisää -Name cmdlet-komento ja sovellus exe, jotta näet vain kyseisen sovelluksen lievennykset:

Get-ProcessMitigation -Name processName.exe

Tärkeää

Järjestelmätason lievennykset, joita ei ole määritetty, näyttävät tilan NOTSET.

  • Järjestelmätason asetuksissa NOTSET ilmaisee, että lievennyksen oletusasetus on otettu käyttöön.
  • Sovellustason asetuksissa NOTSET ilmaisee, että lievennyksen järjestelmätason asetusta käytetään. Kunkin järjestelmätason lievennyksen oletusasetus näkyy Windowsin suojauksessa.

Käytä Set kunkin lievennyksen määrittämiseen seuraavassa muodossa:

Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>

Jossa:

  • <Käyttöalue>:
    • -Name osoittamaan, että lievennyksiä tulee soveltaa tiettyyn sovellukseen. Määritä sovelluksen suoritettava tiedosto tämän merkinnän jälkeen.
      • -System osoittamaan, että lievennystä tulee käyttää järjestelmätasolla
  • <Toiminto>:
    • -Enable lievennyksen ottamiseksi käyttöön
    • -Disable poistaaksesi lievennyksen käytöstä
  • <Lievennys>:
    • Lievennyksen cmdlet-komento ja mahdolliset alivaihtoehdot (välilyöntien ympäröimät). Kukin lievennys erotetaan toisistaan pilkulla.

Jos esimerkiksi haluat ottaa käyttöön tietojen suorittamisen eston (DEP) lievennyksen ATL thunk -emuloinnin avulla ja suoritettavalle tiedostolle nimeltä testing.exe kansiossa C:\Apps\LOB\tests ja estää suoritettavaa tiedostoa luomasta aliprosesseja, käytä seuraavaa komentoa:

Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable DEP, EmulateAtlThunks, DisallowChildProcessCreation

Tärkeää

Erota kukin lievennysvaihtoehto pilkuilla.

Jos haluat käyttää DEP-toimintoa järjestelmätasolla, käytä seuraavaa komentoa:

Set-Processmitigation -System -Enable DEP

Voit poistaa lievennykset käytöstä korvaamalla -Enable arvolla -Disable. Sovellustason lievennysten tapauksessa tämä toiminto pakottaa kuitenkin lievennyksen pois käytöstä vain kyseisessä sovelluksessa.

Jos haluat palauttaa lievennyksen takaisin järjestelmän oletusarvoon, sinun on sisällytettävä myös -Remove cmdlet -komento, kuten seuraavassa esimerkissä:

Set-Processmitigation -Name test.exe -Remove -Disable DEP

Seuraavassa taulukossa on lueteltu yksittäiset Lievennykset (ja Valvonnat, jos käytettävissä), joita käytetään cmdlet-parametrien -Enable tai -Disable kanssa.

Lievennyksen tyyppi Koskee seuraavaa: Lievennyksen cmdlet-parametrin avainsana Valvontatilan cmdlet-parametri
Hallintavirran suojaus (CFG) Järjestelmä- ja sovellustaso CFG, StrictCFG, SuppressExports Valvonta ei ole saatavilla
Tietojen suorittamisen esto (DEP) Järjestelmä- ja sovellustaso DEP, EmulateAtlThunks Valvonta ei ole saatavilla
Pakota kuvien satunnaistaminen (pakollinen ASLR) Järjestelmä- ja sovellustaso ForceRelocateImages Valvonta ei ole saatavilla
Satunnaista muistiallokoinnit (Alhaalta ylös ASLR) Järjestelmä- ja sovellustaso BottomUp, HighEntropy Valvonta ei ole saatavilla
Vahvistaa poikkeusketjut (SEHOP) Järjestelmä- ja sovellustaso SEHOP, SEHOPTelemetry Valvonta ei ole saatavilla
Vahvistaa keon eheyden Järjestelmä- ja sovellustaso TerminateOnError Valvonta ei ole saatavilla
Satunnauskoodisuojaus (ACG) Vain sovellustaso DynamicCode AuditDynamicCode
Estä eheydeltään alhaiset kuvat Vain sovellustaso BlockLowLabel AuditImageLoad
Estä etäkuvat Vain sovellustaso BlockRemoteImages Valvonta ei ole saatavilla
Estä muut kuin luotetut fontit Vain sovellustaso DisableNonSystemFonts AuditFont, FontAuditOnly
Koodin yhtenäisyyssuojaus Vain sovellustaso BlockNonMicrosoftSigned, AllowStoreSigned AuditMicrosoftSigned, AuditStoreSigned
Poista laajennuskohdat käytöstä Vain sovellustaso ExtensionPoint Valvonta ei ole saatavilla
Poista Win32k-järjestelmäpuhelut käytöstä Vain sovellustaso DisableWin32kSystemCalls AuditSystemCall
Älä salli alaprosesseja Vain sovellustaso DisallowChildProcessCreation AuditChildProcess
Tuontiosoitteen suodatus (EAF) Vain sovellustaso EnableExportAddressFilterPlus, EnableExportAddressFilter[1] Valvonta ei ole käytettävissä [2]
Osoitesuodatuksen tuonti (IAF) Vain sovellustaso EnableImportAddressFilter Valvonta ei ole käytettävissä [2]
Simuloi toteutus (SimExec) Vain sovellustaso EnableRopSimExec Valvonta ei ole käytettävissä [2]
Vahvistaa API-turvaukset (CallerCheck) Vain sovellustaso EnableRopCallerCheck Valvonta ei ole käytettävissä [2]
Vahvistaa käsittelykäytön Vain sovellustaso StrictHandle Valvonta ei ole saatavilla
Vahvistaa kuvariippuvuuden eheyden Vain sovellustaso EnforceModuleDepencySigning Valvonta ei ole saatavilla
Vahvistaa pinon eheyden (StackPivot) Vain sovellustaso EnableRopStackPivot Valvonta ei ole käytettävissä [2]

[1]: Ota EAF-moduulit käyttöön DLL-tiedostoille prosessissa seuraavan muodon avulla:

Set-ProcessMitigation -Name processName.exe -Enable EnableExportAddressFilterPlus -EAFModules dllName1.dll,dllName2.dll

[2]: Tämän lievennyksen valvonta ei ole käytettävissä PowerShellin cmdlet-komentojen kautta.

Mukauta ilmoitusta

Lisätietoja ilmoituksen mukauttamisesta, kun sääntö käynnistetään ja sovellus tai tiedosto estetään, on Windowsin suojauksessa.

Tutustu myös seuraaviin ohjeartikkeleihin:

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.