Share via

הערכת הגנה מפני ניצול לרעה

  • מאמר

חל על:

רוצה להתנסות ב- Microsoft Defender עבור נקודת קצה? הירשם לקבלת גירסת ניסיון ללא תשלום.

הגנה מפני ניצול לרעה מסייעת בהגנה מפני תוכנות זדוניות שמבצעות ניצול לרעה כדי להתפשט ולהדביק מכשירים אחרים. ניתן להחיל את פעולות הצמצום על מערכת ההפעלה או על יישום נפרד. תכונות רבות שהיו חלק מערכת הכלים של החוויה המשופרת לצמצום הסיכונים (EMET) כלולות בהגנה מפני ניצול לרעה. (EMET הגיעה לסיום התמיכה.)

בביקורת, תוכל לראות כיצד פועל צמצום הסיכונים עבור יישומים מסוימים בסביבת בדיקות. פעולה זו מציגה מה היה קורה אם היית מפעיל הגנה מפני ניצול לרעה בסביבת הייצור. בדרך זו תוכל לוודא שההגנה מפני ניצול לרעה לא תשפיע לרעה על יישומי קו הפעולה העסקי שלך וכן לראות אילו אירועים חשודים או זדוניים יתרחשו.

הפוך הגנה מפני ניצול לרעה לזמינה לצורך בדיקה

באפשרותך להגדיר את צמצום הנזקים במצב בדיקה לתוכניות ספציפיות באמצעות שימוש באפליקציית אבטחת Windows או Windows PowerShell.

אפליקציית אבטחת Windows

  1. פתח את אפליקציית אבטחת Windows. בחר את סמל המגן בשורת המשימות או חפש בתפריט ההתחלה את אבטחת Windows.

  2. בחר את אריחבקרת אפליקציות ודפדפן (או את סמל האפליקציה בשורת התפריטים הימנית) ולאחר מכן בחר הגנה מפני ניצול לרעה.

  3. עבור אל הגדרות התוכנית ובחר את האפליקציה שעליה ברצונך להחיל את ההגנה:

    1. אם האפליקציה שברצונך לקבוע את תצורתה כבר מופיעה, בחר אותה ולאחר מכן בחר ערוך
    2. אם האפליקציה אינה מופיעה בראש הרשימה, בחר הוסף תוכנית כדי להתאים אישית. לאחר מכן, בחר כיצד ברצונך להוסיף את האפליקציה.
      • השתמש 'הוסף לפי שם תוכנית'כדי להחיל את ההקלה על כל תהליך פועל בשם זה. ציין קובץ עם סיומת. באפשרותך להזין נתיב מלא כדי להגביל את ההקלה רק לאפליקציה בשם זה במיקום זה.
      • השתמש 'בחר נתיב קובץ מדויק'כדי להשתמש בחלון בוחר קבצים רגיל של סייר Windows כדי לחפש ולבחור את הקובץ הרצוי.

  4. לאחר בחירת האפליקציה, תראה רשימה של כל ההקלות שניתן להחיל. בחירה באפשרות ביקורת תחיל את צמצום הסיכונים במצב בדיקה בלבד. תקבל הודעה אם עליך להפעיל מחדש את התהליך, את האפליקציה או את Windows.

  5. חזור על התהליך עבור כל האפליקציות וכל פעולות הצמצום שברצונך להגדיר. בחר 'החל' כשתסיים להגדיר את התצורה שלך.

PowerShell

כדי להגדיר צמצום סיכונים ברמת היישום למצב בדיקה, השתמש עם Set-ProcessMitigation ה - cmdlet של מצב ביקורת.

קבע את התצורה של כל פעולת צמצום בתבנית הבאה:

Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>

היכן:

  • <טווח:>
    • -Name כדי לציין שיש להחיל את הקלה על יישום ספציפי. ציין את קובץ ההפעלה של האפליקציה לאחר הדגל הזה.
  • <פעולה:>
    • -Enable להפוך את ההקלה לזמינה
      • -Disable להפוך את ההקלה לכבויה
  • <צמצום סיכונים>:
    • ה- cmdlet של צמצום הסיכונים כפי שהוגדר בטבלה הבאה. כל הקלה מופרדת באמצעות פסיק.
צמצום סיכונים cmdlet של מצב בדיקה
מגן קוד שרירותי (ACG) AuditDynamicCode
חסום תמונות בעלות תקינות נמוכה AuditImageLoad
חסום גופנים לא מהימנים AuditFont, FontAuditOnly
מגן תקינות קוד AuditMicrosoftSigned, AuditStoreSigned
הפוך קריאות מערכת של Win32k ללא זמינות AuditSystemCall
אל תאפשר תהליכי צאצא AuditChildProcess

לדוגמה, כדי להפוך את Code Guard שרירותי (ACG) לזמין במצב בדיקה עבור יישום בשםtesting.exe, הפעל את הפקודה הבאה:

Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable AuditDynamicCode

באפשרותך להשבית את מצב הביקורת באמצעות החלפת -Enable ב- -Disable.

סקירת אירועי ביקורת של הגנה מפני ניצול לרעה

כדי לסקור אילו אפליקציות היו נחסמות, פתח את מציג האירועים ובצע סינון עבור האירועים הבאים ביומן 'צמצום סיכוני אבטחה'.

תכונה ספק/מקור מזהה אירוע תיאור
הגנה מפני ניצול לרעה צמצום אבטחה (מצב ליבה/מצב משתמש) 1 ביקורת ACG
הגנה מפני ניצול לרעה צמצום אבטחה (מצב ליבה/מצב משתמש) 3 ביקורת עבור איסור על תהליכי צאצא
הגנה מפני ניצול לרעה צמצום אבטחה (מצב ליבה/מצב משתמש) 5 ביקורת של חסימת תמונות בעלות תקינות נמוכה
הגנה מפני ניצול לרעה צמצום אבטחה (מצב ליבה/מצב משתמש) 7 ביקורת של חסימת תמונות מרוחקות
הגנה מפני ניצול לרעה צמצום אבטחה (מצב ליבה/מצב משתמש) 9 ביקורת של ביטול שיחות מערכת win32k
הגנה מפני ניצול לרעה צמצום אבטחה (מצב ליבה/מצב משתמש) 11 ביקורת של מגן תקינות קוד

למידע נוסף

עצה

האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.