Konfigurer Windows Defender Exploit-beskyttelse i Windows 10

• Kategori: Vinduer

Prøv Vores Instrument Til At Fjerne Problemer

Vælg Operativsystemet Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Vælg Et Projektionsprojekt (Valgfrit) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Beskriv Dit Problem

Få Et Svar

Send Mig Via E -Mail Vis På Webstedet

Udnyttelse af beskyttelse er en ny sikkerhedsfunktion i Windows Defender, som Microsoft introducerede i operativsystemets Fall Creators Update.

Udnytte vagten er et sæt funktioner, der inkluderer udnyttelsesbeskyttelse, angreb overflade reduktion , netværksbeskyttelse og kontrolleret mappeadgang .

Udnyttelse af beskyttelse kan bedst beskrives som en integreret version af Microsofts EMET - Exploit Mitigation Experience Toolkit - sikkerhedsværktøj, som virksomheden går på pension i midten af ​​2018 .

Microsoft hævdede tidligere, at selskabets Windows 10-operativsystem ville gøre kørsel af EMET sammen med Windows unødvendig ; mindst en forsker tilbageviste Microsofts påstand.

Windows Defender-udnyttelse af beskyttelse

Udnyttelsesbeskyttelse er som standard aktiveret, hvis Windows Defender er aktiveret. Funktionen er den eneste Exploit Guard-funktion, der ikke kræver, at realtidsbeskyttelse er aktiveret i Windows Defender.

Funktionen kan konfigureres i Windows Defender Security Center-applikationen, via PowerShell-kommandoer eller som politikker.

Konfiguration i Windows Defender Security Center-appen

Du kan konfigurere udnyttelsesbeskyttelse i Windows Defender Security Center-applikationen.

1. Brug Windows-I til at åbne programmet Indstillinger.
2. Naviger til Opdatering & sikkerhed> Windows Defender.
3. Vælg Åbn Windows Defender Security Center.
4. Vælg App & browser-kontrol, der er angivet som et sidepanel-link i det nye vindue, der åbnes.
5. Find anvendelsen af ​​beskyttelsesindgangen på siden, og klik på indstillingerne for udnyttelse af beskyttelse.

Indstillingerne er opdelt i Systemindstillinger og Programindstillinger.

Systemindstillinger viser de tilgængelige beskyttelsesmekanismer og deres status. Følgende er tilgængelige i Windows 10 Fall Creators-opdateringen:

• Control Flow Guard (CFG) - som standard.
• Forebyggelse af dataudvikling (DEP) - som standard.
• Tving randomisering til billeder (obligatorisk ASLR) - slukket som standard.
• Tilfældig hukommelsesallokeringer (Bund-up ASLR) - som standard.
• Valider undtagelseskæder (SEHOP) - som standard.
• Valider heap-integritet - som standard.

Du kan ændre status for enhver indstilling til 'til som standard', 'fra som standard' eller 'brug standard'.

Programindstillinger giver dig muligheder for at tilpasse beskyttelsen til individuelle programmer og applikationer. Dette fungerer på samme måde som hvordan du kan tilføje undtagelser i Microsoft EMET til bestemte programmer; godt hvis et program ikke opfører sig, når visse beskyttelsesmoduler er aktiveret.

Mange programmer har undtagelser som standard. Dette inkluderer svchost.exe, spools.exe, runtimebroker.exe, iexplore.exe og andre centrale Windows-programmer. Bemærk, at du kan tilsidesætte disse undtagelser ved at vælge filerne og klikke på rediger.

Klik på 'tilføj program for at tilpasse' for at tilføje et program med navn eller nøjagtig filsti til listen med undtagelser.

Du kan indstille status for alle understøttede beskyttelser individuelt for hvert program, du har tilføjet under programindstillinger. Udover at tilsidesætte systemets standard og tvinge den til en eller fra, er der også en mulighed for at indstille det til 'kun revision'. Sidstnævnte registrerer begivenheder, der ville have fyret, hvis beskyttelsens status ville have været aktiveret, men vil kun registrere begivenheden i Windows-hændelsesloggen.

Programindstillinger viser yderligere beskyttelsesindstillinger, som du ikke kan konfigurere under systemindstillinger, fordi de kun er konfigureret til at køre på applikationsniveau.

Disse er:

• Arbitrær kodebeskyttelse (ACG)
• Blæs billeder med lav integritet
• Blokér fjernbilleder
• Bloker ikke betroede skrifttyper
• Kodeintegritetsbeskyttelse
• Deaktiver udvidelsespunkter
• Deaktiver Win32-systemopkald
• Tillad ikke børneprocesser
• Eksport af adressefiltrering (EAF)
• Importer adressefiltrering (IAF)
• Simulere udførelse (SimExec)
• Valider API-tilkaldelse (CallerCheck)
• Valider brug af håndtag
• Valider integration af billedafhængighed
• Valider stack-integritet (StackPivot)

Konfiguration af udnyttelsesbeskyttelse vha. PowerShell

Du kan bruge PowerShell til at indstille, fjerne eller angive formindskelser. Følgende kommandoer er tilgængelige:

Sådan listes alle formindskelser af den specificerede proces: Get-ProcessMitigation -Name processName.exe

Sådan indstilles afhjælpninger: Set-ProcessMitigation - - ,,

• Omfang: er enten -System eller -Navn.
• Handling: er enten-Aktiver eller -Deaktiver.
• Afbødning: navnet på afbødningen. Se følgende tabel. Du kan adskille afbrydelser med komma.

Eksempler:

• Set-Processmitigation -System-Enable DEP
• Set-Processmitigation -Name test.exe -Fjern -Deaktiver DEP
• Set-ProcessMitigation -Name processName.exe-Enable EnableExportAddressFilterPlus -EAFModules dllName1.dll, dllName2.dll

Mitigation	Gælder	PowerShell cmdlets	Audittilstand cmdlet
Kontrol flowbeskyttelse (CFG)	System- og app-niveau	CFG, StrictCFG, SuppressExports	Revision ikke tilgængelig
Forebyggelse af dataudførelse (DEP)	System- og app-niveau	DEP, EmulateAtlTunks	Revision ikke tilgængelig
Tving randomisering til billeder (obligatorisk ASLR)	System- og app-niveau	ForceRelocate	Revision ikke tilgængelig
Tilfældig hukommelsesallokering (Bottom-Up ASLR)	System- og app-niveau	BottomUp, HighEntropy	Revision ikke tilgængelig
Valider undtagelseskæder (SEHOP)	System- og app-niveau	SEHOP, SEHOPTelemetry	Revision ikke tilgængelig
Valider heap-integritet	System- og app-niveau	TerminateOnHeapError	Revision ikke tilgængelig
Arbitrær kodebeskyttelse (ACG)	App-niveau kun	DynamicCode	AuditDynamicCode
Bloker billeder med lav integritet	App-niveau kun	BlockLowLabel	AuditImageLoad
Blokér fjernbilleder	App-niveau kun	BlockRemoteImages	Revision ikke tilgængelig
Bloker ikke betroede skrifttyper	App-niveau kun	DisableNonSystemFonts	AuditFont, FontAuditOnly
Kodeintegritetsbeskyttelse	App-niveau kun	BlockNonMicrosoftSIGN, AllowStoreSIGN	AuditMicrosoftSIGN, AuditStoreSIGN
Deaktiver udvidelsespunkter	App-niveau kun	ExtensionPoint	Revision ikke tilgængelig
Deaktiver Win32k-systemopkald	App-niveau kun	DisableWin32kSystemCalls	AuditSystemCall
Tillad ikke børneprocesser	App-niveau kun	DisallowChildProcessCreation	AuditChildProcess
Eksport af adressefiltrering (EAF)	App-niveau kun	EnableExportAddressFilterPlus, EnableExportAddressFilter [en]	Revision ikke tilgængelig
Importer adressefiltrering (IAF)	App-niveau kun	EnableImportAddressFilter	Revision ikke tilgængelig
Simulere udførelse (SimExec)	App-niveau kun	EnableRopSimExec	Revision ikke tilgængelig
Valider API-tilkaldelse (CallerCheck)	App-niveau kun	EnableRopCallerCheck	Revision ikke tilgængelig
Valider brug af håndtag	App-niveau kun	StrictHandle	Revision ikke tilgængelig
Valider billedafhængighedens integritet	App-niveau kun	EnforceModuleDepencySigning	Revision ikke tilgængelig
Valider stack-integritet (StackPivot)	App-niveau kun	EnableRopStackPivot	Revision ikke tilgængelig

Import og eksport af konfigurationer

Konfigurationer kan importeres og eksporteres. Du kan gøre det ved hjælp af Windows Defender udnytte beskyttelsesindstillingerne i Windows Defender Security Center, ved hjælp af PowerShell, ved hjælp af politikker.

EMET-konfigurationer kan endvidere konverteres, så de kan importeres.

Brug af Exploit-beskyttelsesindstillingerne

Du kan eksportere konfigurationer i indstillingsprogrammet, men ikke importere dem. Eksport tilføjer alle formindskelser på systemniveau og appniveau.

Klik bare på linket 'eksportindstillinger' under udnyttelse af beskyttelsen for at gøre det.

Brug af PowerShell til at eksportere en konfigurationsfil

1. Åbn en forhøjet Powershell-prompt.
2. Get-ProcessMitigation -RegistryConfigFilePath filnavn.xml

Rediger filnavn.xml, så det afspejler den gemte placering og filnavnet.

Brug af PowerShell til at importere en konfigurationsfil

1. Åbn en forhøjet Powershell-prompt.
2. Kør følgende kommando: Set-ProcessMitigation -PolicyFilePath filnavn.xml

Rediger filename.xml, så den peger på placeringen og filnavnet på konfigurations-XML-filen.

Brug af gruppepolitik til at installere en konfigurationsfil

Du kan installere konfigurationsfiler ved hjælp af politikker.

1. Tryk på Windows-tasten, skriv gpedit.msc, og tryk på Enter-tasten for at starte Group Policy Editor.
2. Naviger til Computerkonfiguration> Administrative skabeloner> Windows-komponenter> Windows Defender Exploit Guard> Exploit-beskyttelse.
3. Dobbeltklik på 'Brug et kommandosæt med indstillinger for udnyttelse af beskyttelse'.
4. Indstil politikken til aktiveret.
5. Tilføj stien og filnavnet til konfigurations-XML-filen i indstillingsfeltet.

Konvertering af en EMET-fil

1. Åbn en forhøjet PowerShell-prompt som beskrevet ovenfor.
2. Kør kommandoen ConvertTo-ProcessMitigationPolicy -EMETFilePath emetFile.xml -OutputFilePath filnavn.xml

Skift emetFile.xml til stien og placeringen af ​​EMET-konfigurationsfilen.

Skift filnavn.xml til den sti og placering, som du vil gemme den konverterede konfigurationsfil på.

Ressourcer

• Evaluer udnyttelsesbeskyttelse
• Aktivér udnyttelse af beskyttelsen
• Tilpas udnyttelsesbeskyttelse
• Import, eksport og implementering af udnyttelse af beskyttelseskonfigurationer