Biztonsági rés kiaknázása elleni védelem kiértékelése

Cikk
04/26/2024

Érintett szolgáltatás:

Szeretné megismerni a Végponthoz készült Microsoft Defendert? Regisztráció az ingyenes próbaverzióra

A biztonsági rés kiaknázása elleni védelem segít megvédeni az eszközöket azokkal a kártevő szoftverekkel szemben, amelyek biztonsági rések kihasználása révén terjednek és fertőzik meg a többi eszközt. A kockázatcsökkentés alkalmazható az operációs rendszerre vagy egy adott alkalmazásra is. Az Enhanced Mitigation Experience Toolkit (EMET) részét képező számos funkció megtalálható a biztonsági rés kiaknázása elleni védelemben. (Az EMET támogatása megszűnt.)

A naplózás során láthatja, hogyan működik a kockázatcsökkentés bizonyos alkalmazások esetében egy tesztkörnyezetben. Ez azt mutatja, hogy mi történt volna, ha engedélyezte volna a biztonsági rés kiaknázása elleni védelmet az éles környezetben. Ily módon ellenőrizheti, hogy a biztonsági rés kiaknázása elleni védelem nincs-e kedvezőtlen hatással az üzletági alkalmazásokra, és láthatja, hogy milyen gyanús vagy rosszindulatú események történnek.

Biztonsági rés kiaknázása elleni védelem engedélyezése teszteléshez

A Windows biztonság alkalmazás vagy Windows PowerShell segítségével állíthat be kockázatcsökkentéseket tesztelési módban.

Windows biztonság alkalmazás

Nyissa meg a Windows biztonság appot. Válassza a pajzs ikont a tálcán, vagy keressen a Windows biztonság kifejezésre a Start menüben.
Válassza az Alkalmazás- és böngészőszabályozás csempét (vagy a bal oldali menüsáv alkalmazásikonját), majd válassza a Biztonsági rés kiaknázása elleni védelem elemet.
Nyissa meg a Programbeállítások menüt és válassza ki azt az alkalmazást, amelyre védelmet szeretne alkalmazni:
1. Ha a konfigurálni kívánt alkalmazás már szerepel a listában, jelölje ki, majd válassza a Szerkesztés lehetőséget
2. Ha az alkalmazás nem szerepel a lista tetején, válassza a Testre szabni kívánt program hozzáadása lehetőséget. Ezután válassza ki, hogyan szeretné hozzáadni az alkalmazást.
  - A Hozzáadás programnév alapján lehetőséggel alkalmazhatja a kockázatcsökkentést az adott névvel rendelkező futó folyamatokra. Meghatározhatja a fájlt kiterjesztéssel. Megadhatja a teljes elérési utat, ha a kockázatcsökkentést csak az adott nevű alkalmazásra szeretné korlátozni az adott helyen.
  - A Pontos fájlelérési út kiválasztása lehetőséggel egy szabványos Windows Intéző fájlválasztó ablakot használhat a kívánt fájl megkereséséhez és kijelöléséhez.
Az alkalmazás kiválasztása után megjelenik az összes alkalmazható kockázatcsökkentés listája. Ha a Naplózás lehetőséget választja, a kockázatcsökkentés csak tesztelési módban lesz alkalmazva. Értesítést kap, ha újra kell indítania a folyamatot, az alkalmazást vagy a Windowst.
Ismételje meg ezt az eljárást az összes konfigurálni kívánt alkalmazásra és kockázatcsökkentésre. Ha végzett a konfiguráció beállításával, válassza az Alkalmaz lehetőséget.

PowerShell-

Az alkalmazásszintű kockázatcsökkentés tesztelési módra való beállításához használja Set-ProcessMitigation a naplózási mód parancsmagját.

Az alábbi formátumban konfigurálhatja az egyes kockázatcsökkentéseket:

Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>

Hely:

<Hatókör>:
- -Name jelzi, hogy a kockázatcsökkentéseket egy adott alkalmazásra kell alkalmazni. Adja meg az alkalmazás végrehajtható fájlját a jelző után.
<Művelet>:
- -Enable a kockázatcsökkentés engedélyezéséhez
  - -Disable a kockázatcsökkentés letiltásához
<Kockázatcsökkentés>:
- A kockázatcsökkentés parancsmagja az alábbi táblázatban meghatározottak szerint. A kockázatcsökkentések vesszővel vannak elválasztva.

Kockázatcsökkentés	Tesztelési mód parancsmagja
Tetszőleges programkód futtatása elleni védelem (ACG)	`AuditDynamicCode`
Alacsony integritású lemezképek blokkolása	`AuditImageLoad`
Nem megbízható betűkészletek blokkolása	`AuditFont`, `FontAuditOnly`
Kódintegritás-védelem	`AuditMicrosoftSigned`, `AuditStoreSigned`
Win32k rendszerhívások letiltása	`AuditSystemCall`
Gyermekfolyamatok tiltása	`AuditChildProcess`

Ha például egy testing.exenevű alkalmazás tesztmódban szeretné engedélyezni az Tetszőleges kódőrt (ACG), futtassa a következő parancsot:

Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable AuditDynamicCode

A naplózási módot a(z) -Enable és a(z) -Disable cseréjével tilthatja le.

Biztonsági rés kiaknázása elleni védelem naplózási eseményeinek áttekintése

Ha ellenőrizni szeretné, hogy mely alkalmazások lettek volna letiltva, nyissa meg Eseménynaplót, és szűrjön a következő eseményekre a kockázatcsökkentő intézkedések naplójában.

Funkció	Szolgáltató/forrás	Eseményazonosító	Leírás
Biztonsági rés kiaknázása elleni védelem	Kockázatcsökkentő intézkedések (rendszermag mód/felhasználói mód)	1	ACG-naplózás
Biztonsági rés kiaknázása elleni védelem	Kockázatcsökkentő intézkedések (rendszermag mód/felhasználói mód)	3	Gyermekfolyamatok naplózásának letiltása
Biztonsági rés kiaknázása elleni védelem	Kockázatcsökkentő intézkedések (rendszermag mód/felhasználói mód)	5	Alacsony integritású rendszerképek naplózásának letiltása
Biztonsági rés kiaknázása elleni védelem	Kockázatcsökkentő intézkedések (rendszermag mód/felhasználói mód)	7	Távoli lemezképek naplózásának blokkolása
Biztonsági rés kiaknázása elleni védelem	Kockázatcsökkentő intézkedések (rendszermag mód/felhasználói mód)	9	Win32k rendszerhívások naplózásának letiltása
Biztonsági rés kiaknázása elleni védelem	Kockázatcsökkentő intézkedések (rendszermag mód/felhasználói mód)	11	Kódintegritási védelem naplózása

Lásd még

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.

Megosztás a következőn keresztül: