Конфигурирайте защитата на Windows Defender Exploit в Windows 10

Защитата от експлоатация е нова функция за защита на Windows Defender, която Microsoft въведе в Fall Creators Update на операционната система.

Exploit Guard е набор от функции, който включва защита от експлоатация, намаляване на повърхността на атака , защита на мрежата и контролиран достъп до папки ,

Защитата от експлоатация най-добре може да бъде описана като интегрирана версия на Microsoft EMET - Exploit Mitigation Experience Toolkit - инструмент за сигурност, който компанията ще се пенсионира в средата на 2018 г. ,

Microsoft твърдеше по-рано, че операционната система Windows 10 на компанията би направило пускането на EMET заедно с Windows ненужно ; поне един изследовател обаче опроверга твърдението на Microsoft.

Защита на Windows Defender Exploit

Защитата от експлоатация е активирана по подразбиране, ако е активиран Windows Defender. Тази функция е единствената функция Exploit Guard, която не изисква защитата в реално време да е активирана в Windows Defender.

Функцията може да бъде конфигурирана в приложението на центъра за защита на Windows Defender, чрез команди PowerShell или като правила.

Конфигурация в приложението Център за сигурност на Windows Defender

exploit protection windows defender

Можете да конфигурирате защитата от експлоатация в приложението Център за сигурност на Windows Defender.

  1. Използвайте Windows-I, за да отворите приложението Настройки.
  2. Отворете Актуализация и защита> Windows Defender.
  3. Изберете Отвори Център за защита на Windows Defender.
  4. Изберете контрола на приложението и браузъра, посочен като връзка в страничната лента в новия прозорец, който се отваря.
  5. Намерете записа за защита от експлоатация на страницата и щракнете върху настройките за защита от експлоатация.

Настройките са разделени на системни настройки и програмни настройки.

Системните настройки изброяват наличните механизми за защита и тяхното състояние. Следното е достъпно в актуализацията на Windows 10 Fall Creators:

  • Control Flow Guard (CFG) - включен по подразбиране.
  • Предотвратяване на изпълнението на данни (DEP) - включено по подразбиране.
  • Принудително рандомизиране на изображения (Задължителен ASLR) - изключено по подразбиране.
  • Рандомизирайте разпределението на паметта (ASLR отдолу нагоре) - по подразбиране.
  • Валидиране на вериги за изключения (SEHOP) - включено по подразбиране.
  • Проверете целостта на купчината - включено по подразбиране.

Можете да промените състоянието на всяка опция на „включено по подразбиране“, „изключено по подразбиране“ или „използвайте по подразбиране“.

Настройките на програмата ви дават опции за персонализиране на защитата за отделни програми и приложения. Това работи подобно на това как бихте могли да добавяте изключения в Microsoft EMET за конкретни програми; добре, ако програмата се държи неправилно, когато са активирани определени защитни модули.

Доста няколко програми имат изключения по подразбиране. Това включва svchost.exe, spools.exe, runtimebroker.exe, iexplore.exe и други основни програми за Windows. Имайте предвид, че можете да отмените тези изключения, като изберете файловете и щракнете върху редактиране.

program settings exploit protection

Кликнете върху „добавяне на програма за персонализиране“, за да добавите програма по име или точен път към файла към списъка с изключения.

Можете да зададете статуса на всички поддържани защити поотделно за всяка програма, която сте добавили в настройките на програмата. Освен отмяна на системната настройка по подразбиране и принуждаване към едно или изключване, има и опция да я настроите на „само одит“. Последният записва събития, които биха се задействали, ако състоянието на защитата е било включено, но ще записва само събитието в дневника на събитията на Windows.

Настройките на програмата изброяват допълнителни опции за защита, които не можете да конфигурирате в системни настройки, тъй като те са конфигурирани да работят само на ниво приложение.

Това са:

  • Защита на произволен код (ACG)
  • Blow изображения с ниска целостност
  • Блокиране на отдалечени изображения
  • Блокирайте ненадеждни шрифтове
  • Защита на целостта на кода
  • Деактивирайте точките за разширение
  • Деактивирайте системните обаждания на Win32
  • Не допускайте детски процеси
  • Филтриране на експорт на адреси (EAF)
  • Импортиране на филтриране на адреси (IAF)
  • Симулиране на изпълнение (SimExec)
  • Валидиране на извикване на API (CallerCheck)
  • Проверете използването на дръжката
  • Проверете интеграцията на зависимостта на изображението
  • Валидиране на целостта на стека (StackPivot)

Конфигуриране на защитата от експлоатация с помощта на PowerShell

Можете да използвате PowerShell за задаване, премахване или изброяване на смекчаващи мерки. Налични са следните команди:

За да изброите всички смекчения на указания процес: Get-ProcessMitigation -Name processName.exe

За задаване на смекчения: Set-ProcessMitigation - - ,,

  • Обхват: е или -System или -Name.
  • Действие: е или -Enable или -Disable.
  • Смекчаване: името на смекчаването. Обърнете се към следната таблица. Можете да отделите смекчаването със запетая.

Примери:

  • Set-Processmitigation -System -Enable DEP
  • Set-Processmitigation -Name test.exe -Remove -Disable DEP
  • Set-ProcessMitigation -Name processName.exe -Enable EnableExportAddressFilterPlus -EAFModules dllName1.dll, dllName2.dll
смекчаванеОтнася се заPowerShell командлетиКомандлет за режим на одит
Защита на контролния поток (CFG)Система и ниво на приложениеCFG, StrictCFG, SuppressExportsОдитът не е наличен
Предотвратяване на изпълнението на данни (DEP)Система и ниво на приложениеDEP, EmulateAtlThunksОдитът не е наличен
Принудително рандомизиране на изображения (Задължителен ASLR)Система и ниво на приложениеForceRelocateОдитът не е наличен
Рандомизиране на разпределението на паметта (ASLR отдолу нагоре)Система и ниво на приложениеBottomUp, HighEntropyОдитът не е наличен
Валидиране на вериги за изключения (SEHOP)Система и ниво на приложениеSEHOP, SEHOPTelemetryОдитът не е наличен
Проверете целостта на купчинатаСистема и ниво на приложениеTerminateOnHeapErrorОдитът не е наличен
Защита на произволен код (ACG)Само на ниво приложениеDynamicCodeAuditDynamicCode
Блокирайте изображения с ниска цялостСамо на ниво приложениеBlockLowLabelAuditImageLoad
Блокиране на отдалечени изображенияСамо на ниво приложениеBlockRemoteImagesОдитът не е наличен
Блокирайте ненадеждни шрифтовеСамо на ниво приложениеDisableNonSystemFontsAuditFont, FontAuditOnly
Защита на целостта на кодаСамо на ниво приложениеBlockNonMicrosoftSigned, AllowStoreSignedAuditMicrosoftSigned, AuditStoreSigned
Деактивирайте точките за разширениеСамо на ниво приложениеExtensionPointОдитът не е наличен
Деактивирайте системните обаждания на Win32kСамо на ниво приложениеDisableWin32kSystemCallsAuditSystemCall
Не допускайте детски процесиСамо на ниво приложениеDisallowChildProcessCreationAuditChildProcess
Филтриране на експорт на адреси (EAF)Само на ниво приложениеEnableExportAddressFilterPlus, EnableExportAddressFilter [Една] Одитът не е наличен
Импортиране на филтриране на адреси (IAF)Само на ниво приложениеEnableImportAddressFilterОдитът не е наличен
Симулиране на изпълнение (SimExec)Само на ниво приложениеEnableRopSimExecОдитът не е наличен
Валидиране на извикване на API (CallerCheck)Само на ниво приложениеEnableRopCallerCheckОдитът не е наличен
Проверете използването на дръжкатаСамо на ниво приложениеStrictHandleОдитът не е наличен
Проверете целостта на изображениетоСамо на ниво приложениеEnforceModuleDepencySigningОдитът не е наличен
Валидиране на целостта на стека (StackPivot)Само на ниво приложениеEnableRopStackPivotОдитът не е наличен

Импортиране и експортиране на конфигурации

Конфигурациите могат да бъдат импортирани и експортирани. Можете да направите това, като използвате настройките за защита на експлоатацията на Windows Defender в Центъра за сигурност на Windows Defender, като използвате PowerShell, като използвате политики.

Конфигурациите на EMET могат освен това да бъдат преобразувани, така че да могат да бъдат импортирани.

Използване на настройките за защита на Exploit

Можете да експортирате конфигурации в приложението за настройки, но не и да ги импортирате. Експортирането добавя всички смекчаване на системно ниво и ниво на приложение.

Просто щракнете върху връзката 'настройки за експортиране' под защита на експлоатацията, за да го направите.

Използване на PowerShell за експортиране на конфигурационен файл

  1. Отваряне на повишен Powershell подкана.
  2. Get-ProcessMitigation -RegistryConfigFilePath filename.xml

Редактирайте filename.xml, така че да отразява запаметеното местоположение и името на файла.

Използване на PowerShell за импортиране на конфигурационен файл

  1. Отваряне на повишен Powershell подкана.
  2. Изпълнете следната команда: Set-ProcessMitigation -PolicyFilePath filename.xml

Редактирайте filename.xml, така че да сочи местоположението и името на файла на конфигурационния XML файл.

Използване на групови правила за инсталиране на конфигурационен файл

use common set exploit protection

Можете да инсталирате конфигурационни файлове с помощта на политики.

  1. Докоснете клавиша за Windows, въведете gpedit.msc и натиснете клавиша Enter, за да стартирате редактора на групови политики.
  2. Отворете Конфигурация на компютъра> Административни шаблони> Компоненти на Windows> Windows Defender Exploit Guard> Защита на експлоатацията.
  3. Кликнете два пъти върху „Използване на команден набор от настройки за защита на експлоатацията“.
  4. Задайте правилото активирано.
  5. Добавете пътя и името на файла на конфигурационния XML файл в полето за опции.

Конвертиране на EMET файл

  1. Отваряне на повишена PowerShell подкана, както е описано по-горе.
  2. Изпълнете командата ConvertTo-ProcessMitigationPolicy -EMETFilePath emetFile.xml -OutputFilePath filename.xml

Променете emetFile.xml към пътя и местоположението на конфигурационния файл EMET.

Променете filename.xml към пътя и местоположението, в което искате да бъде записан преобразуваният конфигурационен файл.

ресурси