評估惡意探索保護
適用於:
想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。
惡意探索保護可協助保護裝置,以避免惡意程式碼使用惡意探索來散播和感染其他裝置。 緩和措施可套用至作業系統或個別應用程式。 增強的緩和措施體驗工具組 (EMET) 中的許多功能包含在惡意探索保護中。 (EMET 已終止支援。)
在稽核中,您可以在測試環境中查看緩和措施如何在特定應用程式中運作。 這會顯示如果您在實際執行環境中啟用惡意探索保護會發生什麼事。 如此一來,您可以確認惡意探索保護不會對企業營運應用程式造成負面影響,並查看發生哪些可疑或惡意事件。
啟用惡意探索保護以進行測試
您可以使用 Windows 安全性應用程式或 Windows PowerShell,在測試模式中設定特定程式的緩和措施。
Windows 安全性應用程式
開啟 Windows 安全性應用程式。 在工作列中選取防護盾圖示,或在 [開始] 功能表中搜尋 [Windows 安全性]。
選取 [應用程式和瀏覽器控制] 磚 (或左側功能表列上的應用程式圖示),然後選取 [惡意探索保護]。
請移至 [程式設定],然後選擇您想要套用保護的應用程式:
- 如果您要設定的應用程式已列出,請選取它,然後選取 [編輯]
- 如果應用程式未列在清單頂端,請選取 [ 新增程式以自定義]。 然後選擇您要如何新增應用程式。
- 使用 [依程式名稱新增],以將緩和措施套用至任何具有該名稱的執行中程式。 指定具副檔名的檔案。 您可以輸入完整路徑,限制只有該位置中具有該名稱的應用程式才套用緩和措施。
- 使用 [選擇確切的檔案路徑] 以使用標準的 Windows 檔案總管檔案選擇器視窗來尋找並選取您想要的檔案。
選取應用程式之後,您就會看到可套用的所有緩和措施清單。 選擇 [稽核 ] 只會在測試模式中套用風險降低。 如果您需要重新啟動處理序、應用程式或 Windows,您將收到通知。
針對您想要設定的所有應用程式和緩和措施,重複此程序。 當您設定完成時,選取 [套用]。
PowerShell
若要將應用程式層級風險降低設定為測試模式,請搭配稽核模式 Cmdlet 使用 Set-ProcessMitigation
。
以下列格式設定每個緩和措施:
Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>
其中:
- <範圍>:
-Name
表示應將緩和措施套用至特定應用程式。 在此旗標之後指定應用程式的可執行檔。
- <動作>:
-Enable
以啟用緩和措施-Disable
以停用緩和措施
- <風險降低>:
- 下表定義緩和措施 Cmdlet。 每個緩和措施會以逗號分隔。
緩和措施 | 測試模式 Cmdlet |
---|---|
任意程式碼防護 (ACG) | AuditDynamicCode |
封鎖低完整性映像 | AuditImageLoad |
封鎖不信任的字型 | AuditFont , FontAuditOnly |
程式碼完整性防護 | AuditMicrosoftSigned , AuditStoreSigned |
停用 Win32k 系統呼叫 | AuditSystemCall |
不允許子處理序 | AuditChildProcess |
例如,若要針對名為testing.exe的應用程式,在測試模式中啟用任意程式代碼防護 (ACG ) ,請執行下列命令:
Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable AuditDynamicCode
您可以將 -Enable
取代為 -Disable
來停用稽核模式。
檢閱惡意探索保護稽核事件
若要檢閱已封鎖的應用程式,請開啟 [事件檢視器],並在 Security-Mitigations 記錄中篩選下列事件。
功能 | 提供者/來源 | 事件識別碼 | 描述 |
---|---|---|---|
入侵防護 | Security-Mitigations (核心模式/使用者模式) | 1 | ACG 稽核 |
入侵防護 | Security-Mitigations (核心模式/使用者模式) | 3 | 不允許子處理序稽核 |
入侵防護 | Security-Mitigations (核心模式/使用者模式) | 5 | 封鎖低完整性映像稽核 |
入侵防護 | Security-Mitigations (核心模式/使用者模式) | 7 | 封鎖遠端映像稽核 |
入侵防護 | Security-Mitigations (核心模式/使用者模式) | 9 | 停用 win32k 系統呼叫稽核 |
入侵防護 | Security-Mitigations (核心模式/使用者模式) | 11 | 程式碼完整性防護稽核 |
另請參閱
提示
想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:適用於端點的 Microsoft Defender 技術社群。
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應