Oceń ochronę przed programami wykorzystującymi luki w zabezpieczeniach
Dotyczy:
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
- Microsoft Defender XDR
Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.
Funkcja Exploit Protection pomaga chronić przed złośliwym oprogramowaniem wykorzystującym luki w zabezpieczeniach w celu rozprzestrzeniania się i infekowania innych urządzeń. Środki ograniczania ryzyka mogą być stosowane zarówno do systemu operacyjnego, jak i pojedynczych aplikacji. Wiele funkcji, które były częścią zestawu narzędzi Enhanced Mitigation Experience Toolkit (EMET), jest uwzględnionych w ochronie przed programami wykorzystującymi luki w zabezpieczeniach. (Zestaw narzędzi EMET osiągnął koniec wsparcia technicznego.)
Podczas inspekcji możesz zobaczyć jak działają środki ograniczania ryzyka dla niektórych aplikacji w środowisku testowym. To pokazuje, co by się stało, gdyby włączono ochronę przed programami wykorzystującymi luki w zabezpieczeniach w środowisku produkcyjnym. W ten sposób możesz sprawdzić, czy ochrona przed programami wykorzystującymi luki w zabezpieczeniach nie wpływa negatywnie na aplikacje biznesowe i zobaczyć, jakie podejrzane lub złośliwe zdarzenia występują.
Włącz ochronę przed programami wykorzystującą luki w zabezpieczeniach na potrzeby testowania
Możesz ustawić środki ograniczania ryzyka w trybie testowania dla określonych programów przy użyciu aplikacji Zabezpieczenia Windows lub programu Windows PowerShell.
Aplikacja Zabezpieczenia Windows
Otwórz aplikację Zabezpieczenia Windows. Wybierz ikonę tarczy na pasku zadań lub wyszukaj w menu Start pozycję Zabezpieczenia Windows.
Wybierz kafelek Sterowanie aplikacjami i przeglądarką (lub ikonę aplikacji na pasku menu po lewej stronie), a następnie wybierz Ochronę przed programami wykorzystującymi luki w zabezpieczeniach.
Przejdź do obszaru Ustawienia programu i wybierz aplikację dla chcesz zastosować ochronę:
- Jeśli aplikacja, którą chcesz skonfigurować, znajduje się już na liście, zaznacz ją, a następnie wybierz pozycję Edytuj
- Jeśli aplikacja nie znajduje się na liście w górnej części listy, wybierz pozycję Dodaj program do dostosowania. Następnie wybierz w jaki sposób chcesz dodać aplikację.
- Użyj polecenia Dodaj według nazwy programu, aby zastosować środki ograniczania ryzyka do dowolnego uruchomionego procesu o tej nazwie. Określ plik z jego rozszerzeniem. Możesz wprowadzić pełną ścieżkę, aby ograniczyć zastosowanie środków ograniczania ryzyka tylko do aplikacji o tej nazwie w danej lokalizacji.
- Użyj opcji Wybierz dokładną ścieżkę pliku, aby użyć standardowego okna selektora plików Eksploratora Windows w celu znalezienia i wybrania odpowiedniego pliku.
Po wybraniu aplikacji zostanie wyświetlona lista wszystkich środków ograniczania ryzyka, które można zastosować. Wybranie opcji Inspekcja spowoduje zastosowanie ograniczenia ryzyka tylko w trybie testowym. Otrzymasz powiadomienie, jeśli musisz ponownie uruchomić proces, aplikację lub system Windows.
Powtórz tę procedurę dla wszystkich aplikacji i środków ograniczania ryzyka, które chcesz skonfigurować. Po zakończeniu konfiguracji wybierz pozycję Zastosuj.
PowerShell
Aby ustawić środki zaradcze na poziomie aplikacji na tryb testowania, użyj polecenia Set-ProcessMitigation cmdlet Trybu inspekcji .
Skonfiguruj poszczególne środki ograniczania ryzyka w następującym formacie:
Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>
Gdzie:
- <Zakres>:
-Namewskazujące, że środki ograniczania ryzyka należy zastosować do określonej aplikacji. Określ plik wykonywalny aplikacji po tym oflagowaniu.
- <Akcja>:
-Enable, aby włączyć środki ograniczania ryzyka-Disable, aby wyłączyć środki ograniczania ryzyka
- <Środki zaradcze>:
- Polecenie cmdlet środków ograniczania ryzyka zgodnie z definicją w poniższej tabeli. Poszczególne środki ograniczania ryzyka są oddzielone przecinkami.
| Środki ograniczania ryzyka | Polecenie cmdlet trybu testowego |
|---|---|
| Ochrona przed wykonaniem dowolnego kodu (ACG) | AuditDynamicCode |
| Blokuj obrazy o niskiej integralności | AuditImageLoad |
| Blokuj niezaufane czcionki | AuditFont, FontAuditOnly |
| Ochrona integralności kodu | AuditMicrosoftSigned, AuditStoreSigned |
| Wyłącz wywołania systemowe Win32k | AuditSystemCall |
| Nie zezwalaj na procesy podrzędne | AuditChildProcess |
Aby na przykład włączyć dowolną funkcję Code Guard (ACG) w trybie testowym dla aplikacji o nazwie testing.exe, uruchom następujące polecenie:
Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable AuditDynamicCode
Możesz wyłączyć tryb inspekcji zastępując -Enable-Disable.
Przejrzyj zdarzenia inspekcji ochrony przed programami wykorzystujących luki w zabezpieczeniach
Aby sprawdzić, które aplikacje zostałyby zablokowane, otwórz Podgląd zdarzeń i przefiltruj następujące zdarzenia w dzienniku Security-Mitigations.
| Funkcja | Dostawca/źródło | Identyfikator zdarzenia | Opis |
|---|---|---|---|
| Ochrona przed wykorzystywaniem | Security-Mitigations (tryb jądra/tryb użytkownika) | 1 | Inspekcja ACG |
| Ochrona przed wykorzystywaniem | Security-Mitigations (tryb jądra/tryb użytkownika) | 3 | Nie zezwalaj na inspekcję procesów podrzędnych |
| Ochrona przed wykorzystywaniem | Security-Mitigations (tryb jądra/tryb użytkownika) | 5 | Blokuj inspekcję obrazów o niskiej integralności |
| Ochrona przed wykorzystywaniem | Security-Mitigations (tryb jądra/tryb użytkownika) | 7 | Blokuj inspekcję obrazów zdalnych |
| Ochrona przed wykorzystywaniem | Security-Mitigations (tryb jądra/tryb użytkownika) | 9 | Wyłącz inspekcję wywołań systemowych win32k |
| Ochrona przed wykorzystywaniem | Security-Mitigations (tryb jądra/tryb użytkownika) | 11 | Ochrona integralności kodu |
Zobacz też
- Włącz ochronę przed wykorzystaniem
- Konfigurowanie i inspekcja środków ograniczania ryzyka dla ochrony przed programami wykorzystującymi luki w zabezpieczeniach
- Importuj, eksportuj i wdrażaj konfigurację ochrony przed wykorzystaniem
- Rozwiązywanie problemów z ochroną przed programami wykorzystującymi luki w zabezpieczeniach
Porada
Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla