Delen via


Exploit Protection evalueren

Van toepassing op:

Wilt u Microsoft Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.

Exploit Protection beschermt apparaten tegen malware die gebruikmaakt van aanvallen om zich te verspreiden en andere apparaten te infecteren. Risicobeperking kan worden toegepast op het besturingssysteem of op een afzonderlijke app. Veel van de functies die deel uitmaakten van de Enhanced Mitigation Experience Toolkit (EMET) zijn opgenomen in misbruikbeveiliging. (De EMET heeft het einde van de ondersteuning bereikt.)

In Controle kunt u zien hoe risicobeperking werkt voor bepaalde apps in een testomgeving. Hier ziet u wat er zou zijn gebeurd als u Exploit Protection in uw productieomgeving hebt ingeschakeld. Op deze manier kunt u controleren of Exploit Protection geen nadelige invloed heeft op uw line-of-business-apps en kunt u zien welke verdachte of schadelijke gebeurtenissen optreden.

Exploit Protection inschakelen voor testen

U kunt risicobeperkingen instellen in een testmodus voor specifieke programma's met behulp van de app voor Windows-beveiliging of Windows PowerShell.

De app voor Windows-beveiliging.

  1. Open de app voor Windows-beveiliging. Selecteer het schildpictogram in de taakbalk of zoek in het startmenu naar Windows-beveiliging.

  2. Selecteer de tegel App- en browserbeheer (of het app-pictogram op de linkermenubalk) en selecteer vervolgens Exploit Protection.

  3. Ga naar Programma-instellingen en kies de app waarop u bescherming wilt toepassen:

    1. Als de app die u wilt configureren al wordt weergegeven, selecteert u deze en selecteert u Bewerken.
    2. Als de app niet boven aan de lijst wordt weergegeven, selecteert u Programma toevoegen om aan te passen. Kies vervolgens hoe u de app wilt toevoegen.
      • Gebruik Toevoegen op programmanaam om de beperking toe te passen op elk actief proces met die naam. Geef een bestand met een extensie op. U kunt een volledig pad invoeren om de beperking te beperken tot alleen de app met die naam op die locatie.
      • Gebruik Exact bestandspad kiezen om een standaard Windows Verkenner-venster voor bestandskiezer te gebruiken om het gewenste bestand te zoeken en te selecteren.
  4. Nadat u de app hebt geselecteerd, ziet u een lijst met alle oplossingen die kunnen worden toegepast. Als u Controle kiest, wordt de beperking alleen toegepast in de testmodus. U ontvangt een melding als u het proces, de app of Windows opnieuw moet starten.

  5. Herhaal deze procedure voor alle apps en risicobeperkingen die u wilt configureren. Selecteer Toepassen wanneer u klaar bent met het instellen van uw configuratie.

PowerShell

Als u risicobeperkingen op app-niveau wilt instellen voor de testmodus, gebruikt Set-ProcessMitigation u met de cmdlet Controlemodus .

Configureer elke risicobeperking in de volgende indeling:

Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>

Waarbij:

  • <Bereik>:
    • -Name om aan te geven dat de risicobeperkingen moeten worden toegepast op een specifieke app. Geef het uitvoerbare bestand van de app op na deze vlag.
  • <Actie>:
    • -Enable om de risicobeperking in te schakelen
      • -Disable om de beperking uit te schakelen
  • <Beperking>:
    • De cmdlet van de risicobeperking, zoals gedefinieerd in de volgende tabel. Elke beperking wordt gescheiden door een komma.
Risicobeperking Cmdlet testmodus
Beveiliging van arbitraire code (ACG) AuditDynamicCode
Afbeeldingen met lage integriteit blokkeren AuditImageLoad
Niet-vertrouwde lettertypen blokkeren AuditFont, FontAuditOnly
Beveiliging van code-integriteit AuditMicrosoftSigned, AuditStoreSigned
Systeemoproepen van Win32k uitschakelen AuditSystemCall
Onderliggende processen niet toestaan AuditChildProcess

Voer bijvoorbeeld de volgende opdracht uit om Randomy Code Guard (ACG) in te schakelen in de testmodus voor een app met de naam testing.exe:

Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable AuditDynamicCode

U kunt de controlemodus uitschakelen door -Enable te vervangen door -Disable.

Controlegebeurtenissen voor Exploit Protection controleren

Als u wilt controleren welke apps zouden zijn geblokkeerd, opent u Gebeurtenisviewer en filtert u op de volgende gebeurtenissen in het logboek voor beveiligingsbeperking.

Functie Provider/bron Gebeurtenis-id Omschrijving
Bescherming tegen misbruik Beveiligingsbeperkingen (kernelmodus/gebruikersmodus) 1 ACG-controle
Bescherming tegen misbruik Beveiligingsbeperkingen (kernelmodus/gebruikersmodus) 3 Geen controle van onderliggende processen toestaan
Bescherming tegen misbruik Beveiligingsbeperkingen (kernelmodus/gebruikersmodus) 5 Controle van afbeeldingen met lage integriteit blokkeren
Bescherming tegen misbruik Beveiligingsbeperkingen (kernelmodus/gebruikersmodus) 7 Blokkeren van controle externe afbeeldingen
Bescherming tegen misbruik Beveiligingsbeperkingen (kernelmodus/gebruikersmodus) 9 Controle van systeemoproepen van Win32k uitschakelen
Bescherming tegen misbruik Beveiligingsbeperkingen (kernelmodus/gebruikersmodus) 11 Controle van beveiliging van code-integriteit

Zie ook

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.