Konfigurirajte Windows Defender Exploit zaščito v sistemu Windows 10

Preizkusite Naš Instrument Za Odpravo Težav

Zaščita pred izkoriščanjem je nova varnostna funkcija sistema Windows Defender, ki jo je Microsoft predstavil v posodobitvi Fall Creators Update za operacijski sistem.

Exploit Guard je niz funkcij, ki vključuje zaščito pred izkoriščanjem, zmanjšanje napadne površine , zaščita omrežja in nadzorovan dostop do mape .

Zaščito pred izkoriščanjem je mogoče najbolje opisati kot integrirano različico Microsoftovega sistema EMET - Exploit Mitigation Experience Toolkit - varnostnega orodja, ki ga podjetje uporablja se bo upokojil sredi leta 2018 .

Microsoft je pred tem trdil, da je operacijski sistem Windows 10 podjetja bi zagon sistema EMET poleg sistema Windows nepotreben ; Vsaj en raziskovalec pa je Microsoftovo trditev ovrgel.

Windows Defender Exploit zaščita

Zaščita pred izkoriščanjem je privzeto omogočena, če je omogočen Windows Defender. Ta funkcija je edina funkcija Exploit Guard, ki ne zahteva, da je v programu Windows Defender omogočena zaščita v realnem času.

Funkcijo lahko konfigurirate v aplikaciji Windows Defender Security Center, prek ukazov PowerShell ali kot pravilnike.

Konfiguracija v aplikaciji Windows Defender Security Center

exploit protection windows defender

V aplikaciji Windows Defender Security Center lahko konfigurirate zaščito pred izkoriščanjem.

  1. S programom Windows-I odprite aplikacijo Nastavitve.
  2. Pojdite na Posodobitve in varnost> Windows Defender.
  3. Izberite Odpri varnostni center Windows Defender.
  4. V novem oknu, ki se prikaže kot povezava stranske vrstice, izberite nadzor aplikacije in brskalnika.
  5. Na strani poiščite vnos zaščite pred izkoriščanjem in kliknite na nastavitve zaščite izkoriščanja.

Nastavitve so razdeljene na sistemske nastavitve in nastavitve programa.

Sistemske nastavitve navajajo razpoložljive zaščitne mehanizme in njihovo stanje. V posodobitvi sistema Windows 10 Fall Creators Update so na voljo naslednji:

  • Nadzor pretoka krmiljenja (CFG) - privzeto vklopljen.
  • Preprečevanje izvajanja podatkov (DEP) - privzeto vklopljeno.
  • Prisilite randomizacijo slik (obvezno ASLR) - privzeto izklopljeno.
  • Naključno razporedite dodelitve pomnilnika (spodaj ASLR) - privzeto.
  • Preverite verige izjem (SEHOP) - privzeto vklopljeno.
  • Preverjanje celovitosti kopice - privzeto vklopljeno.

Stanje katere koli možnosti lahko spremenite v „privzeto vklopljeno“, „privzeto izklopljeno“ ali „uporabi privzeto“.

Nastavitve programa vam omogočajo prilagoditev zaščite za posamezne programe in aplikacije. To deluje podobno kot dodajanje izjem v programu Microsoft EMET za določene programe; dobro, če se program slabo obnese, ko so omogočeni določeni zaščitni moduli.

Kar nekaj programov ima privzeto izjeme. To vključuje svchost.exe, spools.exe, runtimebroker.exe, iexplore.exe in druge osnovne programe Windows. Upoštevajte, da lahko te izjeme preglasite tako, da izberete datoteke in kliknete na urejanje.

program settings exploit protection

Kliknite na 'dodaj program po meri', da dodate program po imenu ali natančni poti datoteke na seznam izjem.

Status vseh podprtih zaščit lahko nastavite posamično za vsak program, ki ste ga dodali v programskih nastavitvah. Poleg razveljavitve privzetega sistema in ga prisilite na izklop ali izklop, obstaja tudi možnost nastavitve na »samo revizijo«. Slednji beleži dogodke, ki bi se sprožili, če bi bil status zaščite vklopljen, vendar bo v dnevnik dogodkov Windows zapisal le dogodek.

Nastavitve programa navajajo dodatne možnosti zaščite, ki jih ne morete konfigurirati v sistemskih nastavitvah, ker so konfigurirane za delovanje samo na ravni aplikacij.

To so:

  • Samovoljna zaščitna koda (ACG)
  • Blow slike z nizko integriteto
  • Blokirajte oddaljene slike
  • Blokirajte nezaupljive pisave
  • Ščitnik integritete kode
  • Onemogočite podaljšanje točk
  • Onemogoči sistemske klice sistema Win32
  • Ne dovolite otroških procesov
  • Filtriranje izvoznih naslovov (EAF)
  • Uvozi filtriranje naslovov (IAF)
  • Simulacija izvedbe (SimExec)
  • Preverjanje priklica API-ja (CallerCheck)
  • Preverite uporabo ročaja
  • Preverjanje integracije odvisnosti slike
  • Preverjanje celovitosti nabora (StackPivot)

Konfiguriranje zaščite izkoriščanja s pomočjo PowerShell-a

PowerShell lahko uporabite za nastavitev, odstranjevanje ali seznam ublažitev. Na voljo so naslednji ukazi:

Če želite seznam vseh ublažitev določenega postopka: Get-ProcessMitigation -Name processName.exe

Nastavitev omilitev: Set-ProcessMitigation - - ,,

  • Področje uporabe: je -System ali -Name.
  • Ukrep: je -Omogočeno ali -Omogoči.
  • Omilitev: ime omilitve. Oglejte si spodnjo tabelo. Zmanjšanje lahko ločite z vejico.

Primeri:

  • Set-Processmitigation -System -Omogoči DEP
  • Set-Processmitigation -Name test.exe -Remove -Disable DEP
  • Set-ProcessMitigation -Name processName.exe -Enable EnableExportAddressFilterPlus -EAFModules dllName1.dll, dllName2.dll
ZmanjševanjeVelja zaPowerShell cmdletsCmdlet načina revizije
Ščitnik regulacijskega pretoka (CFG)Sistemska in aplikacijska ravenCFG, StrictCFG, SuppressExportsRevizija ni na voljo
Preprečevanje izvajanja podatkov (DEP)Sistemska in aplikacijska ravenDEP, EmulateAtlThunksRevizija ni na voljo
Prisilna randomizacija slik (Obvezen ASLR)Sistemska in aplikacijska ravenForceRelocateRevizija ni na voljo
Naključna dodelitev pomnilnika (spodaj navzgor ASLR)Sistemska in aplikacijska ravenBottomUp, HighEntropyRevizija ni na voljo
Preverjanje izjemnih verig (SEHOP)Sistemska in aplikacijska ravenSEHOP, SEHOPTelemetrijaRevizija ni na voljo
Preverite celovitost kopiceSistemska in aplikacijska ravenPrenehajOnHeapErrorRevizija ni na voljo
Samovoljna zaščitna koda (ACG)Samo na ravni aplikacijeDynamicCodeAuditDynamicCode
Blokirajte slike z nizko integritetoSamo na ravni aplikacijeBlockLowLabelAuditImageLoad
Blokirajte oddaljene slikeSamo na ravni aplikacijeBlockRemoteImagesRevizija ni na voljo
Blokirajte nezaupljive pisaveSamo na ravni aplikacijeDisableNonSystemFontsAuditFont, FontAuditOnly
Ščitnik integritete kodeSamo na ravni aplikacijeBlockNonMicrosoftSigned, AllowStoreSignedAuditMicrosoftSigned, AuditStoreSigned
Onemogočite podaljšanje točkSamo na ravni aplikacijeExtensionPointRevizija ni na voljo
Onemogoči sistemske klice sistema Win32kSamo na ravni aplikacijeDisableWin32kSystemCallsAuditSystemCall
Ne dovolite otroških procesovSamo na ravni aplikacijeDisallowChildProcessCreationAuditChildProcess
Filtriranje izvoznih naslovov (EAF)Samo na ravni aplikacijeEnableExportAddressFilterPlus, EnableExportAddressFilter [ena] Revizija ni na voljo
Uvozi filtriranje naslovov (IAF)Samo na ravni aplikacijeEnableImportAddressFilterRevizija ni na voljo
Simulacija izvedbe (SimExec)Samo na ravni aplikacijeEnableRopSimExecRevizija ni na voljo
Preverjanje priklica API-ja (CallerCheck)Samo na ravni aplikacijeEnableRopCallerCheckRevizija ni na voljo
Preverite uporabo ročajaSamo na ravni aplikacijeStrictHandleRevizija ni na voljo
Preverite celovitost odvisnosti slikeSamo na ravni aplikacijeEnforceModuleDepencySigningRevizija ni na voljo
Preverjanje celovitosti nabora (StackPivot)Samo na ravni aplikacijeEnableRopStackPivotRevizija ni na voljo

Uvoz in izvoz konfiguracij

Konfiguracije je mogoče uvoziti in izvoziti. To lahko storite z uporabo nastavitev zaščite za izkoriščanje Windows Defender v varnostnem centru Windows Defender, z uporabo PowerShell, z uporabo pravilnikov.

Konfiguracije EMET je mogoče nadalje pretvoriti tako, da jih je mogoče uvoziti.

Uporaba nastavitev zaščite Exploit

Konfiguracije lahko izvozite v aplikaciji za nastavitve, ne pa da jih uvozite. Izvoz doda vse omilitve na ravni sistema in aplikacij.

Samo kliknite povezavo »izvoz nastavitev« pod zaščito izkoriščanja, da to storite.

Uporaba programa PowerShell za izvoz konfiguracijske datoteke

  1. Odprite povzdignjen poziv Powershell.
  2. Get-ProcessMitigation -RegistryConfigFilePath filename.xml

Uredi ime datoteke.xml tako, da odraža mesto shranjevanja in ime datoteke.

Uporaba programa PowerShell za uvoz konfiguracijske datoteke

  1. Odprite povzdignjen poziv Powershell.
  2. Zaženite naslednji ukaz: Set-ProcessMitigation -PolicyFilePath filename.xml

Uredi ime datoteke.xml tako, da kaže na lokacijo in ime datoteke konfiguracijske datoteke XML.

Uporaba pravilnika skupine za namestitev konfiguracijske datoteke

use common set exploit protection

Konfiguracijske datoteke lahko namestite s pomočjo pravilnikov.

  1. Tapnite tipko Windows, vnesite gpedit.msc in pritisnite tipko Enter, da zaženete urejevalnik skupinskih pravilnikov.
  2. Pomaknite se do Konfiguracija računalnika> Skrbniške predloge> Windows komponente> Windows Defender Exploit Guard> Izkoristite zaščito.
  3. Dvokliknite 'Uporabi ukazni niz nastavitev zaščite izkoriščanja'.
  4. Nastavite pravilnik na omogočeno.
  5. V polje z možnostmi dodajte pot in ime datoteke za konfiguracijo XML.

Pretvarjanje datoteke EMET

  1. Odprite povzdignjen poziv PowerShell, kot je opisano zgoraj.
  2. Zaženite ukaz ConvertTo-ProcessMitigationPolicy -EMETFilePath emetFile.xml -OutputFilePath filename.xml

Spremenite emetFile.xml na pot in lokacijo konfiguracijske datoteke EMET.

Spremenite filename.xml na pot in lokacijo, v katero želite shraniti pretvorjeno konfiguracijsko datoteko.

Viri