Skonfiguruj ochronę Windows Defender Exploit w systemie Windows 10

Wypróbuj Nasz Instrument Do Eliminowania Problemów

Ochrona przed exploitami to nowa funkcja zabezpieczeń programu Windows Defender, którą firma Microsoft wprowadziła w aktualizacji Fall Creators Update systemu operacyjnego.

Exploit Guard to zestaw funkcji obejmujący ochronę przed exploitami, redukcja powierzchni ataku , ochrona sieci i kontrolowany dostęp do folderów .

Ochronę przed exploitami można najlepiej opisać jako zintegrowaną wersję pakietu Microsoft EMET - Exploit Mitigation Experience Toolkit - narzędzia zabezpieczającego, które firma przejdzie na emeryturę w połowie 2018 roku .

Microsoft twierdził wcześniej, że system operacyjny Windows 10 firmy sprawi, że uruchamianie EMET razem z systemem Windows będzie zbędne ; co najmniej jeden badacz odrzucił jednak twierdzenie Microsoftu.

Ochrona Windows Defender Exploit

Ochrona przed exploitami jest domyślnie włączona, jeśli włączona jest usługa Windows Defender. Ta funkcja jest jedyną funkcją Exploit Guard, która nie wymaga włączania ochrony w czasie rzeczywistym w programie Windows Defender.

Funkcję można skonfigurować w aplikacji Windows Defender Security Center, za pomocą poleceń programu PowerShell lub jako zasady.

Konfiguracja w aplikacji Windows Defender Security Center

exploit protection windows defender

Możesz skonfigurować ochronę przed exploitami w aplikacji Windows Defender Security Center.

  1. Użyj Windows-I, aby otworzyć aplikację Ustawienia.
  2. Przejdź do Aktualizacja i zabezpieczenia> Windows Defender.
  3. Wybierz opcję Otwórz Centrum zabezpieczeń programu Windows Defender.
  4. Wybierz opcję Sterowanie aplikacjami i przeglądarką wymienione jako łącze paska bocznego w nowym oknie, które zostanie otwarte.
  5. Znajdź na stronie wpis dotyczący ochrony przed exploitami i kliknij ustawienia ochrony przed exploitami.

Ustawienia są podzielone na Ustawienia systemowe i Ustawienia programu.

Ustawienia systemu zawierają listę dostępnych mechanizmów ochrony i ich stanu. Następujące elementy są dostępne w aktualizacji Windows 10 Fall Creators Update:

  • Control Flow Guard (CFG) - domyślnie włączone.
  • Zapobieganie wykonywaniu danych (DEP) - domyślnie włączone.
  • Wymuś randomizację obrazów (obowiązkowe ASLR) - domyślnie wyłączone.
  • Losowe przydziały pamięci (ASLR z dołu do góry) - domyślnie włączone.
  • Sprawdź poprawność łańcuchów wyjątków (SEHOP) - domyślnie włączone.
  • Sprawdź poprawność integralności sterty - domyślnie włączone.

Możesz zmienić stan dowolnej opcji na „domyślnie włączony”, „domyślnie wyłączony” lub „użyj domyślnego”.

Ustawienia programu zapewniają opcje dostosowania ochrony dla poszczególnych programów i aplikacji. Działa to podobnie do sposobu dodawania wyjątków w Microsoft EMET dla określonych programów; dobrze, jeśli program źle się zachowuje, gdy włączone są określone moduły ochronne.

Wiele programów ma domyślnie wyjątki. Obejmuje to svchost.exe, spools.exe, runtimebroker.exe, iexplore.exe i inne podstawowe programy systemu Windows. Zauważ, że możesz zmienić te wyjątki, wybierając pliki i klikając edytuj.

program settings exploit protection

Kliknij opcję „dodaj program do dostosowania”, aby dodać program według nazwy lub dokładnej ścieżki pliku do listy wyjątków.

Możesz ustawić stan wszystkich obsługiwanych zabezpieczeń indywidualnie dla każdego programu, który dodałeś w ustawieniach programu. Oprócz nadpisywania domyślnych ustawień systemu i wymuszania ich wyłączania lub wyłączania, istnieje również opcja ustawienia „tylko audytu”. Ten ostatni rejestruje zdarzenia, które wystąpiłyby, gdyby stan ochrony był włączony, ale rejestruje tylko zdarzenie w dzienniku zdarzeń systemu Windows.

Ustawienia programu zawierają dodatkowe opcje ochrony, których nie można skonfigurować w ustawieniach systemu, ponieważ są one skonfigurowane do uruchamiania tylko na poziomie aplikacji.

To są:

  • Arbitralny strażnik kodu (ACG)
  • Wydmuchuj obrazy o niskiej integralności
  • Blokuj zdalne obrazy
  • Blokuj niezaufane czcionki
  • Ochrona integralności kodu
  • Wyłącz punkty rozszerzeń
  • Wyłącz wywołania systemowe Win32
  • Nie zezwalaj na procesy potomne
  • Filtrowanie adresów eksportowych (EAF)
  • Importowanie filtrowania adresów (IAF)
  • Symuluj wykonanie (SimExec)
  • Sprawdź poprawność wywołania API (CallerCheck)
  • Sprawdź poprawność użycia uchwytu
  • Sprawdź poprawność integracji zależności obrazu
  • Sprawdź integralność stosu (StackPivot)

Konfigurowanie ochrony przed exploitami przy użyciu PowerShell

Możesz użyć PowerShell, aby ustawić, usunąć lub wyświetlić listę środków zaradczych. Dostępne są następujące polecenia:

Aby wyświetlić listę wszystkich czynników ograniczających zagrożenie dla określonego procesu: Get-ProcessMitigation -Name nazwaProcesu.exe

Aby ustawić środki zaradcze: Set-ProcessMitigation - - ,,

  • Zakres: to -System lub -Nazwa.
  • Akcja: jest albo -Enable, albo -Disable.
  • Łagodzenie: nazwa Łagodzenia. Zapoznaj się z poniższą tabelą. Ograniczenia można oddzielić przecinkami.

Przykłady:

  • Set-Processmitigation -System -Enable DEP
  • Set-Processmitigation -Name test.exe -Remove -Disable DEP
  • Set-ProcessMitigation -Name processName.exe -Enable EnableExportAddressFilterPlus -EAFModules dllName1.dll, dllName2.dll
ŁagodzenieDotyczyPolecenia cmdlet programu PowerShellPolecenie cmdlet trybu inspekcji
Czujnik przepływu sterowania (CFG)Na poziomie systemu i aplikacjiCFG, StrictCFG, SuppressExportsAudyt niedostępny
Zapobieganie wykonywaniu danych (DEP)Na poziomie systemu i aplikacjiDEP, EmulateAtlThunksAudyt niedostępny
Wymuś randomizację obrazów (obowiązkowy ASLR)Na poziomie systemu i aplikacjiForceRelocateAudyt niedostępny
Losowe przydziały pamięci (ASLR oddolne)Na poziomie systemu i aplikacjiBottomUp, HighEntropyAudyt niedostępny
Sprawdź poprawność łańcuchów wyjątków (SEHOP)Na poziomie systemu i aplikacjiSEHOP, SEHOPTelemetriaAudyt niedostępny
Sprawdź poprawność integralności stertyNa poziomie systemu i aplikacjiTerminateOnHeapErrorAudyt niedostępny
Arbitralny strażnik kodu (ACG)Tylko na poziomie aplikacjiDynamicCodeAuditDynamicCode
Blokuj obrazy o niskiej integralnościTylko na poziomie aplikacjiBlockLowLabelAuditImageLoad
Blokuj zdalne obrazyTylko na poziomie aplikacjiBlockRemoteImagesAudyt niedostępny
Blokuj niezaufane czcionkiTylko na poziomie aplikacjiDisableNonSystemFontsAuditFont, FontAuditOnly
Ochrona integralności koduTylko na poziomie aplikacjiBlockNonMicrosoftSigned, AllowStoreSignedAuditMicrosoftSigned, AuditStoreSigned
Wyłącz punkty rozszerzeńTylko na poziomie aplikacjiExtensionPointAudyt niedostępny
Wyłącz wywołania systemowe Win32kTylko na poziomie aplikacjiDisableWin32kSystemCallsAuditSystemCall
Nie zezwalaj na procesy potomneTylko na poziomie aplikacjiDisallowChildProcessCreationAuditChildProcess
Filtrowanie adresów eksportowych (EAF)Tylko na poziomie aplikacjiEnableExportAddressFilterPlus, EnableExportAddressFilter [jeden] Audyt niedostępny
Importowanie filtrowania adresów (IAF)Tylko na poziomie aplikacjiEnableImportAddressFilterAudyt niedostępny
Symuluj wykonanie (SimExec)Tylko na poziomie aplikacjiEnableRopSimExecAudyt niedostępny
Sprawdź poprawność wywołania API (CallerCheck)Tylko na poziomie aplikacjiEnableRopCallerCheckAudyt niedostępny
Sprawdź poprawność użycia uchwytuTylko na poziomie aplikacjiStrictHandleAudyt niedostępny
Sprawdź integralność zależności obrazuTylko na poziomie aplikacjiEnforceModuleDepencySigningAudyt niedostępny
Sprawdź integralność stosu (StackPivot)Tylko na poziomie aplikacjiEnableRopStackPivotAudyt niedostępny

Importowanie i eksportowanie konfiguracji

Konfiguracje można importować i eksportować. Możesz to zrobić przy użyciu ustawień ochrony przed exploitami programu Windows Defender w Centrum zabezpieczeń programu Windows Defender, przy użyciu programu PowerShell i zasad.

Konfiguracje EMET można ponadto konwertować, aby można było je importować.

Korzystanie z ustawień ochrony przed exploitami

Konfiguracje można eksportować w aplikacji ustawień, ale nie można ich importować. Eksportowanie dodaje wszystkie środki zaradcze na poziomie systemu i aplikacji.

Aby to zrobić, wystarczy kliknąć łącze „Eksportuj ustawienia” pod ochroną przed exploitami.

Używanie programu PowerShell do eksportowania pliku konfiguracyjnego

  1. Otwórz monit Powershell z podwyższonym poziomem uprawnień.
  2. Get-ProcessMitigation -RegistryConfigFilePath nazwa_pliku.xml

Edytuj nazwę pliku.xml, aby odzwierciedlał lokalizację zapisu i nazwę pliku.

Używanie programu PowerShell do importowania pliku konfiguracyjnego

  1. Otwórz monit Powershell z podwyższonym poziomem uprawnień.
  2. Uruchom następujące polecenie: Set-ProcessMitigation -PolicyFilePath nazwa_pliku.xml

Edytuj nazwę pliku.xml, tak aby wskazywał lokalizację i nazwę pliku konfiguracyjnego XML.

Używanie zasad grupy do instalowania pliku konfiguracyjnego

use common set exploit protection

Pliki konfiguracyjne można zainstalować przy użyciu zasad.

  1. Naciśnij klawisz Windows, wpisz gpedit.msc i naciśnij klawisz Enter, aby uruchomić Edytor zasad grupy.
  2. Przejdź do Konfiguracja komputera> Szablony administracyjne> Składniki systemu Windows> Windows Defender Exploit Guard> Ochrona przed exploitami.
  3. Kliknij dwukrotnie „Użyj zestawu poleceń ustawień ochrony przed exploitami”.
  4. Ustaw zasady na włączone.
  5. Dodaj ścieżkę i nazwę pliku konfiguracyjnego XML w polu opcji.

Konwersja pliku EMET

  1. Otwórz monit PowerShell z podwyższonym poziomem uprawnień, jak opisano powyżej.
  2. Uruchom polecenie ConvertTo-ProcessMitigationPolicy -EMETFilePath emetFile.xml -OutputFilePath nazwa_pliku.xml

Zmień emetFile.xml na ścieżkę i lokalizację pliku konfiguracyjnego EMET.

Zmień nazwę pliku.xml na ścieżkę i lokalizację, w której chcesz zapisać przekonwertowany plik konfiguracyjny.

Zasoby