Bescherming tegen misbruik inschakelen

Van toepassing op:

• Plan 2 voor Microsoft Defender voor Eindpunt
• Plan 1 voor Microsoft Defender voor Eindpunt
• Microsoft Defender XDR

Tip

Wilt u Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.

Exploit Protection beschermt tegen malware die gebruikmaakt van aanvallen om apparaten te infecteren en zich te verspreiden. Exploit Protection bestaat uit veel oplossingen die kunnen worden toegepast op het besturingssysteem of op afzonderlijke apps.

Belangrijk

.NET 2.0 is niet compatibel met bepaalde mogelijkheden voor Exploit Protections, met name Export Address Filtering (EAF) en Import Address Filtering (IAF). Als u .NET 2.0 hebt ingeschakeld, wordt het gebruik van EAF en IAF niet ondersteund.

Veel functies van de Enhanced Mitigation Experience Toolkit (EMET) zijn opgenomen in Exploit Protection.

U kunt elke risicobeperking afzonderlijk inschakelen met behulp van een van deze methoden:

• De app voor Windows-beveiliging
• Microsoft Intune
• Mobile Device Management (MDM)
• Microsoft Configuration Manager
• Groepsbeleid
• PowerShell

Exploit Protection is standaard geconfigureerd in Windows 10 en Windows 11. U kunt elke beperking instellen op aan, uit of op de standaardwaarde. Sommige oplossingen hebben meer opties. U kunt deze instellingen exporteren als een XML-bestand en deze implementeren op andere apparaten.

U kunt ook beperkingen instellen voor de controlemodus. In de controlemodus kunt u testen hoe de risicobeperking werkt (en gebeurtenissen controleren) zonder dat dit van invloed is op het normale gebruik van het apparaat.

De app voor Windows-beveiliging.

1. Open de app voor Windows-beveiliging door het schild-pictogram in de taakbalk te selecteren of door in het Startmenu te zoeken naar Beveiliging.

2. Selecteer de tegel App- en browserbeheer (of het app-pictogram op de linkermenubalk) en selecteer vervolgens Exploit Protection-instellingen.

3. Ga naar Programma-instellingen en kies de app waarvoor u oplossingen wilt toepassen.

   • Als de app die u wilt configureren al wordt vermeld, selecteert u deze en selecteert u Bewerken.
   • Als de app niet wordt weergegeven, selecteert u Programma toevoegen om aan te passen bovenaan de lijst en kiest u hoe u de app wilt toevoegen.
   • Gebruik Toevoegen op programmanaam om de beperking toe te passen op elk actief proces met die naam. Geef een bestand met de bijbehorende extensie op. U kunt een volledig pad invoeren om de beperking te beperken tot alleen de app met die naam op die locatie.
   • Gebruik Exact bestandspad kiezen om een standaard Windows Verkenner-venster voor bestandskiezer te gebruiken om het gewenste bestand te zoeken en te selecteren.

4. Nadat u de app hebt geselecteerd, ziet u een lijst met alle oplossingen die kunnen worden toegepast. Als u Controle kiest, wordt de beperking alleen toegepast in de controlemodus. U krijgt een melding als u het proces of de app opnieuw moet starten of als u Windows opnieuw moet starten.

5. Herhaal stap 3-4 voor alle apps en oplossingen die u wilt configureren.

6. Zoek in de sectie Systeeminstellingen de beperking die u wilt configureren en geef vervolgens een van de volgende instellingen op. Apps die niet afzonderlijk zijn geconfigureerd in de sectie Programma-instellingen, gebruiken de instellingen die hier zijn geconfigureerd.

   • Standaard ingeschakeld: de beperking is ingeschakeld voor apps waarvoor deze beperking niet is ingesteld in de sectie app-specifieke Programma-instellingen
   • Standaard uitgeschakeld: de beperking is ingeschakeld voor apps waarvoor deze beperking niet is ingesteld in de sectie app-specifieke Programma-instellingen
   • Standaard gebruiken: de beperking is in- of uitgeschakeld, afhankelijk van de standaardconfiguratie die is ingesteld door de Windows 10- of Windows 11-installatie; de standaardwaarde (Aan of Uit) wordt altijd opgegeven naast het standaardlabel Standaard gebruiken voor elke beperking

7. Herhaal stap 6 voor alle risicobeperkingen op systeemniveau die u wilt configureren. Selecteer Toepassen wanneer u klaar bent met het instellen van uw configuratie.

Als u een app toevoegt aan de sectie Programma-instellingen en daar afzonderlijke risicobeperkingsinstellingen configureert, worden deze boven de configuratie gehonoreerd voor dezelfde risicobeperkingen die zijn opgegeven in de sectie Systeeminstellingen . De volgende matrix en voorbeelden laten zien hoe standaardinstellingen werken:

Ingeschakeld in Programma-instellingen	Ingeschakeld in Systeeminstellingen	Gedrag
Ja	Nee	Zoals gedefinieerd in Programma-instellingen
Ja	Ja	Zoals gedefinieerd in Programma-instellingen
Nee	Ja	Zoals gedefinieerd in Systeeminstellingen
Nee	Nee	Standaard zoals gedefinieerd in de optie Standaard gebruiken

Voorbeeld 1: Mikael configureert preventie van gegevensuitvoering in de sectie systeeminstellingen om het standaard uitgeschakeld te hebben

Mikael voegt de app test.exe toe aan de sectie Programma-instellingen. In de opties voor die app schakelt Mikael onder Preventie van gegevensuitvoering (DEP) de optie Systeeminstellingen overschrijven in en stelt de schakeloptie in op Aan. Er worden geen andere apps vermeld in de sectie Programma-instellingen.

Het resultaat is dat DEP alleen is ingeschakeld voor test.exe. Dep wordt niet toegepast op alle andere apps.

Voorbeeld 2: Josie configureert preventie van gegevensuitvoering in systeeminstellingen om het standaard uitgeschakeld te hebben

Josie voegt de app test.exetoe aan de sectie Programma-instellingen. In de opties voor die app schakelt Josie onder Preventie van gegevensuitvoering (DEP) de optie Systeeminstellingen overschrijven in en stelt de schakeloptie in op Aan.

Josie voegt ook de app miles.exe toe aan de sectie Programma-instellingen en configureert Control Flow Guard (CFG) op Aan. Josie schakelt de optie Systeeminstellingen negeren voor DEP of andere oplossingen voor die app niet in.

Het resultaat is dat DEP is ingeschakeld voor test.exe. DEP wordt niet ingeschakeld voor andere apps, inclusief miles.exe. CFG wordt ingeschakeld voor miles.exe.

1. Open de Windows-beveiliging-app door het schildpictogram in de taakbalk te selecteren of door in het startmenu naar Windows-beveiliging te zoeken.

2. Selecteer de tegel App- en browserbeheer (of het app-pictogram op de linkermenubalk) en selecteer vervolgens Exploit Protection.

3. Ga naar Programma-instellingen en kies de app waarvoor u oplossingen wilt toepassen.
   

   • Als de app die u wilt configureren al wordt vermeld, selecteert u deze en selecteert u Bewerken.
   • Als de app niet wordt weergegeven, selecteert u Programma toevoegen om aan te passen bovenaan de lijst en kiest u hoe u de app wilt toevoegen.
     
     • Gebruik Toevoegen op programmanaam om de beperking toe te passen op elk actief proces met die naam. Geef een bestand met een extensie op. U kunt een volledig pad invoeren om de beperking te beperken tot alleen de app met die naam op die locatie.
     • Gebruik Exact bestandspad kiezen om een standaard Windows Verkenner-venster voor bestandskiezer te gebruiken om het gewenste bestand te zoeken en te selecteren.

4. Nadat u de app hebt geselecteerd, ziet u een lijst met alle oplossingen die kunnen worden toegepast. Als u Controle kiest, wordt de beperking alleen toegepast in de controlemodus. U krijgt een melding als u het proces of de app opnieuw moet starten of als u Windows opnieuw moet starten.

5. Herhaal stap 3-4 voor alle apps en oplossingen die u wilt configureren. Selecteer Toepassen wanneer u klaar bent met het instellen van uw configuratie.

Intune

1. Meld u aan bij de Azure Portal en open Intune.

2. Ga naarConfiguratieprofielen>voor apparaatconfiguratie>Creatie profiel.

3. Geef het profiel een naam, kies Windows 10 en hoger, selecteer sjablonen voor Profieltype en kies Endpoint Protection onder sjabloonnaam.

   

4. Selecteer Configureren>Windows Defender Exploit Guard>Exploit protection.

5. Upload een XML-bestand met de instellingen voor Exploit Protection:

   

6. Selecteer OK om elke geopende blade op te slaan en kies vervolgens Maken.

7. Selecteer het tabblad Profieltoewijzingen, wijs het beleid toe aan Alle gebruikers en alle apparaten en selecteer vervolgens Opslaan.

MDM

Gebruik de configuratieserviceprovider (CSP)./Vendor/MSFT/Policy/Config/ExploitGuard/ExploitProtectionSettings om beperking van exploitbeveiliging in of uit te schakelen of om de controlemodus te gebruiken.

Microsoft Configuration Manager

Eindpuntbeveiliging

1. Ga in Microsoft Configuration Manager naar Kwetsbaarheid voor aanvallen van eindpuntbeveiliging>verminderen.

2. Selecteer Creatie Beleidsplatform> en kies voor Profielde optie Exploit Protection. Selecteer Maken.

3. Geef een naam en beschrijving op en kies Volgende.

4. Kies XML-bestand selecteren en blader naar de locatie van het XML-bestand voor Exploit Protection. Selecteer het bestand en kies vervolgens Volgende.

5. Configureer, indien nodig, bereiktags en toewijzingen in.

6. Controleer onder Controleren en maken uw configuratie-instellingen en kies vervolgens Maken.

Activa en naleving

1. Ga in Microsoft Configuration Manager naar Assets and Compliance>Endpoint Protection>Windows Defender Exploit Guard.

2. Selecteer Start>Creatie Exploit Guard-beleid.

3. Geef een naam en beschrijving op, selecteer Exploit Protection en kies vervolgens Volgende.

4. Blader naar de locatie van het XML-bestand voor Exploit Protection en selecteer Volgende.

5. Controleer de instellingen en kies vervolgens Volgende om het beleid te maken.

6. Nadat het beleid is gemaakt, selecteert u Sluiten.

Groepsbeleid

1. Open de console Groepsbeleidbeheer op het groepsbeleid-beheerapparaat, klik met de rechtermuisknop op het groepsbeleidobject dat u wilt configureren en klik op Bewerken.

2. Ga in de Groepsbeleidsbeheereditor naar Computerconfiguratie en selecteer Beheersjablonen.

3. Vouw de structuur uit naar Windows-onderdelen>Windows Defender Exploit Guard>Exploit Protection>Gebruik een algemene set instellingen voor exploitbeveiliging.

4. Selecteer Ingeschakeld, typ de locatie van het XML-bestand en kies OK.

PowerShell

U kunt de PowerShell-woorden Get of Set gebruiken met de cmdlet ProcessMitigation. Als u Get gebruikt, wordt de huidige configuratiestatus weergegeven van alle oplossingen die zijn ingeschakeld op het apparaat. Voeg de cmdlet -Name en app-exe toe om risicobeperkingen voor alleen die app weer te geven:

Get-ProcessMitigation -Name processName.exe

Belangrijk

Bij oplossingen op systeemniveau die niet zijn geconfigureerd, wordt de status van NOTSET weergegeven.

• Voor instellingen op systeemniveau geeft NOTSET aan dat de standaardinstelling voor die beperking is toegepast.
• Voor instellingen op app-niveau geeft NOTSET aan dat de instelling op systeemniveau voor de beperking wordt toegepast. De standaardinstelling voor elke beperking op systeemniveau is te zien in de Windows-beveiliging.

Gebruik Set om elke beperking in de volgende indeling te configureren:

Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>

Waarbij:

• <Bereik>:
  • -Name om aan te geven dat de risicobeperkingen moeten worden toegepast op een specifieke app. Geef het uitvoerbare bestand van de app op na deze vlag.
    • -System om aan te geven dat de beperking moet worden toegepast op systeemniveau
• <Actie>:
  • -Enable om de risicobeperking in te schakelen
  • -Disable om de beperking uit te schakelen
• <Beperking>:
  • De cmdlet van de beperking, samen met eventuele sub-opties (omgeven door spaties). Elke beperking wordt gescheiden door een komma.

Als u bijvoorbeeld de DEP-beperking (Preventie van gegevensuitvoering) wilt inschakelen met ATL-thunk-emulatie en voor een uitvoerbaar bestand met de naam testing.exe in de map C:\Apps\LOB\tests, en om te voorkomen dat uitvoerbare bestand onderliggende processen maakt, gebruikt u de volgende opdracht:

Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable DEP, EmulateAtlThunks, DisallowChildProcessCreation

Belangrijk

Scheid elke risicobeperkingsoptie met komma's.

Als u DEP op systeemniveau wilt toepassen, gebruikt u de volgende opdracht:

Set-Processmitigation -System -Enable DEP

Als u oplossingen wilt uitschakelen, kunt u -Enable vervangen door -Disable. Voor oplossingen op app-niveau dwingt deze actie echter af dat de beperking alleen voor die app wordt uitgeschakeld.

Als u de beperking wilt herstellen naar de standaardinstelling van het systeem, moet u ook de cmdlet -Remove opnemen, zoals in het volgende voorbeeld:

Set-Processmitigation -Name test.exe -Remove -Disable DEP

De volgende tabel bevat de afzonderlijke risicobeperkingen (en controles, indien beschikbaar) die moeten worden gebruikt met de cmdlet-parameters -Enable of -Disable.

Type beperking	Van toepassing op	Sleutelwoord voor cmdlet-parameter voor risicobeperking	Cmdlet-parameter controlemodus
Controlestroombeveiliging (CFG)	Systeem- en app-niveau	CFG, StrictCFG, SuppressExports	Controle niet beschikbaar
Preventie van gegevensuitvoering (DEP)	Systeem- en app-niveau	DEP, EmulateAtlThunks	Controle niet beschikbaar
Randomisering voor afbeeldingen forceren (verplichte ASLR)	Systeem- en app-niveau	ForceRelocateImages	Controle niet beschikbaar
Geheugentoewijzingen willekeurig toekennen (bottom-up ASLR).	Systeem- en app-niveau	BottomUp, HighEntropy	Controle niet beschikbaar
Uitzonderingsketens valideren (SEHOP)	Systeem- en app-niveau	SEHOP, SEHOPTelemetry	Controle niet beschikbaar
Integriteit van heap valideren	Systeem- en app-niveau	TerminateOnError	Controle niet beschikbaar
Beveiliging van arbitraire code (ACG)	Alleen app-niveau	DynamicCode	AuditDynamicCode
Afbeeldingen met lage integriteit blokkeren	Alleen app-niveau	BlockLowLabel	AuditImageLoad
Externe afbeeldingen blokkeren	Alleen app-niveau	BlockRemoteImages	Controle niet beschikbaar
Niet-vertrouwde lettertypen blokkeren	Alleen app-niveau	DisableNonSystemFonts	AuditFont, FontAuditOnly
Beveiliging van code-integriteit	Alleen app-niveau	BlockNonMicrosoftSigned, AllowStoreSigned	AuditMicrosoftSigned, AuditStoreSigned
Uitbreidingspunten uitschakelen	Alleen app-niveau	ExtensionPoint	Controle niet beschikbaar
Systeemoproepen van Win32k uitschakelen	Alleen app-niveau	DisableWin32kSystemCalls	AuditSystemCall
Onderliggende processen niet toestaan	Alleen app-niveau	DisallowChildProcessCreation	AuditChildProcess
Export address filtering (EAF)	Alleen app-niveau	EnableExportAddressFilterPlus, EnableExportAddressFilter[1]	Controle niet beschikbaar [2]
Filteren op adressen importeren (IAF)	Alleen app-niveau	EnableImportAddressFilter	Controle niet beschikbaar [2]
Uitvoering simuleren (SimExec)	Alleen app-niveau	EnableRopSimExec	Controle niet beschikbaar [2]
API-aanroep valideren (CallerCheck)	Alleen app-niveau	EnableRopCallerCheck	Controle niet beschikbaar [2]
Ingangsgebruik valideren	Alleen app-niveau	StrictHandle	Controle niet beschikbaar
Integriteit van afhankelijkheid van afbeelding valideren	Alleen app-niveau	EnforceModuleDepencySigning	Controle niet beschikbaar
Integriteit van stack valideren (StackPivot)	Alleen app-niveau	EnableRopStackPivot	Controle niet beschikbaar [2]

[1]: Gebruik de volgende indeling om EAF-modules in te schakelen voor DLL's voor een proces:

Set-ProcessMitigation -Name processName.exe -Enable EnableExportAddressFilterPlus -EAFModules dllName1.dll,dllName2.dll

[2]: Controle voor deze beperking is niet beschikbaar via PowerShell-cmdlets.

Melding aanpassen

Zie Windows-beveiliging voor informatie over het aanpassen van de melding wanneer een regel wordt geactiveerd en een app of bestand wordt geblokkeerd.

Zie ook

• Exploit Protection evalueren
• Risicobeperkingen voor misbruikbeveiliging configureren en controleren
• Configuraties voor misbruikbeveiliging importeren, exporteren en implementeren

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.