Конфигурирайте защитата на Windows Defender Exploit в Windows 10
- Категория: Windows
Защитата от експлоатация е нова функция за защита на Windows Defender, която Microsoft въведе в Fall Creators Update на операционната система.
Exploit Guard е набор от функции, който включва защита от експлоатация, намаляване на повърхността на атака , защита на мрежата и контролиран достъп до папки ,
Защитата от експлоатация най-добре може да бъде описана като интегрирана версия на Microsoft EMET - Exploit Mitigation Experience Toolkit - инструмент за сигурност, който компанията ще се пенсионира в средата на 2018 г. ,
Microsoft твърдеше по-рано, че операционната система Windows 10 на компанията би направило пускането на EMET заедно с Windows ненужно ; поне един изследовател обаче опроверга твърдението на Microsoft.
Защита на Windows Defender Exploit
Защитата от експлоатация е активирана по подразбиране, ако е активиран Windows Defender. Тази функция е единствената функция Exploit Guard, която не изисква защитата в реално време да е активирана в Windows Defender.
Функцията може да бъде конфигурирана в приложението на центъра за защита на Windows Defender, чрез команди PowerShell или като правила.
Конфигурация в приложението Център за сигурност на Windows Defender
Можете да конфигурирате защитата от експлоатация в приложението Център за сигурност на Windows Defender.
- Използвайте Windows-I, за да отворите приложението Настройки.
- Отворете Актуализация и защита> Windows Defender.
- Изберете Отвори Център за защита на Windows Defender.
- Изберете контрола на приложението и браузъра, посочен като връзка в страничната лента в новия прозорец, който се отваря.
- Намерете записа за защита от експлоатация на страницата и щракнете върху настройките за защита от експлоатация.
Настройките са разделени на системни настройки и програмни настройки.
Системните настройки изброяват наличните механизми за защита и тяхното състояние. Следното е достъпно в актуализацията на Windows 10 Fall Creators:
- Control Flow Guard (CFG) - включен по подразбиране.
- Предотвратяване на изпълнението на данни (DEP) - включено по подразбиране.
- Принудително рандомизиране на изображения (Задължителен ASLR) - изключено по подразбиране.
- Рандомизирайте разпределението на паметта (ASLR отдолу нагоре) - по подразбиране.
- Валидиране на вериги за изключения (SEHOP) - включено по подразбиране.
- Проверете целостта на купчината - включено по подразбиране.
Можете да промените състоянието на всяка опция на „включено по подразбиране“, „изключено по подразбиране“ или „използвайте по подразбиране“.
Настройките на програмата ви дават опции за персонализиране на защитата за отделни програми и приложения. Това работи подобно на това как бихте могли да добавяте изключения в Microsoft EMET за конкретни програми; добре, ако програмата се държи неправилно, когато са активирани определени защитни модули.
Доста няколко програми имат изключения по подразбиране. Това включва svchost.exe, spools.exe, runtimebroker.exe, iexplore.exe и други основни програми за Windows. Имайте предвид, че можете да отмените тези изключения, като изберете файловете и щракнете върху редактиране.
Кликнете върху „добавяне на програма за персонализиране“, за да добавите програма по име или точен път към файла към списъка с изключения.
Можете да зададете статуса на всички поддържани защити поотделно за всяка програма, която сте добавили в настройките на програмата. Освен отмяна на системната настройка по подразбиране и принуждаване към едно или изключване, има и опция да я настроите на „само одит“. Последният записва събития, които биха се задействали, ако състоянието на защитата е било включено, но ще записва само събитието в дневника на събитията на Windows.
Настройките на програмата изброяват допълнителни опции за защита, които не можете да конфигурирате в системни настройки, тъй като те са конфигурирани да работят само на ниво приложение.
Това са:
- Защита на произволен код (ACG)
- Blow изображения с ниска целостност
- Блокиране на отдалечени изображения
- Блокирайте ненадеждни шрифтове
- Защита на целостта на кода
- Деактивирайте точките за разширение
- Деактивирайте системните обаждания на Win32
- Не допускайте детски процеси
- Филтриране на експорт на адреси (EAF)
- Импортиране на филтриране на адреси (IAF)
- Симулиране на изпълнение (SimExec)
- Валидиране на извикване на API (CallerCheck)
- Проверете използването на дръжката
- Проверете интеграцията на зависимостта на изображението
- Валидиране на целостта на стека (StackPivot)
Конфигуриране на защитата от експлоатация с помощта на PowerShell
Можете да използвате PowerShell за задаване, премахване или изброяване на смекчаващи мерки. Налични са следните команди:
За да изброите всички смекчения на указания процес: Get-ProcessMitigation -Name processName.exe
За задаване на смекчения: Set-ProcessMitigation - - ,,
- Обхват: е или -System или -Name.
- Действие: е или -Enable или -Disable.
- Смекчаване: името на смекчаването. Обърнете се към следната таблица. Можете да отделите смекчаването със запетая.
Примери:
- Set-Processmitigation -System -Enable DEP
- Set-Processmitigation -Name test.exe -Remove -Disable DEP
- Set-ProcessMitigation -Name processName.exe -Enable EnableExportAddressFilterPlus -EAFModules dllName1.dll, dllName2.dll
смекчаване | Отнася се за | PowerShell командлети | Командлет за режим на одит |
---|---|---|---|
Защита на контролния поток (CFG) | Система и ниво на приложение | CFG, StrictCFG, SuppressExports | Одитът не е наличен |
Предотвратяване на изпълнението на данни (DEP) | Система и ниво на приложение | DEP, EmulateAtlThunks | Одитът не е наличен |
Принудително рандомизиране на изображения (Задължителен ASLR) | Система и ниво на приложение | ForceRelocate | Одитът не е наличен |
Рандомизиране на разпределението на паметта (ASLR отдолу нагоре) | Система и ниво на приложение | BottomUp, HighEntropy | Одитът не е наличен |
Валидиране на вериги за изключения (SEHOP) | Система и ниво на приложение | SEHOP, SEHOPTelemetry | Одитът не е наличен |
Проверете целостта на купчината | Система и ниво на приложение | TerminateOnHeapError | Одитът не е наличен |
Защита на произволен код (ACG) | Само на ниво приложение | DynamicCode | AuditDynamicCode |
Блокирайте изображения с ниска цялост | Само на ниво приложение | BlockLowLabel | AuditImageLoad |
Блокиране на отдалечени изображения | Само на ниво приложение | BlockRemoteImages | Одитът не е наличен |
Блокирайте ненадеждни шрифтове | Само на ниво приложение | DisableNonSystemFonts | AuditFont, FontAuditOnly |
Защита на целостта на кода | Само на ниво приложение | BlockNonMicrosoftSigned, AllowStoreSigned | AuditMicrosoftSigned, AuditStoreSigned |
Деактивирайте точките за разширение | Само на ниво приложение | ExtensionPoint | Одитът не е наличен |
Деактивирайте системните обаждания на Win32k | Само на ниво приложение | DisableWin32kSystemCalls | AuditSystemCall |
Не допускайте детски процеси | Само на ниво приложение | DisallowChildProcessCreation | AuditChildProcess |
Филтриране на експорт на адреси (EAF) | Само на ниво приложение | EnableExportAddressFilterPlus, EnableExportAddressFilter [Една] | Одитът не е наличен |
Импортиране на филтриране на адреси (IAF) | Само на ниво приложение | EnableImportAddressFilter | Одитът не е наличен |
Симулиране на изпълнение (SimExec) | Само на ниво приложение | EnableRopSimExec | Одитът не е наличен |
Валидиране на извикване на API (CallerCheck) | Само на ниво приложение | EnableRopCallerCheck | Одитът не е наличен |
Проверете използването на дръжката | Само на ниво приложение | StrictHandle | Одитът не е наличен |
Проверете целостта на изображението | Само на ниво приложение | EnforceModuleDepencySigning | Одитът не е наличен |
Валидиране на целостта на стека (StackPivot) | Само на ниво приложение | EnableRopStackPivot | Одитът не е наличен |
Импортиране и експортиране на конфигурации
Конфигурациите могат да бъдат импортирани и експортирани. Можете да направите това, като използвате настройките за защита на експлоатацията на Windows Defender в Центъра за сигурност на Windows Defender, като използвате PowerShell, като използвате политики.
Конфигурациите на EMET могат освен това да бъдат преобразувани, така че да могат да бъдат импортирани.
Използване на настройките за защита на Exploit
Можете да експортирате конфигурации в приложението за настройки, но не и да ги импортирате. Експортирането добавя всички смекчаване на системно ниво и ниво на приложение.
Просто щракнете върху връзката 'настройки за експортиране' под защита на експлоатацията, за да го направите.
Използване на PowerShell за експортиране на конфигурационен файл
- Отваряне на повишен Powershell подкана.
- Get-ProcessMitigation -RegistryConfigFilePath filename.xml
Редактирайте filename.xml, така че да отразява запаметеното местоположение и името на файла.
Използване на PowerShell за импортиране на конфигурационен файл
- Отваряне на повишен Powershell подкана.
- Изпълнете следната команда: Set-ProcessMitigation -PolicyFilePath filename.xml
Редактирайте filename.xml, така че да сочи местоположението и името на файла на конфигурационния XML файл.
Използване на групови правила за инсталиране на конфигурационен файл
Можете да инсталирате конфигурационни файлове с помощта на политики.
- Докоснете клавиша за Windows, въведете gpedit.msc и натиснете клавиша Enter, за да стартирате редактора на групови политики.
- Отворете Конфигурация на компютъра> Административни шаблони> Компоненти на Windows> Windows Defender Exploit Guard> Защита на експлоатацията.
- Кликнете два пъти върху „Използване на команден набор от настройки за защита на експлоатацията“.
- Задайте правилото активирано.
- Добавете пътя и името на файла на конфигурационния XML файл в полето за опции.
Конвертиране на EMET файл
- Отваряне на повишена PowerShell подкана, както е описано по-горе.
- Изпълнете командата ConvertTo-ProcessMitigationPolicy -EMETFilePath emetFile.xml -OutputFilePath filename.xml
Променете emetFile.xml към пътя и местоположението на конфигурационния файл EMET.
Променете filename.xml към пътя и местоположението, в което искате да бъде записан преобразуваният конфигурационен файл.