评估漏洞保护

适用于：

希望体验 Microsoft Defender for Endpoint？注册免费试用版。

Exploit protection 有助于保护设备免受使用攻击来传播和感染其他设备的恶意软件的危害。可以将缓解措施应用于操作系统或单个应用。增强型减灾体验工具包 (EMET) 中的许多功能都包含在 Exploit Protection 中。（EMET 已终止支持。）

在审核中，可以看到缓解措施如何在测试环境中作用于某些应用。这显示了在生产环境中启用 Exploit Proection 时将发生的情况。通过这种方式，可以验证 Exploit Protection 不会对业务线应用产生负面影响，并查看发生了哪些可疑或恶意事件。

启用 Exploit Protection 以进行测试

可以通过使用 Windows 安全应用或 Windows PowerShell 在特定程序的测试模式下设置缓解措施。

打开 Windows 安全应用。选择任务栏中的防护图标，或在开始菜单中搜索“Windows 安全”。
选择 应用和浏览器控制 磁贴（或左侧菜单栏上的应用图标），然后选择 漏洞保护。
转到“程序设置”，然后选择要对其应用保护的应用：
1. 如果要配置的应用已列出，请选择它，然后选择“编辑”
2. 如果应用未在列表顶部列出，请选择 “添加要自定义的程序”。然后，选择要添加应用的方式。
  - 使用“按程序添加名称”将缓解措施应用于具有该名称的任何正在运行的进程。指定具有扩展名的文件。可以输入完整路径，以仅将缓解措施限制为该位置中具有该名称的应用。
  - 使用“选择确切的文件路径”，以使用标准 Windows 资源管理器文件选取器窗口查找并选择所需的文件。
选择应用后，你将看到可采取的所有缓解措施的列表。选择 “审核 ”将仅在测试模式下应用缓解措施。如果需要重启进程、应用或 Windows，系统将向你发出通知。
对要配置的所有应用和缓解措施重复此过程。设置完配置后，选择“应用”。

若要将应用级缓解设置为测试模式，请使用 Set-ProcessMitigation 审核模式 cmdlet。

按照以下格式配置每个缓解措施：

Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>

其中：

缓解	测试模式 cmdlet
任意代码防护 (ACG)	`AuditDynamicCode`
阻止低完整性图像	`AuditImageLoad`
阻止不受信任的字体	`AuditFont`, `FontAuditOnly`
代码完整性防护	`AuditMicrosoftSigned`, `AuditStoreSigned`
禁用 Win32k 系统调用	`AuditSystemCall`
不允许子进程	`AuditChildProcess`

例如，若要在测试模式下为名为testing.exe的应用启用任意代码防护 (ACG ) ，请运行以下命令：

Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable AuditDynamicCode

可以通过将 -Enable 替换为 -Disable 来禁用 审核模式。

要查看将要阻止哪些应用，请打开事件查看器并在安全缓解日志中筛选以下事件。

功能	提供程序/源	事件 ID	描述
漏洞保护	安全缓解（内核模式/用户模式）	1	ACG 审核
漏洞保护	安全缓解（内核模式/用户模式）	3	不允许子进程审核
漏洞保护	安全缓解（内核模式/用户模式）	5	阻止低完整性图像审核
漏洞保护	安全缓解（内核模式/用户模式）	7	阻止远程图像审核
漏洞保护	安全缓解（内核模式/用户模式）	9	禁用 win32k 系统调用审核
漏洞保护	安全缓解（内核模式/用户模式）	11	代码完整性防护审核

提示

想要了解更多信息？ Engage技术社区中的 Microsoft 安全社区：Microsoft Defender for Endpoint技术社区。