Hyökkäysten eston arviointi
Koskee seuraavia:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft 365 Defender
Haluatko kokea Microsoft Defender for Endpointin? Rekisteröidy maksuttomaan kokeiluversioon.
Hyökkäysten torjunta auttaa suojaamaan laitteita haittaohjelmilta, jotka käyttävät haittaohjelmia muiden laitteiden levittämiseen ja tartuttamiseen. Lievennystä voidaan soveltaa joko käyttöjärjestelmään tai yksittäiseen sovellukseen. Monet EMET (Enhanced Mitigation Experience Toolkit) -työkalujen ominaisuuksista sisältyvät hyökkäysten torjuntaan. (EMET:n tuki on päättynyt.)
Tarkistuksessa näet, miten lievennys toimii tietyissä sovelluksissa testiympäristössä. Tämä näyttää, mitä olisi tapahtunut, jos olisit ottanut hyökkäysten eston käyttöön tuotantoympäristössäsi. Näin voit varmistaa, että hyökkäysten esto ei vaikuta haitallisesti toimialakohtaisiin sovelluksiisi, ja tarkistaa, mitä epäilyttäviä tai haitallisia tapahtumia tapahtuu.
Ota käyttöön hyökkäysten esto testausta varten
Voit määrittää lievennyksiä testaustilassa tietyille ohjelmille käyttämällä Windowsin suojaus-sovellusta tai Windows PowerShell.
Windowsin suojaus -sovellus
Avaa Windowsin suojaus-sovellus. Valitse tehtäväpalkista kilpikuvake tai etsi Windowsin suojausaloitusvalikosta.
Valitse Sovellusselain-ohjausobjektiruutu & (tai sovelluksen kuvake vasemmasta valikkorivistä) ja valitse sitten Hyödynnä suojausta.
Siirry ohjelman asetuksiin ja valitse sovellus, johon haluat ottaa suojauksen käyttöön:
- Jos sovellus, jonka haluat määrittää, on jo luettelossa, valitse se ja valitse sitten Muokkaa
- Jos sovellusta ei ole luettelon yläosassa, valitse Mukauta valitsemalla Lisää ohjelma. Valitse sitten, miten haluat lisätä sovelluksen.
- Valitse Lisää ohjelman nimen mukaan, jos haluat, että lievennystä käytetään käynnissä olevaan prosessiin, jolla on tämä nimi. Määritä tiedosto ja tiedostotunniste. Voit kirjoittaa koko polun, jonka avulla voit rajoittaa lievennyksen vain kyseisessä sijainnissa olevalle sovellukselle, jolla on kyseinen nimi.
- Valitse vaihtoehto Valitse tarkka tiedostopolku, jos haluat käyttää Resurssienhallinnan vakiotiedoston valitsinikkunaa haluamasi tiedoston etsimiseen ja valitsemiseen.
Kun olet valinnut sovelluksen, näet luettelon kaikista lievennyksistä, joita voidaan käyttää. Valvonta-vaihtoehdon valitseminen käyttää lievennystä vain testitilassa. Saat ilmoituksen, jos sinun on käynnistettävä prosessi, sovellus tai Windows uudelleen.
Toista tämä toimenpide kaikille sovelluksille ja lievennyksille, jotka haluat määrittää. Valitse Käytä kun olet määrittänyt asetukset.
PowerShell
Jos haluat määrittää sovellustason lievennykset testitilaan, käytä Set-ProcessMitigationvalvontatilan cmdlet-komennolla.
Määritä kukin lievennys seuraavassa muodossa:
Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>
Jossa:
- <Käyttöalue>:
-Nameosoittamaan, että lievennyksiä tulee soveltaa tiettyyn sovellukseen. Määritä sovelluksen suoritettava tiedosto tämän merkinnän jälkeen.
- <Toiminto>:
-Enablelievennyksen ottamiseksi käyttöön-Disablepoistaaksesi lievennyksen käytöstä
- <Lievennys>:
- Lievennyksen cmdlet-komento seuraavassa taulukossa määritetyllä tavalla. Kukin lievennys erotetaan toisistaan pilkulla.
| Lieventäminen | Testitilan cmdlet-komento |
|---|---|
| Satunnainen koodisuoja (ACG) | AuditDynamicCode |
| Estä eheydeltään alhaiset kuvat | AuditImageLoad |
| Estä muut kuin luotetut fontit | AuditFont, FontAuditOnly |
| Koodin yhtenäisyyssuojaus | AuditMicrosoftSigned, AuditStoreSigned |
| Poista Win32k-järjestelmäpuhelut käytöstä | AuditSystemCall |
| Älä salli alaprosesseja | AuditChildProcess |
Jos haluat esimerkiksi ottaa arbitrary Code Guardin (ACG) käyttöön testitilassa sovellukselle, jonka nimi on testing.exe, suorita seuraava komento:
Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable AuditDynamicCode
Voit poistaa valvontatilan käytöstä korvaamalla -Enable-Disable.
Tarkista hyökkäysten eston valvontatapahtumat
Jos haluat tarkistaa, mitkä sovellukset olisi estetty, avaa Tapahtumienvalvonta ja suodata seuraavat tapahtumat suojaus-lievennyslokissa.
| Ominaisuus | Palvelu/lähde | Tapahtuman tunnus | Kuvaus |
|---|---|---|---|
| Hyökkäysten esto | Suojauksen lievennykset (ydintila/käyttäjätila) | 1 | ACG-valvonta |
| Hyökkäysten esto | Suojauksen lievennykset (ydintila/käyttäjätila) | 3 | Älä salli aliprosessien valvontaa |
| Hyökkäysten esto | Suojauksen lievennykset (ydintila/käyttäjätila) | 5 | Estä matalan eheyden kuvien valvonta |
| Hyökkäysten esto | Suojauksen lievennykset (ydintila/käyttäjätila) | 7 | Estä etäkuvien valvonta |
| Hyökkäysten esto | Suojauksen lievennykset (ydintila/käyttäjätila) | 9 | Poista win32k-järjestelmäkutsujen valvonta käytöstä |
| Hyökkäysten esto | Suojauksen lievennykset (ydintila/käyttäjätila) | 11 | Koodin eheyssuojan valvonta |
Tutustu myös seuraaviin ohjeartikkeleihin:
- Ota hyökkäysten esto käyttöön
- Määritä ja valvo hyökkäysten torjuntaan liittyviä lievennyksiä
- Tuo, vie ja ota käyttöön hyökkäysten eston määrityksiä
- Hyökkäysten eston vianmääritys
Vihje
Haluatko lisätietoja? Ota yhteyttä Microsoft security -yhteisöön teknisessä yhteisössämme: Microsoft Defender for Endpoint Tech Community.