Configurarea protecției Windows Defender Exploit în Windows 10

Încercați Instrumentul Nostru Pentru Eliminarea Problemelor

Protecția pentru exploatare este o nouă caracteristică de securitate a Windows Defender pe care Microsoft a introdus-o în actualizarea Fall Creators a sistemului de operare.

Exploit Guard este un set de caracteristici care include protecția împotriva exploatării, reducerea suprafeței de atac , protecția rețelei și acces controlat la folder .

Protecția pentru exploatare poate fi descrisă cel mai bine ca o versiune integrată a EMET - Microsoft Exploit Mitigation Experience Toolkit - instrument de securitate pe care firma se va retrage la mijlocul anului 2018 .

Microsoft a susținut anterior că sistemul de operare Windows 10 al companiei ar face inutilă rularea EMET alături de Windows ; cel puțin un cercetător a respins afirmația Microsoft.

Protecția Windows Exploit pentru Windows Defender

Protecția de exploatare este activată în mod implicit dacă Windows Defender este activat. Funcția este singura caracteristică Exploit Guard care nu necesită ca protecția în timp real să fie activată în Windows Defender.

Funcția poate fi configurată în aplicația Windows Defender Security Center, prin comenzile PowerShell sau ca politici.

Configurare în aplicația Windows Defender Security Center

exploit protection windows defender

Puteți configura protecția de exploatare în aplicația Windows Defender Security Center.

  1. Folosiți Windows-I pentru a deschide aplicația Setări.
  2. Navigați la Actualizare și securitate> Windows Defender.
  3. Selectați Deschideți Windows Defender Security Center.
  4. Selectați Aplicația și controlul browserului listat ca un link din bara laterală în fereastra nouă care se deschide.
  5. Localizați intrarea de protecție a exploatării pe pagină și faceți clic pe setările de protecție a exploatării.

Setările sunt împărțite în Setări sistem și Setări program.

Setările sistemului listează mecanismele de protecție disponibile și starea acestora. Următoarele sunt disponibile în Windows 10 Fall Creators Update:

  • Control Flow Control (CFG) - activat implicit.
  • Prevenirea executării datelor (DEP) - activată implicit.
  • Forțează randomizarea pentru imagini (obligatoriu ASLR) - dezactivat implicit.
  • Alegeți alocarea de memorie (ASLR de jos) - în mod implicit.
  • Validați lanțurile de excepție (SEHOP) - activate în mod implicit.
  • Validați integritatea heap - activat implicit.

Puteți schimba starea oricărei opțiuni în „activat implicit”, „oprit implicit” sau „utilizați implicit”.

Setările programului vă oferă opțiuni pentru a personaliza protecția pentru programe și aplicații individuale. Acest lucru funcționează similar modului în care puteți adăuga excepții în Microsoft EMET pentru anumite programe; este bun dacă un program se comportă greșit atunci când anumite module de protecție sunt activate.

Puțin câteva programe au excepții în mod implicit. Aceasta include svchost.exe, spools.exe, runtimebroker.exe, iexplore.exe și alte programe de bază pentru Windows. Rețineți că puteți înlocui aceste excepții selectând fișierele și făcând clic pe editare.

program settings exploit protection

Faceți clic pe „Adăugați program pentru a personaliza” pentru a adăuga un program după nume sau calea de fișier exactă la lista de excepții.

Puteți seta starea tuturor protecțiilor acceptate individual pentru fiecare program pe care l-ați adăugat în setările programului. Pe lângă faptul că treceți peste valoarea implicită a sistemului și forțați-o la unul sau dezactivat, există și o opțiune de a o seta pe „numai audit”. Acesta din urmă înregistrează evenimente care ar fi tras dacă starea protecției ar fi fost activată, dar va înregistra doar evenimentul în jurnalul de evenimente Windows.

Setări program listează opțiuni suplimentare de protecție pe care nu le puteți configura sub setările sistemului, deoarece sunt configurate să funcționeze numai la nivelul aplicației.

Acestea sunt:

  • Protecția codului arbitrar (ACG)
  • Sufla imagini cu integritate redusă
  • Blocați imagini la distanță
  • Blocați fonturile neîncredute
  • Protecția integrității codului
  • Dezactivați punctele de extensie
  • Dezactivați apelurile sistemului Win32
  • Nu permiteți procesele copilului
  • Exportarea filtrării adreselor (EAF)
  • Importarea filtrării adreselor (IAF)
  • Simula execuția (SimExec)
  • Validați invocarea API (CallerCheck)
  • Validați utilizarea mânerului
  • Validați integrarea dependenței de imagine
  • Validați integritatea stivei (StackPivot)

Configurarea protecției de exploatare folosind PowerShell

Puteți utiliza PowerShell pentru a seta, elimina sau lista atenuări. Sunt disponibile următoarele comenzi:

Pentru a enumera toate atenuările procesului specificat: Get-ProcessMitigation -Name processName.exe

Pentru a seta atenuări: Set-ProcessMitigation - - ,,

  • Domeniul de aplicare: este fie -Sistem, fie -Nume.
  • Acțiune: este -Enable sau -Disable.
  • Atenuare: numele Mitigării. Consultați următorul tabel. Puteți separa atenuarea prin virgulă.

Exemple:

  • Set-Processmitigation -System -Enable DEP
  • Set-Processmitigation -Nume test.exe -Removere -Disabilitate DEP
  • Set-ProcessMitigation -Name processName.exe -Enable EnableExportAddressFilterPlus -EAFModules dllName1.dll, dllName2.dll
AtenuareSe aplică laCmdlet-uri PowerShellCMdlet modul de audit
Protecția fluxului de control (CFG)Nivel de sistem și aplicațieCFG, StrictCFG, SuppressExportsAuditul nu este disponibil
Prevenirea executării datelor (DEP)Nivel de sistem și aplicațieDEP, EmulateAtlThunksAuditul nu este disponibil
Forțează randomizarea imaginilor (obligatoriu ASLR)Nivel de sistem și aplicațieForceRelocateAuditul nu este disponibil
Aleatorizarea alocărilor de memorie (Bottl-Up ASLR)Nivel de sistem și aplicațieBottomUp, HighEntropyAuditul nu este disponibil
Validați lanțurile de excepție (SEHOP)Nivel de sistem și aplicațieSEHOP, SEHOPTelemetryAuditul nu este disponibil
Validați integritatea mormanuluiNivel de sistem și aplicațieTerminateOnHeapErrorAuditul nu este disponibil
Protecția codului arbitrar (ACG)Doar la nivel de aplicațieDynamicCodeAuditDynamicCode
Blocați imagini de integritate redusăDoar la nivel de aplicațieBlockLowLabelAuditImageLoad
Blocați imagini la distanțăDoar la nivel de aplicațieBlockRemoteImagesAuditul nu este disponibil
Blocați fonturile neîncreduteDoar la nivel de aplicațieDisableNonSystemFontsAuditFont, FontAuditOnly
Protecția integrității coduluiDoar la nivel de aplicațieBlockNonMicrosoftSigned, AllowStoreSignedAuditMicrosoftSigned, AuditStoreSigned
Dezactivați punctele de extensieDoar la nivel de aplicațieExtensionPointAuditul nu este disponibil
Dezactivează apelurile sistemului Win32kDoar la nivel de aplicațieDisableWin32kSystemCallsAuditSystemCall
Nu permiteți procesele copiluluiDoar la nivel de aplicațieDisallowChildProcessCreationAuditChildProcess
Exportarea filtrării adreselor (EAF)Doar la nivel de aplicațieEnableExportAddressFilterPlus, EnableExportAddressFilter [unu] Auditul nu este disponibil
Importarea filtrării adreselor (IAF)Doar la nivel de aplicațieEnableImportAddressFilterAuditul nu este disponibil
Simula execuția (SimExec)Doar la nivel de aplicațieEnableRopSimExecAuditul nu este disponibil
Validați invocarea API (CallerCheck)Doar la nivel de aplicațieEnableRopCallerCheckAuditul nu este disponibil
Validați utilizarea mâneruluiDoar la nivel de aplicațieStrictHandleAuditul nu este disponibil
Validați integritatea dependenței de imagineDoar la nivel de aplicațieEnforceModuleDepencySigningAuditul nu este disponibil
Validați integritatea stivei (StackPivot)Doar la nivel de aplicațieEnableRopStackPivotAuditul nu este disponibil

Import și export de configurații

Configurațiile pot fi importate și exportate. Puteți face acest lucru folosind setările de protecție de exploatare Windows Defender din Windows Defender Security Center, folosind PowerShell, utilizând politici.

Configurațiile EMET pot fi convertite în plus, astfel încât să poată fi importate.

Utilizarea setărilor de protecție Exploit

Puteți exporta configurații în aplicația de setări, dar nu le puteți importa. Exportul adaugă toate atenuările nivelului sistemului și ale aplicației.

Trebuie doar să faceți clic pe linkul „Setări de export” sub protecția exploit pentru a face acest lucru.

Utilizarea PowerShell pentru a exporta un fișier de configurare

  1. Deschideți o solicitare ridicată Powershell.
  2. Get-ProcessMitigation -RegistryConfigFilePath nume de fișier.xml

Editați numele de fișier.xml astfel încât să reflecte locația salvată și numele de fișier.

Utilizarea PowerShell pentru a importa un fișier de configurare

  1. Deschideți o solicitare ridicată Powershell.
  2. Executați următoarea comandă: Set-ProcessMitigation -PolicyFilePath nume de fișier.xml

Editați numele de fișier.xml astfel încât să indice locația și numele fișierului fișierului XML de configurare.

Utilizarea Politicii de grup pentru a instala un fișier de configurare

use common set exploit protection

Puteți instala fișierele de configurare folosind politici.

  1. Atingeți tasta Windows, tastați gpedit.msc și apăsați tasta Enter pentru a porni Editorul de politici de grup.
  2. Navigați la Configurația computerului> Șabloane administrative> Componente Windows> Windows Defender Exploit Guard> Protecție exploatare.
  3. Faceți dublu clic pe „Utilizați un set de comenzi pentru setările de protecție a exploatării”.
  4. Setați politica pentru a fi activată.
  5. Adăugați calea și numele de fișier al fișierului XML de configurare în câmpul de opțiuni.

Conversia unui fișier EMET

  1. Deschideți o solicitare ridicată PowerShell așa cum este descris mai sus.
  2. Executați comanda ConvertTo-ProcessMitigationPolicy -EMETFilePath emetFile.xml -OutputFilePath nume de fișier.xml

Modificați emetFile.xml în calea și locația fișierului de configurare EMET.

Schimbați numele de fișier.xml pe calea și locația în care doriți să fie salvat fișierul de configurare convertit.

Resurse