Konfigurer Windows Defender Exploit-beskyttelse i Windows 10
- Kategori: Vinduer
Udnyttelse af beskyttelse er en ny sikkerhedsfunktion i Windows Defender, som Microsoft introducerede i operativsystemets Fall Creators Update.
Udnytte vagten er et sæt funktioner, der inkluderer udnyttelsesbeskyttelse, angreb overflade reduktion , netværksbeskyttelse og kontrolleret mappeadgang .
Udnyttelse af beskyttelse kan bedst beskrives som en integreret version af Microsofts EMET - Exploit Mitigation Experience Toolkit - sikkerhedsværktøj, som virksomheden går på pension i midten af 2018 .
Microsoft hævdede tidligere, at selskabets Windows 10-operativsystem ville gøre kørsel af EMET sammen med Windows unødvendig ; mindst en forsker tilbageviste Microsofts påstand.
Windows Defender-udnyttelse af beskyttelse
Udnyttelsesbeskyttelse er som standard aktiveret, hvis Windows Defender er aktiveret. Funktionen er den eneste Exploit Guard-funktion, der ikke kræver, at realtidsbeskyttelse er aktiveret i Windows Defender.
Funktionen kan konfigureres i Windows Defender Security Center-applikationen, via PowerShell-kommandoer eller som politikker.
Konfiguration i Windows Defender Security Center-appen
Du kan konfigurere udnyttelsesbeskyttelse i Windows Defender Security Center-applikationen.
- Brug Windows-I til at åbne programmet Indstillinger.
- Naviger til Opdatering & sikkerhed> Windows Defender.
- Vælg Åbn Windows Defender Security Center.
- Vælg App & browser-kontrol, der er angivet som et sidepanel-link i det nye vindue, der åbnes.
- Find anvendelsen af beskyttelsesindgangen på siden, og klik på indstillingerne for udnyttelse af beskyttelse.
Indstillingerne er opdelt i Systemindstillinger og Programindstillinger.
Systemindstillinger viser de tilgængelige beskyttelsesmekanismer og deres status. Følgende er tilgængelige i Windows 10 Fall Creators-opdateringen:
- Control Flow Guard (CFG) - som standard.
- Forebyggelse af dataudvikling (DEP) - som standard.
- Tving randomisering til billeder (obligatorisk ASLR) - slukket som standard.
- Tilfældig hukommelsesallokeringer (Bund-up ASLR) - som standard.
- Valider undtagelseskæder (SEHOP) - som standard.
- Valider heap-integritet - som standard.
Du kan ændre status for enhver indstilling til 'til som standard', 'fra som standard' eller 'brug standard'.
Programindstillinger giver dig muligheder for at tilpasse beskyttelsen til individuelle programmer og applikationer. Dette fungerer på samme måde som hvordan du kan tilføje undtagelser i Microsoft EMET til bestemte programmer; godt hvis et program ikke opfører sig, når visse beskyttelsesmoduler er aktiveret.
Mange programmer har undtagelser som standard. Dette inkluderer svchost.exe, spools.exe, runtimebroker.exe, iexplore.exe og andre centrale Windows-programmer. Bemærk, at du kan tilsidesætte disse undtagelser ved at vælge filerne og klikke på rediger.
Klik på 'tilføj program for at tilpasse' for at tilføje et program med navn eller nøjagtig filsti til listen med undtagelser.
Du kan indstille status for alle understøttede beskyttelser individuelt for hvert program, du har tilføjet under programindstillinger. Udover at tilsidesætte systemets standard og tvinge den til en eller fra, er der også en mulighed for at indstille det til 'kun revision'. Sidstnævnte registrerer begivenheder, der ville have fyret, hvis beskyttelsens status ville have været aktiveret, men vil kun registrere begivenheden i Windows-hændelsesloggen.
Programindstillinger viser yderligere beskyttelsesindstillinger, som du ikke kan konfigurere under systemindstillinger, fordi de kun er konfigureret til at køre på applikationsniveau.
Disse er:
- Arbitrær kodebeskyttelse (ACG)
- Blæs billeder med lav integritet
- Blokér fjernbilleder
- Bloker ikke betroede skrifttyper
- Kodeintegritetsbeskyttelse
- Deaktiver udvidelsespunkter
- Deaktiver Win32-systemopkald
- Tillad ikke børneprocesser
- Eksport af adressefiltrering (EAF)
- Importer adressefiltrering (IAF)
- Simulere udførelse (SimExec)
- Valider API-tilkaldelse (CallerCheck)
- Valider brug af håndtag
- Valider integration af billedafhængighed
- Valider stack-integritet (StackPivot)
Konfiguration af udnyttelsesbeskyttelse vha. PowerShell
Du kan bruge PowerShell til at indstille, fjerne eller angive formindskelser. Følgende kommandoer er tilgængelige:
Sådan listes alle formindskelser af den specificerede proces: Get-ProcessMitigation -Name processName.exe
Sådan indstilles afhjælpninger: Set-ProcessMitigation - - ,,
- Omfang: er enten -System eller -Navn.
- Handling: er enten-Aktiver eller -Deaktiver.
- Afbødning: navnet på afbødningen. Se følgende tabel. Du kan adskille afbrydelser med komma.
Eksempler:
- Set-Processmitigation -System-Enable DEP
- Set-Processmitigation -Name test.exe -Fjern -Deaktiver DEP
- Set-ProcessMitigation -Name processName.exe-Enable EnableExportAddressFilterPlus -EAFModules dllName1.dll, dllName2.dll
Mitigation | Gælder | PowerShell cmdlets | Audittilstand cmdlet |
---|---|---|---|
Kontrol flowbeskyttelse (CFG) | System- og app-niveau | CFG, StrictCFG, SuppressExports | Revision ikke tilgængelig |
Forebyggelse af dataudførelse (DEP) | System- og app-niveau | DEP, EmulateAtlTunks | Revision ikke tilgængelig |
Tving randomisering til billeder (obligatorisk ASLR) | System- og app-niveau | ForceRelocate | Revision ikke tilgængelig |
Tilfældig hukommelsesallokering (Bottom-Up ASLR) | System- og app-niveau | BottomUp, HighEntropy | Revision ikke tilgængelig |
Valider undtagelseskæder (SEHOP) | System- og app-niveau | SEHOP, SEHOPTelemetry | Revision ikke tilgængelig |
Valider heap-integritet | System- og app-niveau | TerminateOnHeapError | Revision ikke tilgængelig |
Arbitrær kodebeskyttelse (ACG) | App-niveau kun | DynamicCode | AuditDynamicCode |
Bloker billeder med lav integritet | App-niveau kun | BlockLowLabel | AuditImageLoad |
Blokér fjernbilleder | App-niveau kun | BlockRemoteImages | Revision ikke tilgængelig |
Bloker ikke betroede skrifttyper | App-niveau kun | DisableNonSystemFonts | AuditFont, FontAuditOnly |
Kodeintegritetsbeskyttelse | App-niveau kun | BlockNonMicrosoftSIGN, AllowStoreSIGN | AuditMicrosoftSIGN, AuditStoreSIGN |
Deaktiver udvidelsespunkter | App-niveau kun | ExtensionPoint | Revision ikke tilgængelig |
Deaktiver Win32k-systemopkald | App-niveau kun | DisableWin32kSystemCalls | AuditSystemCall |
Tillad ikke børneprocesser | App-niveau kun | DisallowChildProcessCreation | AuditChildProcess |
Eksport af adressefiltrering (EAF) | App-niveau kun | EnableExportAddressFilterPlus, EnableExportAddressFilter [en] | Revision ikke tilgængelig |
Importer adressefiltrering (IAF) | App-niveau kun | EnableImportAddressFilter | Revision ikke tilgængelig |
Simulere udførelse (SimExec) | App-niveau kun | EnableRopSimExec | Revision ikke tilgængelig |
Valider API-tilkaldelse (CallerCheck) | App-niveau kun | EnableRopCallerCheck | Revision ikke tilgængelig |
Valider brug af håndtag | App-niveau kun | StrictHandle | Revision ikke tilgængelig |
Valider billedafhængighedens integritet | App-niveau kun | EnforceModuleDepencySigning | Revision ikke tilgængelig |
Valider stack-integritet (StackPivot) | App-niveau kun | EnableRopStackPivot | Revision ikke tilgængelig |
Import og eksport af konfigurationer
Konfigurationer kan importeres og eksporteres. Du kan gøre det ved hjælp af Windows Defender udnytte beskyttelsesindstillingerne i Windows Defender Security Center, ved hjælp af PowerShell, ved hjælp af politikker.
EMET-konfigurationer kan endvidere konverteres, så de kan importeres.
Brug af Exploit-beskyttelsesindstillingerne
Du kan eksportere konfigurationer i indstillingsprogrammet, men ikke importere dem. Eksport tilføjer alle formindskelser på systemniveau og appniveau.
Klik bare på linket 'eksportindstillinger' under udnyttelse af beskyttelsen for at gøre det.
Brug af PowerShell til at eksportere en konfigurationsfil
- Åbn en forhøjet Powershell-prompt.
- Get-ProcessMitigation -RegistryConfigFilePath filnavn.xml
Rediger filnavn.xml, så det afspejler den gemte placering og filnavnet.
Brug af PowerShell til at importere en konfigurationsfil
- Åbn en forhøjet Powershell-prompt.
- Kør følgende kommando: Set-ProcessMitigation -PolicyFilePath filnavn.xml
Rediger filename.xml, så den peger på placeringen og filnavnet på konfigurations-XML-filen.
Brug af gruppepolitik til at installere en konfigurationsfil
Du kan installere konfigurationsfiler ved hjælp af politikker.
- Tryk på Windows-tasten, skriv gpedit.msc, og tryk på Enter-tasten for at starte Group Policy Editor.
- Naviger til Computerkonfiguration> Administrative skabeloner> Windows-komponenter> Windows Defender Exploit Guard> Exploit-beskyttelse.
- Dobbeltklik på 'Brug et kommandosæt med indstillinger for udnyttelse af beskyttelse'.
- Indstil politikken til aktiveret.
- Tilføj stien og filnavnet til konfigurations-XML-filen i indstillingsfeltet.
Konvertering af en EMET-fil
- Åbn en forhøjet PowerShell-prompt som beskrevet ovenfor.
- Kør kommandoen ConvertTo-ProcessMitigationPolicy -EMETFilePath emetFile.xml -OutputFilePath filnavn.xml
Skift emetFile.xml til stien og placeringen af EMET-konfigurationsfilen.
Skift filnavn.xml til den sti og placering, som du vil gemme den konverterede konfigurationsfil på.