שתף באמצעות


הגן על מכשירים מפני ניצול לרעה

חל על:

הגנה מפני ניצול לרעה מחילה באופן אוטומטי טכניקות רבות של צמצום ניצול לרעה על תהליכים ואפליקציות של מערכת ההפעלה. הגנה מפני ניצול לרעה נתמכת החל Windows 10 גירסה 1709, Windows 11 ו- Windows Server, גירסה 1803.

הגנה מפני ניצול לרעה פועלת בצורה הטובה ביותר עם Defender for Endpoint - מה שמספק לך דיווח מפורט על אירועי הגנה מפני ניצול לרעה ובלוקים כחלק מתרחישי חקירת ההתראה הרגילים.

באפשרותך להפעיל הגנה מפני ניצול לרעה במכשיר בודד ולאחר מכן להשתמש ב- מדיניות קבוצתית כדי להפיץ את קובץ ה- XML למכשירים מרובים בו-זמנית.

כאשר נמצאה במכשיר צמצום סיכונים, מוצגת הודעה ממרכז הפעולות. באפשרותך להתאים אישית את ההודעה עם פרטי החברה ופרטי הקשר שלך. באפשרותך גם להפוך את הכללים לזמינים בנפרד כדי להתאים אישית את הטכניקות של צגי התכונות.

באפשרותך גם להשתמש במצב ביקורת כדי להעריך כיצד הגנה מפני ניצול לרעה תשפיע על הארגון שלך אם היא זמינה.

רבות מהתכונות בערכת הכלים Enhanced Mitigation Experience Toolkit (EMET) נכללות בהגנה מפני ניצול לרעה. למעשה, באפשרותך להמיר ולייבא פרופילי תצורה קיימים של EMET להגנה מפני ניצול לרעה. לקבלת מידע נוסף, ראה ייבוא , ייצוא ופריסה של תצורות הגנה מפני ניצול לרעה.

חשוב

אם אתה משתמש כעת ב- EMET עליך להיות מודע לכך ש- EMET הגיעה לסיום התמיכה ב- 31 ביולי, 2018. שקול להחליף את EMET בהגנה מפני ניצול Windows 10.

אזהרה

טכנולוגיות מסוימות של צמצום סיכוני אבטחה עשויות להיתקל בבעיות תאימות עם יישומים מסוימים. עליך לבדוק הגנה מפני ניצול לרעה בכל תרחישי השימוש ביעד באמצעות מצב ביקורת לפני פריסת התצורה בסביבת ייצור או בשאר הרשת.

סקירת אירועי הגנה מפני ניצול לרעה בפורטל Microsoft Defender שלך

Defender for Endpoint מספק דיווח מפורט לאירועים ובלוקים כחלק מתרחישי חקירת ההתראה שלה.

באפשרותך לבצע שאילתה ב- Defender עבור נתוני נקודת קצה באמצעות ציד מתקדם. אם אתה משתמש במצב ביקורת, באפשרותך להשתמש לציד מתקדם כדי לראות כיצד הגדרות הגנה מפני ניצול לרעה עלולות להשפיע על הסביבה שלך.

להלן שאילתה לדוגמה:

DeviceEvents
| where ActionType startswith 'ExploitGuard' and ActionType !contains 'NetworkProtection'

סקירת אירועי הגנה מפני ניצול לרעה ב- Windows מציג האירועים

באפשרותך לסקור את יומן האירועים של Windows כדי לראות אירועים הנוצרים בעת חסימות הגנה מפני ניצול לרעה (או ביקורות) של אפליקציה:

ספק/מקור מזהה אירוע תיאור
Security-Mitigations 1 ביקורת ACG
Security-Mitigations 2 אכיפת ACG
Security-Mitigations 3 אל תאפשר ביקורת של תהליכי צאצא
Security-Mitigations 4 אל תאפשר חסימת תהליכי צאצא
Security-Mitigations 5 ביקורת של חסימת תמונות בעלות תקינות נמוכה
Security-Mitigations 6 חסימת חסימת תמונות תקינות נמוכה
Security-Mitigations 7 ביקורת של חסימת תמונות מרוחקות
Security-Mitigations 8 חסימת תמונות מרוחקות
Security-Mitigations 9 ביקורת של ביטול שיחות מערכת win32k
Security-Mitigations 10 בטל חסימת שיחות מערכת של win32k
Security-Mitigations 11 ביקורת של מגן תקינות קוד
Security-Mitigations 12 בלוק שומר תקינות קוד
Security-Mitigations 13 ביקורת EAF
Security-Mitigations 14 אכיפת EAF
Security-Mitigations 15 ביקורת EAF+
Security-Mitigations 16 EAF+ אכיפת
Security-Mitigations 17 ביקורת IAF
Security-Mitigations 18 אכיפת IAF
Security-Mitigations 19 ביקורת ROP StackPivot
Security-Mitigations 20 אכיפת ROP StackPivot
Security-Mitigations 21 מתקשר ROP בדוק ביקורת
Security-Mitigations 22 הפונקציה ROP CallerCheck אוכפת
Security-Mitigations 23 ביקורת ROP SimExec
Security-Mitigations 24 אכיפת ROP SimExec
WER-Diagnostics 5 בלוק CFG
Win32K 260 גופן לא מהימן

השוואת צמצום סיכונים

צמצום הסיכונים הזמין ב- EMET נכללים במקור ב- Windows 10 (החל מגירסה 1709), Windows 11 ו- Windows Server (החל מגירסה 1803), תחת הגנה מפני ניצול לרעה.

הטבלה בסעיף זה מציינת את הזמינות והתמיכה של צמצום סיכונים מקורי בין EMET לבין הגנה מפני ניצול לרעה.

צמצום סיכונים זמין במסגרת הגנה מפני ניצול לרעה זמין ב- EMET
מגן קוד שרירותי (ACG) כן כן
כ"בדיקת הגנת זיכרון"
חסום תמונות מרוחקות כן כן
כ"טען בדיקת ספריה"
חסום גופנים לא מהימנים כן כן
מניעת ביצוע נתונים (DEP) כן כן
ייצוא סינון כתובות (EAF) כן כן
כפה אקראיות עבור תמונות (ASLR הכרחי) כן כן
NullPage Security Mitigation כן
כלול במקור ב- Windows 10 וב- Windows 11
לקבלת מידע נוסף, ראה צמצום איומים באמצעות Windows 10 אבטחה חדשות
כן
הקצאות זיכרון אקראית (ASLR מלמטה למעלה) כן כן
הדמיית ביצוע (SimExec) כן כן
אימות בקשת API (CallerCheck) כן כן
אימות שרשראות חריגות (SEHOP) כן כן
אימות תקינות מערום (StackPivot) כן כן
אמון באישור (הצמדת אישור הניתנת להגדרה) Windows 10 ו- Windows 11 מספקים הצמדת אישור ארגוני כן
הקצאה של תרסיס תותבות לא יעיל מפני ניצולים חדשים יותר מבוססי דפדפן; צמצום סיכונים חדש יותר מספק הגנה טובה יותר
לקבלת מידע נוסף, ראה צמצום איומים באמצעות Windows 10 אבטחה חדשות
כן
חסום תמונות בעלות תקינות נמוכה כן לא
מגן תקינות קוד כן לא
הפוך נקודות הרחבה ללא זמינות כן לא
הפוך קריאות מערכת של Win32k ללא זמינות כן לא
אל תאפשר תהליכי צאצא כן לא
ייבוא סינון כתובות (IAF) כן לא
אימות שימוש בנקודות אחיזה כן לא
אמת תקינות ערימה כן לא
אימות תקינות תלות של תמונה כן לא

הערה

צמצום הסיכונים המתקדם של ROP הזמינים ב- EMET מוחלף על-ידי ACG ב- Windows 10 וב- Windows 11, אשר הגדרות מתקדמות אחרות של EMET מופעלות כברירת מחדל, כחלק מהפיכת צמצום הסיכונים למניעת ROP לזמין עבור תהליך. לקבלת מידע נוסף על האופן Windows 10 משתמש בטכנולוגיית EMET קיימת, עיין באיומים של צמצום סיכונים באמצעות Windows 10 אבטחה אלה.

למידע נוסף

עצה

האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.