Del via


Vurder utnyttelsesbeskyttelse

Gjelder for:

Vil du oppleve Microsoft Defender for endepunkt? Registrer deg for en gratis prøveperiode.

Exploit Protection bidrar til å beskytte enheter mot skadelig programvare, som bruker utnyttelser til å spre og infisere andre enheter. Begrensing kan brukes på enten operativsystemet eller en individuell app. Mange av funksjonene som var en del av EMET (Enhanced Mitigation Experience Toolkit) er inkludert i Exploit Protection. (EMET har nådd avviklingen av kundestøtten.)

I revisjonen kan du se hvordan begrensning fungerer for bestemte apper i et testmiljø. Dette viser hva som ville ha skjedd hvis du aktiverte Exploit Protection i produksjonsmiljøet. På denne måten kan du bekrefte at Exploit Protection ikke påvirker bransjespesifikke apper negativt, og se hvilke mistenkelige eller skadelige hendelser som oppstår.

Aktiver Exploit Protection for testing

Du kan angi begrensninger i en testmodus for bestemte programmer ved hjelp av Windows Security-appen eller Windows PowerShell.

Windows Security-appen

  1. Bruk Windows Security-appen. Velg skjoldikonet på oppgavelinjen, eller søk i startmenyen etter Windows Security.

  2. Velg flisen App- og nettleserkontroll (eller appikonet på den venstre menylinjen), og velg deretter Utnyttelsesbeskyttelse.

  3. Gå til Programinnstillinger og velg appen du vil bruke beskyttelse på:

    1. Hvis appen du vil konfigurere allerede er oppført, velger du den og velger deretter Rediger
    2. Hvis appen ikke er oppført øverst i listen, velger du Legg til program for å tilpasse. Velg deretter hvordan du vil legge til appen.
      • Bruk Legg til etter programnavn for å få begrensningen brukt på alle kjørende prosesser med dette navnet. Angi en fil med en utvidelse. Du kan angi en fullstendig bane for å innskrenke begrensningen til bare appen med dette navnet på den plasseringen.
      • Bruk Velg nøyaktig filbane for å bruke et standard Windows Utforsker filvelgervindu for å finne og velge filen du vil bruke.
  4. Når du har valgt appen, ser du en liste over alle begrensningene som kan brukes. Hvis du velger Overvåking , brukes begrensningen bare i testmodus. Du blir varslet hvis du må starte prosessen, appen eller Windows på nytt.

  5. Gjenta denne fremgangsmåten for alle appene og begrensningene du vil konfigurere. Velg Bruk når du er ferdig med å konfigurere konfigurasjonen.

PowerShell

Hvis du vil angi begrensninger på appnivå til testmodus, kan du bruke Set-ProcessMitigation med cmdleten overvåkingsmodus .

Konfigurer hver begrensning i følgende format:

Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>

Hvor:

  • <Omfang>:
    • -Name for å angi at begrensningene skal brukes på en bestemt app. Angi appens kjørbare fil etter dette flagget.
  • <Handling>:
    • -Enable for å aktivere begrensningen
      • -Disable for å deaktivere begrensningen
  • <Begrensning>:
    • Begrensningens cmdlet som definert i følgende tabell. Hver begrensning er atskilt med komma.
Begrensning Cmdlet for testmodus
Arbitrary Code Guard (ACG) AuditDynamicCode
Blokker bilder med lav integritet AuditImageLoad
Blokker uklarerte skrifttyper AuditFont, FontAuditOnly
Vern for kodeintegritet AuditMicrosoftSigned, AuditStoreSigned
Deaktiver Win32k systemanrop AuditSystemCall
Ikke tillat underordnede prosesser AuditChildProcess

Hvis du for eksempel vil aktivere acg (Arbitrary Code Guard) i testmodus for en app kalttesting.exe, kjører du følgende kommando:

Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable AuditDynamicCode

Du kan deaktivere Overvåkingsmodus ved å erstatte -Enable med -Disable.

Se gjennom overvåkingshendelser for Exploit Protection

Hvis du vil se gjennom hvilke apper som ville ha blitt blokkert, åpner du Hendelsesliste og filtrerer etter følgende hendelser i loggen for sikkerhetsbegrensninger.

Funksjon Leverandør/kilde Hendelses-ID Beskrivelse
Exploit Protection Sikkerhetsbegrensninger (kjernemodus/brukermodus) 1 ACG-overvåking
Exploit Protection Sikkerhetsbegrensninger (kjernemodus/brukermodus) 3 Ikke tillat underordnede prosesser
Exploit Protection Sikkerhetsbegrensninger (kjernemodus/brukermodus) 5 Blokker bilder med lav integritet
Exploit Protection Sikkerhetsbegrensninger (kjernemodus/brukermodus) 7 Blokker eksterne bilder
Exploit Protection Sikkerhetsbegrensninger (kjernemodus/brukermodus) 9 Deaktiver Win32k systemanrop
Exploit Protection Sikkerhetsbegrensninger (kjernemodus/brukermodus) 11 Overvåking av vern for kodeintegritet

Se også

Tips

Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.