Оценка защиты от эксплойтов
Область применения:
- Microsoft Defender для конечной точки (план 1)
- Microsoft Defender для конечной точки (план 2)
- Microsoft Defender XDR
Хотите попробовать Microsoft Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.
Защита от эксплойтов помогает защитить устройства от вредоносных программ, которые используют эксплойты для распространения и заражения других устройств. Меры можно применить либо к операционной системе, либо к отдельному приложению. Многие функции, которые вошли в набор средств Enhanced Mitigation Experience Toolkit (EMET), включены в защиту от эксплойтов. (Поддержка EMET заканчивается.)
В ходе аудита вы можете увидеть, как работают меры для определенных приложений в тестовой среде. Здесь показано, что произошло бы, если бы вы включили защиту от эксплойтов в своей производственной среде. Таким образом вы можете убедиться, что защита от эксплойтов не оказывает негативного влияния на бизнес-приложения и какие подозрительные или вредоносные события происходят.
Включить защиту от эксплойтов для тестирования
Вы можете настроить меры в режиме тестирования для определенных программ с помощью приложения "Безопасность Windows" или Windows PowerShell.
Приложение "Безопасность Windows"
Откройте приложение "Безопасность Windows". Выберите значок щита на панели задач или в меню "Пуск" выберите пункт Безопасность Windows.
Выберите плитку Управление приложениями и браузером (или значок приложения в левой панели меню), а затем выберите Защита от эксплойтов.
Перейдите в Параметры программы и выберите приложение, к которому вы хотите применить защиту:
- Если приложение, которое вы хотите настроить, уже указано в списке, выберите его и нажмите Изменить
- Если приложение не указано в верхней части списка, выберите Добавить программу для настройки. Затем выберите, как вы хотите добавить приложение.
- Используйте Добавить по имени программы, чтобы применить меры к любым запущенным процессам с таким именем. Укажите файл с расширением. Вы можете ввести полный путь, чтобы ограничить применение мер только приложением с таким именем в этом расположении.
- Нажмите Выбрать точный путь файла, чтобы использовать стандартное окно выбора файлов проводника Windows Explorer для поиска и выбора нужного файла.
После выбора приложения вы увидите список всех мер, которые можно применить. При выборе аудита будет применяться устранение рисков только в тестовом режиме. Вы получите уведомление о необходимости перезапуска процесса, приложения или Windows.
Повторите эту процедуру для всех приложений и мер, которые вы хотите настроить. После настройки конфигурации выберите Применить.
PowerShell
Чтобы настроить устранение рисков на уровне приложения в тестовом режиме, используйте Set-ProcessMitigation командлет Audit mode .
Настройте каждое решение в следующем формате:
Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>
Где:
-
<Область:>
-
-Nameдля указания мер, которые следует применить к определенному приложению. Укажите исполняемый файл приложения после того, как поставите этот флажок.
-
-
<Действие>:
-
-Enable, чтобы включить меры-
-Disable, чтобы отключить меры
-
-
-
<Устранение рисков>.
- Командлет решений определен в соответствии со следующей таблицей. Каждая мера отделена запятой.
| Устранение рисков | Командлет тестового режима |
|---|---|
| Произвольный Code Guard (ACG) | AuditDynamicCode |
| Блокировать изображений с низкой целостностью | AuditImageLoad |
| Блокировка ненадежные шрифты |
AuditFont, FontAuditOnly |
| Защита целостности кода |
AuditMicrosoftSigned, AuditStoreSigned |
| Отключить системные вызовы Win32k | AuditSystemCall |
| Не разрешать дочерние процессы | AuditChildProcess |
Например, чтобы включить Произвольный Code Guard (ACG) в тестовом режиме для приложения с именемtesting.exe, выполните следующую команду:
Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable AuditDynamicCode
Вы можете отключить режим аудита, заменив -Enable на -Disable.
Просмотр событий аудита защиты от эксплойтов
Чтобы просмотреть, какие приложения были бы заблокированы, откройте приложение "Просмотр событий" и отфильтруйте следующие события в журнале мер безопасности.
| Возможность | Поставщик/источник | Идентификатор события | Описание |
|---|---|---|---|
| Защита от эксплойтов | Меры безопасности (режим ядра/режим пользователя) | 1 | Аудит ACG |
| Защита от эксплойтов | Меры безопасности (режим ядра/режим пользователя) | 3 | Не разрешать аудит для дочерних процессов |
| Защита от эксплойтов | Меры безопасности (режим ядра/режим пользователя) | 5 | Блокировать аудит изображений с низкой целостностью |
| Защита от эксплойтов | Меры безопасности (режим ядра/режим пользователя) | 7 | Блокировать аудит удаленных изображений |
| Защита от эксплойтов | Меры безопасности (режим ядра/режим пользователя) | 9 | Отключить аудит системных вызовов Win32k |
| Защита от эксплойтов | Меры безопасности (режим ядра/режим пользователя) | 11 | Аудит защиты целостности кода |
См. также
- Включить защиту от эксплойтов
- Настройка и аудит мер защиты от эксплойтов
- Импорт, экспорт и развертывание конфигураций защиты от эксплойтов
- Устранение неполадок защиты от эксплойтов
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.