הערכת הגנה מפני ניצול לרעה

  • חל על: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

הגנה מפני ניצול לרעה מסייעת בהגנה מפני תוכנות זדוניות שמבצעות ניצול לרעה כדי להתפשט ולהדביק מכשירים אחרים. ניתן להחיל את פעולות הצמצום על מערכת ההפעלה או על יישום נפרד. תכונות רבות שהיו חלק מערכת הכלים של החוויה המשופרת לצמצום הסיכונים (EMET) כלולות בהגנה מפני ניצול לרעה. (EMET הגיעה לסיום התמיכה.)

בביקורת, תוכל לראות כיצד פועל צמצום הסיכונים עבור יישומים מסוימים בסביבת בדיקות. פעולה זו מציגה מה יקרה אם אתה מאפשר הגנה מפני ניצול לרעה בסביבת הייצור שלך. בדרך זו תוכל לוודא שההגנה מפני ניצול לרעה לא תשפיע לרעה על יישומי קו הפעולה העסקי שלך וכן לראות אילו אירועים חשודים או זדוניים יתרחשו.

קווים מנחים כלליים

צמצום סיכונים של הגנה מפני ניצול לרעה פועל ברמה נמוכה במערכת ההפעלה, ותוכנות מסוגים מסוימים שמבצעות פעולות דומות ברמה נמוכה עשויות להיתקל בבעיות תאימות כאשר הן מוגדרות להיות מוגנות באמצעות הגנה מפני ניצול לרעה.

אילו סוגים של תוכנות לא אמורים להיות מוגנים על-ידי הגנה מפני ניצול לרעה?

  • תוכנה למניעת תוכנות זדוניות ותוכנות למניעת הפרעה או זיהוי
  • מאתרי באגים
  • תוכנה המטפלת בטכנולוגיות ניהול זכויות דיגיטלי (DRM) (לדוגמה, משחקי וידאו)
  • תוכנה המשתמשת בטכנולוגיות למניעת באגים, הסתרה או חיבור

איזה סוג של יישומים כדאי לך לשקול להפעיל הגנה מפני ניצול לרעה?

יישומים המקבלים או מטפלים בנתונים לא מהימנה.

אילו סוגים של תהליכים נמצאים מחוץ לטווח להגנה מפני ניצול לרעה?

שירותים

  • שירותי מערכת
  • שירותי רשת

צמצום סיכונים של הגנה מפני ניצול לרעה מופעל כברירת מחדל

צמצום סיכונים זמין כברירת מחדל
מניעת ביצוע נתונים (DEP) יישומי 64 סיביות ו- 32 סיביות
אימות שרשראות חריגות (SEHOP) יישומי 64 סיביות
אמת תקינות ערימה יישומי 64 סיביות ו- 32 סיביות

צמצום סיכונים עבור "הגדרות תוכנית" הוצא משימוש

צמצום סיכונים של "הגדרות תוכנית" סיבה
ייצוא סינון כתובות (EAF) בעיות תאימות יישומים
ייבוא סינון כתובות (IAF) בעיות תאימות יישומים
הדמיית ביצוע (SimExec) הוחלף ב- Code Guard שרירותי (ACG)
אימות בקשת API (CallerCheck) הוחלף ב- Code Guard שרירותי (ACG)
אימות תקינות מערום (StackPivot) הוחלף ב- Code Guard שרירותי (ACG)

שיטות עבודה מומלצות ליישום Office

במקום להשתמש בהגנה מפני ניצול לרעה עבור יישומי Office כגון Outlook, Word, Excel, PowerPoint ו- OneNote, שקול להשתמש בגישה מודרנית יותר כדי למנוע שימוש לרעה בהם: כללי צמצום שטח תקיפה (כללי ASR):

עבור Adobe Reader, השתמש בכלל ASR הבא:

חסימת Adobe Reader ביצירת תהליכי צאצא

Google Chrome אינו ממליץ עוד להפעיל הגנה מפני ניצול לרעה (EMET) מכיוון שהוא מיותר או מוחלף עם צמצום סיכונים מוכלל של התקפות.

רשימת תאימות יישומים

הטבלה הבאה מפרטת מוצרים ספציפיים שיש להם בעיות תאימות עם צמצום הסיכונים הכלולים בהגנה מפני ניצול לרעה. עליך לבטל צמצום סיכונים ספציפיים שאינם תואמים אם ברצונך להגן על המוצר באמצעות הגנה מפני ניצול לרעה. שים לב שרשימה זו לוקחת בחשבון את הגדרות ברירת המחדל עבור הגירסאות העדכניות ביותר של המוצר. ניתן להציג בעיות תאימות בעת החלת תוספות מסוימות או רכיבים אחרים על התוכנה הרגילה.

מוצר צמצום הגנה מפני ניצול לרעה
.NET 2.0/3.5 EAF/IAF
7-Zip/GUI/מנהל קבצים EAF
מעבדי AMD 62xx EAF
Avecto (Beyond Trust) Power Broker EAF, EAF+, Stack Pivot
מנהלי התקנים מסוימים של וידאו AMD (ATI) System ASLR=AlwaysOn
Dropbox EAF
Excel Power Query, Power View, Power Map ו- PowerPivot EAF
Google Chrome (כבר לא מומלץ) EAF+
Immidio Flex+ EAF
Microsoft רכיבי אינטרנט של Office (OWC) System DEP=AlwaysOn
Microsoft PowerPoint EAF
Microsoft Teams EAF+
Oracle Java תסיסה תות
פיטני בוס הדפסה ביקורת 6 זרימת Sim
גירסת Siebel CRM היא 8.1.1.9 סהופ (SEHOP)
סקייפ EAF
SolarWinds Syslogd Manager EAF
נגן מדיה של Windows הכרחיASLR, EAF

צמצום סיכונים של EMET עשוי להיות לא תואם ל- Oracle Java כאשר הם מופעלים באמצעות הגדרות השומרת נתח גדול של זיכרון עבור המחשב הווירטואלי (לדוגמה, באמצעות האפשרות -Xms).

אפשר הגדרות מערכת הגנה מפני ניצול לרעה לבדיקה

הגדרות אלה של מערכת הגנה מפני ניצול לרעה מופעלות כברירת מחדל, למעט אקראיות פריסת שטח כתובות הכרחית (ASLR) ב- Windows 10 ואילך, Windows Server 2019 ואילך, ובמהדורה ליבה של Windows Server גירסה 1803 ואילך.

הגדרות מערכת הגדרה
מגן זרימת בקרה (CFG) השתמש בברירת מחדל (מופעל)
מניעת ביצוע נתונים (DEP) השתמש בברירת מחדל (מופעל)
כפיית אקראיות עבור תמונות (ASRL הכרחי) השתמש בברירת מחדל (כבוי)
אקראי הקצאות זיכרון (ASRL מלמטה למעלה) השתמש בברירת מחדל (מופעל)
אנטרופיה גבוהה ASRL השתמש בברירת מחדל (מופעל)
אימות שרשראות חריגות (SEHOP) השתמש בברירת מחדל (מופעל)

דוגמת ה- XML זמינה להלן

<?xml version="1.0" encoding="UTF-8"?>
<MitigationPolicy>
  <SystemConfig>
    <DEP Enable="true" EmulateAtlThunks="false" />
    <ASLR ForceRelocateImages="false" RequireInfo="false" BottomUp="true" HighEntropy="true" />
    <ControlFlowGuard Enable="true" SuppressExports="false" />
    <SEHOP Enable="true" TelemetryOnly="false" />
    <Heap TerminateOnError="true" />
  </SystemConfig>
</MitigationPolicy>

אפשר הגדרות תוכנית הגנה מפני ניצול לרעה לבדיקה

עצה

מומלץ מאוד לסקור את הגישה המודרנית להפחתת סיכונים בפגיעות, שהיא להשתמש בכללי ASR.

באפשרותך להגדיר את צמצום הנזקים במצב בדיקה לתוכניות ספציפיות באמצעות שימוש באפליקציית אבטחת Windows או Windows PowerShell.

אפליקציית אבטחת Windows

  1. פתח את אפליקציית אבטחת Windows. בחר את סמל המגן בשורת המשימות או חפש בתפריט ההתחלה את אבטחת Windows.

  2. בחר את אריחבקרת אפליקציות ודפדפן (או את סמל האפליקציה בשורת התפריטים הימנית) ולאחר מכן בחר הגנה מפני ניצול לרעה.

  3. עבור אל הגדרות התוכנית ובחר את האפליקציה שעליה ברצונך להחיל את ההגנה:

    1. אם האפליקציה שברצונך לקבוע את תצורתה כבר מופיעה ברשימה, בחר אותה ולאחר מכן בחר ערוך.

    2. אם האפליקציה אינה מופיעה בראש הרשימה, בחר הוסף תוכנית כדי להתאים אישית. לאחר מכן, בחר כיצד ברצונך להוסיף את האפליקציה.

      • השתמש 'הוסף לפי שם תוכנית'כדי להחיל את ההקלה על כל תהליך פועל בשם זה. ציין קובץ עם סיומת. באפשרותך להזין נתיב מלא כדי להגביל את ההקלה רק לאפליקציה בשם זה במיקום זה.
      • השתמש 'בחר נתיב קובץ מדויק'כדי להשתמש בחלון בוחר קבצים רגיל של סייר Windows כדי לחפש ולבחור את הקובץ הרצוי.

  4. לאחר בחירת האפליקציה, תראה רשימה של כל ההקלות שניתן להחיל. בחירה באפשרות ביקורת מחילה את צמצום הסיכונים במצב בדיקה בלבד. תקבל הודעה אם עליך להפעיל מחדש את התהליך, האפליקציה או Windows.

  5. חזור על התהליך עבור כל האפליקציות וכל פעולות הצמצום שברצונך להגדיר. בחר 'החל' כשתסיים להגדיר את התצורה שלך.

PowerShell

כדי להגדיר צמצום סיכונים ברמת היישום למצב בדיקה, השתמש עם Set-ProcessMitigation ה - cmdlet של מצב ביקורת.

קבע את התצורה של כל פעולת צמצום בתבנית הבאה:

Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>

היכן:

  • <טווח:>
    • -Name כדי לציין שיש להחיל את הקלה על יישום ספציפי. ציין את קובץ ההפעלה של האפליקציה לאחר הדגל הזה.
  • <פעולה:>
    • -Enable להפוך את ההקלה לזמינה
      • -Disable להפוך את ההקלה לכבויה
  • <צמצום סיכונים>:
    • ה- cmdlet של צמצום הסיכונים כפי שהוגדר בטבלה הבאה. כל הקלה מופרדת באמצעות פסיק.
צמצום סיכונים cmdlet של מצב בדיקה
מגן קוד שרירותי (ACG) AuditDynamicCode
חסום תמונות בעלות תקינות נמוכה AuditImageLoad
חסום גופנים לא מהימנים AuditFont, FontAuditOnly
מגן תקינות קוד AuditMicrosoftSigned, AuditStoreSigned
הפוך קריאות מערכת של Win32k ללא זמינות AuditSystemCall
אל תאפשר תהליכי צאצא AuditChildProcess

לדוגמה, כדי להפוך את Code Guard שרירותי (ACG) לזמין במצב בדיקה עבור יישום בשםtesting.exe, הפעל את הפקודה הבאה:

Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable AuditDynamicCode

באפשרותך להשבית את מצב הביקורת באמצעות החלפת -Enable ב- -Disable.

סקירת אירועי ביקורת של הגנה מפני ניצול לרעה

כדי לבדוק אילו אפליקציות ייחסמו, פתח מציג האירועים ובצע סינון עבור האירועים הבאים ביומן Security-Mitigations הרישום.

תכונה ספק/מקור מזהה אירוע תיאור
הגנה מפני ניצול לרעה צמצום אבטחה (מצב ליבה/מצב משתמש) 1 ביקורת ACG
הגנה מפני ניצול לרעה צמצום אבטחה (מצב ליבה/מצב משתמש) 3 ביקורת עבור איסור על תהליכי צאצא
הגנה מפני ניצול לרעה צמצום אבטחה (מצב ליבה/מצב משתמש) 5 ביקורת של חסימת תמונות בעלות תקינות נמוכה
הגנה מפני ניצול לרעה צמצום אבטחה (מצב ליבה/מצב משתמש) 7 ביקורת של חסימת תמונות מרוחקות
הגנה מפני ניצול לרעה צמצום אבטחה (מצב ליבה/מצב משתמש) 9 ביקורת של ביטול שיחות מערכת win32k
הגנה מפני ניצול לרעה צמצום אבטחה (מצב ליבה/מצב משתמש) 11 ביקורת של מגן תקינות קוד

למידע נוסף

  • Last updated on