הערכת הגנה מפני ניצול לרעה

מאמר
03.02.2025

חל על:

רוצה להתנסות ב- Microsoft Defender עבור נקודת קצה? הירשם לקבלת גירסת ניסיון ללא תשלום.

הגנה מפני ניצול לרעה מסייעת בהגנה מפני תוכנות זדוניות שמבצעות ניצול לרעה כדי להתפשט ולהדביק מכשירים אחרים. ניתן להחיל את פעולות הצמצום על מערכת ההפעלה או על יישום נפרד. תכונות רבות שהיו חלק מערכת הכלים של החוויה המשופרת לצמצום הסיכונים (EMET) כלולות בהגנה מפני ניצול לרעה. (EMET הגיעה לסיום התמיכה.)

בביקורת, תוכל לראות כיצד פועל צמצום הסיכונים עבור יישומים מסוימים בסביבת בדיקות. פעולה זו מציגה מה יקרה אם אתה מאפשר הגנה מפני ניצול לרעה בסביבת הייצור שלך. בדרך זו תוכל לוודא שההגנה מפני ניצול לרעה לא תשפיע לרעה על יישומי קו הפעולה העסקי שלך וכן לראות אילו אירועים חשודים או זדוניים יתרחשו.

קווים מנחים כלליים

צמצום סיכונים של הגנה מפני ניצול לרעה פועל ברמה נמוכה במערכת ההפעלה, ותוכנות מסוגים מסוימים שמבצעות פעולות דומות ברמה נמוכה עשויות להיתקל בבעיות תאימות כאשר הן מוגדרות להיות מוגנות באמצעות הגנה מפני ניצול לרעה.

אילו סוגים של תוכנות לא אמורים להיות מוגנים על-ידי הגנה מפני ניצול לרעה?

תוכנה למניעת תוכנות זדוניות ותוכנות למניעת הפרעה או זיהוי
מאתרי באגים
תוכנה המטפלת בטכנולוגיות ניהול זכויות דיגיטלי (DRM) (לדוגמה, משחקי וידאו)
תוכנה המשתמשת בטכנולוגיות למניעת באגים, הסתרה או חיבור

איזה סוג של יישומים כדאי לך לשקול להפעיל הגנה מפני ניצול לרעה?

יישומים המקבלים או מטפלים בנתונים לא מהימנה.

אילו סוגים של תהליכים נמצאים מחוץ לטווח להגנה מפני ניצול לרעה?

שירותים

שירותי מערכת
שירותי רשת

צמצום סיכונים של הגנה מפני ניצול לרעה מופעל כברירת מחדל

צמצום סיכונים	זמין כברירת מחדל
מניעת ביצוע נתונים (DEP)	יישומי 64 סיביות ו- 32 סיביות
אימות שרשראות חריגות (SEHOP)	יישומי 64 סיביות
אמת תקינות ערימה	יישומי 64 סיביות ו- 32 סיביות

צמצום סיכונים עבור "הגדרות תוכנית" הוצא משימוש

צמצום סיכונים של "הגדרות תוכנית"	למה
ייצוא סינון כתובות (EAF)	בעיות תאימות יישומים
ייבוא סינון כתובות (IAF)	בעיות תאימות יישומים
הדמיית ביצוע (SimExec)	הוחלף ב- Code Guard שרירותי (ACG)
אימות בקשת API (CallerCheck)	הוחלף ב- Code Guard שרירותי (ACG)
אימות תקינות מערום (StackPivot)	הוחלף ב- Code Guard שרירותי (ACG)

שיטות עבודה מומלצות ליישום Office

במקום להשתמש בהגנה מפני ניצול לרעה עבור יישומי Office כגון Outlook, Word, Excel, PowerPoint ו- OneNote, שקול להשתמש בגישה מודרנית יותר כדי למנוע שימוש לרעה בהם: כללי הפחתת Surface של התקפה (כללי ASR):

עבור Adobe Reader, השתמש בכלל ASR הבא:

• למנוע מ- Adobe Reader ליצור תהליכי צאצא

Google Chrome אינו ממליץ עוד להפעיל הגנה מפני ניצול לרעה (EMET) מכיוון שהוא מיותר או מוחלף עם צמצום סיכונים מוכלל של התקפות.

רשימת תאימות יישומים

הטבלה הבאה מפרטת מוצרים ספציפיים שיש להם בעיות תאימות עם צמצום הסיכונים הכלולים בהגנה מפני ניצול לרעה. עליך לבטל צמצום סיכונים ספציפיים שאינם תואמים אם ברצונך להגן על המוצר באמצעות הגנה מפני ניצול לרעה. שים לב שרשימה זו לוקחת בחשבון את הגדרות ברירת המחדל עבור הגירסאות העדכניות ביותר של המוצר. בעיות תאימות יכולות להתווסף בעת החלת תוספות מסוימות או רכיבים אחרים על התוכנה הרגילה.

מוצר	צמצום הגנה מפני ניצול לרעה
.NET 2.0/3.5	EAF/IAF
7-Zip/GUI/מנהל קבצים	EAF
מעבדי AMD 62xx	EAF
Avecto (Beyond Trust) Power Broker	EAF, EAF+, Stack Pivot
מנהלי התקנים מסוימים של וידאו AMD (ATI)	System ASLR=AlwaysOn
תיבת דואר נפתחת	EAF
Excel Power Query, Power View, Power Map ו- PowerPivot	EAF
Google Chrome (כבר לא מומלץ)	EAF+
Immidio Flex+	EAF
Microsoft רכיבי אינטרנט של Office (OWC)	System DEP=AlwaysOn
Microsoft PowerPoint	EAF
Microsoft Teams	EAF+
Oracle Java	תסיסה תות
פיטני בוס הדפסה ביקורת 6	זרימת Sim
גירסת Siebel CRM היא 8.1.1.9	סהופ (SEHOP)
Skype	EAF
SolarWinds Syslogd Manager	EAF
נגן מדיה של Windows	הכרחיASLR, EAF

צמצום סיכונים של EMET עשוי להיות לא תואם ל- Oracle Java כאשר הם מופעלים באמצעות הגדרות השומרת נתח גדול של זיכרון עבור המחשב הווירטואלי (לדוגמה, באמצעות האפשרות -Xms).

אפשר הגדרות מערכת הגנה מפני ניצול לרעה לבדיקה

הגדרות אלה של מערכת הגנה מפני ניצול לרעה מופעלות כברירת מחדל, למעט אקראיות פריסת שטח כתובות הכרחית (ASLR) ב- Windows 10 ואילך, Windows Server 2019 ואילך, ובמהדורה ליבה של Windows Server גירסה 1803 ואילך.

הגדרות מערכת	הגדרה
מגן זרימת בקרה (CFG)	השתמש בברירת מחדל (מופעל)
מניעת ביצוע נתונים (DEP)	השתמש בברירת מחדל (מופעל)
כפיית אקראיות עבור תמונות (ASRL הכרחי)	השתמש בברירת מחדל (כבוי)
אקראי הקצאות זיכרון (ASRL מלמטה למעלה)	השתמש בברירת מחדל (מופעל)
אנטרופיה גבוהה ASRL	השתמש בברירת מחדל (מופעל)
אימות שרשראות חריגות (SEHOP)	השתמש בברירת מחדל (מופעל)

דוגמת ה- XML זמינה להלן

<?xml version="1.0" encoding="UTF-8"?>
<MitigationPolicy>
  <SystemConfig>
    <DEP Enable="true" EmulateAtlThunks="false" />
    <ASLR ForceRelocateImages="false" RequireInfo="false" BottomUp="true" HighEntropy="true" />
    <ControlFlowGuard Enable="true" SuppressExports="false" />
    <SEHOP Enable="true" TelemetryOnly="false" />
    <Heap TerminateOnError="true" />
  </SystemConfig>
</MitigationPolicy>

אפשר הגדרות תוכנית הגנה מפני ניצול לרעה לבדיקה

עצה

אנו ממליצים מאוד לסקור את הגישה המודרנית עבור צמצום סיכונים של פגיעויות, שהיא להשתמש בכללי Attack Surface Reduction (כללי ASR).

באפשרותך להגדיר את צמצום הנזקים במצב בדיקה לתוכניות ספציפיות באמצעות שימוש באפליקציית אבטחת Windows או Windows PowerShell.

אפליקציית אבטחת Windows

פתח את אפליקציית אבטחת Windows. בחר את סמל המגן בשורת המשימות או חפש בתפריט ההתחלה את אבטחת Windows.
בחר את אריחבקרת אפליקציות ודפדפן (או את סמל האפליקציה בשורת התפריטים הימנית) ולאחר מכן בחר הגנה מפני ניצול לרעה.
עבור אל הגדרות התוכנית ובחר את האפליקציה שעליה ברצונך להחיל את ההגנה:
1. אם האפליקציה שברצונך לקבוע את תצורתה כבר מופיעה ברשימה, בחר אותה ולאחר מכן בחר ערוך.
2. אם האפליקציה אינה מופיעה בראש הרשימה, בחר הוסף תוכנית כדי להתאים אישית. לאחר מכן, בחר כיצד ברצונך להוסיף את האפליקציה.
  - השתמש 'הוסף לפי שם תוכנית'כדי להחיל את ההקלה על כל תהליך פועל בשם זה. ציין קובץ עם סיומת. באפשרותך להזין נתיב מלא כדי להגביל את ההקלה רק לאפליקציה בשם זה במיקום זה.
  - השתמש 'בחר נתיב קובץ מדויק'כדי להשתמש בחלון בוחר קבצים רגיל של סייר Windows כדי לחפש ולבחור את הקובץ הרצוי.
לאחר בחירת האפליקציה, תראה רשימה של כל ההקלות שניתן להחיל. בחירה באפשרות ביקורת מחילה את צמצום הסיכונים במצב בדיקה בלבד. תקבל הודעה אם עליך להפעיל מחדש את התהליך, האפליקציה או Windows.
חזור על התהליך עבור כל האפליקציות וכל פעולות הצמצום שברצונך להגדיר. בחר 'החל' כשתסיים להגדיר את התצורה שלך.

PowerShell

כדי להגדיר צמצום סיכונים ברמת היישום למצב בדיקה, השתמש עם Set-ProcessMitigation ה - cmdlet של מצב ביקורת.

קבע את התצורה של כל פעולת צמצום בתבנית הבאה:

Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>

היכן:

<טווח:>
- -Name כדי לציין שיש להחיל את הקלה על יישום ספציפי. ציין את קובץ ההפעלה של האפליקציה לאחר הדגל הזה.
<פעולה:>
- -Enable להפוך את ההקלה לזמינה
  - -Disable להפוך את ההקלה לכבויה
<צמצום סיכונים>:
- ה- cmdlet של צמצום הסיכונים כפי שהוגדר בטבלה הבאה. כל הקלה מופרדת באמצעות פסיק.

צמצום סיכונים	cmdlet של מצב בדיקה
מגן קוד שרירותי (ACG)	`AuditDynamicCode`
חסום תמונות בעלות תקינות נמוכה	`AuditImageLoad`
חסום גופנים לא מהימנים	`AuditFont`, `FontAuditOnly`
מגן תקינות קוד	`AuditMicrosoftSigned`, `AuditStoreSigned`
הפוך קריאות מערכת של Win32k ללא זמינות	`AuditSystemCall`
אל תאפשר תהליכי צאצא	`AuditChildProcess`

לדוגמה, כדי להפוך את Code Guard שרירותי (ACG) לזמין במצב בדיקה עבור יישום בשםtesting.exe, הפעל את הפקודה הבאה:

Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable AuditDynamicCode

באפשרותך להשבית את מצב הביקורת באמצעות החלפת -Enable ב- -Disable.

סקירת אירועי ביקורת של הגנה מפני ניצול לרעה

כדי לבדוק אילו אפליקציות ייחסמו, פתח מציג האירועים ובצע סינון עבור האירועים הבאים ביומן Security-Mitigations הרישום.

תכונה	ספק/מקור	מזהה אירוע	תיאור
הגנה מפני ניצול לרעה	צמצום אבטחה (מצב ליבה/מצב משתמש)	1	ביקורת ACG
הגנה מפני ניצול לרעה	צמצום אבטחה (מצב ליבה/מצב משתמש)	3	ביקורת עבור איסור על תהליכי צאצא
הגנה מפני ניצול לרעה	צמצום אבטחה (מצב ליבה/מצב משתמש)	5	ביקורת של חסימת תמונות בעלות תקינות נמוכה
הגנה מפני ניצול לרעה	צמצום אבטחה (מצב ליבה/מצב משתמש)	7	ביקורת של חסימת תמונות מרוחקות
הגנה מפני ניצול לרעה	צמצום אבטחה (מצב ליבה/מצב משתמש)	9	ביקורת של ביטול שיחות מערכת win32k
הגנה מפני ניצול לרעה	צמצום אבטחה (מצב ליבה/מצב משתמש)	11	ביקורת של מגן תקינות קוד

למידע נוסף

עצה

האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.

משאבים נוספים

תיעוד

פתרון בעיות בהגנה מפני ניצול לרעה - Microsoft Defender for Endpoint

למד כיצד להתמודד עם צמצום סיכונים לא רצויים ב- אבטחת Windows, כולל תהליך להסרת כל צמצום הסיכונים וייבא קובץ תצורה של תוכנית בסיסית במקום זאת.
התאם אישית הגנה מפני ניצול לרעה - Microsoft Defender for Endpoint

באפשרותך להפוך לזמין או ללא זמין את צמצום הסיכונים הספציפיים הנמצאים בשימוש על-ידי הגנה מפני ניצול לרעה באמצעות אבטחת Windows או PowerShell. באפשרותך גם לבצע ביקורת של צמצום סיכונים ותצורות ייצוא.
החל צמצום סיכונים כדי לסייע במניעת תקיפות באמצעות פגיעויות - Microsoft Defender for Endpoint

הגן על מכשירים מפני ניצולים לרעה באמצעות Windows 10 או Windows 11. Windows כולל יכולות מתקדמות של הגנה מפני ניצול לרעה, המתבססות על ההגדרות הזמינות בערכת הכלים Enhanced Mitigation Experience Toolkit (EMET) ומשפרת אותן.
ייבוא, ייצוא ופריסה של תצורות הגנה מפני ניצול לרעה - Microsoft Defender for Endpoint

השתמש במדיניות קבוצתית כדי לפרוס תצורת צמצום סיכונים.
הפעל הגנה מפני ניצול לרעה כדי לסייע בהפחתת התקפות - Microsoft Defender for Endpoint

למד כיצד להפעיל הגנת ניצול לרעה ב- Windows. הגנה מפני ניצול לרעה עוזרת להגן על המכשיר שלך מפני תוכנות זדוניות.
הפניה להגנה מפני ניצול לרעה - Microsoft Defender for Endpoint

פרטים אודות אופן הפעולה של תכונת ההגנה מפני ניצול לרעה ב- Windows

הדרכה

מודול

Explore advanced protection methods - Training

This module explores additional tools used to provide additional layers of security within an organization.

אישור

Microsoft Certified: Security Operations Analyst Associate - Certifications

חקור, חפש וצמצום איומים באמצעות Microsoft Sentinel, Microsoft Defender עבור ענן ו- Microsoft 365 Defender.

שתף באמצעות