Aktivieren des Exploit-Schutzes zur Minderung von Angriffsrisiken - Microsoft Defender for Endpoint (2024)

Table of Contents
In diesem Artikel Windows-Sicherheit-App Beispiel 1: Michael konfiguriert die Datenausführungsverhinderung im Abschnitt "Systemeinstellungen" als standardmäßig deaktiviert. Beispiel 2: Hannah konfiguriert die Datenausführungsverhinderung in den "Systemeinstellungen" als standardmäßig deaktiviert. Intune MDM Microsoft Configuration Manager Endpunktsicherheit Ressourcen und Compliance Gruppenrichtlinien PowerShell Anpassen der Benachrichtigung Siehe auch
  • Artikel

Gilt für:

  • Microsoft Defender für Endpunkt Plan 2
  • Microsoft Defender für Endpunkt Plan 1
  • Microsoft Defender XDR

Tipp

Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion

Der Exploit-Schutz trägt zum Schutz vor Schadsoftware bei, die Exploits verwendet, um Geräte zu infizieren und sich zu verbreiten. Der Exploit-Schutz umfasst mehrere Maßnahmen zur Risikominderung, die entweder auf das Betriebssystem oder auf einzelne Apps angewendet werden können.

Wichtig

.NET 2.0 ist mit einigen Exploit-Schutzfunktionen nicht kompatibel, insbesondere mit EAF (Export Address Filtering) und Import Address Filtering (IAF). Wenn Sie .NET 2.0 aktiviert haben, wird die Verwendung von EAF und IAF nicht unterstützt.

Viele der Features des Enhanced Mitigation Experience Toolkits (EMET) sind auch im Exploit-Schutz enthalten.

Sie können jede Risikominderungsfunktionen separat aktivieren. Dazu können Sie eine der folgenden Methoden verwenden:

  • Windows-Sicherheit-App
  • Microsoft Intune
  • Verwaltung von Mobilgeräten (Mobile Device Management, MDM)
  • Microsoft Configuration Manager
  • Gruppenrichtlinie
  • PowerShell

Der Exploit-Schutz ist in Windows 10 und Windows 11 standardmäßig konfiguriert. Sie können die einzelnen Risikominderungsfunktionen auf "Ein", "Aus" oder den Standardwert festlegen. Einige Risikominderungsfunktionen bieten mehr Optionen. Sie können diese Einstellungen als XML-Datei exportieren und auf anderen Geräten anwenden.

Sie können Risikominderungsfunktionen auch in den Überwachungsmodus versetzen. Im Überwachungsmodus können Sie testen, wie die Risikominderungen funktionieren (und Ereignisse überprüfen), ohne die normale Verwendung des Geräts zu beeinträchtigen.

Windows-Sicherheit-App

  1. Öffnen Sie die Windows-Sicherheit-App, indem Sie entweder das Schildsymbol in der Taskleiste anklicken oder über das Startmenü nach Sicherheit suchen.

  2. Wählen Sie die Kachel App- und Browsersteuerung (oder das App-Symbol auf der linken Menüleiste) und dann Exploit-Schutzeinstellungen aus.

  3. Wechseln Sie zu den Programmeinstellungen, und wählen Sie die App aus, auf die Sie Risikominderungsfunktionen anwenden möchten.

    • Wenn die App, die Sie konfigurieren möchten, bereits aufgeführt ist, wählen Sie sie aus, und klicken Sie dann auf Bearbeiten.
    • Wenn die App nicht aufgeführt ist, wählen Sie oben in der Liste Programm zum Anpassen hinzufügen aus, und wählen Sie dann aus, wie Sie die App hinzufügen möchten.
    • Wählen Sie Nach Programmnamen hinzufügen, damit die Risikominderung auf alle laufenden Prozesse mit diesem Namen angewendet wird. Geben Sie eine Datei samt ihrer Erweiterung an. Sie können einen vollständigen Pfad angeben, um die Risikominderung auf die App mit diesem Namen an diesem Speicherort zu beschränken.
    • Wählen Sie Genauen Dateipfad auswählen, um über ein Standard-Windows-Explorer-Fenster die gewünschte Datei zu suchen und auszuwählen.

  4. Nach dem Auswählen der App wird eine Liste aller Risikominderungsfunktionen angezeigt, die angewendet werden können. Wenn Sie Überwachung auswählen, wird die Risikominderung nur im Überwachungsmodus angewendet. Sie werden benachrichtigt, wenn Sie den Prozess oder die App neu starten müssen oder Windows neu starten müssen.

  5. Wiederholen Sie die Schritte 3 bis 4 für alle Apps und Risikominderungsfunktionen, die Sie konfigurieren möchten.

  6. Suchen Sie im Abschnitt Systemeinstellungen die Risikominderung, die Sie konfigurieren möchten, und legen Sie dann eine der folgenden Einstellungen fest. Für Apps, die im Abschnitt Programmeinstellungen nicht einzeln konfiguriert sind, gelten die hier festgelegten Einstellungen.

    See Also
    Turn on exploit protection to help mitigate against attacks - Microsoft Defender for EndpointSchutz vor Exploits: Die besten Tipps und Tools kostenlos zum DownloadDefender Exploit-Schutz die Standard Einstellungen Windows 10Defender Exploit-Schutz mit PowerShell und Gruppenrichtlinien konfigurieren

    • Standardmäßig aktiviert: Die Risikominderung ist für Apps aktiviert, für die sie nicht im App-spezifischen Abschnitt in den Programmeinstellungen festgelegt wurde.
    • Standardmäßig deaktiviert: Die Risikominderung ist für Apps deaktiviert, für die sie nicht im App-spezifischen Abschnitt in den Programmeinstellungen festgelegt wurde.
    • Standardwert verwenden: Die Risikominderung ist entweder aktiviert oder deaktiviert, abhängig von der Standardkonfiguration, die durch die Windows 10- oder Windows 11-Installation eingerichtet wurde. Der Standardwert (Ein oder Aus) wird immer neben der Bezeichnung Standardwert verwenden für die einzelnen Risikominderungen angegeben.

  7. Wiederholen Sie Schritt 6 für alle Risikominderungsfunktionen auf Systemebene, die Sie konfigurieren möchten. Klicken Sie auf Übernehmen, wenn Sie mit der Einrichtung Ihrer Konfiguration fertig sind.

Wenn Sie dem Abschnitt Programmeinstellungen eine App hinzufügen und dort einzelne Risikominderungseinstellungen konfigurieren, werden diese über der Konfiguration für die gleichen Risikominderungen berücksichtigt, die im Abschnitt Systemeinstellungen angegeben sind. Die folgende Matrix und Beispiele veranschaulichen, wie Standardeinstellungen funktionieren:

Aktiviert in den ProgrammeinstellungenAktiviert in den SystemeinstellungenVerhalten
JaNeinWie in den Programmeinstellungen festgelegt
JaJaWie in den Programmeinstellungen festgelegt
NeinJaWie in den Systemeinstellungen festgelegt
NeinNeinStandardwert wie in der Option Standardwert verwenden festgelegt

Beispiel 1: Michael konfiguriert die Datenausführungsverhinderung im Abschnitt "Systemeinstellungen" als standardmäßig deaktiviert.

Michael fügt die App test.exe zum Abschnitt Programmeinstellungen hinzu. In den Optionen für diese App aktiviert Michael unter Datenausführungsverhinderung die Option Systemeinstellungen außer Kraft setzen und legt den Schalter auf Ein fest. Im Abschnitt Programmeinstellungen sind keine anderen Apps aufgeführt.

Das Ergebnis ist, dass die Datenausführungsverhinderung nur für test.exe aktiviert ist. Für alle anderen Apps wird DEP nicht angewendet.

Beispiel 2: Hannah konfiguriert die Datenausführungsverhinderung in den "Systemeinstellungen" als standardmäßig deaktiviert.

Hannah fügt die App test.exe zum Abschnitt Programmeinstellungen hinzu. In den Optionen für diese App aktiviert Hannah unter Datenausführungsverhinderung die Option Systemeinstellungen außer Kraft setzen und legt den Schalter auf Ein fest.

Hannah fügt außerdem die App miles.exe zum Abschnitt Programmeinstellungen hinzu und setzt Ablaufsteuerungsschutz (Control Flow Guard, CFG) auf Ein. Hannah aktiviert die Option Systemeinstellungen außer Kraft setzen für diese App weder für die Datenausführungsverhinderung noch für andere Risikominderungen.

Das Ergebnis ist, dass die Datenausführungsverhinderung für test.exe aktiviert ist. DEP wird für keine andere App aktiviert, einschließlich miles.exe. Für miles.exe ist hingegen der Ablaufsteuerungsschutz aktiviert.

  1. Öffnen Sie die Windows-Sicherheit-App, indem Sie entweder das Schildsymbol in der Taskleiste anklicken oder über das Startmenü nach Windows-Sicherheit suchen.

  2. Wählen Sie die Kachel App- und Browsersteuerung (oder das App-Symbol auf der linken Menüleiste) und dann Exploit-Schutz aus.

  3. Wechseln Sie zu den Programmeinstellungen, und wählen Sie die App aus, auf die Sie Risikominderungsfunktionen anwenden möchten.

    • Wenn die App, die Sie konfigurieren möchten, bereits aufgeführt ist, wählen Sie sie aus, und klicken Sie dann auf Bearbeiten.
    • Wenn die App nicht aufgeführt ist, wählen Sie oben in der Liste Programm zum Anpassen hinzufügen aus, und wählen Sie dann aus, wie Sie die App hinzufügen möchten.
      • Wählen Sie Nach Programmnamen hinzufügen, damit die Risikominderung auf alle laufenden Prozesse mit diesem Namen angewendet wird. Geben Sie eine Datei samt einer Erweiterung an. Sie können einen vollständigen Pfad angeben, um die Risikominderung auf die App mit diesem Namen an diesem Speicherort zu beschränken.
      • Wählen Sie Genauen Dateipfad auswählen, um über ein Standard-Windows-Explorer-Fenster die gewünschte Datei zu suchen und auszuwählen.

  4. Nach dem Auswählen der App wird eine Liste aller Risikominderungsfunktionen angezeigt, die angewendet werden können. Wenn Sie Überwachung auswählen, wird die Risikominderung nur im Überwachungsmodus angewendet. Sie werden benachrichtigt, wenn Sie den Prozess oder die App neu starten oder Windows neu starten müssen.

  5. Wiederholen Sie die Schritte 3 bis 4 für alle Apps und Risikominderungsfunktionen, die Sie konfigurieren möchten. Klicken Sie auf Übernehmen, wenn Sie mit der Einrichtung Ihrer Konfiguration fertig sind.

Intune

  1. Melden Sie sich beim Azure-Portal an, und öffnen Sie die Intune.

  2. Wechseln Sie zu Gerätekonfiguration>Konfigurationsprofile>Create Profil.

  3. Benennen Sie das Profil, wählen Sie Windows 10 und höher aus, wählen Sie Vorlagen für Profiltyp und endpoint protection unter Vorlagenname aus.

  4. Wählen Sie Konfigurieren>Windows Defender Exploit Guard>Exploit-Schutz aus.

  5. Laden Sie eine XML-Datei mit den Exploit-Schutzeinstellungen hoch:

  6. Klicken Sie auf OK, um jedes geöffnete Blatt zu speichern, und dann auf Erstellen.

    See Also
    Exploit Protection - Windows 11 Must-Have?! - < bi-sec >

  7. Wählen Sie die Profil-Registerkarte Zuweisungen aus, weisen Sie die Richtlinie Allen Benutzern und allen Geräten zu, und klicken Sie dann auf Speichern.

MDM

Verwenden Sie den Konfigurationsdienstanbieter ./Vendor/MSFT/Policy/Config/ExploitGuard/ExploitProtectionSettings, um Exploit-Schutzminderungen zu aktivieren oder zu deaktivieren oder den Überwachungsmodus zu verwenden.

Microsoft Configuration Manager

Endpunktsicherheit

  1. Wechseln Sie Microsoft Configuration Manager zu Endpunktsicherheit>Angriffsfläche reduzieren.

  2. Wählen Sie Create Richtlinienplattform> und unter Profil die Option Exploit-Schutz aus. Wählen Sie dann Erstellen aus.

  3. Geben Sie einen Namen und eine Beschreibung an, und klicken Sie dann auf Weiter.

  4. Wählen XML-Datei auswählen aus, und navigieren Sie zum Speicherort der Exploit-Schutz-XML-Datei. Wählen Sie die Datei aus, und klicken Sie anschließend auf Weiter.

  5. Konfigurieren Sie Bereichstags und Zuweisungen bei Bedarf.

  6. Überprüfen Sie unter Überprüfen und erstellen Ihre Konfigurationseinstellungen, und klicken Sie dann auf Erstellen.

Ressourcen und Compliance

  1. Wechseln Sie Microsoft Configuration Manager zu Assets and Compliance>Endpoint Protection>Windows Defender Exploit Guard.

  2. Wählen Sie Start>Create Exploit Guard-Richtlinie aus.

  3. Geben Sie einen Namen und eine Beschreibung an, klicken Sie auf Exploit-Schutz und dann auf Weiter.

  4. Navigieren Sie zum Speicherort der Exploit-Schutz-XML-Datei, und klicken Sie auf Weiter.

  5. Überprüfen Sie die Einstellungen und klicken Sie dann auf Weiter.

  6. Klicken Sie nach erfolgter Erstellung der Richtlinie auf Schließen.

Gruppenrichtlinien

  1. Öffnen Sie auf dem Gerät, auf dem Ihre Gruppenrichtlinie verwaltet wird, die Gruppenrichtlinien-Verwaltungskonsole, klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinienobjekt, das Sie konfigurieren möchten, und dann auf Bearbeiten.

  2. Wechseln Sie im Gruppenrichtlinien-Verwaltungs-Editor zu Computerkonfiguration, und wählen Sie Administrative Vorlagen aus.

  3. Erweitern Sie die Struktur auf Windows-Komponenten>Windows Defender Exploit Guard>Exploit-Schutz>Verwenden Sie einen allgemeinen Satz von Exploit-Schutzeinstellungen.

  4. Wählen Sie Aktiviert aus, geben Sie den Speicherort der XML-Datei an, und klicken Sie dann auf OK.

PowerShell

Sie können das PowerShell-Verb Get oder Set mit dem Cmdlet ProcessMitigation verwenden. Mithilfe von Get wird der aktuelle Konfigurationsstatus aller Risikominderungen aufgelistet, die auf dem Gerät aktiviert wurden. Fügen Sie das Cmdlet -Name und die App-EXE-Datei hinzu, um Risikominderungen nur für diese App anzuzeigen:

Get-ProcessMitigation -Name processName.exe

Wichtig

Nicht konfigurierte Risikominderungen auf Systemebene weisen den Status NOTSET auf.

  • Bei Einstellungen auf Systemebene gibt NOTSET an, dass die Standardeinstellung für diese Risikominderung angewendet wurde.
  • Bei Einstellungen auf App-Ebene gibt NOTSET an, dass die Einstellung auf Systemebene für diese Risikominderung angewendet wird.Die Standardeinstellung für die einzelnen Risikominderungen auf Systemebene wird in Windows-Sicherheit angezeigt.

Verwenden Sie Set, um die einzelnen Risikominderungen im folgenden Format zu konfigurieren:

Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>

Dabei gilt:

  • <Bereich>:
    • -Name, um anzugeben, dass die Risikominderungen auf eine bestimmte App angewendet werden sollen. Geben Sie die ausführbare Datei der App nach diesem Flag an.
      • -System, um anzugeben, dass die Risikominderungen auf Systemebene angewendet werden sollen.
  • <Aktion>:
    • -Enable, um die Risikominderung zu aktivieren
    • -Disable, um die Risikominderung zu deaktivieren
  • <Entschärfung>:
    • Das Cmdlet für die Risikominderung zusammen mit allen untergeordneten Optionen (umgeben von Leerzeichen). Die einzelnen Risikominderungen sind durch ein Komma getrennt.

Um beispielsweise die Risikominderung "Datenausführungsverhinderung" (Data Execution Prevention, DEP) mit ATL-Thunkemulation und für eine ausführbare Datei namens testing.exe im Ordner C:\Apps\LOB\tests zu aktivieren und zu verhindern, dass diese ausführbare Datei untergeordnete Prozesse erstellt, verwenden Sie den folgenden Befehl:

Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable DEP, EmulateAtlThunks, DisallowChildProcessCreation

Wichtig

Trennen Sie die einzelnen Risikominderungsoptionen durch Kommas.

Wenn Sie die Datenausführungsverhinderung auf Systemebene anwenden möchten, verwenden Sie den folgenden Befehl:

Set-Processmitigation -System -Enable DEP

Um Risikominderungen zu deaktivieren, können Sie -Enable durch -Disable ersetzen. Bei Risikominderungen auf App-Ebene erzwingt diese Aktion jedoch, dass die Risikominderung nur für diese App deaktiviert wird.

Wenn Sie die Risikominderung wieder auf die Systemstandardeinstellung zurücksetzen müssen, müssen Sie auch das cmdlet -Remove einschließen, wie im folgenden Beispiel gezeigt:

Set-Processmitigation -Name test.exe -Remove -Disable DEP

In der folgenden Tabelle sind die einzelnen Risikominderungen (und ggf. Überwachungen) aufgeführt, die mit den Cmdlet-Parametern -Enable oder -Disable verwendet werden sollen.

RisikominderungstypGilt fürCmdlet-Parameterschlüsselwort für RisikominderungCmdlet-Parameter für den Überwachungsmodus
Ablaufsteuerungsschutz (Control Flow Guard, CFG)System- und App-EbeneCFG, StrictCFG, SuppressExportsÜberwachung nicht verfügbar
Datenausführungsverhinderung (DATA Execution Prevention, DEP)System- und App-EbeneDEP, EmulateAtlThunksÜberwachung nicht verfügbar
Erzwingen von zufälligen Abbildern (obligatorisches ASLR)System- und App-EbeneForceRelocateImagesÜberwachung nicht verfügbar
Zufällige Speicherbelegungen (Bottom-Up ASLR)System- und App-EbeneBottomUp, HighEntropyÜberwachung nicht verfügbar
Überprüfen von Ausnahmeketten (SEHOP)System- und App-EbeneSEHOP, SEHOPTelemetryÜberwachung nicht verfügbar
Überprüfen der HeapintegritätSystem- und App-EbeneTerminateOnErrorÜberwachung nicht verfügbar
Arbitrary Code Guard (ACG)Nur auf App-EbeneDynamicCodeAuditDynamicCode
Bilder mit niedriger Integrität blockierenNur auf App-EbeneBlockLowLabelAuditImageLoad
Remoteimages blockierenNur auf App-EbeneBlockRemoteImagesÜberwachung nicht verfügbar
Nicht vertrauenswürdige Schriftarten blockierenNur auf App-EbeneDisableNonSystemFontsAuditFont, FontAuditOnly
CodeintegritätsschutzNur auf App-EbeneBlockNonMicrosoftSigned, AllowStoreSignedAuditMicrosoftSigned, AuditStoreSigned
Deaktivieren von ErweiterungspunktenNur auf App-EbeneExtensionPointÜberwachung nicht verfügbar
Win32k-Systemaufrufe deaktivierenNur auf App-EbeneDisableWin32kSystemCallsAuditSystemCall
Untergeordnete Prozesse nicht zulassenNur auf App-EbeneDisallowChildProcessCreationAuditChildProcess
Export-Adressfilterung (EAF)Nur auf App-EbeneEnableExportAddressFilterPlus, EnableExportAddressFilter[1]Überwachung nicht verfügbar [2]
Import-Adressfilterung (IAF)Nur auf App-EbeneEnableImportAddressFilterÜberwachung nicht verfügbar [2]
Simulieren der Ausführung (SimExec)Nur auf App-EbeneEnableRopSimExecÜberwachung nicht verfügbar [2]
Überprüfen des API-Aufrufs (CallerCheck)Nur auf App-EbeneEnableRopCallerCheckÜberwachung nicht verfügbar [2]
Überprüfen der HandleverwendungNur auf App-EbeneStrictHandleÜberwachung nicht verfügbar
Überprüfen der Integrität von ImageabhängigkeitenNur auf App-EbeneEnforceModuleDepencySigningÜberwachung nicht verfügbar
Überprüfen der Stapelintegrität (StackPivot)Nur auf App-EbeneEnableRopStackPivotÜberwachung nicht verfügbar [2]

[1]: Verwenden Sie das folgende Format, um EAF-Module für DLLs für einen Prozess zu aktivieren:

Set-ProcessMitigation -Name processName.exe -Enable EnableExportAddressFilterPlus -EAFModules dllName1.dll,dllName2.dll

[2]: Die Überwachung auf diese Entschärfung ist nicht über PowerShell-Cmdlets verfügbar.

Anpassen der Benachrichtigung

Informationen zum Anpassen der Benachrichtigung, wenn eine Regel ausgelöst und eine App oder Datei blockiert wurde, finden Sie unter Windows-Sicherheit.

Siehe auch

  • Auswerten des Exploit-Schutzes
  • Konfigurieren und Überwachen von Risikominderungen für den Exploit-Schutz
  • Importieren, Exportieren und Bereitstellen von Konfigurationen für Exploit-Schutz

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.

Aktivieren des Exploit-Schutzes zur Minderung von Angriffsrisiken - Microsoft Defender for Endpoint (2024)
Top Articles
Derek Deso - Biography
Inside The Life Of Derek Deso: Is He Married Or Dating A Girlfriend? Any Kids
PBC: News & Top Stories
Hickory Back Pages
Red Carpet Oil Change Blackstone
Davaba19
Everything You Might Want to Know About Tantric Massage - We've Asked a Pro
New Orleans Pelicans News, Scores, Status, Schedule - NBA
Cornell University Course Catalog
What Was D-Day Weegy
La Qua Brothers Funeral Home
/hypno/ - Hypnofa*ggotry
Www.patientnotebook.com/Prima
John Chiv Words Worth
Danville Va Gotcha Paper
Leaks Mikayla Campinos
Wasmo Link Telegram
Mr Seconds Geneseo Ny
How Much Is 7 Million Pesos
Itawamba Ixl
Us151 San Jose
Craigslist Yamhill
13.2 The F Distribution and the F Ratio - Statistics | OpenStax
Learning Channel Senior Living
Restored Republic August 10 2023
Bbc Weather Boca Raton
Server - GIGABYTE Costa Rica
Realidades 2 Workbook Answer Key
Highway 420 East Bremerton
South Bend Tribune Online
Myanswers Com Abc Resources
7148646793
Myrtle Beach, South Carolina: Abwechslungsreicher Freizeitspaß unter der Südstaaten-Sonne
Keci News
8 Best Bubble Braid Hairstyles For All Hair Types
Lvpg Orthopedics And Sports Medicine Muhlenberg
Walgreens Pharmacy On Jennings Station Road
Ati Recommended Cut Scores 2023
Espn Expert Picks Week 2
Acceltrax Sycamore Services
Sarah Snook Weight Gain
NCCAC
Grasons Estate Sales Tucson
'We weren't done': Spacebar Arcade closes its doors for good
Dermpathdiagnostics Com Pay Invoice
Hr Central Luxottica Benefits
Epiq Document Delivery
Explain the difference between a bar chart and a histogram. | Numerade
Restaurant Supply Store Ogden Utah
New Application Instructions · Government Portal
18 Awesome Things to do in Fort Walton Beach Florida 2024 - The Wanderlust Within
Vizio 75 Inch Tv Weight
Latest Posts
The Untold Truth About Derek Deso's Wife - Sophia Turner
The truth about Derek Deso and Sophia Turner - TheNetline
Article information

Author: Geoffrey Lueilwitz

Last Updated:

Views: 6113

Rating: 5 / 5 (80 voted)

Reviews: 87% of readers found this page helpful

Author information

Name: Geoffrey Lueilwitz

Birthday: 1997-03-23

Address: 74183 Thomas Course, Port Micheal, OK 55446-1529

Phone: +13408645881558

Job: Global Representative

Hobby: Sailing, Vehicle restoration, Rowing, Ghost hunting, Scrapbooking, Rugby, Board sports

Introduction: My name is Geoffrey Lueilwitz, I am a zealous, encouraging, sparkling, enchanting, graceful, faithful, nice person who loves writing and wants to share my knowledge and understanding with you.