Defender Exploit Guard-Toolkit

Exploit Guard ist der Name von Funktionalitäten, die Windows besser vor Malware, wie z.B. Emotet und Ransomware, schutzen sollen. Exploit Guard ist ab Windows 10 (1709) Bestandteil der in Windows integrierten Antivirus-Lösung, Microsoft Defender.

Exploit Guard besteht aus 4 Komponenten:

Außer der Komponente "Exploit Protection", welche seit Windows 10 (1607) und Windows Server 2016 verfügbar ist, sind die Funktionalitäten von Defender Exploit Guard ab Windows 10 (1709) und ab Windows Server 2019 in Windows integriert.

Systemvoraussetzungen für die Nutzung von Exploit Guard-Komponenten

Komponente Betriebssystemversion Windows 10 Edition Defender Antivirus Realtime Scanning muss aktiviert sein
ASR Windows 10 (1709) / Server 2019 Pro/Enterprise/Education ja
Controlled folder access Windows 10 (1709) / Server 2019 Pro/Enterprise/Education ja
Exploit protection Windows 10 (1607) / Server 2016 Pro/Enterprise/Education nein
Network protection Windows 10 (1709) / Server 2019 Pro/Enterprise/Education ja

Die meisten Komponenten von Defender Exploit Guard sind per Benutzeroberflache, Gruppenrichtlinie, PowerShell und weitere Mechanismen konfigurierbar.

Attack Surface Reduction (ASR)

Attack Surface Reduction, kurz ASR, ist ein viel versprechender Ansatz, um Malware zu bekämpfen, da es die Grundfunktionalität von Malware, sich zu aktivieren, blockiert.

ASR unterbindet zum Beispiel das Nachladen von Schadsoftware aus dem Internet und das Ausführen von externen Programmen durch Büroanwendungen wie Microsoft Word oder Adobe Acrobat.

Verfügbare ASR-Regeln

Guid verfügbar ab Windows Built verfügbar ab Windows Version Description
BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550 16299 1709 Block executable content from email client and webmail
D4F940AB-401B-4EFC-AADC-AD5F3C50688A 16299 1709 Block all Office applications from creating child processes
3B576869-A4EC-4529-8536-B80A7769E899 16299 1709 Block Office applications from creating executable content
75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84 16299 1709 Block Office applications from injecting code into other processes
D3E037E1-3EB8-44C8-A917-57927947596D 16299 1709 Block JavaScript or VBScript from launching downloaded executable content
5BEB7EFE-FD9A-4556-801D-275E5FFC04CC 16299 1709 Block execution of potentially obfuscated scripts
92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B 16299 1709 Block Win32 API calls from Office macro
01443614-cd74-433a-b99e-2ecdc07bfc25 17134 1803 Block executable files from running unless they meet a prevalence, age, or trusted list criterion
c1db55ab-c21a-4637-bb3f-a12568109d35 17134 1803 Use advanced protection against ransomware
9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 17134 1803 Block credential stealing from the Windows local security authority subsystem (lsass.exe)
d1e49aac-8f56-4280-b9ba-993a6d77406c 17134 1803 Block process creations originating from PSExec and WMI commands
b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 17134 1803 Block untrusted and unsigned processes that run from USB
26190899-1602-49e8-8b27-eb1d0a1ce869 17763 1809 Block Office communication application from creating child processes
7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c 17763 1809 Block Adobe Reader from creating child processes
e6db77e5-3df2-4cf1-b95a-636979351e5b 18362 1903 Block persistence through WMI event subscription

Exploit Guard-Toolkit

Für die Aktivierung und Konfigurierung von ASR stellt das ITMZ ein Batch-Skript bereit, mit dem sich die verfügbaren ASR-Schutzmechanismen per administrativer Kommandozeile schnell und einfach aktivieren lassen.

Download unter
ftp://ftp.uni-rostock.de/pub/uni-rostock/rz/NT-Kurs/ToolKit/ConfigExploitGuard.cab 

Die Syntax ist wie folgt:

ConfigExploitGuard.bat Action

        Action: ASRDEF|ASRMIN|ASRMAX|ASRAUDIT|ASRDISABLE

                ASRDEF = Enable default ASR rules
                ASRMIN = Enable minimum ASR rules
                ASRMAX = Enable all ASR rules
                ASRAUDIT = Log only to event log "Microsoft-Windows-Windows Defender/Operational"
                ASRDISABLE = Remove all ASR rules completely
                ASRSTATUS = Show ASR rules configuration

To enable default ASR rules:
        ConfigExploitGuard.bat ASRDEF

To audit all ASR rules:
        ConfigExploitGuard.bat ASRAUDIT

To remove all ASR rules:
        ConfigExploitGuard.bat ASRDISABLE

Folgende ASR-Regeln sind pro Konfiguration MIN, MAX und DEF im Blockmodus aktiv:

DEF

Block executable content from email client and webmail
Block all Office applications from creating child processes
Block Office applications from creating executable content
Block Office applications from injecting code into other processes
Block JavaScript or VBScript from launching downloaded executable content
Block execution of potentially obfuscated scripts
Block Win32 API calls from Office macro
Use advanced protection against ransomware
Block process creations originating from PSExec and WMI commands
Block Office communication application from creating child processes
Block Adobe Reader from creating child processes
Block persistence through WMI event subscription

MIN

Block executable content from email client and webmail
Block all Office applications from creating child processes
Block Office applications from creating executable content
Block Office applications from injecting code into other processes
Block Office communication application from creating child processes
Block Adobe Reader from creating child processes

 

MAX

Block executable content from email client and webmail
Block all Office applications from creating child processes
Block Office applications from creating executable content
Block Office applications from injecting code into other processes
Block JavaScript or VBScript from launching downloaded executable content
Block execution of potentially obfuscated scripts
Block Win32 API calls from Office macro
Block executable files from running unless they meet a prevalence, age, or trusted list criterion
Use advanced protection against ransomware
Block credential stealing from the Windows local security authority subsystem (lsass.exe)
Block process creations originating from PSExec and WMI commands
Block untrusted and unsigned processes that run from USB
Block Office communication application from creating child processes
Block Adobe Reader from creating child processes
Block persistence through WMI event subscription

 

  • Die Konfiguation DEF ist grundsätzlich für alle Windows-Systeme geeignet.
  • Die Konfiguation MIN ist gut für per Software Whitelisting geschützte Windows-Systeme geeignet.
  • Die Konfiguation MAX ist vor allem für Systeme geeignet, die selbst verwaltet werden.

Bevor Sie eine der Konfigurationen DEF, MIN oder MAX aktivieren, sollten Sie per ASRAUDIT-Schalter die ASR-Regeln im Aufzeichnungsmodus aktivieren, um die Auswirkungen der Regeln zu prüfen.

Anschließend werden alle Aktionen, die eine ASR-Regel im Blockmodus unterbinden würde im Windows-Ereignisprotokoll "Microsoft-Windows-Windows Defender/Operational" mit der Event-ID 1122 aufgezeichnet. Diese Informationen finden Sie in der Ergeignisanzeige "eventvwr.msc" unter

Ereignisanzeige->Anwendungs- und Dienstprotokolle ->Microsoft->Windows->Windows Defender->Operational