Oceń ochronę przed programami wykorzystującymi luki w zabezpieczeniach
Dotyczy:
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
- Microsoft Defender XDR
Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.
Funkcja Exploit Protection pomaga chronić przed złośliwym oprogramowaniem wykorzystującym luki w zabezpieczeniach w celu rozprzestrzeniania się i infekowania innych urządzeń. Środki ograniczania ryzyka mogą być stosowane zarówno do systemu operacyjnego, jak i pojedynczych aplikacji. Wiele funkcji, które były częścią zestawu narzędzi Enhanced Mitigation Experience Toolkit (EMET), jest uwzględnionych w ochronie przed programami wykorzystującymi luki w zabezpieczeniach. (Zestaw narzędzi EMET osiągnął koniec wsparcia technicznego.)
Podczas inspekcji możesz zobaczyć jak działają środki ograniczania ryzyka dla niektórych aplikacji w środowisku testowym. To pokazuje, co by się stało, gdyby włączono ochronę przed programami wykorzystującymi luki w zabezpieczeniach w środowisku produkcyjnym. W ten sposób możesz sprawdzić, czy ochrona przed programami wykorzystującymi luki w zabezpieczeniach nie wpływa negatywnie na aplikacje biznesowe i zobaczyć, jakie podejrzane lub złośliwe zdarzenia występują.
Włącz ochronę przed programami wykorzystującą luki w zabezpieczeniach na potrzeby testowania
Możesz ustawić środki ograniczania ryzyka w trybie testowania dla określonych programów przy użyciu aplikacji Zabezpieczenia Windows lub programu Windows PowerShell.
Aplikacja Zabezpieczenia Windows
Otwórz aplikację Zabezpieczenia Windows. Wybierz ikonę tarczy na pasku zadań lub wyszukaj w menu Start pozycję Zabezpieczenia Windows.
Wybierz kafelek Sterowanie aplikacjami i przeglądarką (lub ikonę aplikacji na pasku menu po lewej stronie), a następnie wybierz Ochronę przed programami wykorzystującymi luki w zabezpieczeniach.
Przejdź do obszaru Ustawienia programu i wybierz aplikację dla chcesz zastosować ochronę:
- Jeśli aplikacja, którą chcesz skonfigurować, znajduje się już na liście, zaznacz ją, a następnie wybierz pozycję Edytuj
- Jeśli aplikacja nie znajduje się na liście w górnej części listy, wybierz pozycję Dodaj program do dostosowania. Następnie wybierz w jaki sposób chcesz dodać aplikację.
- Użyj polecenia Dodaj według nazwy programu, aby zastosować środki ograniczania ryzyka do dowolnego uruchomionego procesu o tej nazwie. Określ plik z jego rozszerzeniem. Możesz wprowadzić pełną ścieżkę, aby ograniczyć zastosowanie środków ograniczania ryzyka tylko do aplikacji o tej nazwie w danej lokalizacji.
- Użyj opcji Wybierz dokładną ścieżkę pliku, aby użyć standardowego okna selektora plików Eksploratora Windows w celu znalezienia i wybrania odpowiedniego pliku.
Po wybraniu aplikacji zostanie wyświetlona lista wszystkich środków ograniczania ryzyka, które można zastosować. Wybranie opcji Inspekcja spowoduje zastosowanie ograniczenia ryzyka tylko w trybie testowym. Otrzymasz powiadomienie, jeśli musisz ponownie uruchomić proces, aplikację lub system Windows.
Powtórz tę procedurę dla wszystkich aplikacji i środków ograniczania ryzyka, które chcesz skonfigurować. Po zakończeniu konfiguracji wybierz pozycję Zastosuj.
PowerShell
Aby ustawić środki zaradcze na poziomie aplikacji na tryb testowania, użyj polecenia Set-ProcessMitigation
cmdlet Trybu inspekcji .
Skonfiguruj poszczególne środki ograniczania ryzyka w następującym formacie:
Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>
Gdzie:
-
<Zakres>:
-
-Name
wskazujące, że środki ograniczania ryzyka należy zastosować do określonej aplikacji. Określ plik wykonywalny aplikacji po tym oflagowaniu.
-
-
<Akcja>:
-
-Enable
, aby włączyć środki ograniczania ryzyka-
-Disable
, aby wyłączyć środki ograniczania ryzyka
-
-
-
<Środki zaradcze>:
- Polecenie cmdlet środków ograniczania ryzyka zgodnie z definicją w poniższej tabeli. Poszczególne środki ograniczania ryzyka są oddzielone przecinkami.
Środki ograniczania ryzyka | Polecenie cmdlet trybu testowego |
---|---|
Ochrona przed wykonaniem dowolnego kodu (ACG) | AuditDynamicCode |
Blokuj obrazy o niskiej integralności | AuditImageLoad |
Blokuj niezaufane czcionki |
AuditFont , FontAuditOnly |
Ochrona integralności kodu |
AuditMicrosoftSigned , AuditStoreSigned |
Wyłącz wywołania systemowe Win32k | AuditSystemCall |
Nie zezwalaj na procesy podrzędne | AuditChildProcess |
Aby na przykład włączyć dowolną funkcję Code Guard (ACG) w trybie testowym dla aplikacji o nazwie testing.exe, uruchom następujące polecenie:
Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable AuditDynamicCode
Możesz wyłączyć tryb inspekcji zastępując -Enable
-Disable
.
Przejrzyj zdarzenia inspekcji ochrony przed programami wykorzystujących luki w zabezpieczeniach
Aby sprawdzić, które aplikacje zostałyby zablokowane, otwórz Podgląd zdarzeń i przefiltruj następujące zdarzenia w dzienniku Security-Mitigations.
Funkcja | Dostawca/źródło | Identyfikator zdarzenia | Opis |
---|---|---|---|
Ochrona przed wykorzystywaniem | Security-Mitigations (tryb jądra/tryb użytkownika) | 1 | Inspekcja ACG |
Ochrona przed wykorzystywaniem | Security-Mitigations (tryb jądra/tryb użytkownika) | 3 | Nie zezwalaj na inspekcję procesów podrzędnych |
Ochrona przed wykorzystywaniem | Security-Mitigations (tryb jądra/tryb użytkownika) | 5 | Blokuj inspekcję obrazów o niskiej integralności |
Ochrona przed wykorzystywaniem | Security-Mitigations (tryb jądra/tryb użytkownika) | 7 | Blokuj inspekcję obrazów zdalnych |
Ochrona przed wykorzystywaniem | Security-Mitigations (tryb jądra/tryb użytkownika) | 9 | Wyłącz inspekcję wywołań systemowych win32k |
Ochrona przed wykorzystywaniem | Security-Mitigations (tryb jądra/tryb użytkownika) | 11 | Ochrona integralności kodu |
Zobacz też
- Włącz ochronę przed wykorzystaniem
- Konfigurowanie i inspekcja środków ograniczania ryzyka dla ochrony przed programami wykorzystującymi luki w zabezpieczeniach
- Importuj, eksportuj i wdrażaj konfigurację ochrony przed wykorzystaniem
- Rozwiązywanie problemów z ochroną przed programami wykorzystującymi luki w zabezpieczeniach
Porada
Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.