关于漏洞利用防御
Kaspersky Embedded Systems Security 提供保护进程内存免受漏洞利用的能力。此功能在“漏洞利用防御”组件中实现。可以更改该组件的活动状态和配置进程内存保护设置。
该组件通过在受保护的进程中插入外部“进程保护代理”(“代理”)保护进程内存免受漏洞利用。
“进程保护代理”是一个动态加载的 Kaspersky Embedded Systems Security 模块,该模块可以插入到受保护的进程中,以便监控进程的完整性并降低被漏洞利用的风险。
该代理在受保护的进程内的运行需要启动和停止进程:只有进程已重启,才能实现首次加载代理到已添加到受保护的进程列表中。此外,从受保护的进程列表中删除进程后,只有该进程已重启才能卸载代理。
必须停止代理才能从受保护的进程中卸载它:如果已卸载“漏洞利用防御”组件,则应用程序将冻结环境并强制从受保护的进程中卸载代理。如果在组件卸载过程中在任一受保护进程中插入代理,则必须终止受影响的进程。可能需要重新启动受保护设备(例如,如果系统进程正在受到保护)。
如果检测到受保护的进程中存在漏洞利用攻击的迹象,则 Kaspersky Embedded Systems Security 执行以下操作之一:
- 如果进行漏洞利用尝试,则终止该进程。
- 报告进程已遭到入侵的事实。
您可采用以下方法之一停止进程保护:
- 卸载该组件。
- 从受保护的进程列表中删除该进程并重启该进程。
Kaspersky Security 漏洞利用防御服务
受保护设备上必须提供 Kaspersky Security 漏洞利用防御服务,这样“漏洞利用防御”组件才能发挥最大效果。此服务和“漏洞利用防御”组件是推荐安装的一部分。在受保护设备上安装该服务的过程中,将创建和启动 kavfswh 进程。此进程从组件将有关受保护的进程的信息传输到安全性代理。
Kaspersky Security 漏洞利用防御服务停止后,Kaspersky Embedded Systems Security 继续保护已添加到受保护的进程列表中的进程,同时也加载到新添加的进程中,并使用所有可用的漏洞利用防御技术来保护进程内存。
如果设备正在运行 Windows 10 或更高版本的操作系统,在 Kaspersky Security 漏洞利用防御服务停止后,应用程序将不会继续保护进程和进程内存。
如果 Kaspersky Security 漏洞利用防御服务已停止,则应用程序将不会接收随受保护的进程出现的有关事件的信息(包括有关漏洞利用攻击和进程终止的信息)。此外,代理将无法接收新保护设置和添加新进程到受保护的进程列表中的有关信息。
漏洞利用防御模式
可以选择以下一种模式来配置所执行的操作,以降低漏洞在受保护进程中被利用的风险:
- 发现漏洞利用时终止:当尝试进行漏洞利用时,应用此模式可终止进程。
当检测到尝试在受保护的关键操作系统进程中利用漏洞时,无论“漏洞利用防御”组件设置中所指定的模式如何,Kaspersky Embedded Systems Security 都不会终止进程。
- 仅通知:应用此模式可以使用安全日志中的事件来接收受保护进程中的漏洞实例的有关信息。
如果选择此模式,Kaspersky Embedded Systems Security 将创建事件来记录所有漏洞利用尝试。