Konfigurer Windows Defender Exploit-beskyttelse i Windows 10

Udnyttelse af beskyttelse er en ny sikkerhedsfunktion i Windows Defender, som Microsoft introducerede i operativsystemets Fall Creators Update.

Udnytte vagten er et sæt funktioner, der inkluderer udnyttelsesbeskyttelse, angreb overflade reduktion , netværksbeskyttelse og kontrolleret mappeadgang .

Udnyttelse af beskyttelse kan bedst beskrives som en integreret version af Microsofts EMET - Exploit Mitigation Experience Toolkit - sikkerhedsværktøj, som virksomheden går på pension i midten af ​​2018 .

Microsoft hævdede tidligere, at selskabets Windows 10-operativsystem ville gøre kørsel af EMET sammen med Windows unødvendig ; mindst en forsker tilbageviste Microsofts påstand.

Windows Defender-udnyttelse af beskyttelse

Udnyttelsesbeskyttelse er som standard aktiveret, hvis Windows Defender er aktiveret. Funktionen er den eneste Exploit Guard-funktion, der ikke kræver, at realtidsbeskyttelse er aktiveret i Windows Defender.

Funktionen kan konfigureres i Windows Defender Security Center-applikationen, via PowerShell-kommandoer eller som politikker.

Konfiguration i Windows Defender Security Center-appen

exploit protection windows defender

Du kan konfigurere udnyttelsesbeskyttelse i Windows Defender Security Center-applikationen.

  1. Brug Windows-I til at åbne programmet Indstillinger.
  2. Naviger til Opdatering & sikkerhed> Windows Defender.
  3. Vælg Åbn Windows Defender Security Center.
  4. Vælg App & browser-kontrol, der er angivet som et sidepanel-link i det nye vindue, der åbnes.
  5. Find anvendelsen af ​​beskyttelsesindgangen på siden, og klik på indstillingerne for udnyttelse af beskyttelse.

Indstillingerne er opdelt i Systemindstillinger og Programindstillinger.

Systemindstillinger viser de tilgængelige beskyttelsesmekanismer og deres status. Følgende er tilgængelige i Windows 10 Fall Creators-opdateringen:

  • Control Flow Guard (CFG) - som standard.
  • Forebyggelse af dataudvikling (DEP) - som standard.
  • Tving randomisering til billeder (obligatorisk ASLR) - slukket som standard.
  • Tilfældig hukommelsesallokeringer (Bund-up ASLR) - som standard.
  • Valider undtagelseskæder (SEHOP) - som standard.
  • Valider heap-integritet - som standard.

Du kan ændre status for enhver indstilling til 'til som standard', 'fra som standard' eller 'brug standard'.

Programindstillinger giver dig muligheder for at tilpasse beskyttelsen til individuelle programmer og applikationer. Dette fungerer på samme måde som hvordan du kan tilføje undtagelser i Microsoft EMET til bestemte programmer; godt hvis et program ikke opfører sig, når visse beskyttelsesmoduler er aktiveret.

Mange programmer har undtagelser som standard. Dette inkluderer svchost.exe, spools.exe, runtimebroker.exe, iexplore.exe og andre centrale Windows-programmer. Bemærk, at du kan tilsidesætte disse undtagelser ved at vælge filerne og klikke på rediger.

program settings exploit protection

Klik på 'tilføj program for at tilpasse' for at tilføje et program med navn eller nøjagtig filsti til listen med undtagelser.

Du kan indstille status for alle understøttede beskyttelser individuelt for hvert program, du har tilføjet under programindstillinger. Udover at tilsidesætte systemets standard og tvinge den til en eller fra, er der også en mulighed for at indstille det til 'kun revision'. Sidstnævnte registrerer begivenheder, der ville have fyret, hvis beskyttelsens status ville have været aktiveret, men vil kun registrere begivenheden i Windows-hændelsesloggen.

Programindstillinger viser yderligere beskyttelsesindstillinger, som du ikke kan konfigurere under systemindstillinger, fordi de kun er konfigureret til at køre på applikationsniveau.

Disse er:

  • Arbitrær kodebeskyttelse (ACG)
  • Blæs billeder med lav integritet
  • Blokér fjernbilleder
  • Bloker ikke betroede skrifttyper
  • Kodeintegritetsbeskyttelse
  • Deaktiver udvidelsespunkter
  • Deaktiver Win32-systemopkald
  • Tillad ikke børneprocesser
  • Eksport af adressefiltrering (EAF)
  • Importer adressefiltrering (IAF)
  • Simulere udførelse (SimExec)
  • Valider API-tilkaldelse (CallerCheck)
  • Valider brug af håndtag
  • Valider integration af billedafhængighed
  • Valider stack-integritet (StackPivot)

Konfiguration af udnyttelsesbeskyttelse vha. PowerShell

Du kan bruge PowerShell til at indstille, fjerne eller angive formindskelser. Følgende kommandoer er tilgængelige:

Sådan listes alle formindskelser af den specificerede proces: Get-ProcessMitigation -Name processName.exe

Sådan indstilles afhjælpninger: Set-ProcessMitigation - - ,,

  • Omfang: er enten -System eller -Navn.
  • Handling: er enten-Aktiver eller -Deaktiver.
  • Afbødning: navnet på afbødningen. Se følgende tabel. Du kan adskille afbrydelser med komma.

Eksempler:

  • Set-Processmitigation -System-Enable DEP
  • Set-Processmitigation -Name test.exe -Fjern -Deaktiver DEP
  • Set-ProcessMitigation -Name processName.exe-Enable EnableExportAddressFilterPlus -EAFModules dllName1.dll, dllName2.dll
MitigationGælderPowerShell cmdletsAudittilstand cmdlet
Kontrol flowbeskyttelse (CFG)System- og app-niveauCFG, StrictCFG, SuppressExportsRevision ikke tilgængelig
Forebyggelse af dataudførelse (DEP)System- og app-niveauDEP, EmulateAtlTunksRevision ikke tilgængelig
Tving randomisering til billeder (obligatorisk ASLR)System- og app-niveauForceRelocateRevision ikke tilgængelig
Tilfældig hukommelsesallokering (Bottom-Up ASLR)System- og app-niveauBottomUp, HighEntropyRevision ikke tilgængelig
Valider undtagelseskæder (SEHOP)System- og app-niveauSEHOP, SEHOPTelemetryRevision ikke tilgængelig
Valider heap-integritetSystem- og app-niveauTerminateOnHeapErrorRevision ikke tilgængelig
Arbitrær kodebeskyttelse (ACG)App-niveau kunDynamicCodeAuditDynamicCode
Bloker billeder med lav integritetApp-niveau kunBlockLowLabelAuditImageLoad
Blokér fjernbillederApp-niveau kunBlockRemoteImagesRevision ikke tilgængelig
Bloker ikke betroede skrifttyperApp-niveau kunDisableNonSystemFontsAuditFont, FontAuditOnly
KodeintegritetsbeskyttelseApp-niveau kunBlockNonMicrosoftSIGN, AllowStoreSIGNAuditMicrosoftSIGN, AuditStoreSIGN
Deaktiver udvidelsespunkterApp-niveau kunExtensionPointRevision ikke tilgængelig
Deaktiver Win32k-systemopkaldApp-niveau kunDisableWin32kSystemCallsAuditSystemCall
Tillad ikke børneprocesserApp-niveau kunDisallowChildProcessCreationAuditChildProcess
Eksport af adressefiltrering (EAF)App-niveau kunEnableExportAddressFilterPlus, EnableExportAddressFilter [en] Revision ikke tilgængelig
Importer adressefiltrering (IAF)App-niveau kunEnableImportAddressFilterRevision ikke tilgængelig
Simulere udførelse (SimExec)App-niveau kunEnableRopSimExecRevision ikke tilgængelig
Valider API-tilkaldelse (CallerCheck)App-niveau kunEnableRopCallerCheckRevision ikke tilgængelig
Valider brug af håndtagApp-niveau kunStrictHandleRevision ikke tilgængelig
Valider billedafhængighedens integritetApp-niveau kunEnforceModuleDepencySigningRevision ikke tilgængelig
Valider stack-integritet (StackPivot)App-niveau kunEnableRopStackPivotRevision ikke tilgængelig

Import og eksport af konfigurationer

Konfigurationer kan importeres og eksporteres. Du kan gøre det ved hjælp af Windows Defender udnytte beskyttelsesindstillingerne i Windows Defender Security Center, ved hjælp af PowerShell, ved hjælp af politikker.

EMET-konfigurationer kan endvidere konverteres, så de kan importeres.

Brug af Exploit-beskyttelsesindstillingerne

Du kan eksportere konfigurationer i indstillingsprogrammet, men ikke importere dem. Eksport tilføjer alle formindskelser på systemniveau og appniveau.

Klik bare på linket 'eksportindstillinger' under udnyttelse af beskyttelsen for at gøre det.

Brug af PowerShell til at eksportere en konfigurationsfil

  1. Åbn en forhøjet Powershell-prompt.
  2. Get-ProcessMitigation -RegistryConfigFilePath filnavn.xml

Rediger filnavn.xml, så det afspejler den gemte placering og filnavnet.

Brug af PowerShell til at importere en konfigurationsfil

  1. Åbn en forhøjet Powershell-prompt.
  2. Kør følgende kommando: Set-ProcessMitigation -PolicyFilePath filnavn.xml

Rediger filename.xml, så den peger på placeringen og filnavnet på konfigurations-XML-filen.

Brug af gruppepolitik til at installere en konfigurationsfil

use common set exploit protection

Du kan installere konfigurationsfiler ved hjælp af politikker.

  1. Tryk på Windows-tasten, skriv gpedit.msc, og tryk på Enter-tasten for at starte Group Policy Editor.
  2. Naviger til Computerkonfiguration> Administrative skabeloner> Windows-komponenter> Windows Defender Exploit Guard> Exploit-beskyttelse.
  3. Dobbeltklik på 'Brug et kommandosæt med indstillinger for udnyttelse af beskyttelse'.
  4. Indstil politikken til aktiveret.
  5. Tilføj stien og filnavnet til konfigurations-XML-filen i indstillingsfeltet.

Konvertering af en EMET-fil

  1. Åbn en forhøjet PowerShell-prompt som beskrevet ovenfor.
  2. Kør kommandoen ConvertTo-ProcessMitigationPolicy -EMETFilePath emetFile.xml -OutputFilePath filnavn.xml

Skift emetFile.xml til stien og placeringen af ​​EMET-konfigurationsfilen.

Skift filnavn.xml til den sti og placering, som du vil gemme den konverterede konfigurationsfil på.

Ressourcer