Exploit Protection evalueren

Van toepassing op:

• Plan 1 voor Microsoft Defender voor Eindpunt
• Plan 2 voor Microsoft Defender voor Eindpunt
• Microsoft Defender XDR

Wilt u Microsoft Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.

Exploit Protection beschermt apparaten tegen malware die gebruikmaakt van aanvallen om zich te verspreiden en andere apparaten te infecteren. Risicobeperking kan worden toegepast op het besturingssysteem of op een afzonderlijke app. Veel van de functies die deel uitmaakten van de Enhanced Mitigation Experience Toolkit (EMET) zijn opgenomen in misbruikbeveiliging. (De EMET heeft het einde van de ondersteuning bereikt.)

In Controle kunt u zien hoe risicobeperking werkt voor bepaalde apps in een testomgeving. Dit laat zien wat er zou gebeuren als u exploit protection inschakelt in uw productieomgeving. Op deze manier kunt u controleren of Exploit Protection geen nadelige invloed heeft op uw line-of-business-apps en kunt u zien welke verdachte of schadelijke gebeurtenissen optreden.

Algemene richtlijnen

Risicobeperkingen voor misbruikbeveiliging werken op een laag niveau in het besturingssysteem, en sommige soorten software die vergelijkbare bewerkingen op laag niveau uitvoeren, kunnen compatibiliteitsproblemen hebben wanneer ze zijn geconfigureerd om te worden beveiligd met behulp van exploit protection.

Welke soorten software moeten niet worden beveiligd met exploit protection?

• Antimalware- en inbraakpreventie- of detectiesoftware
• Debuggers
• Software die drm-technologieën (Digital Rights Management) verwerkt (dat wil gezegd, videogames)
• Software die gebruikmaakt van technologieën voor anti-foutopsporing, verduistering of koppelen

Welk type toepassingen moet u overwegen om exploit protection in te schakelen?

Toepassingen die niet-vertrouwde gegevens ontvangen of verwerken.

Welk type processen vallen buiten het bereik van exploit protection?

Services

• Systeemservices
• Netwerkservices

Compatibiliteitslijst van toepassingen

De volgende tabel bevat specifieke producten die compatibiliteitsproblemen hebben met de risicobeperkingen die zijn opgenomen in exploit protection. U moet specifieke incompatibele oplossingen uitschakelen als u het product wilt beveiligen met behulp van exploit protection. Houd er rekening mee dat deze lijst rekening houdt met de standaardinstellingen voor de nieuwste versies van het product. Compatibiliteitsproblemen kunnen optreden wanneer u bepaalde invoegtoepassingen of andere onderdelen toepast op de standaardsoftware.

Product	Beperking van misbruikbeveiliging
.NET 2.0/3.5	EAF/IAF
7-Zip Console/GUI/Bestandsbeheer	EAF
AMD 62xx-processors	EAF
Avecto (meer dan vertrouwen) Power Broker	EAF, EAF+, Stack Pivot
Bepaalde VIDEOstuurprogramma's voor AMD (ATI)	System ASLR=AlwaysOn
DropBox	EAF
Excel Power Query, Power View, Power Map en PowerPivot	EAF
Google Chrome	EAF+
Immidio Flex+	Cel 4
Microsoft Office Web Components (OWC)	System DEP=AlwaysOn
Microsoft PowerPoint	EAF
Microsoft Teams	EAF+
Oracle Javaǂ	Heapspray
Pitney Bowes Print Audit 6	SimExecFlow
Siebel CRM-versie is 8.1.1.9	SEHOP
Skype	EAF
SolarWinds Syslogd Manager	EAF
Windows Mediaspeler	VerplichtASLR, EAF

ǂ EMET-oplossingen zijn mogelijk niet compatibel met Oracle Java wanneer ze worden uitgevoerd met behulp van instellingen die een grote hoeveelheid geheugen reserveren voor de virtuele machine (dat wil gezegd, met behulp van de optie -Xms).

Exploit Protection inschakelen voor testen

U kunt risicobeperkingen instellen in een testmodus voor specifieke programma's met behulp van de app voor Windows-beveiliging of Windows PowerShell.

De app voor Windows-beveiliging.

1. Open de app voor Windows-beveiliging. Selecteer het schildpictogram in de taakbalk of zoek in het startmenu naar Windows-beveiliging.

2. Selecteer de tegel App- en browserbeheer (of het app-pictogram op de linkermenubalk) en selecteer vervolgens Exploit Protection.

3. Ga naar Programma-instellingen en kies de app waarop u bescherming wilt toepassen:

   1. Als de app die u wilt configureren al wordt weergegeven, selecteert u deze en selecteert u vervolgens Bewerken.

   2. Als de app niet boven aan de lijst wordt weergegeven, selecteert u Programma toevoegen om aan te passen. Kies vervolgens hoe u de app wilt toevoegen.

      • Gebruik Toevoegen op programmanaam om de beperking toe te passen op elk actief proces met die naam. Geef een bestand met een extensie op. U kunt een volledig pad invoeren om de beperking te beperken tot alleen de app met die naam op die locatie.
      • Gebruik Exact bestandspad kiezen om een standaard Windows Verkenner-venster voor bestandskiezer te gebruiken om het gewenste bestand te zoeken en te selecteren.

4. Nadat u de app hebt geselecteerd, ziet u een lijst met alle oplossingen die kunnen worden toegepast. Als u Controle kiest, wordt de beperking alleen toegepast in de testmodus. U krijgt een melding als u het proces, de app of Windows opnieuw moet starten.

5. Herhaal deze procedure voor alle apps en risicobeperkingen die u wilt configureren. Selecteer Toepassen wanneer u klaar bent met het instellen van uw configuratie.

PowerShell

Als u risicobeperkingen op app-niveau wilt instellen voor de testmodus, gebruikt Set-ProcessMitigation u met de cmdlet Controlemodus .

Configureer elke risicobeperking in de volgende indeling:

Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>

Waarbij:

• <Bereik>:
  • -Name om aan te geven dat de risicobeperkingen moeten worden toegepast op een specifieke app. Geef het uitvoerbare bestand van de app op na deze vlag.
• <Actie>:
  • -Enable om de risicobeperking in te schakelen
    • -Disable om de beperking uit te schakelen
• <Beperking>:
  • De cmdlet van de risicobeperking, zoals gedefinieerd in de volgende tabel. Elke beperking wordt gescheiden door een komma.

Risicobeperking	Cmdlet testmodus
Beveiliging van arbitraire code (ACG)	AuditDynamicCode
Afbeeldingen met lage integriteit blokkeren	AuditImageLoad
Niet-vertrouwde lettertypen blokkeren	AuditFont, FontAuditOnly
Beveiliging van code-integriteit	AuditMicrosoftSigned, AuditStoreSigned
Systeemoproepen van Win32k uitschakelen	AuditSystemCall
Onderliggende processen niet toestaan	AuditChildProcess

Voer bijvoorbeeld de volgende opdracht uit om Randomy Code Guard (ACG) in te schakelen in de testmodus voor een app met de naam testing.exe:

Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable AuditDynamicCode

U kunt de controlemodus uitschakelen door -Enable te vervangen door -Disable.

Controlegebeurtenissen voor Exploit Protection controleren

Als u wilt controleren welke apps worden geblokkeerd, opent u Logboeken en filtert u op de volgende gebeurtenissen in het Security-Mitigations-logboek.

Functie	Provider/bron	Gebeurtenis-id	Omschrijving
Bescherming tegen misbruik	Beveiligingsbeperkingen (kernelmodus/gebruikersmodus)	1	ACG-controle
Bescherming tegen misbruik	Beveiligingsbeperkingen (kernelmodus/gebruikersmodus)	3	Geen controle van onderliggende processen toestaan
Bescherming tegen misbruik	Beveiligingsbeperkingen (kernelmodus/gebruikersmodus)	5	Controle van afbeeldingen met lage integriteit blokkeren
Bescherming tegen misbruik	Beveiligingsbeperkingen (kernelmodus/gebruikersmodus)	7	Blokkeren van controle externe afbeeldingen
Bescherming tegen misbruik	Beveiligingsbeperkingen (kernelmodus/gebruikersmodus)	9	Controle van systeemoproepen van Win32k uitschakelen
Bescherming tegen misbruik	Beveiligingsbeperkingen (kernelmodus/gebruikersmodus)	11	Controle van beveiliging van code-integriteit

Zie ook

• Bescherming tegen misbruik inschakelen
• Risicobeperkingen voor misbruikbeveiliging configureren en controleren
• Configuraties voor misbruikbeveiliging importeren, exporteren en implementeren
• Problemen met misbruikbeveiliging oplossen

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.