A Windows Defender exploit védelmének konfigurálása a Windows 10 rendszerben
- Kategória: Ablakok
A kizsákmányolás elleni védelem a Windows Defender új biztonsági funkciója, amelyet a Microsoft bevezetett az operációs rendszer őszi alkotóinak frissítésébe.
Használja ki a Gárda egy olyan szolgáltatáskészlet, amely magában foglalja a kizsákmányolás elleni védelmet, támadás felületének csökkentése , hálózati védelem és ellenőrzött mappahozzáférés .
A kizsákmányolás elleni védelem legjobban a Microsoft EMET - Exploit Mitigation Experience Toolkit - biztonsági eszköz, integrált verziójaként írható le. 2018 közepén vonul vissza .
A Microsoft korábban állította, hogy a vállalat Windows 10 operációs rendszere szükségtelenné tenné az EMET futtatását a Windows mellett ; legalább egy kutató azonban cáfolta a Microsoft állítását.
Windows Defender A védelem kihasználása
A kizsákmányolás elleni védelem alapértelmezés szerint engedélyezve van, ha a Windows Defender engedélyezve van. Ez a szolgáltatás az egyetlen Exploit Guard szolgáltatás, amely nem igényli a valósidejű védelem engedélyezését a Windows Defenderben.
A szolgáltatás konfigurálható a Windows Defender Security Center alkalmazásban, PowerShell parancsokkal vagy házirendek formájában.
Konfiguráció a Windows Defender Security Center alkalmazásban
A Windows Defender Security Center alkalmazásban konfigurálhatja a kihasználható védelmet.
- A Windows-I használatával nyissa meg a Beállítások alkalmazást.
- Keresse meg a Frissítés és biztonság> Windows Defender menüpontot.
- Válassza a Windows Defender biztonsági központ megnyitása lehetőséget.
- Válassza az Alkalmazás és böngésző vezérlése oldalsávként mutató hivatkozást az megnyíló új ablakban.
- Keresse meg a kizsákmányolás elleni védelem bejegyzését az oldalon, és kattintson a kizsákmányolás védelmi beállításai elemre.
A beállításokat a rendszerbeállításokra és a programbeállításokra osztjuk.
A rendszerbeállítások felsorolják az elérhető védelmi mechanizmusokat és azok állapotát. A következők érhetők el a Windows 10 őszi alkotóinak frissítésében:
- Control Flow Guard (CFG) - alapértelmezés szerint be van kapcsolva.
- Adatvégrehajtás megelőzése (DEP) - alapértelmezés szerint be van kapcsolva.
- A képek véletlenszerű kiválasztása (kötelező ASLR) - alapértelmezés szerint ki van kapcsolva.
- Randomizálja a memória-allokációkat (Bottom-up ASLR) - alapértelmezés szerint.
- Kivétel láncok érvényesítése (SEHOP) - alapértelmezés szerint be van kapcsolva.
- Érvényesítse a halom integritását - alapértelmezés szerint be van kapcsolva.
Bármelyik opció állapotát megváltoztathatja 'alapértelmezés szerint be', 'alapértelmezés szerint ki' vagy 'alapértelmezés szerint'.
A programbeállítások lehetőséget biztosítanak az egyedi programok és alkalmazások védelmének testreszabására. Ez hasonlóan működik, ahogyan kivételeket adhat hozzá a Microsoft EMET programhoz; jó, ha egy program rosszul működik, ha bizonyos védőmodulok engedélyezve vannak.
Néhány program alapértelmezés szerint rendelkezik kivételekkel. Ide tartoznak az svchost.exe, a spools.exe, a runtimebroker.exe, azxplore.exe és a többi alapvető Windows program. Vegye figyelembe, hogy ezeket a kivételeket a fájlok kiválasztásával és a szerkesztés kattintással felülírhatja.
Kattintson az 'Add program to testing' programra, hogy programot név vagy pontos fájlútvonal hozzáadásával adjon a kivételek listájához.
Az összes támogatott védelem állapotát külön-külön állíthatja be minden egyes programhoz, amelyet a programbeállítások alatt adott hozzá. Amellett, hogy felülbírálja a rendszer alapértelmezését, és arra kényszeríti, hogy egy vagy kikapcsolja, a „csak ellenőrzés” beállításra is beállíthatja. Ez utóbbi olyan eseményeket rögzít, amelyek akkor jöttek létre, ha a védelem állapota be lett volna kapcsolva, de csak az eseményt rögzíti a Windows eseménynaplójában.
A Programbeállítások további védelmi opciókat sorolnak fel, amelyeket a rendszerbeállítások alatt nem lehet konfigurálni, mivel csak az alkalmazás szintjén vannak konfigurálva.
Ezek:
- Tetszőleges kódvédő (ACG)
- Fújja az alacsony integritású képeket
- Távoli képek blokkolása
- Blokkolja a nem megbízható betűkészleteket
- Kód integritásvédő
- Tiltsa le a kiterjesztési pontokat
- Tiltsa le a Win32 rendszerhívásokat
- Ne engedje meg a gyermekfolyamatokat
- Export címszűrés (EAF)
- Importálási címszűrés (IAF)
- A végrehajtás szimulálása (SimExec)
- Érvényesítse az API-hívást (CallerCheck)
- Érvényesítse a fogantyú használatát
- Érvényesítse a képfüggőség-integrációt
- A verem integritásának érvényesítése (StackPivot)
A kizárásvédelem konfigurálása a PowerShell használatával
A PowerShell használatával állíthatja be, eltávolíthatja vagy felsorolhatja az enyhítéseket. A következő parancsok érhetők el:
A megadott folyamat összes enyhítésének felsorolása: Get-ProcessMitigation -Name processName.exe
Az enyhítések beállítása: Set-ProcessMitigation - - ,,
- Hatály: vagy -System vagy -Name.
- Művelet: vagy engedélyezhető vagy kikapcsolható.
- Enyhítés: az enyhítés neve. Olvassa el az alábbi táblázatot. Az enyhítéseket vesszővel választhatja el.
Példák:
- Set-Processmitigation -System - Engedélyezze a DEP-t
- Set-Processmitigation -Név test.exe -Eltávolítás -Disable DEP
- Set-ProcessMitigation -Name processName.exe -Enable EnableExportAddressFilterPlus -EAFModules dllName1.dll, dllName2.dll
enyhítés | Vonatkozik | PowerShell-parancsmagok | Audit mód parancsmag |
---|---|---|---|
Szabályozó áramlásvédő (CFG) | Rendszer- és alkalmazásszint | CFG, StrictCFG, SuppressExports | Az ellenőrzés nem érhető el |
Adatvégrehajtás megelőzése (DEP) | Rendszer- és alkalmazásszint | DEP, EmulateAtlThunks | Az ellenőrzés nem érhető el |
A képek randomizálása kényszerítésre (kötelező ASLR) | Rendszer- és alkalmazásszint | ForceRelocate | Az ellenőrzés nem érhető el |
Véletlenszerű memória-allokáció (Bottom-Up ASLR) | Rendszer- és alkalmazásszint | BottomUp, HighEntropy | Az ellenőrzés nem érhető el |
Kivételes láncok érvényesítése (SEHOP) | Rendszer- és alkalmazásszint | SEHOP, SEHOPTelemetria | Az ellenőrzés nem érhető el |
Érvényesítse a halom integritását | Rendszer- és alkalmazásszint | TerminateOnHeapError | Az ellenőrzés nem érhető el |
Tetszőleges kódvédő (ACG) | Csak alkalmazásszintű | DynamicCode | AuditDynamicCode |
Blokkolja az alacsony integritású képeket | Csak alkalmazásszintű | BlockLowLabel | AuditImageLoad |
Távoli képek blokkolása | Csak alkalmazásszintű | BlockRemoteImages | Az ellenőrzés nem érhető el |
Blokkolja a nem megbízható betűkészleteket | Csak alkalmazásszintű | DisableNonSystemFonts | AuditFont, FontAuditOnly |
Kód integritásvédő | Csak alkalmazásszintű | BlockNonMicrosoftSigna, AllowStoreSigna | AuditMicrosoftSigna, AuditStoreSigna |
Tiltsa le a kiterjesztési pontokat | Csak alkalmazásszintű | ExtensionPoint | Az ellenőrzés nem érhető el |
Tiltsa le a Win32k rendszerhívásokat | Csak alkalmazásszintű | DisableWin32kSystemCalls | AuditSystemCall |
Ne engedje meg a gyermekkori folyamatokat | Csak alkalmazásszintű | DisallowChildProcessCreation | AuditChildProcess |
Export címszűrés (EAF) | Csak alkalmazásszintű | EnableExportAddressFilterPlus, EnableExportAddressFilter [egy] | Az ellenőrzés nem érhető el |
Importálási címszűrés (IAF) | Csak alkalmazásszintű | EnableImportAddressFilter | Az ellenőrzés nem érhető el |
A végrehajtás szimulálása (SimExec) | Csak alkalmazásszintű | EnableRopSimExec | Az ellenőrzés nem érhető el |
Érvényesítse az API-hívást (CallerCheck) | Csak alkalmazásszintű | EnableRopCallerCheck | Az ellenőrzés nem érhető el |
Érvényesítse a fogantyú használatát | Csak alkalmazásszintű | StrictHandle | Az ellenőrzés nem érhető el |
Érvényesítse a képfüggőség integritását | Csak alkalmazásszintű | EnforceModuleDepencySigning | Az ellenőrzés nem érhető el |
A verem integritásának érvényesítése (StackPivot) | Csak alkalmazásszintű | EnableRopStackPivot | Az ellenőrzés nem érhető el |
Konfigurációk importálása és exportálása
A konfigurációk importálhatók és exportálhatók. Ezt a Windows Defender segítségével kihasználhatja a Windows Defender biztonsági központ védelmi beállításait, a PowerShell használatával, házirendek használatával.
Az EMET konfigurációi tovább konvertálhatók, hogy importálhatók legyenek.
A Védelem kihasználásának beállításainak használata
Exportálhatja a konfigurációkat a beállítási alkalmazásban, de nem importálhatja azokat. Az exportálás hozzáadja az összes rendszer- és alkalmazásszintű enyhítést.
Ehhez csak kattintson a védelem kiaknázása alatt található „exportálási beállítások” linkre.
A PowerShell használata a konfigurációs fájl exportálásához
- Nyisson meg egy emelt Powershell-parancssort.
- Get-ProcessMitigation -RegistryConfigFilePath fájlnév.xml
Szerkessze a filename.xml oldalt úgy, hogy az tükrözze a mentési helyet és a fájlnevet.
A PowerShell használata a konfigurációs fájl importálásához
- Nyisson meg egy emelt Powershell-parancssort.
- Futtassa a következő parancsot: Set-ProcessMitigation -PolicyFilePath fájlnév.xml
Szerkessze a filename.xml fájlt úgy, hogy a a konfigurációs XML fájl helyére és fájlnevére mutatjon.
A csoportházirend használata a konfigurációs fájl telepítéséhez
A konfigurációs fájlokat házirendek segítségével telepítheti.
- Érintse meg a Windows gombot, írja be a gpedit.msc parancsot, és nyomja meg az Enter billentyűt a Csoportházirend-szerkesztő indításához.
- Lépjen a Számítógép konfigurációja> Felügyeleti sablonok> Windows-összetevők> Windows Defender Exploit Guard> Védelem kihasználása elemre.
- Kattintson duplán a 'Használjon védelmi beállítások parancskészletét' elemre.
- A házirendet engedélyezze.
- Adja hozzá a konfigurációs XML fájl elérési útját és fájlnevét a beállítások mezőbe.
EMET fájl konvertálása
- Nyissa meg a megemelt PowerShell-promptot a fent leírtak szerint.
- Futtassa a ConvertTo-ProcessMitigationPolicy -EMETFilePath parancsot az emetFile.xml -OutputFilePath fájlnév.xml paranccsal.
Módosítsa az emetFile.xml fájlt az EMET konfigurációs fájl elérési útjára és helyére.
Változtassa meg a filename.xml elérési útját és helyét, ahová a konvertált konfigurációs fájlt el szeretné menteni.