הגן על מכשירים מפני ניצול לרעה
חל על:
- Microsoft Defender עבור תוכנית 1 של נקודת קצה
- Microsoft Defender עבור תוכנית 2 של נקודת קצה
- Microsoft Defender XDR
הגנה מפני ניצול לרעה מחילה באופן אוטומטי טכניקות רבות של צמצום ניצול לרעה על תהליכים ואפליקציות של מערכת ההפעלה. הגנה מפני ניצול לרעה נתמכת החל Windows 10 גירסה 1709, Windows 11 ו- Windows Server, גירסה 1803.
הגנה מפני ניצול לרעה פועלת בצורה הטובה ביותר עם Defender for Endpoint - מה שמספק לך דיווח מפורט על אירועי הגנה מפני ניצול לרעה ובלוקים כחלק מתרחישי חקירת ההתראה הרגילים.
באפשרותך להפעיל הגנה מפני ניצול לרעה במכשיר בודד ולאחר מכן להשתמש ב- מדיניות קבוצתית כדי להפיץ את קובץ ה- XML למכשירים מרובים בו-זמנית.
כאשר נמצאה במכשיר צמצום סיכונים, מוצגת הודעה ממרכז הפעולות. באפשרותך להתאים אישית את ההודעה עם פרטי החברה ופרטי הקשר שלך. באפשרותך גם להפוך את הכללים לזמינים בנפרד כדי להתאים אישית את הטכניקות של צגי התכונות.
באפשרותך גם להשתמש במצב ביקורת כדי להעריך כיצד הגנה מפני ניצול לרעה תשפיע על הארגון שלך אם היא זמינה.
רבות מהתכונות בערכת הכלים Enhanced Mitigation Experience Toolkit (EMET) נכללות בהגנה מפני ניצול לרעה. למעשה, באפשרותך להמיר ולייבא פרופילי תצורה קיימים של EMET להגנה מפני ניצול לרעה. לקבלת מידע נוסף, ראה ייבוא , ייצוא ופריסה של תצורות הגנה מפני ניצול לרעה.
חשוב
אם אתה משתמש כעת ב- EMET עליך להיות מודע לכך ש- EMET הגיעה לסיום התמיכה ב- 31 ביולי, 2018. שקול להחליף את EMET בהגנה מפני ניצול Windows 10.
אזהרה
טכנולוגיות מסוימות של צמצום סיכוני אבטחה עשויות להיתקל בבעיות תאימות עם יישומים מסוימים. עליך לבדוק הגנה מפני ניצול לרעה בכל תרחישי השימוש ביעד באמצעות מצב ביקורת לפני פריסת התצורה בסביבת ייצור או בשאר הרשת.
סקירת אירועי הגנה מפני ניצול לרעה בפורטל Microsoft Defender שלך
Defender for Endpoint מספק דיווח מפורט לאירועים ובלוקים כחלק מתרחישי חקירת ההתראה שלה.
באפשרותך לבצע שאילתה ב- Defender עבור נתוני נקודת קצה באמצעות ציד מתקדם. אם אתה משתמש במצב ביקורת, באפשרותך להשתמש לציד מתקדם כדי לראות כיצד הגדרות הגנה מפני ניצול לרעה עלולות להשפיע על הסביבה שלך.
להלן שאילתה לדוגמה:
DeviceEvents
| where ActionType startswith 'ExploitGuard' and ActionType !contains 'NetworkProtection'
סקירת אירועי הגנה מפני ניצול לרעה ב- Windows מציג האירועים
באפשרותך לסקור את יומן האירועים של Windows כדי לראות אירועים הנוצרים בעת חסימות הגנה מפני ניצול לרעה (או ביקורות) של אפליקציה:
| ספק/מקור | מזהה אירוע | תיאור |
|---|---|---|
| Security-Mitigations | 1 | ביקורת ACG |
| Security-Mitigations | 2 | אכיפת ACG |
| Security-Mitigations | 3 | אל תאפשר ביקורת של תהליכי צאצא |
| Security-Mitigations | 4 | אל תאפשר חסימת תהליכי צאצא |
| Security-Mitigations | 5 | ביקורת של חסימת תמונות בעלות תקינות נמוכה |
| Security-Mitigations | 6 | חסימת חסימת תמונות תקינות נמוכה |
| Security-Mitigations | 7 | ביקורת של חסימת תמונות מרוחקות |
| Security-Mitigations | 8 | חסימת תמונות מרוחקות |
| Security-Mitigations | 9 | ביקורת של ביטול שיחות מערכת win32k |
| Security-Mitigations | 10 | בטל חסימת שיחות מערכת של win32k |
| Security-Mitigations | 11 | ביקורת של מגן תקינות קוד |
| Security-Mitigations | 12 | בלוק שומר תקינות קוד |
| Security-Mitigations | 13 | ביקורת EAF |
| Security-Mitigations | 14 | אכיפת EAF |
| Security-Mitigations | 15 | ביקורת EAF+ |
| Security-Mitigations | 16 | EAF+ אכיפת |
| Security-Mitigations | 17 | ביקורת IAF |
| Security-Mitigations | 18 | אכיפת IAF |
| Security-Mitigations | 19 | ביקורת ROP StackPivot |
| Security-Mitigations | 20 | אכיפת ROP StackPivot |
| Security-Mitigations | 21 | מתקשר ROP בדוק ביקורת |
| Security-Mitigations | 22 | הפונקציה ROP CallerCheck אוכפת |
| Security-Mitigations | 23 | ביקורת ROP SimExec |
| Security-Mitigations | 24 | אכיפת ROP SimExec |
| WER-Diagnostics | 5 | בלוק CFG |
| Win32K | 260 | גופן לא מהימן |
השוואת צמצום סיכונים
צמצום הסיכונים הזמין ב- EMET נכללים במקור ב- Windows 10 (החל מגירסה 1709), Windows 11 ו- Windows Server (החל מגירסה 1803), תחת הגנה מפני ניצול לרעה.
הטבלה בסעיף זה מציינת את הזמינות והתמיכה של צמצום סיכונים מקורי בין EMET לבין הגנה מפני ניצול לרעה.
| צמצום סיכונים | זמין במסגרת הגנה מפני ניצול לרעה | זמין ב- EMET |
|---|---|---|
| מגן קוד שרירותי (ACG) | כן | כן כ"בדיקת הגנת זיכרון" |
| חסום תמונות מרוחקות | כן | כן כ"טען בדיקת ספריה" |
| חסום גופנים לא מהימנים | כן | כן |
| מניעת ביצוע נתונים (DEP) | כן | כן |
| ייצוא סינון כתובות (EAF) | כן | כן |
| כפה אקראיות עבור תמונות (ASLR הכרחי) | כן | כן |
| NullPage Security Mitigation | כן כלול במקור ב- Windows 10 וב- Windows 11 לקבלת מידע נוסף, ראה צמצום איומים באמצעות Windows 10 אבטחה חדשות |
כן |
| הקצאות זיכרון אקראית (ASLR מלמטה למעלה) | כן | כן |
| הדמיית ביצוע (SimExec) | כן | כן |
| אימות בקשת API (CallerCheck) | כן | כן |
| אימות שרשראות חריגות (SEHOP) | כן | כן |
| אימות תקינות מערום (StackPivot) | כן | כן |
| אמון באישור (הצמדת אישור הניתנת להגדרה) | Windows 10 ו- Windows 11 מספקים הצמדת אישור ארגוני | כן |
| הקצאה של תרסיס תותבות | לא יעיל מפני ניצולים חדשים יותר מבוססי דפדפן; צמצום סיכונים חדש יותר מספק הגנה טובה יותר לקבלת מידע נוסף, ראה צמצום איומים באמצעות Windows 10 אבטחה חדשות |
כן |
| חסום תמונות בעלות תקינות נמוכה | כן | לא |
| מגן תקינות קוד | כן | לא |
| הפוך נקודות הרחבה ללא זמינות | כן | לא |
| הפוך קריאות מערכת של Win32k ללא זמינות | כן | לא |
| אל תאפשר תהליכי צאצא | כן | לא |
| ייבוא סינון כתובות (IAF) | כן | לא |
| אימות שימוש בנקודות אחיזה | כן | לא |
| אמת תקינות ערימה | כן | לא |
| אימות תקינות תלות של תמונה | כן | לא |
הערה
צמצום הסיכונים המתקדם של ROP הזמינים ב- EMET מוחלף על-ידי ACG ב- Windows 10 וב- Windows 11, אשר הגדרות מתקדמות אחרות של EMET מופעלות כברירת מחדל, כחלק מהפיכת צמצום הסיכונים למניעת ROP לזמין עבור תהליך. לקבלת מידע נוסף על האופן Windows 10 משתמש בטכנולוגיית EMET קיימת, עיין באיומים של צמצום סיכונים באמצעות Windows 10 אבטחה אלה.
למידע נוסף
- קביעת תצורה וביקורת של הקלה של הגנה מפני ניצול לרעה
- פתרון בעיות בהגנה מפני ניצול לרעה
- מיטוב פריסה וזיהוי של כלל ASR
עצה
האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.