Del via

Aktiver utnyttelsesbeskyttelse

  • Artikkel

Gjelder for:

Tips

Vil du oppleve Defender for endepunkt? Registrer deg for en gratis prøveperiode.

Utnyttelsesbeskyttelse bidrar til å beskytte mot skadelig programvare, som bruker utnyttelser til å infisere enheter og spre seg. Utnyttelsesbeskyttelse består av mange begrensninger som kan brukes enten på operativsystemet eller individuelle apper.

Viktig

.NET 2.0 er ikke kompatibel med enkelte funksjoner for utnyttelsesbeskyttelse, spesielt eksportadressefiltrering (EAF) og importadressefiltrering (IAF). Hvis du har aktivert .NET 2.0, støttes ikke bruk av EAF og IAF.

Mange funksjoner fra Enhanced Mitigation Experience Toolkit (EMET) er inkludert i utnyttelsesbeskyttelse.

Du kan aktivere hver begrensning separat ved hjelp av en av disse metodene:

Utnyttelsesbeskyttelse er konfigurert som standard i Windows 10 og Windows 11. Du kan angi hver begrensning til på, av eller til standardverdien. Noen begrensninger har flere alternativer. Du kan eksportere disse innstillingene som en XML-fil og distribuere dem til andre enheter.

Du kan også angi begrensninger til overvåkingsmodus. Med overvåkingsmodus kan du teste hvordan begrensningene vil fungere (og se gjennom hendelser), uten å påvirke den normale bruken av enheten.

Windows Security-appen

  1. Åpne Windows Security-appen ved enten å velge skjoldikonet på oppgavelinjen, eller ved å søke i Start-menyen etter Sikkerhet.

  2. Velg flisen App- og nettleserkontroll (eller appikonet på den venstre menylinjen), og velg deretter Innstillinger for utnyttelsesbeskyttelse.

  3. Gå til Programinnstillinger og velg appen du vil bruke begrensninger på.

    • Hvis appen du vil konfigurere allerede er oppført, velger du den og velger deretter Rediger.
    • Hvis appen ikke er oppført, velger du Legg til program øverst i listen for å tilpasse , og deretter velger du hvordan du vil legge til appen.
    • Bruk Legg til etter programnavn for å få begrensningen brukt på alle kjørende prosesser med dette navnet. Angi en fil sammen med utvidelsen. Du kan angi en fullstendig bane for å innskrenke begrensningen til bare appen med dette navnet på den plasseringen.
    • Bruk Velg nøyaktig filbane for å bruke et standard Windows Utforsker filvelgervindu for å finne og velge filen du vil bruke.

  4. Når du har valgt appen, ser du en liste over alle begrensningene som kan brukes. Hvis du velger Overvåking brukes begrensningen bare i overvåkingsmodus. Du blir varslet hvis du må starte prosessen eller appen på nytt, eller hvis du må starte Windows på nytt.

  5. Gjenta trinn 3–4 for alle appene og begrensningene du vil konfigurere.

  6. Finn begrensningen du vil konfigurere under Systeminnstillinger, og angi deretter en av følgende innstillinger. Apper som ikke er konfigurert individuelt i delen Programinnstillinger bruker innstillingene som er konfigurert her.

    • På som standard: Begrensningen er aktivert for apper som ikke har denne begrensningen angitt i den appspesifikke delen Programinnstillinger
    • Av som standard: Begrensningen er deaktivert for apper som ikke har denne begrensningen angitt i den appspesifikke delen Programinnstillinger
    • Bruk standard: Begrensningen er enten aktivert eller deaktivert, avhengig av standardkonfigurasjonen som er konfigurert av Windows 10 eller Windows 11-installasjonen. Standardverdien ( eller Av) angis alltid ved siden av Bruk standard -etiketten for hver begrensning.

  7. Gjenta trinn 6 for alle begrensningene du vil konfigurere på systemnivå. Velg Bruk når du er ferdig med å konfigurere konfigurasjonen.

Hvis du legger til en app i programinnstillingsdelen og konfigurerer individuelle begrensningsinnstillinger der, overholdes de over konfigurasjonen for de samme begrensningene som er angitt i delen Systeminnstillinger . Følgende matrise og eksempler bidrar til å illustrere hvordan standarder fungerer:

Aktivert i Programinnstillinger Aktivert i Systeminnstillinger Virkemåte
Ja Nei Som definert i Programinnstillinger
Ja Ja Som definert i Programinnstillinger
Nei Ja Som definert i Systeminnstillinger
Nei Nei Standard som definert i alternativet Bruk standard

Eksempel 1: Mikael konfigurerer datakjøringsforhindring i delen systeminnstillinger til å være deaktivert som standard

Mikael legger til appen test.exe i delen Programinnstillinger. Under Datakjøringsforhindring (DEP) i alternativene for denne appen, aktiverer Mikael alternativet Overstyr systeminnstillinger, og setter bryteren til . Det er ingen andre apper oppført i delen Programinnstillinger.

Resultatet er at DEP bare er aktivert for test.exe. Alle andre apper har ikke brukt DEP.

Eksempel 2: Josie konfigurerer datakjøringsforhindring i systeminnstillingene til å være deaktivert som standard

Josie legger til appen test.exe i delen Programinnstillinger. Under Datakjøringsforhindring (DEP), i alternativene for denne appen aktiverer Josie alternativet Overstyr systeminnstillinger og setter bryteren til .

Josie legger også til appen miles.exe i delen Programinnstillinger og konfigurerer Kontrollflytbeskyttelse (CFG) til . Josie aktiverer ikke alternativet Overstyr systeminnstillinger for DEP eller andre begrensninger for den appen.

Resultatet er at DEP er aktivert for test.exe. DEP blir ikke aktivert for andre apper, inkludert miles.exe. CFG aktiveres for miles.exe.

  1. Åpne Windows Security-appen ved å velge skjoldikonet på oppgavelinjen eller søke i startmenyen etter Windows-sikkerhet.

  2. Velg flisen App- og nettleserkontroll (eller appikonet på den venstre menylinjen), og velg deretter Utnyttelsesbeskyttelse.

  3. Gå til Programinnstillinger og velg appen du vil bruke begrensninger på.

    • Hvis appen du vil konfigurere allerede er oppført, velger du den og velger deretter Rediger.
    • Hvis appen ikke er oppført, velger du Legg til program øverst i listen for å tilpasse , og deretter velger du hvordan du vil legge til appen.
      • Bruk Legg til etter programnavn for å få begrensningen brukt på alle kjørende prosesser med dette navnet. Angi en fil med en utvidelse. Du kan angi en fullstendig bane for å innskrenke begrensningen til bare appen med dette navnet på den plasseringen.
      • Bruk Velg nøyaktig filbane for å bruke et standard Windows Utforsker filvelgervindu for å finne og velge filen du vil bruke.

  4. Når du har valgt appen, ser du en liste over alle begrensningene som kan brukes. Hvis du velger Overvåking brukes begrensningen bare i overvåkingsmodus. Du blir varslet hvis du må starte prosessen eller appen på nytt, eller hvis du må starte Windows på nytt.

  5. Gjenta trinn 3–4 for alle appene og begrensningene du vil konfigurere. Velg Bruk når du er ferdig med å konfigurere konfigurasjonen.

Intune

  1. Logg på Azure-portalen og åpne Intune.

  2. Gå tilOpprett profil forkonfigurasjonsprofilerfor enhetskonfigurasjon>>.

  3. Gi navn til profilen, velg Windows 10 og nyere, velg maler for profiltype og velg endepunktbeskyttelse under malnavn.

    Profilen Opprett endepunktbeskyttelse

  4. Velg Konfigurer>Windows Defender Exploit Guard>Exploit Protection.

  5. Last opp en XML-fil med innstillingene for utnyttelsesbeskyttelse:

    Innstillingen Aktiver nettverksbeskyttelse i Intune

  6. Velg OK for å lagre hvert åpne blad, og velg deretter Opprett.

  7. Velg profilen Tildelinger -fanen, tilordne policyen til Alle brukere og Alle enheter, og velg deretter Lagre.

MDM

Bruk ./Vendor/MSFT/Policy/Config/ExploitGuard/ExploitProtectionSettings configuration service provider (CSP), for å aktivere eller deaktivere begrensning av utnyttelsesbeskyttelse eller bruke overvåkingsmodus.

Microsoft Configuration Manager

Sikkerhet for endepunkt

  1. Gå til Surface Reduction for endepunktsikkerhetsangrep> i Microsoft Configuration Manager.

  2. Velg Opprett policyplattform>, og velg Exploit Protection for profil. Velg deretter Opprett.

  3. Angi et navn og en beskrivelse, og velg deretter Neste.

  4. Velg Velg XML-fil og bla til plasseringen av XML-filen for utnyttelsesbeskyttelse. Velg filen, og velg deretter Neste.

  5. Konfigurer Scope-koder and Tildelinger om nødvendig.

  6. Se gjennom konfigurasjonsinnstillingene under Se gjennom +opprett, og velg deretter Opprett.

Aktiva og forskriftssamsvar

  1. Gå til Assets and Compliance>Endpoint Protection>Windows Defender Exploit Guard i Microsoft Configuration Manager.

  2. Velg Policy for Home>Create Exploit Guard.

  3. Angi et navn og en beskrivelse, velg Utnyttelsesbeskyttelse, og velg deretter Neste.

  4. Bla til plasseringen av XML-filen for utnyttelsesbeskyttelse, og velg Neste.

  5. Se gjennom innstillingene, og velg deretter Neste for å opprette policyen.

  6. Når policyen er opprettet, velger du Lukk.

Gruppepolicy

  1. Åpne Konsoll for gruppepolicybehandling på gruppepolicy-administrasjonsenheten, høyreklikk gruppepolicyobjektet du vil konfigurere, og klikk på Rediger.

  2. I Redigeringsprogram for gruppepolicybehandling, går du til Datamaskinkonfigurasjon og velger Administrative maler.

  3. Utvid treet til Windows-komponentene>Windows Defender Exploit Guard>Exploit Protection>Bruk et felles sett med innstillinger for utnyttelsesbeskyttelse.

  4. Velg Aktivert og skriv inn plasseringen til XML-filen, og velg deretter OK.

PowerShell

Du kan bruke PowerShell-verbet Get eller Set med cmdlet ProcessMitigation. Ved hjelp av Get vises gjeldende konfigurasjonsstatus for eventuelle begrensninger som er aktivert på enheten. Legg til -Name cmdlet og app exe for å se begrensninger for bare den appen:

Get-ProcessMitigation -Name processName.exe

Viktig

Begrensninger på systemnivå som ikke er konfigurert, viser statusen NOTSET.

  • For innstillinger på systemnivå, angir NOTSET at standardinnstillingen for denne begrensningen blir brukt.
  • For innstillinger på appnivå, angir NOTSET at systemnivåinnstillingen for begrensningen blir brukt. Standardinnstillingen for hver begrensning på systemnivå vises i Windows-sikkerhet.

Bruk Set til å konfigurere hver begrensning i følgende format:

Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>

Hvor:

  • <Omfang>:
    • -Name for å angi at begrensningene skal brukes på en bestemt app. Angi appens kjørbare fil etter dette flagget.
      • -System for å angi at begrensningen skal brukes på systemnivå
  • <Handling>:
    • -Enable for å aktivere begrensningen
    • -Disable for å deaktivere begrensningen
  • <Begrensning>:
    • begrensningens cmdlet sammen med eventuelle underoperasjoner (omgitt av mellomrom). Hver begrensning er atskilt med komma.

Hvis du for eksempel vil aktivere thunk-emulering for Datakjøringsforhindring (DEP) med ATL og for en kjørbar fil kalt testing.exe i mappen C:\Apps\LOB\tests, og for å hindre at den kjørbare filen oppretter underordnede prosesser, ville du brukt følgende kommando:

Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable DEP, EmulateAtlThunks, DisallowChildProcessCreation

Viktig

Skill hvert begrensningsalternativ med komma.

Hvis du vil bruke DEP på systemnivå, bruker du følgende kommando:

Set-Processmitigation -System -Enable DEP

Hvis du vil deaktivere begrensninger, kan du erstatte -Enable med -Disable. For begrensninger på appnivå tvinger denne handlingen imidlertid begrensningen til å deaktiveres bare for denne appen.

Hvis du må gjenopprette begrensningen tilbake til systemstandarden, må du inkludere cmdleten -Remove også, som i følgende eksempel:

Set-Processmitigation -Name test.exe -Remove -Disable DEP

Den følgende tabellen viser individuelle Begrensninger (og Overvåkinger, når tilgjengelig) som skal brukes med -Enable eller -Disable cmdlet-parametere.

Begrensningstype Gjelder Nøkkelord for begrensnings-cmdlet-parameter Cmdlet-parameter for overvåkingsmodus
Control Flow Guard (CFG) System- og appnivå CFG, StrictCFG, SuppressExports Revisjon ikke tilgjengelig
Datakjøringsforhindring (DEP) System- og appnivå DEP, EmulateAtlThunks Revisjon ikke tilgjengelig
Tving randomisering for bilder (obligatorisk ASLR) System- og appnivå ForceRelocateImages Revisjon ikke tilgjengelig
Randomiser tildelinger av minne (nedenfra og opp-ASLR). System- og appnivå BottomUp, HighEntropy Revisjon ikke tilgjengelig
Valider unntakskjeder (SEHOP) System- og appnivå SEHOP, SEHOPTelemetry Revisjon ikke tilgjengelig
Valider heap-integritet System- og appnivå TerminateOnError Revisjon ikke tilgjengelig
Vilkårlig kodevern (ACG) Bare appnivå DynamicCode AuditDynamicCode
Blokker bilder med lav integritet Bare appnivå BlockLowLabel AuditImageLoad
Blokker eksterne bilder Bare appnivå BlockRemoteImages Revisjon ikke tilgjengelig
Blokker uklarerte skrifttyper Bare appnivå DisableNonSystemFonts AuditFont, FontAuditOnly
Vern for kodeintegritet Bare appnivå BlockNonMicrosoftSigned, AllowStoreSigned AuditMicrosoftSigned, AuditStoreSigned
Deaktiver utvidelsespunkter Bare appnivå ExtensionPoint Revisjon ikke tilgjengelig
Deaktiver Win32k systemanrop Bare appnivå DisableWin32kSystemCalls AuditSystemCall
Ikke tillat underordnede prosesser Bare appnivå DisallowChildProcessCreation AuditChildProcess
Eksportadressefiltrering (EAF) Bare appnivå EnableExportAddressFilterPlus, EnableExportAddressFilter[1] Overvåking er ikke tilgjengelig [2]
Importadressefiltrering (IAF) Bare appnivå EnableImportAddressFilter Overvåking er ikke tilgjengelig [2]
Simuler kjøring (SimExec) Bare appnivå EnableRopSimExec Overvåking er ikke tilgjengelig [2]
Valider API-aktivering (CallerCheck) Bare appnivå EnableRopCallerCheck Overvåking er ikke tilgjengelig [2]
Valider referansebruk Bare appnivå StrictHandle Revisjon ikke tilgjengelig
Valider integritet for avbildningsavhengighet Bare appnivå EnforceModuleDepencySigning Revisjon ikke tilgjengelig
Valider stabelintegritet (StackPivot) Bare appnivå EnableRopStackPivot Overvåking er ikke tilgjengelig [2]

[1]: Bruk følgende format til å aktivere EAF-moduler for DLL-er for en prosess:

Set-ProcessMitigation -Name processName.exe -Enable EnableExportAddressFilterPlus -EAFModules dllName1.dll,dllName2.dll

[2]: Overvåking av denne begrensningen er ikke tilgjengelig via PowerShell-cmdleter.

Tilpass varselet

Hvis du vil ha informasjon om hvordan du tilpasser varselet når en regel utløses og en app eller fil blokkeres, kan du se Windows-sikkerhet.

Se også

Tips

Vil du lære mer? Engasjer deg med Microsoft Security-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender for Endpoint Tech Community.