Vurder utnyttelsesbeskyttelse
Gjelder for:
- Microsoft Defender for endepunkt plan 1
- Microsoft Defender for endepunkt plan 2
- Microsoft Defender XDR
Vil du oppleve Microsoft Defender for endepunkt? Registrer deg for en gratis prøveperiode.
Exploit Protection bidrar til å beskytte enheter mot skadelig programvare, som bruker utnyttelser til å spre og infisere andre enheter. Begrensing kan brukes på enten operativsystemet eller en individuell app. Mange av funksjonene som var en del av EMET (Enhanced Mitigation Experience Toolkit) er inkludert i Exploit Protection. (EMET har nådd avviklingen av kundestøtten.)
I revisjonen kan du se hvordan begrensning fungerer for bestemte apper i et testmiljø. Dette viser hva som ville ha skjedd hvis du aktiverte Exploit Protection i produksjonsmiljøet. På denne måten kan du bekrefte at Exploit Protection ikke påvirker bransjespesifikke apper negativt, og se hvilke mistenkelige eller skadelige hendelser som oppstår.
Aktiver Exploit Protection for testing
Du kan angi begrensninger i en testmodus for bestemte programmer ved hjelp av Windows Security-appen eller Windows PowerShell.
Windows Security-appen
Bruk Windows Security-appen. Velg skjoldikonet på oppgavelinjen, eller søk i startmenyen etter Windows Security.
Velg flisen App- og nettleserkontroll (eller appikonet på den venstre menylinjen), og velg deretter Utnyttelsesbeskyttelse.
Gå til Programinnstillinger og velg appen du vil bruke beskyttelse på:
- Hvis appen du vil konfigurere allerede er oppført, velger du den og velger deretter Rediger
- Hvis appen ikke er oppført øverst i listen, velger du Legg til program for å tilpasse. Velg deretter hvordan du vil legge til appen.
- Bruk Legg til etter programnavn for å få begrensningen brukt på alle kjørende prosesser med dette navnet. Angi en fil med en utvidelse. Du kan angi en fullstendig bane for å innskrenke begrensningen til bare appen med dette navnet på den plasseringen.
- Bruk Velg nøyaktig filbane for å bruke et standard Windows Utforsker filvelgervindu for å finne og velge filen du vil bruke.
Når du har valgt appen, ser du en liste over alle begrensningene som kan brukes. Hvis du velger Overvåking , brukes begrensningen bare i testmodus. Du blir varslet hvis du må starte prosessen, appen eller Windows på nytt.
Gjenta denne fremgangsmåten for alle appene og begrensningene du vil konfigurere. Velg Bruk når du er ferdig med å konfigurere konfigurasjonen.
PowerShell
Hvis du vil angi begrensninger på appnivå til testmodus, kan du bruke Set-ProcessMitigation med cmdleten overvåkingsmodus .
Konfigurer hver begrensning i følgende format:
Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>
Hvor:
-
<Omfang>:
-
-Namefor å angi at begrensningene skal brukes på en bestemt app. Angi appens kjørbare fil etter dette flagget.
-
-
<Handling>:
-
-Enablefor å aktivere begrensningen-
-Disablefor å deaktivere begrensningen
-
-
-
<Begrensning>:
- Begrensningens cmdlet som definert i følgende tabell. Hver begrensning er atskilt med komma.
| Begrensning | Cmdlet for testmodus |
|---|---|
| Arbitrary Code Guard (ACG) | AuditDynamicCode |
| Blokker bilder med lav integritet | AuditImageLoad |
| Blokker uklarerte skrifttyper |
AuditFont, FontAuditOnly |
| Vern for kodeintegritet |
AuditMicrosoftSigned, AuditStoreSigned |
| Deaktiver Win32k systemanrop | AuditSystemCall |
| Ikke tillat underordnede prosesser | AuditChildProcess |
Hvis du for eksempel vil aktivere acg (Arbitrary Code Guard) i testmodus for en app kalttesting.exe, kjører du følgende kommando:
Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable AuditDynamicCode
Du kan deaktivere Overvåkingsmodus ved å erstatte -Enable med -Disable.
Se gjennom overvåkingshendelser for Exploit Protection
Hvis du vil se gjennom hvilke apper som ville ha blitt blokkert, åpner du Hendelsesliste og filtrerer etter følgende hendelser i loggen for sikkerhetsbegrensninger.
| Funksjon | Leverandør/kilde | Hendelses-ID | Beskrivelse |
|---|---|---|---|
| Exploit Protection | Sikkerhetsbegrensninger (kjernemodus/brukermodus) | 1 | ACG-overvåking |
| Exploit Protection | Sikkerhetsbegrensninger (kjernemodus/brukermodus) | 3 | Ikke tillat underordnede prosesser |
| Exploit Protection | Sikkerhetsbegrensninger (kjernemodus/brukermodus) | 5 | Blokker bilder med lav integritet |
| Exploit Protection | Sikkerhetsbegrensninger (kjernemodus/brukermodus) | 7 | Blokker eksterne bilder |
| Exploit Protection | Sikkerhetsbegrensninger (kjernemodus/brukermodus) | 9 | Deaktiver Win32k systemanrop |
| Exploit Protection | Sikkerhetsbegrensninger (kjernemodus/brukermodus) | 11 | Overvåking av vern for kodeintegritet |
Se også
- Aktiver utnyttelsesbeskyttelse
- Konfigurer og overvåk beskyttelsesbegrensninger
- Importer, eksporter og distribuer konfigurasjoner av beskyttelsesbegrensninger
- Feilsøk Exploit Protection
Tips
Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.