Exploit Protection evalueren
Van toepassing op:
- Plan 1 voor Microsoft Defender voor Eindpunt
- Plan 2 voor Microsoft Defender voor Eindpunt
- Microsoft Defender XDR
Wilt u Microsoft Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.
Exploit Protection beschermt apparaten tegen malware die gebruikmaakt van aanvallen om zich te verspreiden en andere apparaten te infecteren. Risicobeperking kan worden toegepast op het besturingssysteem of op een afzonderlijke app. Veel van de functies die deel uitmaakten van de Enhanced Mitigation Experience Toolkit (EMET) zijn opgenomen in misbruikbeveiliging. (De EMET heeft het einde van de ondersteuning bereikt.)
In Controle kunt u zien hoe risicobeperking werkt voor bepaalde apps in een testomgeving. Hier ziet u wat er zou zijn gebeurd als u Exploit Protection in uw productieomgeving hebt ingeschakeld. Op deze manier kunt u controleren of Exploit Protection geen nadelige invloed heeft op uw line-of-business-apps en kunt u zien welke verdachte of schadelijke gebeurtenissen optreden.
Exploit Protection inschakelen voor testen
U kunt risicobeperkingen instellen in een testmodus voor specifieke programma's met behulp van de app voor Windows-beveiliging of Windows PowerShell.
De app voor Windows-beveiliging.
Open de app voor Windows-beveiliging. Selecteer het schildpictogram in de taakbalk of zoek in het startmenu naar Windows-beveiliging.
Selecteer de tegel App- en browserbeheer (of het app-pictogram op de linkermenubalk) en selecteer vervolgens Exploit Protection.
Ga naar Programma-instellingen en kies de app waarop u bescherming wilt toepassen:
- Als de app die u wilt configureren al wordt weergegeven, selecteert u deze en selecteert u Bewerken.
- Als de app niet boven aan de lijst wordt weergegeven, selecteert u Programma toevoegen om aan te passen. Kies vervolgens hoe u de app wilt toevoegen.
- Gebruik Toevoegen op programmanaam om de beperking toe te passen op elk actief proces met die naam. Geef een bestand met een extensie op. U kunt een volledig pad invoeren om de beperking te beperken tot alleen de app met die naam op die locatie.
- Gebruik Exact bestandspad kiezen om een standaard Windows Verkenner-venster voor bestandskiezer te gebruiken om het gewenste bestand te zoeken en te selecteren.
Nadat u de app hebt geselecteerd, ziet u een lijst met alle oplossingen die kunnen worden toegepast. Als u Controle kiest, wordt de beperking alleen toegepast in de testmodus. U ontvangt een melding als u het proces, de app of Windows opnieuw moet starten.
Herhaal deze procedure voor alle apps en risicobeperkingen die u wilt configureren. Selecteer Toepassen wanneer u klaar bent met het instellen van uw configuratie.
PowerShell
Als u risicobeperkingen op app-niveau wilt instellen voor de testmodus, gebruikt Set-ProcessMitigation u met de cmdlet Controlemodus .
Configureer elke risicobeperking in de volgende indeling:
Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>
Waarbij:
- <Bereik>:
-Nameom aan te geven dat de risicobeperkingen moeten worden toegepast op een specifieke app. Geef het uitvoerbare bestand van de app op na deze vlag.
- <Actie>:
-Enableom de risicobeperking in te schakelen-Disableom de beperking uit te schakelen
- <Beperking>:
- De cmdlet van de risicobeperking, zoals gedefinieerd in de volgende tabel. Elke beperking wordt gescheiden door een komma.
| Risicobeperking | Cmdlet testmodus |
|---|---|
| Beveiliging van arbitraire code (ACG) | AuditDynamicCode |
| Afbeeldingen met lage integriteit blokkeren | AuditImageLoad |
| Niet-vertrouwde lettertypen blokkeren | AuditFont, FontAuditOnly |
| Beveiliging van code-integriteit | AuditMicrosoftSigned, AuditStoreSigned |
| Systeemoproepen van Win32k uitschakelen | AuditSystemCall |
| Onderliggende processen niet toestaan | AuditChildProcess |
Voer bijvoorbeeld de volgende opdracht uit om Randomy Code Guard (ACG) in te schakelen in de testmodus voor een app met de naam testing.exe:
Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable AuditDynamicCode
U kunt de controlemodus uitschakelen door -Enable te vervangen door -Disable.
Controlegebeurtenissen voor Exploit Protection controleren
Als u wilt controleren welke apps zouden zijn geblokkeerd, opent u Gebeurtenisviewer en filtert u op de volgende gebeurtenissen in het logboek voor beveiligingsbeperking.
| Functie | Provider/bron | Gebeurtenis-id | Omschrijving |
|---|---|---|---|
| Bescherming tegen misbruik | Beveiligingsbeperkingen (kernelmodus/gebruikersmodus) | 1 | ACG-controle |
| Bescherming tegen misbruik | Beveiligingsbeperkingen (kernelmodus/gebruikersmodus) | 3 | Geen controle van onderliggende processen toestaan |
| Bescherming tegen misbruik | Beveiligingsbeperkingen (kernelmodus/gebruikersmodus) | 5 | Controle van afbeeldingen met lage integriteit blokkeren |
| Bescherming tegen misbruik | Beveiligingsbeperkingen (kernelmodus/gebruikersmodus) | 7 | Blokkeren van controle externe afbeeldingen |
| Bescherming tegen misbruik | Beveiligingsbeperkingen (kernelmodus/gebruikersmodus) | 9 | Controle van systeemoproepen van Win32k uitschakelen |
| Bescherming tegen misbruik | Beveiligingsbeperkingen (kernelmodus/gebruikersmodus) | 11 | Controle van beveiliging van code-integriteit |
Zie ook
- Bescherming tegen misbruik inschakelen
- Risicobeperkingen voor misbruikbeveiliging configureren en controleren
- Configuraties voor misbruikbeveiliging importeren, exporteren en implementeren
- Problemen met misbruikbeveiliging oplossen
Tip
Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub Issues geleidelijk uitfaseren als het feedbackmechanisme voor inhoud. Het wordt vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor