Oceń ochronę przed programami wykorzystującymi luki w zabezpieczeniach
Dotyczy:
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
- Microsoft Defender XDR
Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.
Funkcja Exploit Protection pomaga chronić przed złośliwym oprogramowaniem wykorzystującym luki w zabezpieczeniach w celu rozprzestrzeniania się i infekowania innych urządzeń. Środki ograniczania ryzyka mogą być stosowane zarówno do systemu operacyjnego, jak i pojedynczych aplikacji. Wiele funkcji, które były częścią zestawu narzędzi Enhanced Mitigation Experience Toolkit (EMET), jest uwzględnionych w ochronie przed programami wykorzystującymi luki w zabezpieczeniach. (Zestaw narzędzi EMET osiągnął koniec wsparcia technicznego.)
Podczas inspekcji możesz zobaczyć jak działają środki ograniczania ryzyka dla niektórych aplikacji w środowisku testowym. Pokazuje to, co by się stało, jeśli włączysz ochronę przed lukami w zabezpieczeniach w środowisku produkcyjnym. W ten sposób możesz sprawdzić, czy ochrona przed programami wykorzystującymi luki w zabezpieczeniach nie wpływa negatywnie na aplikacje biznesowe i zobaczyć, jakie podejrzane lub złośliwe zdarzenia występują.
Ogólne wytyczne
Środki zaradcze ochrony przed wykorzystującymi luki w zabezpieczeniach działają na niskim poziomie w systemie operacyjnym, a niektóre rodzaje oprogramowania, które wykonują podobne operacje niskiego poziomu, mogą mieć problemy ze zgodnością, gdy są skonfigurowane do ochrony za pomocą ochrony przed programami wykorzystującymi luki w zabezpieczeniach.
Jakiego rodzaju oprogramowanie nie powinno być chronione przez ochronę przed lukami w zabezpieczeniach?
- Oprogramowanie chroniące przed złośliwym oprogramowaniem i oprogramowanie do zapobiegania włamaniom lub wykrywania
- Debugery
- Oprogramowanie obsługujące technologie zarządzania prawami cyfrowymi (DRM) (czyli gry wideo)
- Oprogramowanie korzystające z technologii ochrony przed debugowaniem, zaciemnianiem lub podłączaniem
Jakiego typu aplikacje należy rozważyć włączenie ochrony przed lukami w zabezpieczeniach?
Aplikacje, które odbierają lub obsługują niezaufane dane.
Jakiego typu procesy są poza zakresem ochrony przed lukami w zabezpieczeniach?
Usługi
- Usługi systemowe
- Usługi sieciowe
Domyślnie włączone środki zaradcze ochrony przed lukami w zabezpieczeniach
| Ograniczenie ryzyka | Domyślnie włączone |
|---|---|
| Zapobieganie wykonywaniu danych (DEP) | Aplikacje 64-bitowe i 32-bitowe |
| Weryfikuj łańcuchy wyjątków (SEHOP) | Aplikacje 64-bitowe |
| Weryfikuj integralność stosu | Aplikacje 64-bitowe i 32-bitowe |
Przestarzałe środki zaradcze "Ustawienia programu"
| Środki zaradcze "Ustawienia programu" | Powód |
|---|---|
| Filtrowanie adresów eksportu (EAF) | Problemy ze zgodnością aplikacji |
| Filtrowanie adresów importu (IAF) | Problemy ze zgodnością aplikacji |
| Symuluj wykonywanie (SimExec) | Zastąpione dowolną funkcją Code Guard (ACG) |
| Weryfikuj wywołanie interfejsu API (CallerCheck) | Zastąpione dowolną funkcją Code Guard (ACG) |
| Weryfikuj integralność stosu (StackPivot) | Zastąpione dowolną funkcją Code Guard (ACG) |
Najlepsze rozwiązania dotyczące aplikacji pakietu Office
Zamiast korzystać z programu Exploit Protection dla aplikacji pakietu Office, takich jak Outlook, Word, Excel, PowerPoint i OneNote, rozważ użycie bardziej nowoczesnego podejścia do zapobiegania ich niewłaściwemu użyciu: reguły zmniejszania obszaru podatnego na ataki (reguły ASR):
- Blokuj zawartość wykonywalną z klienta poczty e-mail i poczty internetowej
- Blokowanie tworzenia zawartości wykonywalnej przez aplikacje pakietu Office
- Blokowanie tworzenia procesów podrzędnych przez wszystkie aplikacje pakietu Office
- Blokowanie tworzenia procesów podrzędnych przez aplikację komunikacyjną pakietu Office
- Blokuj aplikacjom pakietu Office wstrzykiwanie kodu do innych procesów
- Blokuj wykonywanie potencjalnie zaciemnionych skryptów
- Blokuj wywołania interfejsu API Win32 z makr pakietu Office
W przypadku programu Adobe Reader użyj następującej reguły usługi ASR:
Przeglądarka Google Chrome nie zaleca już włączania programu Exploit Protection (EMET), ponieważ jest nadmiarowa lub zastąpiona wbudowanymi ograniczeniami ryzyka ataków.
Lista zgodności aplikacji
W poniższej tabeli wymieniono określone produkty, które mają problemy ze zgodnością z ograniczeniami ryzyka, które są uwzględnione w ochronie przed programami wykorzystującymi luki w zabezpieczeniach. Jeśli chcesz chronić produkt przy użyciu ochrony przed lukami w zabezpieczeniach, musisz wyłączyć określone niezgodne środki zaradcze. Należy pamiętać, że ta lista uwzględnia ustawienia domyślne dla najnowszych wersji produktu. Problemy ze zgodnością można wprowadzić w przypadku zastosowania niektórych dodatków lub innych składników do standardowego oprogramowania.
| Rezultat | Ograniczanie ochrony przed lukami w zabezpieczeniach |
|---|---|
| .NET 2.0/3.5 | EAF/IAF |
| konsola 7-Zip/graficzny interfejs użytkownika/menedżer plików | EAF |
| Procesory AMD 62xx | EAF |
| Avecto (Beyond Trust) Power Broker | EAF, EAF+, Stack Pivot |
| Niektóre sterowniki wideo amd (ATI) | System ASLR=AlwaysOn |
| DropBox | EAF |
| Excel Power Query, Power View, Power Map i PowerPivot | EAF |
| Google Chrome (nie jest już zalecane) | EAF+ |
| Immidio Flex+ | EAF |
| Microsoft Office Web Components (OWC) | System DEP=AlwaysOn |
| Microsoft PowerPoint | EAF |
| Microsoft Teams | EAF+ |
| Oracle Javaǂ | Heapspray |
| Pitney Bowes Print Audit 6 | SimExecFlow |
| Siebel CRM w wersji 8.1.1.9 | SEHOP |
| Skype | EAF |
| SolarWinds Syslogd Manager | EAF |
| Odtwarzacz multimedialny Windows | MandatoryASLR, EAF |
ǂ Środki zaradcze EMET mogą być niezgodne z językiem Oracle Java, gdy są uruchamiane przy użyciu ustawień, które rezerwują dużą część pamięci dla maszyny wirtualnej (czyli przy użyciu opcji -Xms).
Włączanie ustawień systemu ochrony przed lukami w zabezpieczeniach na potrzeby testowania
Te ustawienia systemu programu Exploit Protection są domyślnie włączone z wyjątkiem randomizacji obowiązkowego układu przestrzeni adresowej (ASLR) w Windows 10 i nowszych Windows Server 2019 r. i nowszych oraz w wersji Windows Server wersji 1803 core i nowszych.
| Ustawienia systemu | Ustawienie |
|---|---|
| Ochrona przepływu sterowania (CFG) | Użyj wartości domyślnej (włączone) |
| Zapobieganie wykonywaniu danych (DEP) | Użyj wartości domyślnej (włączone) |
| Wymuszanie randomizacji obrazów (obowiązkowe asrl) | Użyj wartości domyślnej (wyłączone) |
| Losowe alokacje pamięci (oddolne asrl) | Użyj wartości domyślnej (włączone) |
| Asrl o wysokiej entropii | Użyj wartości domyślnej (włączone) |
| Weryfikuj łańcuchy wyjątków (SEHOP) | Użyj wartości domyślnej (włączone) |
Przykład xml jest dostępny poniżej
<?xml version="1.0" encoding="UTF-8"?>
<MitigationPolicy>
<SystemConfig>
<DEP Enable="true" EmulateAtlThunks="false" />
<ASLR ForceRelocateImages="false" RequireInfo="false" BottomUp="true" HighEntropy="true" />
<ControlFlowGuard Enable="true" SuppressExports="false" />
<SEHOP Enable="true" TelemetryOnly="false" />
<Heap TerminateOnError="true" />
</SystemConfig>
</MitigationPolicy>
Włączanie ustawień programu ochrony przed lukami w zabezpieczeniach na potrzeby testowania
Porada
Zdecydowanie zalecamy zapoznanie się z nowoczesnym podejściem do ograniczania luk w zabezpieczeniach, które polega na używaniu reguł zmniejszania obszaru podatnego na ataki (reguł ASR).
Możesz ustawić środki ograniczania ryzyka w trybie testowania dla określonych programów przy użyciu aplikacji Zabezpieczenia Windows lub programu Windows PowerShell.
Aplikacja Zabezpieczenia Windows
Otwórz aplikację Zabezpieczenia Windows. Wybierz ikonę tarczy na pasku zadań lub wyszukaj w menu Start pozycję Zabezpieczenia Windows.
Wybierz kafelek Sterowanie aplikacjami i przeglądarką (lub ikonę aplikacji na pasku menu po lewej stronie), a następnie wybierz Ochronę przed programami wykorzystującymi luki w zabezpieczeniach.
Przejdź do obszaru Ustawienia programu i wybierz aplikację dla chcesz zastosować ochronę:
Jeśli aplikacja, którą chcesz skonfigurować, jest już wyświetlana, wybierz ją, a następnie wybierz pozycję Edytuj.
Jeśli aplikacja nie znajduje się na liście w górnej części listy, wybierz pozycję Dodaj program do dostosowania. Następnie wybierz w jaki sposób chcesz dodać aplikację.
- Użyj polecenia Dodaj według nazwy programu, aby zastosować środki ograniczania ryzyka do dowolnego uruchomionego procesu o tej nazwie. Określ plik z jego rozszerzeniem. Możesz wprowadzić pełną ścieżkę, aby ograniczyć zastosowanie środków ograniczania ryzyka tylko do aplikacji o tej nazwie w danej lokalizacji.
- Użyj opcji Wybierz dokładną ścieżkę pliku, aby użyć standardowego okna selektora plików Eksploratora Windows w celu znalezienia i wybrania odpowiedniego pliku.
Po wybraniu aplikacji zostanie wyświetlona lista wszystkich środków ograniczania ryzyka, które można zastosować. Wybranie opcji Inspekcja powoduje zastosowanie ograniczenia ryzyka tylko w trybie testowym. Otrzymasz powiadomienie, jeśli musisz ponownie uruchomić proces, aplikację lub system Windows.
Powtórz tę procedurę dla wszystkich aplikacji i środków ograniczania ryzyka, które chcesz skonfigurować. Po zakończeniu konfiguracji wybierz pozycję Zastosuj.
PowerShell
Aby ustawić środki zaradcze na poziomie aplikacji na tryb testowania, użyj polecenia Set-ProcessMitigation cmdlet Trybu inspekcji .
Skonfiguruj poszczególne środki ograniczania ryzyka w następującym formacie:
Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>
Gdzie:
-
<Zakres>:
-
-Namewskazujące, że środki ograniczania ryzyka należy zastosować do określonej aplikacji. Określ plik wykonywalny aplikacji po tym oflagowaniu.
-
-
<Akcja>:
-
-Enable, aby włączyć środki ograniczania ryzyka-
-Disable, aby wyłączyć środki ograniczania ryzyka
-
-
-
<Środki zaradcze>:
- Polecenie cmdlet środków ograniczania ryzyka zgodnie z definicją w poniższej tabeli. Poszczególne środki ograniczania ryzyka są oddzielone przecinkami.
| Środki ograniczania ryzyka | Polecenie cmdlet trybu testowego |
|---|---|
| Ochrona przed wykonaniem dowolnego kodu (ACG) | AuditDynamicCode |
| Blokuj obrazy o niskiej integralności | AuditImageLoad |
| Blokuj niezaufane czcionki |
AuditFont, FontAuditOnly |
| Ochrona integralności kodu |
AuditMicrosoftSigned, AuditStoreSigned |
| Wyłącz wywołania systemowe Win32k | AuditSystemCall |
| Nie zezwalaj na procesy podrzędne | AuditChildProcess |
Aby na przykład włączyć dowolną funkcję Code Guard (ACG) w trybie testowym dla aplikacji o nazwie testing.exe, uruchom następujące polecenie:
Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable AuditDynamicCode
Możesz wyłączyć tryb inspekcji zastępując -Enable-Disable.
Przejrzyj zdarzenia inspekcji ochrony przed programami wykorzystujących luki w zabezpieczeniach
Aby sprawdzić, które aplikacje zostaną zablokowane, otwórz Podgląd zdarzeń i odfiltruj następujące zdarzenia w dzienniku Security-Mitigations.
| Funkcja | Dostawca/źródło | Identyfikator zdarzenia | Opis |
|---|---|---|---|
| Ochrona przed wykorzystywaniem | Security-Mitigations (tryb jądra/tryb użytkownika) | 1 | Inspekcja ACG |
| Ochrona przed wykorzystywaniem | Security-Mitigations (tryb jądra/tryb użytkownika) | 3 | Nie zezwalaj na inspekcję procesów podrzędnych |
| Ochrona przed wykorzystywaniem | Security-Mitigations (tryb jądra/tryb użytkownika) | 5 | Blokuj inspekcję obrazów o niskiej integralności |
| Ochrona przed wykorzystywaniem | Security-Mitigations (tryb jądra/tryb użytkownika) | 7 | Blokuj inspekcję obrazów zdalnych |
| Ochrona przed wykorzystywaniem | Security-Mitigations (tryb jądra/tryb użytkownika) | 9 | Wyłącz inspekcję wywołań systemowych win32k |
| Ochrona przed wykorzystywaniem | Security-Mitigations (tryb jądra/tryb użytkownika) | 11 | Ochrona integralności kodu |
Zobacz też
- Włącz ochronę przed wykorzystaniem
- Konfigurowanie i inspekcja środków ograniczania ryzyka dla ochrony przed programami wykorzystującymi luki w zabezpieczeniach
- Importuj, eksportuj i wdrażaj konfigurację ochrony przed wykorzystaniem
- Rozwiązywanie problemów z ochroną przed programami wykorzystującymi luki w zabezpieczeniach
Porada
Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.