Konfigurējiet Windows Defender Exploit aizsardzību Windows 10

• Kategorija: Windows

Izmēģiniet Mūsu Instrumentu Problēmu Novēršanai

Atlasiet Operētājsistēmu Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Izvēlieties Projekcijas Programmu (Pēc Izvēles) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Aprakstiet Savu Problēmu

Saņemt Atbildi

Atsūti Mani Pa E -Pastu Rādīt Vietnē

Ekspluatācijas aizsardzība ir jauns Windows Defender drošības elements, ko Microsoft ieviesa operētājsistēmas Fall Creators atjauninājumā.

Izmantojiet sargu ir funkciju kopums, kas ietver ekspluatācijas aizsardzību, uzbrukuma virsmas samazināšana , tīkla aizsardzība un kontrolēta piekļuve mapei .

Ekspluatācijas aizsardzību vislabāk var raksturot kā Microsoft EMET - Exploit Mitigation Experience Toolkit - drošības rīka integrētu versiju. pensionēsies 2018. gada vidū .

Microsoft iepriekš apgalvoja, ka uzņēmuma Windows 10 operētājsistēma padarītu EMET palaišanu līdzās Windows nevajadzīgu ; vismaz viens pētnieks tomēr noraidīja Microsoft prasību.

Windows Defender izmantošanas aizsardzība

Ekspluatācijas aizsardzība pēc noklusējuma ir iespējota, ja ir iespējota Windows Defender. Šī funkcija ir vienīgā Exploit Guard funkcija, kurai nav nepieciešams, lai Windows Defender būtu iespējota reāllaika aizsardzība.

Funkciju var konfigurēt lietojumprogrammā Windows Defender drošības centrs, izmantojot PowerShell komandas vai kā politikas.

Konfigurācija lietotnē Windows Defender drošības centrs

Aizsardzību var konfigurēt lietojumprogrammā Windows Defender drošības centrs.

1. Izmantojiet Windows-I, lai atvērtu programmu Iestatījumi.
2. Dodieties uz sadaļu Atjaunināšana un drošība> Windows Defender.
3. Atlasiet Atvērt Windows Defender drošības centru.
4. Jaunajā atvērtajā logā atlasiet Lietotņu un pārlūka vadība, kas norādīta kā sānjoslas saite.
5. Lapā atrodiet aizsardzības aizsardzības ierakstu un noklikšķiniet uz izmantot aizsardzības iestatījumus.

Iestatījumi ir sadalīti sistēmas iestatījumos un programmas iestatījumos.

Sistēmas iestatījumos ir uzskaitīti pieejamie aizsardzības mehānismi un to statuss. Windows 10 kritumu veidotāju atjauninājumā ir pieejami šādi dati:

• Control Flow Guard (CFG) - ieslēgts pēc noklusējuma.
• Datu izpildes novēršana (DEP) - ieslēgta pēc noklusējuma.
• Piespiest attēlu nejaušināšanu (Obligāti ASLR) - pēc noklusējuma izslēgts.
• Nejauši atdaliet atmiņu (Bottom-up ASLR) - pēc noklusējuma.
• Validēt izņēmumu ķēdes (SEHOP) - ieslēgts pēc noklusējuma.
• Apstiprināt kaudzes integritāti - ieslēgta pēc noklusējuma.

Jebkuras opcijas statusu var mainīt uz “ieslēgts pēc noklusējuma”, “izslēgts pēc noklusējuma” vai “izmantot noklusējumu”.

Programmu iestatījumi dod jums iespējas pielāgot atsevišķu programmu un programmu aizsardzību. Tas darbojas līdzīgi tam, kā Microsoft EMET atsevišķām programmām varētu pievienot izņēmumus; labi, ja programma darbojas nepareizi, ja ir iespējoti noteikti aizsardzības moduļi.

Daudzām programmām pēc noklusējuma ir izņēmumi. Tas ietver svchost.exe, spools.exe, runtimebroker.exe, iexplore.exe un citas Windows pamatprogrammas. Ņemiet vērā, ka varat ignorēt šos izņēmumus, atlasot failus un noklikšķinot uz rediģēt.

Noklikšķiniet uz 'pievienot programmu, lai pielāgotu', lai izņēmumu sarakstam pievienotu programmu pēc nosaukuma vai precīzu faila ceļu.

Varat iestatīt visu atbalstīto aizsardzības statusu atsevišķi katrai programmai, kuru pievienojāt programmas iestatījumos. Papildus sistēmas noklusējuma ignorēšanai un piespiešanai to izslēgt, ir arī iespēja iestatīt “tikai revīziju”. Pēdējais reģistrē notikumus, kas būtu aktivizēti, ja aizsardzības statuss būtu bijis ieslēgts, bet Windows notikumu žurnālā reģistrēs tikai notikumu.

Programmas iestatījumos ir uzskaitītas papildu aizsardzības iespējas, kuras nevar konfigurēt sistēmas iestatījumos, jo tās ir konfigurētas darbībai tikai lietojumprogrammu līmenī.

Šie ir:

• Patvaļīgs koda sargs (ACG)
• Pūtiet zemas integritātes attēlus
• Bloķēt attālos attēlus
• Bloķējiet neuzticamus fontus
• Kodu integritātes sargs
• Atspējot pagarināšanas punktus
• Atspējojiet Win32 sistēmas zvanus
• Nepieļaujiet bērna procesus
• Eksportēt adrešu filtrēšanu (EAF)
• Importēt adrešu filtrēšanu (IAF)
• Imitēt izpildi (SimExec)
• Validēt API izsaukumu (CallerCheck)
• Apstipriniet roktura lietojumu
• Apstipriniet attēla atkarības integrāciju
• Pārbaudiet steka integritāti (StackPivot)

Izmantošanas aizsardzības konfigurēšana, izmantojot PowerShell

Varat izmantot programmu PowerShell, lai iestatītu, noņemtu vai uzskaitītu mazināšanas. Ir pieejamas šādas komandas:

Lai uzskaitītu visus norādītā procesa mazinājumus: Get-ProcessMitigation -Name processName.exe

Lai iestatītu mazinājumus: Set-ProcessMitigation - -,,

• Darbības joma: ir vai nu sistēma, vai nosaukums.
• Darbība: ir-iespējot vai -atspējot.
• Mazināšana: mazināšanas nosaukums. Iepazīstieties ar šo tabulu. Jūs varat nodalīt mazinājumus ar komatu.

Piemēri:

• Iestatīšanas processmitigācija-sistēma - iespējot DEP
• Set-Processmitigation -Name test.exe -Remove -Disable DEP
• Set-ProcessMitigation -Name processName.exe -Enable EnableExportAddressFilterPlus -EAFModules dllName1.dll, dllName2.dll

Mazināšana	Attiecas uz	PowerShell cmdlet	Audita režīma cmdlet
Vadības plūsmas aizsargs (CFG)	Sistēmas un lietotņu līmenis	CFG, StrictCFG, SuppressExports	Revīzija nav pieejama
Datu izpildes novēršana (DEP)	Sistēmas un lietotņu līmenis	DEP, EmulateAtlThunks	Revīzija nav pieejama
Spēku nejaušināšana attēliem (obligāti ASLR)	Sistēmas un lietotņu līmenis	ForceRelocate	Revīzija nav pieejama
Randomizēt atmiņas sadalījumu (Bottom-Up ASLR)	Sistēmas un lietotņu līmenis	BottomUp, HighEntropy	Revīzija nav pieejama
Validēt izņēmumu ķēdes (SEHOP)	Sistēmas un lietotņu līmenis	SEHOP, SEHOPTelemetrs	Revīzija nav pieejama
Apstipriniet kaudzes integritāti	Sistēmas un lietotņu līmenis	IzbeigtOnHeapError	Revīzija nav pieejama
Patvaļīgs koda sargs (ACG)	Tikai lietotņu līmenī	DynamicCode	AuditDynamicCode
Bloķējiet attēlus ar zemu integritāti	Tikai lietotņu līmenī	BlockLowLabel	AuditImageLoad
Bloķēt attālos attēlus	Tikai lietotņu līmenī	BlockRemoteImages	Revīzija nav pieejama
Bloķējiet neuzticamus fontus	Tikai lietotņu līmenī	DisableNonSystemFonts	AuditFont, FontAuditOnly
Kodu integritātes sargs	Tikai lietotņu līmenī	BlockNonMicrosoftSigna, AllowStoreSigna	AuditMicrosoftSigna, AuditStoreSigna
Atspējot pagarināšanas punktus	Tikai lietotņu līmenī	ExtensionPoint	Revīzija nav pieejama
Atspējojiet Win32k sistēmas zvanus	Tikai lietotņu līmenī	DisableWin32kSystemCalls	AuditSystemCall
Nepieļaujiet bērna procesus	Tikai lietotņu līmenī	DisallowChildProcessCreation	AuditChildProcess
Eksportēt adrešu filtrēšanu (EAF)	Tikai lietotņu līmenī	EnableExportAddressFilterPlus, EnableExportAddressFilter [viens]	Revīzija nav pieejama
Importēt adrešu filtrēšanu (IAF)	Tikai lietotņu līmenī	EnableImportAddressFilter	Revīzija nav pieejama
Imitēt izpildi (SimExec)	Tikai lietotņu līmenī	EnableRopSimExec	Revīzija nav pieejama
Validēt API izsaukumu (CallerCheck)	Tikai lietotņu līmenī	EnableRopCallerCheck	Revīzija nav pieejama
Apstipriniet roktura lietojumu	Tikai lietotņu līmenī	Stingri rokturi	Revīzija nav pieejama
Apstipriniet attēla atkarības integritāti	Tikai lietotņu līmenī	EnforceModuleDepencySigning	Revīzija nav pieejama
Pārbaudiet steka integritāti (StackPivot)	Tikai lietotņu līmenī	EnableRopStackPivot	Revīzija nav pieejama

Konfigurāciju importēšana un eksportēšana

Konfigurācijas var importēt un eksportēt. To var izdarīt, izmantojot Windows Defender Windows Defender drošības centra aizsardzības iestatījumus, izmantojot PowerShell, izmantojot politikas.

Turklāt EMET konfigurācijas var pārveidot, lai tās varētu importēt.

Izmantojot aizsardzības iestatījumus

Jūs varat eksportēt konfigurācijas iestatījumu lietojumprogrammā, bet ne importēt. Eksportējot tiek pievienoti visi sistēmas līmeņa un lietotņu līmeņa mazinājumi.

Lai to izdarītu, vienkārši noklikšķiniet uz saites “Eksporta iestatījumi”, kas atrodas zem izmantotās aizsardzības.

Izmantojot PowerShell, lai eksportētu konfigurācijas failu

1. Atveriet paaugstinātu Powershell uzvedni.
2. Get-ProcessMitigation -RegistryConfigFilePath faila nosaukums.xml

Rediģējiet faila nosaukums.xml, lai tas atspoguļotu saglabāšanas vietu un faila nosaukumu.

Izmantojot PowerShell, lai importētu konfigurācijas failu

1. Atveriet paaugstinātu Powershell uzvedni.
2. Palaidiet šo komandu: Set-ProcessMitigation -PolicyFilePath faila nosaukums.xml

Rediģējiet failuname.xml, lai tas norādītu uz konfigurācijas XML faila atrašanās vietu un faila nosaukumu.

Grupas politikas izmantošana konfigurācijas faila instalēšanai

Konfigurācijas failus var instalēt, izmantojot politikas.

1. Pieskarieties Windows taustiņam, ierakstiet gpedit.msc un nospiediet taustiņu Enter, lai sāktu grupas politikas redaktoru.
2. Dodieties uz Datora konfigurācija> Administratīvās veidnes> Windows komponenti> Windows Defender Exploit Guard> Izmantot aizsardzību.
3. Veiciet dubultklikšķi uz “Izmantot komandu kopumu aizsardzības aizsardzības iestatījumi”.
4. Iestatiet politiku iespējotai.
5. Opciju laukā pievienojiet konfigurācijas XML faila ceļu un faila nosaukumu.

EMET faila konvertēšana

1. Atveriet paaugstinātu PowerShell uzvedni, kā aprakstīts iepriekš.
2. Palaidiet komandu ConvertTo-ProcessMitigationPolicy -EMETFilePath emetFile.xml -OutputFilePath faila nosaukums.xml

Mainiet emetFile.xml uz EMET konfigurācijas faila ceļu un atrašanās vietu.

Mainiet failu name.xml uz ceļu un vietu, kurā vēlaties saglabāt konvertēto konfigurācijas failu.

Resursi

• Novērtējiet Izmantot aizsardzību
• Iespējojiet aizsardzību
• Pielāgojiet izmantošanas aizsardzību
• Importējiet, eksportējiet un izvietojiet aizsardzības konfigurācijas