關於弱點利用防禦

Kaspersky Embedded Systems Security 提供防護處理程序記憶體免受弱點利用的能力。此功能在“弱點利用防禦”元件中實現。可以變更該元件的啟動狀態和配置處理程序記憶體防護設定。

該元件透過在受防護的處理程序中插入外部“處理程序防護代理”（“代理”）防護處理程序記憶體免受弱點利用。

“處理程序防護代理”是一個動態載入的 Kaspersky Embedded Systems Security 模組，該模組可以插入到受防護的處理程序中，以便監控處理程序的完整性並降低被弱點利用的風險。

該代理在受防護的處理程序內的執行需要啟動和停止處理程序：只有處理程序已重新啟動，才能實現首次載入代理到已新增到受防護的處理程序清單中。此外，從受防護的處理程序清單中刪除處理程序後，只有該處理程序已重新啟動才能移除代理。

必須停止代理才能從受防護的處理程序中移除它：如果已移除“弱點利用防禦”元件，則應用程式將凍結環境並強制從受防護的處理程序中移除代理。如果在元件移除過程中在任一受防護處理程序中插入代理，則必須終止受影響的處理程序。可能需要重新啟動受防護裝置（例如，如果系統處理程序正在受到防護）。

如果偵測到受防護的處理程序中存在弱點利用攻擊的跡象，則 Kaspersky Embedded Systems Security 執行以下操作之一：

• 如果進行弱點利用嘗試，則終止該處理程序。
• 報告處理程序已遭到入侵的事實。

您可採用以下方法之一停止處理程序防護：

• 移除該元件。
• 從受防護的處理程序清單中移除該處理程序並重新啟動該處理程序。

Kaspersky Security 弱點利用防禦服務

受防護裝置上必須提供 Kaspersky Security 弱點利用防禦服務，這樣“弱點利用防禦”元件才能發揮最大效果。此服務和“弱點利用防禦”元件是建議安裝的一部分。在受防護裝置上安裝該服務的過程中，將建立和啟動 kavfswh 處理程序。此處理程序從元件將有關受防護的處理程序的資訊傳輸到安全性代理。

Kaspersky Security 弱點利用防禦服務停止後，Kaspersky Embedded Systems Security 繼續防護已新增到受防護的處理程序清單中的處理程序，同時也載入到新新增的處理程序中，並使用所有可用的弱點利用防禦技術來防護處理程序記憶體。

如果裝置正在執行 Windows 10 或更高版本的作業系統，在 Kaspersky Security 弱點利用防禦服務停止後，應用程式將不會繼續防護處理程序和處理程序記憶體。

如果 Kaspersky Security 弱點利用防禦服務已停止，則應用程式將不會接收隨受防護的處理程序出現的有關事件的資訊（包括有關弱點利用攻擊和處理程序終止的資訊）。此外，代理將無法接收新防護設定和新增新處理程序到受防護的處理程序清單中的有關資訊。

弱點利用防禦模式

可以選擇以下一種模式來配置所執行的操作，以降低弱點在受防護處理程序中被利用的風險：

• 發現弱點利用時終止：當嘗試進行弱點利用時，應用此模式可終止處理程序。

  當偵測到嘗試在受防護的關鍵作業系統處理程序中利用弱點時，無論“弱點利用防禦”元件設定中所指定的模式如何，Kaspersky Embedded Systems Security 都不會終止處理程序。

• 僅通知：應用此模式可以使用安全記錄中的事件來接收受防護處理程序中的弱點實例的有關資訊。

  如果選擇此模式，Kaspersky Embedded Systems Security 將建立事件來記錄所有弱點利用嘗試。