שתף באמצעות

הערכת הגנה מפני ניצול לרעה

  • מאמר

חל על:

רוצה להתנסות ב- Microsoft Defender עבור נקודת קצה? הירשם לקבלת גירסת ניסיון ללא תשלום.

הגנה מפני ניצול לרעה מסייעת בהגנה מפני תוכנות זדוניות שמבצעות ניצול לרעה כדי להתפשט ולהדביק מכשירים אחרים. ניתן להחיל את פעולות הצמצום על מערכת ההפעלה או על יישום נפרד. תכונות רבות שהיו חלק מערכת הכלים של החוויה המשופרת לצמצום הסיכונים (EMET) כלולות בהגנה מפני ניצול לרעה. (EMET הגיעה לסיום התמיכה.)

בביקורת, תוכל לראות כיצד פועל צמצום הסיכונים עבור יישומים מסוימים בסביבת בדיקות. פעולה זו מציגה מה יקרה אם אתה מאפשר הגנה מפני ניצול לרעה בסביבת הייצור שלך. בדרך זו תוכל לוודא שההגנה מפני ניצול לרעה לא תשפיע לרעה על יישומי קו הפעולה העסקי שלך וכן לראות אילו אירועים חשודים או זדוניים יתרחשו.

קווים מנחים כלליים

צמצום סיכונים של הגנה מפני ניצול לרעה פועל ברמה נמוכה במערכת ההפעלה, ותוכנות מסוגים מסוימים שמבצעות פעולות דומות ברמה נמוכה עשויות להיתקל בבעיות תאימות כאשר הן מוגדרות להיות מוגנות באמצעות הגנה מפני ניצול לרעה.

אילו סוגים של תוכנה לא אמורים להיות מוגנים על-ידי הגנה מפני ניצול לרעה?

  • תוכנה למניעת תוכנות זדוניות ותוכנות למניעת הפרעה או זיהוי
  • מאתרי באגים
  • תוכנה המטפלת בטכנולוגיות ניהול זכויות דיגיטלי (DRM) (לדוגמה, משחקי וידאו)
  • תוכנה המשתמשת בטכנולוגיות למניעת באגים, הסתרה או חיבור

איזה סוג של יישומים כדאי לך לשקול להפעיל הגנה מפני ניצול לרעה?

יישומים המקבלים או מטפלים בנתונים לא מהימנה.

אילו סוגים של תהליכים נמצאים מחוץ לטווח להגנה מפני ניצול לרעה?

שירותים

  • שירותי מערכת
  • שירותי רשת

רשימת תאימות יישומים

הטבלה הבאה מפרטת מוצרים ספציפיים שיש להם בעיות תאימות עם צמצום הסיכונים הכלולים בהגנה מפני ניצול לרעה. עליך לבטל צמצום סיכונים ספציפיים שאינם תואמים אם ברצונך להגן על המוצר באמצעות הגנה מפני ניצול לרעה. שים לב שרשימה זו לוקחת בחשבון את הגדרות ברירת המחדל עבור הגירסאות העדכניות ביותר של המוצר. בעיות תאימות יכולות להתווסף בעת החלת תוספות מסוימות או רכיבים אחרים על התוכנה הרגילה.

מוצר צמצום הגנה מפני ניצול לרעה
.NET 2.0/3.5 EAF/IAF
7-Zip/GUI/מנהל קבצים EAF
מעבדי AMD 62xx EAF
Avecto (Beyond Trust) Power Broker EAF, EAF+, Stack Pivot
מנהלי התקנים מסוימים של וידאו AMD (ATI) System ASLR=AlwaysOn
תיבת דואר נפתחת EAF
Excel Power Query, Power View, Power Map ו- PowerPivot EAF
Google Chrome EAF+
Immidio Flex+ תא 4
Microsoft רכיבי אינטרנט של Office (OWC) System DEP=AlwaysOn
Microsoft PowerPoint EAF
Microsoft Teams EAF+
Oracle Java תסיסה תות
פיטני בוס הדפסה ביקורת 6 זרימת Sim
גירסת Siebel CRM היא 8.1.1.9 סהופ (SEHOP)
Skype EAF
SolarWinds Syslogd Manager EAF
נגן מדיה של Windows הכרחיASLR, EAF

צמצום סיכונים של EMET עשוי להיות לא תואם ל- Oracle Java כאשר הם מופעלים באמצעות הגדרות השומרת נתח גדול של זיכרון עבור המחשב הווירטואלי (לדוגמה, באמצעות האפשרות -Xms).

הפוך הגנה מפני ניצול לרעה לזמינה לצורך בדיקה

באפשרותך להגדיר את צמצום הנזקים במצב בדיקה לתוכניות ספציפיות באמצעות שימוש באפליקציית אבטחת Windows או Windows PowerShell.

אפליקציית אבטחת Windows

  1. פתח את אפליקציית אבטחת Windows. בחר את סמל המגן בשורת המשימות או חפש בתפריט ההתחלה את אבטחת Windows.

  2. בחר את אריחבקרת אפליקציות ודפדפן (או את סמל האפליקציה בשורת התפריטים הימנית) ולאחר מכן בחר הגנה מפני ניצול לרעה.

  3. עבור אל הגדרות התוכנית ובחר את האפליקציה שעליה ברצונך להחיל את ההגנה:

    1. אם האפליקציה שברצונך לקבוע את תצורתה כבר מופיעה ברשימה, בחר אותה ולאחר מכן בחר ערוך.

    2. אם האפליקציה אינה מופיעה בראש הרשימה, בחר הוסף תוכנית כדי להתאים אישית. לאחר מכן, בחר כיצד ברצונך להוסיף את האפליקציה.

      • השתמש 'הוסף לפי שם תוכנית'כדי להחיל את ההקלה על כל תהליך פועל בשם זה. ציין קובץ עם סיומת. באפשרותך להזין נתיב מלא כדי להגביל את ההקלה רק לאפליקציה בשם זה במיקום זה.
      • השתמש 'בחר נתיב קובץ מדויק'כדי להשתמש בחלון בוחר קבצים רגיל של סייר Windows כדי לחפש ולבחור את הקובץ הרצוי.

  4. לאחר בחירת האפליקציה, תראה רשימה של כל ההקלות שניתן להחיל. בחירה באפשרות ביקורת מחילה את צמצום הסיכונים במצב בדיקה בלבד. תקבל הודעה אם עליך להפעיל מחדש את התהליך, האפליקציה או Windows.

  5. חזור על התהליך עבור כל האפליקציות וכל פעולות הצמצום שברצונך להגדיר. בחר 'החל' כשתסיים להגדיר את התצורה שלך.

PowerShell

כדי להגדיר צמצום סיכונים ברמת היישום למצב בדיקה, השתמש עם Set-ProcessMitigation ה - cmdlet של מצב ביקורת.

קבע את התצורה של כל פעולת צמצום בתבנית הבאה:

Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>

היכן:

  • <טווח:>
    • -Name כדי לציין שיש להחיל את הקלה על יישום ספציפי. ציין את קובץ ההפעלה של האפליקציה לאחר הדגל הזה.
  • <פעולה:>
    • -Enable להפוך את ההקלה לזמינה
      • -Disable להפוך את ההקלה לכבויה
  • <צמצום סיכונים>:
    • ה- cmdlet של צמצום הסיכונים כפי שהוגדר בטבלה הבאה. כל הקלה מופרדת באמצעות פסיק.
צמצום סיכונים cmdlet של מצב בדיקה
מגן קוד שרירותי (ACG) AuditDynamicCode
חסום תמונות בעלות תקינות נמוכה AuditImageLoad
חסום גופנים לא מהימנים AuditFont, FontAuditOnly
מגן תקינות קוד AuditMicrosoftSigned, AuditStoreSigned
הפוך קריאות מערכת של Win32k ללא זמינות AuditSystemCall
אל תאפשר תהליכי צאצא AuditChildProcess

לדוגמה, כדי להפוך את Code Guard שרירותי (ACG) לזמין במצב בדיקה עבור יישום בשםtesting.exe, הפעל את הפקודה הבאה:

Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable AuditDynamicCode

באפשרותך להשבית את מצב הביקורת באמצעות החלפת -Enable ב- -Disable.

סקירת אירועי ביקורת של הגנה מפני ניצול לרעה

כדי לבדוק אילו אפליקציות ייחסמו, פתח מציג האירועים ובצע סינון עבור האירועים הבאים ביומן Security-Mitigations הרישום.

תכונה ספק/מקור מזהה אירוע תיאור
הגנה מפני ניצול לרעה צמצום אבטחה (מצב ליבה/מצב משתמש) 1 ביקורת ACG
הגנה מפני ניצול לרעה צמצום אבטחה (מצב ליבה/מצב משתמש) 3 ביקורת עבור איסור על תהליכי צאצא
הגנה מפני ניצול לרעה צמצום אבטחה (מצב ליבה/מצב משתמש) 5 ביקורת של חסימת תמונות בעלות תקינות נמוכה
הגנה מפני ניצול לרעה צמצום אבטחה (מצב ליבה/מצב משתמש) 7 ביקורת של חסימת תמונות מרוחקות
הגנה מפני ניצול לרעה צמצום אבטחה (מצב ליבה/מצב משתמש) 9 ביקורת של ביטול שיחות מערכת win32k
הגנה מפני ניצול לרעה צמצום אבטחה (מצב ליבה/מצב משתמש) 11 ביקורת של מגן תקינות קוד

למידע נוסף

עצה

האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.