Поделиться через


Оценка защиты от эксплойтов

Область применения:

Хотите попробовать Microsoft Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

Защита от эксплойтов помогает защитить устройства от вредоносных программ, которые используют эксплойты для распространения и заражения других устройств. Меры можно применить либо к операционной системе, либо к отдельному приложению. Многие функции, которые вошли в набор средств Enhanced Mitigation Experience Toolkit (EMET), включены в защиту от эксплойтов. (Поддержка EMET заканчивается.)

В ходе аудита вы можете увидеть, как работают меры для определенных приложений в тестовой среде. Здесь показано, что произошло бы, если бы вы включили защиту от эксплойтов в своей производственной среде. Таким образом вы можете убедиться, что защита от эксплойтов не оказывает негативного влияния на бизнес-приложения и какие подозрительные или вредоносные события происходят.

Включить защиту от эксплойтов для тестирования

Вы можете настроить меры в режиме тестирования для определенных программ с помощью приложения "Безопасность Windows" или Windows PowerShell.

Приложение "Безопасность Windows"

  1. Откройте приложение "Безопасность Windows". Выберите значок щита на панели задач или в меню "Пуск" выберите пункт Безопасность Windows.

  2. Выберите плитку Управление приложениями и браузером (или значок приложения в левой панели меню), а затем выберите Защита от эксплойтов.

  3. Перейдите в Параметры программы и выберите приложение, к которому вы хотите применить защиту:

    1. Если приложение, которое вы хотите настроить, уже указано в списке, выберите его и нажмите Изменить
    2. Если приложение не указано в верхней части списка, выберите Добавить программу для настройки. Затем выберите, как вы хотите добавить приложение.
      • Используйте Добавить по имени программы, чтобы применить меры к любым запущенным процессам с таким именем. Укажите файл с расширением. Вы можете ввести полный путь, чтобы ограничить применение мер только приложением с таким именем в этом расположении.
      • Нажмите Выбрать точный путь файла, чтобы использовать стандартное окно выбора файлов проводника Windows Explorer для поиска и выбора нужного файла.
  4. После выбора приложения вы увидите список всех мер, которые можно применить. При выборе аудита будет применяться устранение рисков только в тестовом режиме. Вы получите уведомление о необходимости перезапуска процесса, приложения или Windows.

  5. Повторите эту процедуру для всех приложений и мер, которые вы хотите настроить. После настройки конфигурации выберите Применить.

PowerShell

Чтобы настроить устранение рисков на уровне приложения в тестовом режиме, используйте Set-ProcessMitigation командлет Audit mode .

Настройте каждое решение в следующем формате:

Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>

Где:

  • <Область:>
    • -Name для указания мер, которые следует применить к определенному приложению. Укажите исполняемый файл приложения после того, как поставите этот флажок.
  • <Действие>:
    • -Enable, чтобы включить меры
      • -Disable, чтобы отключить меры
  • <Устранение рисков>.
    • Командлет решений определен в соответствии со следующей таблицей. Каждая мера отделена запятой.
Устранение рисков Командлет тестового режима
Произвольный Code Guard (ACG) AuditDynamicCode
Блокировать изображений с низкой целостностью AuditImageLoad
Блокировка ненадежные шрифты AuditFont, FontAuditOnly
Защита целостности кода AuditMicrosoftSigned, AuditStoreSigned
Отключить системные вызовы Win32k AuditSystemCall
Не разрешать дочерние процессы AuditChildProcess

Например, чтобы включить Произвольный Code Guard (ACG) в тестовом режиме для приложения с именемtesting.exe, выполните следующую команду:

Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable AuditDynamicCode

Вы можете отключить режим аудита, заменив -Enable на -Disable.

Просмотр событий аудита защиты от эксплойтов

Чтобы просмотреть, какие приложения были бы заблокированы, откройте приложение "Просмотр событий" и отфильтруйте следующие события в журнале мер безопасности.

Возможность Поставщик/источник Идентификатор события Описание
Защита от эксплойтов Меры безопасности (режим ядра/режим пользователя) 1 Аудит ACG
Защита от эксплойтов Меры безопасности (режим ядра/режим пользователя) 3 Не разрешать аудит для дочерних процессов
Защита от эксплойтов Меры безопасности (режим ядра/режим пользователя) 5 Блокировать аудит изображений с низкой целостностью
Защита от эксплойтов Меры безопасности (режим ядра/режим пользователя) 7 Блокировать аудит удаленных изображений
Защита от эксплойтов Меры безопасности (режим ядра/режим пользователя) 9 Отключить аудит системных вызовов Win32k
Защита от эксплойтов Меры безопасности (режим ядра/режим пользователя) 11 Аудит защиты целостности кода

См. также

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.