Biztonsági rés kiaknázása elleni védelem kiértékelése
Érintett szolgáltatás:
- Végponthoz készült Microsoft Defender 1. csomag
- Végponthoz készült Microsoft Defender 2. csomag
- Microsoft Defender XDR
Szeretné megismerni a Végponthoz készült Microsoft Defendert? Regisztráció az ingyenes próbaverzióra
A biztonsági rés kiaknázása elleni védelem segít megvédeni az eszközöket azokkal a kártevő szoftverekkel szemben, amelyek biztonsági rések kihasználása révén terjednek és fertőzik meg a többi eszközt. A kockázatcsökkentés alkalmazható az operációs rendszerre vagy egy adott alkalmazásra is. Az Enhanced Mitigation Experience Toolkit (EMET) részét képező számos funkció megtalálható a biztonsági rés kiaknázása elleni védelemben. (Az EMET támogatása megszűnt.)
A naplózás során láthatja, hogyan működik a kockázatcsökkentés bizonyos alkalmazások esetében egy tesztkörnyezetben. Ez azt mutatja, hogy mi történt volna, ha engedélyezte volna a biztonsági rés kiaknázása elleni védelmet az éles környezetben. Ily módon ellenőrizheti, hogy a biztonsági rés kiaknázása elleni védelem nincs-e kedvezőtlen hatással az üzletági alkalmazásokra, és láthatja, hogy milyen gyanús vagy rosszindulatú események történnek.
Biztonsági rés kiaknázása elleni védelem engedélyezése teszteléshez
A Windows biztonság alkalmazás vagy Windows PowerShell segítségével állíthat be kockázatcsökkentéseket tesztelési módban.
Windows biztonság alkalmazás
Nyissa meg a Windows biztonság appot. Válassza a pajzs ikont a tálcán, vagy keressen a Windows biztonság kifejezésre a Start menüben.
Válassza az Alkalmazás- és böngészőszabályozás csempét (vagy a bal oldali menüsáv alkalmazásikonját), majd válassza a Biztonsági rés kiaknázása elleni védelem elemet.
Nyissa meg a Programbeállítások menüt és válassza ki azt az alkalmazást, amelyre védelmet szeretne alkalmazni:
- Ha a konfigurálni kívánt alkalmazás már szerepel a listában, jelölje ki, majd válassza a Szerkesztés lehetőséget
- Ha az alkalmazás nem szerepel a lista tetején, válassza a Testre szabni kívánt program hozzáadása lehetőséget. Ezután válassza ki, hogyan szeretné hozzáadni az alkalmazást.
- A Hozzáadás programnév alapján lehetőséggel alkalmazhatja a kockázatcsökkentést az adott névvel rendelkező futó folyamatokra. Meghatározhatja a fájlt kiterjesztéssel. Megadhatja a teljes elérési utat, ha a kockázatcsökkentést csak az adott nevű alkalmazásra szeretné korlátozni az adott helyen.
- A Pontos fájlelérési út kiválasztása lehetőséggel egy szabványos Windows Intéző fájlválasztó ablakot használhat a kívánt fájl megkereséséhez és kijelöléséhez.
Az alkalmazás kiválasztása után megjelenik az összes alkalmazható kockázatcsökkentés listája. Ha a Naplózás lehetőséget választja, a kockázatcsökkentés csak tesztelési módban lesz alkalmazva. Értesítést kap, ha újra kell indítania a folyamatot, az alkalmazást vagy a Windowst.
Ismételje meg ezt az eljárást az összes konfigurálni kívánt alkalmazásra és kockázatcsökkentésre. Ha végzett a konfiguráció beállításával, válassza az Alkalmaz lehetőséget.
PowerShell-
Az alkalmazásszintű kockázatcsökkentés tesztelési módra való beállításához használja Set-ProcessMitigation
a naplózási mód parancsmagját.
Az alábbi formátumban konfigurálhatja az egyes kockázatcsökkentéseket:
Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>
Hely:
- <Hatókör>:
-Name
jelzi, hogy a kockázatcsökkentéseket egy adott alkalmazásra kell alkalmazni. Adja meg az alkalmazás végrehajtható fájlját a jelző után.
- <Művelet>:
-Enable
a kockázatcsökkentés engedélyezéséhez-Disable
a kockázatcsökkentés letiltásához
- <Kockázatcsökkentés>:
- A kockázatcsökkentés parancsmagja az alábbi táblázatban meghatározottak szerint. A kockázatcsökkentések vesszővel vannak elválasztva.
Kockázatcsökkentés | Tesztelési mód parancsmagja |
---|---|
Tetszőleges programkód futtatása elleni védelem (ACG) | AuditDynamicCode |
Alacsony integritású lemezképek blokkolása | AuditImageLoad |
Nem megbízható betűkészletek blokkolása | AuditFont , FontAuditOnly |
Kódintegritás-védelem | AuditMicrosoftSigned , AuditStoreSigned |
Win32k rendszerhívások letiltása | AuditSystemCall |
Gyermekfolyamatok tiltása | AuditChildProcess |
Ha például egy testing.exenevű alkalmazás tesztmódban szeretné engedélyezni az Tetszőleges kódőrt (ACG), futtassa a következő parancsot:
Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable AuditDynamicCode
A naplózási módot a(z) -Enable
és a(z) -Disable
cseréjével tilthatja le.
Biztonsági rés kiaknázása elleni védelem naplózási eseményeinek áttekintése
Ha ellenőrizni szeretné, hogy mely alkalmazások lettek volna letiltva, nyissa meg Eseménynaplót, és szűrjön a következő eseményekre a kockázatcsökkentő intézkedések naplójában.
Funkció | Szolgáltató/forrás | Eseményazonosító | Leírás |
---|---|---|---|
Biztonsági rés kiaknázása elleni védelem | Kockázatcsökkentő intézkedések (rendszermag mód/felhasználói mód) | 1 | ACG-naplózás |
Biztonsági rés kiaknázása elleni védelem | Kockázatcsökkentő intézkedések (rendszermag mód/felhasználói mód) | 3 | Gyermekfolyamatok naplózásának letiltása |
Biztonsági rés kiaknázása elleni védelem | Kockázatcsökkentő intézkedések (rendszermag mód/felhasználói mód) | 5 | Alacsony integritású rendszerképek naplózásának letiltása |
Biztonsági rés kiaknázása elleni védelem | Kockázatcsökkentő intézkedések (rendszermag mód/felhasználói mód) | 7 | Távoli lemezképek naplózásának blokkolása |
Biztonsági rés kiaknázása elleni védelem | Kockázatcsökkentő intézkedések (rendszermag mód/felhasználói mód) | 9 | Win32k rendszerhívások naplózásának letiltása |
Biztonsági rés kiaknázása elleni védelem | Kockázatcsökkentő intézkedések (rendszermag mód/felhasználói mód) | 11 | Kódintegritási védelem naplózása |
Lásd még
- Biztonsági rés kiaknázása elleni védelem engedélyezése
- Biztonsági rés kiaknázása elleni védelem kockázatcsökkentéseinek konfigurálása és naplózása
- Biztonsági rés kiaknázása elleni védelmi konfigurációk importálása, exportálása és üzembe helyezése
- Biztonsági rés kiaknázása elleni védelem hibaelhárítása
Tipp
Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: