A Windows Defender exploit védelmének konfigurálása a Windows 10 rendszerben

A kizsákmányolás elleni védelem a Windows Defender új biztonsági funkciója, amelyet a Microsoft bevezetett az operációs rendszer őszi alkotóinak frissítésébe.

Használja ki a Gárda egy olyan szolgáltatáskészlet, amely magában foglalja a kizsákmányolás elleni védelmet, támadás felületének csökkentése, hálózati védelem és ellenőrzött mappahozzáférés.



A kizsákmányolás elleni védelem legjobban a Microsoft EMET - Exploit Mitigation Experience Toolkit - biztonsági eszköz, integrált verziójaként írható le. 2018 közepén vonul vissza.

A Microsoft korábban állította, hogy a vállalat Windows 10 operációs rendszere szükségtelenné tenné az EMET futtatását a Windows mellett; legalább egy kutató azonban cáfolta a Microsoft állítását.

Windows Defender A védelem kihasználása

A kizsákmányolás elleni védelem alapértelmezés szerint engedélyezve van, ha a Windows Defender engedélyezve van. Ez a szolgáltatás az egyetlen Exploit Guard szolgáltatás, amely nem igényli a valósidejű védelem engedélyezését a Windows Defenderben.

A szolgáltatás konfigurálható a Windows Defender Security Center alkalmazásban, PowerShell parancsokkal vagy házirendek formájában.

Konfiguráció a Windows Defender Security Center alkalmazásban

exploit protection windows defender

A Windows Defender Security Center alkalmazásban konfigurálhatja a kihasználható védelmet.



  1. A Windows-I használatával nyissa meg a Beállítások alkalmazást.
  2. Keresse meg a Frissítés és biztonság> Windows Defender menüpontot.
  3. Válassza a Windows Defender biztonsági központ megnyitása lehetőséget.
  4. Válassza az Alkalmazás és böngésző vezérlése oldalsávként mutató hivatkozást az megnyíló új ablakban.
  5. Keresse meg a kizsákmányolás elleni védelem bejegyzését az oldalon, és kattintson a kizsákmányolás védelmi beállításai elemre.

A beállításokat a rendszerbeállításokra és a programbeállításokra osztjuk.

A rendszerbeállítások felsorolják az elérhető védelmi mechanizmusokat és azok állapotát. A következők érhetők el a Windows 10 őszi alkotóinak frissítésében:

  • Control Flow Guard (CFG) - alapértelmezés szerint be van kapcsolva.
  • Adatvégrehajtás megelőzése (DEP) - alapértelmezés szerint be van kapcsolva.
  • A képek véletlenszerű kiválasztása (kötelező ASLR) - alapértelmezés szerint ki van kapcsolva.
  • Randomizálja a memória-allokációkat (Bottom-up ASLR) - alapértelmezés szerint.
  • Kivétel láncok érvényesítése (SEHOP) - alapértelmezés szerint be van kapcsolva.
  • Érvényesítse a halom integritását - alapértelmezés szerint be van kapcsolva.

Bármelyik opció állapotát megváltoztathatja 'alapértelmezés szerint be', 'alapértelmezés szerint ki' vagy 'alapértelmezés szerint'.

A programbeállítások lehetőséget biztosítanak az egyedi programok és alkalmazások védelmének testreszabására. Ez hasonlóan működik, ahogyan kivételeket adhat hozzá a Microsoft EMET programhoz; jó, ha egy program rosszul működik, ha bizonyos védőmodulok engedélyezve vannak.

Néhány program alapértelmezés szerint rendelkezik kivételekkel. Ide tartoznak az svchost.exe, a spools.exe, a runtimebroker.exe, azxplore.exe és a többi alapvető Windows program. Vegye figyelembe, hogy ezeket a kivételeket a fájlok kiválasztásával és a szerkesztés kattintással felülírhatja.

program settings exploit protection

Kattintson az 'Add program to testing' programra, hogy programot név vagy pontos fájlútvonal hozzáadásával adjon a kivételek listájához.



Az összes támogatott védelem állapotát külön-külön állíthatja be minden egyes programhoz, amelyet a programbeállítások alatt adott hozzá. Amellett, hogy felülbírálja a rendszer alapértelmezését, és arra kényszeríti, hogy egy vagy kikapcsolja, a „csak ellenőrzés” beállításra is beállíthatja. Ez utóbbi olyan eseményeket rögzít, amelyek akkor jöttek létre, ha a védelem állapota be lett volna kapcsolva, de csak az eseményt rögzíti a Windows eseménynaplójában.

A Programbeállítások további védelmi opciókat sorolnak fel, amelyeket a rendszerbeállítások alatt nem lehet konfigurálni, mivel csak az alkalmazás szintjén vannak konfigurálva.

Ezek:

  • Tetszőleges kódvédő (ACG)
  • Fújja az alacsony integritású képeket
  • Távoli képek blokkolása
  • Blokkolja a nem megbízható betűkészleteket
  • Kód integritásvédő
  • Tiltsa le a kiterjesztési pontokat
  • Tiltsa le a Win32 rendszerhívásokat
  • Ne engedje meg a gyermekfolyamatokat
  • Export címszűrés (EAF)
  • Importálási címszűrés (IAF)
  • A végrehajtás szimulálása (SimExec)
  • Érvényesítse az API-hívást (CallerCheck)
  • Érvényesítse a fogantyú használatát
  • Érvényesítse a képfüggőség-integrációt
  • A verem integritásának érvényesítése (StackPivot)

A kizárásvédelem konfigurálása a PowerShell használatával

A PowerShell használatával állíthatja be, eltávolíthatja vagy felsorolhatja az enyhítéseket. A következő parancsok érhetők el:

A megadott folyamat összes enyhítésének felsorolása: Get-ProcessMitigation -Name processName.exe

Az enyhítések beállítása: Set-ProcessMitigation - - ,,

  • Hatály: vagy -System vagy -Name.
  • Művelet: vagy engedélyezhető vagy kikapcsolható.
  • Enyhítés: az enyhítés neve. Olvassa el az alábbi táblázatot. Az enyhítéseket vesszővel választhatja el.

Példák:

  • Set-Processmitigation -System - Engedélyezze a DEP-t
  • Set-Processmitigation -Név test.exe -Eltávolítás -Disable DEP
  • Set-ProcessMitigation -Name processName.exe -Enable EnableExportAddressFilterPlus -EAFModules dllName1.dll, dllName2.dll
enyhítésVonatkozikPowerShell-parancsmagokAudit mód parancsmag
Szabályozó áramlásvédő (CFG)Rendszer- és alkalmazásszintCFG, StrictCFG, SuppressExportsAz ellenőrzés nem érhető el
Adatvégrehajtás megelőzése (DEP)Rendszer- és alkalmazásszintDEP, EmulateAtlThunksAz ellenőrzés nem érhető el
A képek randomizálása kényszerítésre (kötelező ASLR)Rendszer- és alkalmazásszintForceRelocateAz ellenőrzés nem érhető el
Véletlenszerű memória-allokáció (Bottom-Up ASLR)Rendszer- és alkalmazásszintBottomUp, HighEntropyAz ellenőrzés nem érhető el
Kivételes láncok érvényesítése (SEHOP)Rendszer- és alkalmazásszintSEHOP, SEHOPTelemetriaAz ellenőrzés nem érhető el
Érvényesítse a halom integritásátRendszer- és alkalmazásszintTerminateOnHeapErrorAz ellenőrzés nem érhető el
Tetszőleges kódvédő (ACG)Csak alkalmazásszintűDynamicCodeAuditDynamicCode
Blokkolja az alacsony integritású képeketCsak alkalmazásszintűBlockLowLabelAuditImageLoad
Távoli képek blokkolásaCsak alkalmazásszintűBlockRemoteImagesAz ellenőrzés nem érhető el
Blokkolja a nem megbízható betűkészleteketCsak alkalmazásszintűDisableNonSystemFontsAuditFont, FontAuditOnly
Kód integritásvédőCsak alkalmazásszintűBlockNonMicrosoftSigna, AllowStoreSignaAuditMicrosoftSigna, AuditStoreSigna
Tiltsa le a kiterjesztési pontokatCsak alkalmazásszintűExtensionPointAz ellenőrzés nem érhető el
Tiltsa le a Win32k rendszerhívásokatCsak alkalmazásszintűDisableWin32kSystemCallsAuditSystemCall
Ne engedje meg a gyermekkori folyamatokatCsak alkalmazásszintűDisallowChildProcessCreationAuditChildProcess
Export címszűrés (EAF)Csak alkalmazásszintűEnableExportAddressFilterPlus, EnableExportAddressFilter[egy]Az ellenőrzés nem érhető el
Importálási címszűrés (IAF)Csak alkalmazásszintűEnableImportAddressFilterAz ellenőrzés nem érhető el
A végrehajtás szimulálása (SimExec)Csak alkalmazásszintűEnableRopSimExecAz ellenőrzés nem érhető el
Érvényesítse az API-hívást (CallerCheck)Csak alkalmazásszintűEnableRopCallerCheckAz ellenőrzés nem érhető el
Érvényesítse a fogantyú használatátCsak alkalmazásszintűStrictHandleAz ellenőrzés nem érhető el
Érvényesítse a képfüggőség integritásátCsak alkalmazásszintűEnforceModuleDepencySigningAz ellenőrzés nem érhető el
A verem integritásának érvényesítése (StackPivot)Csak alkalmazásszintűEnableRopStackPivotAz ellenőrzés nem érhető el

Konfigurációk importálása és exportálása

A konfigurációk importálhatók és exportálhatók. Ezt a Windows Defender segítségével kihasználhatja a Windows Defender biztonsági központ védelmi beállításait, a PowerShell használatával, házirendek használatával.

Az EMET konfigurációi tovább konvertálhatók, hogy importálhatók legyenek.

A Védelem kihasználásának beállításainak használata

Exportálhatja a konfigurációkat a beállítási alkalmazásban, de nem importálhatja azokat. Az exportálás hozzáadja az összes rendszer- és alkalmazásszintű enyhítést.

Ehhez csak kattintson a védelem kiaknázása alatt található „exportálási beállítások” linkre.

A PowerShell használata a konfigurációs fájl exportálásához

  1. Nyisson meg egy emelt Powershell-parancssort.
  2. Get-ProcessMitigation -RegistryConfigFilePath fájlnév.xml

Szerkessze a filename.xml oldalt úgy, hogy az tükrözze a mentési helyet és a fájlnevet.

A PowerShell használata a konfigurációs fájl importálásához

  1. Nyisson meg egy emelt Powershell-parancssort.
  2. Futtassa a következő parancsot: Set-ProcessMitigation -PolicyFilePath fájlnév.xml

Szerkessze a filename.xml fájlt úgy, hogy a a konfigurációs XML fájl helyére és fájlnevére mutatjon.

A csoportházirend használata a konfigurációs fájl telepítéséhez

use common set exploit protection

A konfigurációs fájlokat házirendek segítségével telepítheti.



  1. Érintse meg a Windows gombot, írja be a gpedit.msc parancsot, és nyomja meg az Enter billentyűt a Csoportházirend-szerkesztő indításához.
  2. Lépjen a Számítógép konfigurációja> Felügyeleti sablonok> Windows-összetevők> Windows Defender Exploit Guard> Védelem kihasználása elemre.
  3. Kattintson duplán a 'Használjon védelmi beállítások parancskészletét' elemre.
  4. A házirendet engedélyezze.
  5. Adja hozzá a konfigurációs XML fájl elérési útját és fájlnevét a beállítások mezőbe.

EMET fájl konvertálása

  1. Nyissa meg a megemelt PowerShell-promptot a fent leírtak szerint.
  2. Futtassa a ConvertTo-ProcessMitigationPolicy -EMETFilePath parancsot az emetFile.xml -OutputFilePath fájlnév.xml paranccsal.

Módosítsa az emetFile.xml fájlt az EMET konfigurációs fájl elérési útjára és helyére.

Változtassa meg a filename.xml elérési útját és helyét, ahová a konvertált konfigurációs fájlt el szeretné menteni.

Erőforrások