Hyökkäysten eston arviointi

Koskee seuraavia:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft 365 Defender

Haluatko kokea Microsoft Defender for Endpointin? Rekisteröidy maksuttomaan kokeiluversioon.

Hyökkäysten torjunta auttaa suojaamaan laitteita haittaohjelmilta, jotka käyttävät haittaohjelmia muiden laitteiden levittämiseen ja tartuttamiseen. Lievennystä voidaan soveltaa joko käyttöjärjestelmään tai yksittäiseen sovellukseen. Monet EMET (Enhanced Mitigation Experience Toolkit) -työkalujen ominaisuuksista sisältyvät hyökkäysten torjuntaan. (EMET:n tuki on päättynyt.)

Tarkistuksessa näet, miten lievennys toimii tietyissä sovelluksissa testiympäristössä. Tämä näyttää, mitä olisi tapahtunut, jos olisit ottanut hyökkäysten eston käyttöön tuotantoympäristössäsi. Näin voit varmistaa, että hyökkäysten esto ei vaikuta haitallisesti toimialakohtaisiin sovelluksiisi, ja tarkistaa, mitä epäilyttäviä tai haitallisia tapahtumia tapahtuu.

Ota käyttöön hyökkäysten esto testausta varten

Voit määrittää lievennyksiä testaustilassa tietyille ohjelmille käyttämällä Windowsin suojaus-sovellusta tai Windows PowerShell.

Windowsin suojaus -sovellus

1. Avaa Windowsin suojaus-sovellus. Valitse tehtäväpalkista kilpikuvake tai etsi Windowsin suojausaloitusvalikosta.

2. Valitse Sovellusselain-ohjausobjektiruutu & (tai sovelluksen kuvake vasemmasta valikkorivistä) ja valitse sitten Hyödynnä suojausta.

3. Siirry ohjelman asetuksiin ja valitse sovellus, johon haluat ottaa suojauksen käyttöön:

   1. Jos sovellus, jonka haluat määrittää, on jo luettelossa, valitse se ja valitse sitten Muokkaa
   2. Jos sovellusta ei ole luettelon yläosassa, valitse Mukauta valitsemalla Lisää ohjelma. Valitse sitten, miten haluat lisätä sovelluksen.
      • Valitse Lisää ohjelman nimen mukaan, jos haluat, että lievennystä käytetään käynnissä olevaan prosessiin, jolla on tämä nimi. Määritä tiedosto ja tiedostotunniste. Voit kirjoittaa koko polun, jonka avulla voit rajoittaa lievennyksen vain kyseisessä sijainnissa olevalle sovellukselle, jolla on kyseinen nimi.
      • Valitse vaihtoehto Valitse tarkka tiedostopolku, jos haluat käyttää Resurssienhallinnan vakiotiedoston valitsinikkunaa haluamasi tiedoston etsimiseen ja valitsemiseen.

4. Kun olet valinnut sovelluksen, näet luettelon kaikista lievennyksistä, joita voidaan käyttää. Valvonta-vaihtoehdon valitseminen käyttää lievennystä vain testitilassa. Saat ilmoituksen, jos sinun on käynnistettävä prosessi, sovellus tai Windows uudelleen.

5. Toista tämä toimenpide kaikille sovelluksille ja lievennyksille, jotka haluat määrittää. Valitse Käytä kun olet määrittänyt asetukset.

PowerShell

Jos haluat määrittää sovellustason lievennykset testitilaan, käytä Set-ProcessMitigationvalvontatilan cmdlet-komennolla.

Määritä kukin lievennys seuraavassa muodossa:

Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>

Jossa:

• <Käyttöalue>:
  • -Name osoittamaan, että lievennyksiä tulee soveltaa tiettyyn sovellukseen. Määritä sovelluksen suoritettava tiedosto tämän merkinnän jälkeen.
• <Toiminto>:
  • -Enable lievennyksen ottamiseksi käyttöön
    • -Disable poistaaksesi lievennyksen käytöstä
• <Lievennys>:
  • Lievennyksen cmdlet-komento seuraavassa taulukossa määritetyllä tavalla. Kukin lievennys erotetaan toisistaan pilkulla.

Lieventäminen	Testitilan cmdlet-komento
Satunnainen koodisuoja (ACG)	AuditDynamicCode
Estä eheydeltään alhaiset kuvat	AuditImageLoad
Estä muut kuin luotetut fontit	AuditFont, FontAuditOnly
Koodin yhtenäisyyssuojaus	AuditMicrosoftSigned, AuditStoreSigned
Poista Win32k-järjestelmäpuhelut käytöstä	AuditSystemCall
Älä salli alaprosesseja	AuditChildProcess

Jos haluat esimerkiksi ottaa arbitrary Code Guardin (ACG) käyttöön testitilassa sovellukselle, jonka nimi on testing.exe, suorita seuraava komento:

Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable AuditDynamicCode

Voit poistaa valvontatilan käytöstä korvaamalla -Enable-Disable.

Tarkista hyökkäysten eston valvontatapahtumat

Jos haluat tarkistaa, mitkä sovellukset olisi estetty, avaa Tapahtumienvalvonta ja suodata seuraavat tapahtumat suojaus-lievennyslokissa.

Ominaisuus	Palvelu/lähde	Tapahtuman tunnus	Kuvaus
Hyökkäysten esto	Suojauksen lievennykset (ydintila/käyttäjätila)	1	ACG-valvonta
Hyökkäysten esto	Suojauksen lievennykset (ydintila/käyttäjätila)	3	Älä salli aliprosessien valvontaa
Hyökkäysten esto	Suojauksen lievennykset (ydintila/käyttäjätila)	5	Estä matalan eheyden kuvien valvonta
Hyökkäysten esto	Suojauksen lievennykset (ydintila/käyttäjätila)	7	Estä etäkuvien valvonta
Hyökkäysten esto	Suojauksen lievennykset (ydintila/käyttäjätila)	9	Poista win32k-järjestelmäkutsujen valvonta käytöstä
Hyökkäysten esto	Suojauksen lievennykset (ydintila/käyttäjätila)	11	Koodin eheyssuojan valvonta

Tutustu myös seuraaviin ohjeartikkeleihin:

• Ota hyökkäysten esto käyttöön
• Määritä ja valvo hyökkäysten torjuntaan liittyviä lievennyksiä
• Tuo, vie ja ota käyttöön hyökkäysten eston määrityksiä
• Hyökkäysten eston vianmääritys