評估惡意探索保護

適用於：

想要體驗適用於端點的 Microsoft Defender 嗎？注册免費試用版。

惡意探索保護可協助保護裝置，以避免惡意程式碼使用惡意探索來散播和感染其他裝置。緩和措施可套用至作業系統或個別應用程式。增強的緩和措施體驗工具組 (EMET) 中的許多功能包含在惡意探索保護中。 (EMET 已終止支援。)

在稽核中，您可以在測試環境中查看緩和措施如何在特定應用程式中運作。這會顯示如果您在實際執行環境中啟用惡意探索保護會發生什麼事。如此一來，您可以確認惡意探索保護不會對企業營運應用程式造成負面影響，並查看發生哪些可疑或惡意事件。

啟用惡意探索保護以進行測試

您可以使用 Windows 安全性應用程式或 Windows PowerShell，在測試模式中設定特定程式的緩和措施。

開啟 Windows 安全性應用程式。在工作列中選取防護盾圖示，或在 [開始] 功能表中搜尋 [Windows 安全性]。
選取 [應用程式和瀏覽器控制] 磚 (或左側功能表列上的應用程式圖示)，然後選取 [惡意探索保護]。
請移至 [程式設定]，然後選擇您想要套用保護的應用程式：
1. 如果您要設定的應用程式已列出，請選取它，然後選取 [編輯]
2. 如果應用程式未列在清單頂端，請選取 [ 新增程式以自定義]。然後選擇您要如何新增應用程式。
  - 使用 [依程式名稱新增]，以將緩和措施套用至任何具有該名稱的執行中程式。指定具副檔名的檔案。您可以輸入完整路徑，限制只有該位置中具有該名稱的應用程式才套用緩和措施。
  - 使用 [選擇確切的檔案路徑] 以使用標準的 Windows 檔案總管檔案選擇器視窗來尋找並選取您想要的檔案。
選取應用程式之後，您就會看到可套用的所有緩和措施清單。選擇 [稽核 ] 只會在測試模式中套用風險降低。如果您需要重新啟動處理序、應用程式或 Windows，您將收到通知。
針對您想要設定的所有應用程式和緩和措施，重複此程序。當您設定完成時，選取 [套用]。

若要將應用程式層級風險降低設定為測試模式，請搭配稽核模式 Cmdlet 使用 Set-ProcessMitigation 。

以下列格式設定每個緩和措施：

Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>

其中：

緩和措施	測試模式 Cmdlet
任意程式碼防護 (ACG)	`AuditDynamicCode`
封鎖低完整性映像	`AuditImageLoad`
封鎖不信任的字型	`AuditFont`, `FontAuditOnly`
程式碼完整性防護	`AuditMicrosoftSigned`, `AuditStoreSigned`
停用 Win32k 系統呼叫	`AuditSystemCall`
不允許子處理序	`AuditChildProcess`

例如，若要針對名為testing.exe的應用程式，在測試模式中啟用任意程式代碼防護 (ACG ) ，請執行下列命令：

Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable AuditDynamicCode

您可以將 -Enable 取代為 -Disable 來停用稽核模式。

若要檢閱已封鎖的應用程式，請開啟 [事件檢視器]，並在 Security-Mitigations 記錄中篩選下列事件。

功能	提供者/來源	事件識別碼	描述
入侵防護	Security-Mitigations (核心模式/使用者模式)	1	ACG 稽核
入侵防護	Security-Mitigations (核心模式/使用者模式)	3	不允許子處理序稽核
入侵防護	Security-Mitigations (核心模式/使用者模式)	5	封鎖低完整性映像稽核
入侵防護	Security-Mitigations (核心模式/使用者模式)	7	封鎖遠端映像稽核
入侵防護	Security-Mitigations (核心模式/使用者模式)	9	停用 win32k 系統呼叫稽核
入侵防護	Security-Mitigations (核心模式/使用者模式)	11	程式碼完整性防護稽核

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群：適用於端點的 Microsoft Defender 技術社群。