Defender Exploit Guard-Toolkit
Exploit Guard ist der Name von Funktionalitäten, die Windows besser vor Malware, wie z.B. Emotet und Ransomware, schutzen sollen. Exploit Guard ist ab Windows 10 (1709) Bestandteil der in Windows integrierten Antivirus-Lösung, Microsoft Defender.
Exploit Guard besteht aus 4 Komponenten:
- Attack Surface Reduction (ASR): Schützt vor Angriffen auf Büroanwendungen wie Microsoft Office durch Malware wie z.B. Emotet, indem z.B. Download und Start von externen Programmen durch Office-Makros unterbunden wird.
Weitere Informationen dazu unter
Reduce attack surfaces with attack surface reduction rules
Enable attack surface reduction rules
- Network protection: Blockiert ausgehende Verbindungen zu nicht vertrauenswürdigen Web- und IP-Adressen durch Defender Smartscreen.
Weitere Informationen dazu unter
Protect your network
Enable network protection
- Controlled folder access: Schützt vor dem Zugriff von Malware auf kritische Daten, indem der Zugriff auf bestimmte Ordner nur für ausgewählte Anwendungen erlaubt wird.
Weitere Informationen dazu unter
Protect important folders with controlled folder access
Enable controlled folder access
- Exploit protection: Schützt das Betriebsystem und Anwendungen vor Angriffen über die Windows-Programmierschnittstellen (APIs), indem bekannte Angriffstechniken blockiert werden.
Weitere Informationen dazu unter
Protect devices from exploits
Enable exploit protection
Außer der Komponente "Exploit Protection", welche seit Windows 10 (1607) und Windows Server 2016 verfügbar ist, sind die Funktionalitäten von Defender Exploit Guard ab Windows 10 (1709) und ab Windows Server 2019 in Windows integriert.
Systemvoraussetzungen für die Nutzung von Exploit Guard-Komponenten
| Komponente | Betriebssystemversion | Windows 10 Edition | Defender Antivirus Realtime Scanning muss aktiviert sein |
|---|---|---|---|
| ASR | Windows 10 (1709) / Server 2019 | Pro/Enterprise/Education | ja |
| Controlled folder access | Windows 10 (1709) / Server 2019 | Pro/Enterprise/Education | ja |
| Exploit protection | Windows 10 (1607) / Server 2016 | Pro/Enterprise/Education | nein |
| Network protection | Windows 10 (1709) / Server 2019 | Pro/Enterprise/Education | ja |
Die meisten Komponenten von Defender Exploit Guard sind per Benutzeroberflache, Gruppenrichtlinie, PowerShell und weitere Mechanismen konfigurierbar.
Attack Surface Reduction (ASR)
Attack Surface Reduction, kurz ASR, ist ein viel versprechender Ansatz, um Malware zu bekämpfen, da es die Grundfunktionalität von Malware, sich zu aktivieren, blockiert.
ASR unterbindet zum Beispiel das Nachladen von Schadsoftware aus dem Internet und das Ausführen von externen Programmen durch Büroanwendungen wie Microsoft Word oder Adobe Acrobat.
Verfügbare ASR-Regeln
| Regelname | Regel-GUI |
|---|---|
| Block abuse of exploited vulnerable signed drivers | 56a863a9-875e-4185-98a7-b882c64b5ce5 |
| Block Adobe Reader from creating child processes | 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c |
| Block all Office applications from creating child processes | d4f940ab-401b-4efc-aadc-ad5f3c50688a |
| Block credential stealing from the Windows local security authority subsystem (lsass.exe) | 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 |
| Block executable content from email client and webmail | be9ba2d9-53ea-4cdc-84e5-9b1eeee46550 |
| Block executable files from running unless they meet a prevalence, age, or trusted list criterion | 01443614-cd74-433a-b99e-2ecdc07bfc25 |
| Block execution of potentially obfuscated scripts | 5beb7efe-fd9a-4556-801d-275e5ffc04cc |
| Block JavaScript or VBScript from launching downloaded executable content | d3e037e1-3eb8-44c8-a917-57927947596d |
| Block Office applications from creating executable content | 3b576869-a4ec-4529-8536-b80a7769e899 |
| Block Office applications from injecting code into other processes | 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84 |
| Block Office communication application from creating child processes | 26190899-1602-49e8-8b27-eb1d0a1ce869 |
| Block persistence through WMI event subscription * File and folder exclusions not supported. | e6db77e5-3df2-4cf1-b95a-636979351e5b |
| Block process creations originating from PSExec and WMI commands | d1e49aac-8f56-4280-b9ba-993a6d77406c |
| Block rebooting machine in Safe Mode | 33ddedf1-c6e0-47cb-833e-de6133960387 |
| Block untrusted and unsigned processes that run from USB | b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 |
| Block use of copied or impersonated system tools | c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb |
| Block Webshell creation for Servers | a8f5898e-1dc8-49a9-9878-85004b8a61e6 |
| Block Win32 API calls from Office macros | 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b |
| Use advanced protection against ransomware | c1db55ab-c21a-4637-bb3f-a12568109d35 |
Exploit Guard-Toolkit
Für die Aktivierung und Konfigurierung von ASR stellt das ITMZ ein Batch-Skript bereit, mit dem sich die verfügbaren ASR-Schutzmechanismen per administrativer Kommandozeile schnell und einfach aktivieren lassen.
Download unter
https://softsrv.uni-rostock.de/SUS/Soft/NT-Kurs/ToolKit/ConfigExploitGuard.cab
Die Syntax ist wie folgt:
ConfigExploitGuard.bat Action
Action: ASRDEF|ASRMIN|ASRMAX|ASRAUDIT|ASRDISABLE
ASRDEF = Enable default ASR rules
ASRMIN = Enable minimum ASR rules
ASRMAX = Enable all ASR rules
ASRAUDIT = Log only to event log "Microsoft-Windows-Windows Defender/Operational"
ASRDISABLE = Remove all ASR rules completely
ASRSTATUS = Show ASR rules configuration
To enable default ASR rules:
ConfigExploitGuard.bat ASRDEF
To audit all ASR rules:
ConfigExploitGuard.bat ASRAUDIT
To remove all ASR rules:
ConfigExploitGuard.bat ASRDISABLE
Folgende ASR-Regeln sind pro Konfiguration MIN, MAX und DEF im Blockmodus aktiv:
DEF
Block executable content from email client and webmail
Block all Office applications from creating child processes
Block Office applications from creating executable content
Block Office applications from injecting code into other processes
Block JavaScript or VBScript from launching downloaded executable content
Block execution of potentially obfuscated scripts
Block Win32 API calls from Office macro
Use advanced protection against ransomware
Block process creations originating from PSExec and WMI commands
Block Office communication application from creating child processes
Block Adobe Reader from creating child processes
Block persistence through WMI event subscription
MIN
Block executable content from email client and webmail
Block all Office applications from creating child processes
Block Office applications from creating executable content
Block Office applications from injecting code into other processes
Block Office communication application from creating child processes
Block Adobe Reader from creating child processes
MAX
Block executable content from email client and webmail
Block all Office applications from creating child processes
Block Office applications from creating executable content
Block Office applications from injecting code into other processes
Block JavaScript or VBScript from launching downloaded executable content
Block execution of potentially obfuscated scripts
Block Win32 API calls from Office macro
Block executable files from running unless they meet a prevalence, age, or trusted list criterion
Use advanced protection against ransomware
Block credential stealing from the Windows local security authority subsystem (lsass.exe)
Block process creations originating from PSExec and WMI commands
Block untrusted and unsigned processes that run from USB
Block Office communication application from creating child processes
Block Adobe Reader from creating child processes
Block persistence through WMI event subscription
- Die Konfiguation DEF ist grundsätzlich für alle Windows-Systeme geeignet.
- Die Konfiguation MIN ist gut für per Software Whitelisting geschützte Windows-Systeme geeignet.
- Die Konfiguation MAX ist vor allem für Systeme geeignet, die selbst verwaltet werden.
Bevor Sie eine der Konfigurationen DEF, MIN oder MAX aktivieren, sollten Sie per ASRAUDIT-Schalter die ASR-Regeln im Aufzeichnungsmodus aktivieren, um die Auswirkungen der Regeln zu prüfen.
Anschließend werden alle Aktionen, die eine ASR-Regel im Blockmodus unterbinden würde im Windows-Ereignisprotokoll "Microsoft-Windows-Windows Defender/Operational" mit der Event-ID 1122 aufgezeichnet. Diese Informationen finden Sie in der Ergeignisanzeige "eventvwr.msc" unter
Ereignisanzeige->Anwendungs- und Dienstprotokolle ->Microsoft->Windows->Windows Defender->Operational
Quellen
- https://www.microsoft.com/security/blog/2017/10/23/windows-defender-exploit-guard-reduce-the-attack-surface-against-next-generation-malware/
- https://www.microsoft.com/security/blog/2019/02/22/recommendations-for-deploying-the-latest-attack-surface-reduction-rules-for-maximum-impact/
- https://www.microsoft.com/security/blog/2017/10/23/stopping-ransomware-where-it-counts-protecting-your-data-with-controlled-folder-access
- https://docs.microsoft.com/en-us/windows/client-management/mdm/policy-csp-defender
- https://docs.microsoft.com/en-au/security-updates/securityadvisories/2017/4053440
- https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE2O8jv
Bei Fragen oder Hinweisen zu diesem Dokument melden Sie sich bitte per E-Mail bei joerg.maletzky(at)uni-rostock.de.