Налаштування захисту Windows Defender Exploit у Windows 10

Спробуйте Наш Інструмент Для Усунення Проблем

Захист від експлуатування - нова функція безпеки Windows Defender, яку Microsoft представила в операційній системі Fall Creators Update.

Експлуатувати охоронець це набір функцій, що включає захист від експлуатації, зменшення поверхні атаки , захист мережі та контрольований доступ до папки .

Захист від експлуатації найкраще можна охарактеризувати як інтегровану версію Microsoft EMET - Exploit Mitigation Experience Toolkit - інструмент безпеки, який компанія вийде на пенсію в середині 2018 року .

Раніше Microsoft стверджував, що операційна система Windows 10 компанії зробить запуск EMET поряд із Windows зайвим ; принаймні один дослідник спростував претензії Microsoft.

Захист Windows Defender Exploit

Захист від експлуатації увімкнено за замовчуванням, якщо ввімкнено Windows Defender. Ця функція є єдиною функцією Exploit Guard, яка не потребує включення захисту в режимі реального часу в Windows Defender.

Ця функція може бути налаштована в додатку Центру безпеки Windows Defender, за допомогою команд PowerShell або як політики.

Конфігурація в додатку Центру безпеки Windows Defender

exploit protection windows defender

Ви можете налаштувати захист від експлуатації в додатку Центру безпеки Windows Defender.

  1. Використовуйте Windows-I для відкриття програми 'Налаштування'.
  2. Перейдіть до Оновлення та безпеки> Windows Defender.
  3. Виберіть Відкрити центр безпеки Windows Defender.
  4. У новому вікні, що відкриється, виберіть елемент керування додатком та браузером, вказаний як посилання бічної панелі.
  5. Знайдіть запис про захист від експлуатації на сторінці та натисніть на параметри захисту від експлуатації.

Налаштування поділяються на Налаштування системи та Налаштування програми.

Налаштування системи перераховують доступні механізми захисту та їх стан. У оновленнях Windows 10 Fall Creators оновлено:

  • Control Flow Guard (CFG) - увімкнено за замовчуванням.
  • Попередження виконання даних (DEP) - увімкнено за замовчуванням.
  • Примусовий рандомізацію зображень (Обов'язковий ASLR) - вимкнено за замовчуванням.
  • Рандомізувати розподіл пам'яті (ASLR знизу вгору) - за замовчуванням.
  • Валідація ланцюгів виключень (SEHOP) - увімкнено за замовчуванням.
  • Перевірка цілісності купи - увімкнено за замовчуванням.

Ви можете змінити стан будь-якої опції на 'увімкнено за замовчуванням', 'вимкнено за замовчуванням' або 'використовувати за замовчуванням'.

Налаштування програми дають вам можливість налаштувати захист для окремих програм та програм. Це працює аналогічно тому, як ви могли додавати винятки в Microsoft EMET для певних програм; добре, якщо програма погано поводиться, коли включені певні захисні модулі.

Досить мало програм мають винятки за замовчуванням. Сюди входить svchost.exe, spools.exe, runtimebroker.exe, iexplore.exe та інші основні програми Windows. Зауважте, що ви можете змінити ці винятки, вибравши файли та натиснувши на редагування.

program settings exploit protection

Клацніть на 'Додати програму для налаштування', щоб додати програму за іменем або точним файлом до списку винятків.

Ви можете встановити статус усіх підтримуваних захистів індивідуально для кожної програми, яку ви додали в налаштуваннях програми. Окрім того, щоб змінити типовий стан системи та примусити його до вимкнення або вимкнення, також існує можливість встановити його на 'лише аудит'. Останній записує події, які були б запущені, якби статус захисту був увімкнений, але він записуватиме лише події до журналу подій Windows.

Налаштування програми перераховують додаткові параметри захисту, які неможливо налаштувати в системних налаштуваннях, оскільки вони налаштовані на запуск лише на рівні програми.

Це:

  • Довільна охорона коду (ACG)
  • Зніміть зображення низької цілісності
  • Блокувати віддалені зображення
  • Блокуйте ненадійні шрифти
  • Захист цілісності коду
  • Вимкнути точки розширення
  • Вимкнути системні виклики Win32
  • Не допускати дочірніх процесів
  • Експорт фільтрації адрес (EAF)
  • Імпорт фільтрації адрес (IAF)
  • Моделювання виконання (SimExec)
  • Перевірка виклику API (CallerCheck)
  • Перевірка використання ручки
  • Перевірка інтеграції залежності зображення
  • Перевірка цілісності стека (StackPivot)

Налаштування захисту від експлуатації за допомогою PowerShell

Ви можете використовувати PowerShell для встановлення, видалення чи списку пом'якшення наслідків. Доступні наступні команди:

Щоб перелічити всі послаблення зазначеного процесу: Get-ProcessMitigation -Name processName.exe

Щоб встановити пом'якшення: Set-ProcessMitigation - - ,,

  • Область застосування: або -System, або -Name.
  • Дія: або -Enable, або -Disable.
  • Пом'якшення: назва Пом'якшення. Зверніться до наступної таблиці. Ви можете відокремити пом'якшення комою.

Приклади:

  • Set-Processmitigation -System -Enable DEP
  • Set-Processmitigation -Name test.exe -Remove -Disable DEP
  • Set-ProcessMitigation -Name processName.exe -Enable EnableExportAddressFilterPlus -EAFModules dllName1.dll, dllName2.dll
Пом'якшення наслідківСтосуєтьсяКомандлети PowerShellКомандлет режиму аудиту
Контроль потоку управління (CFG)Системний та додатковий рівеньCFG, StrictCFG, SuppressExportsАудит недоступний
Запобігання виконанню даних (DEP)Системний та додатковий рівеньDEP, EmulateAtlThunksАудит недоступний
Примусовий рандомізацію зображень (Обов'язковий ASLR)Системний та додатковий рівеньForceRelocateАудит недоступний
Рандомізувати розподіл пам'яті (знизу вгору ASLR)Системний та додатковий рівеньBottomUp, HighEntropyАудит недоступний
Перевірка ланцюгів виключень (SEHOP)Системний та додатковий рівеньSEHOP, SEHOPТелеметріяАудит недоступний
Перевірте цілісність купиСистемний та додатковий рівеньПрипинити помилку на помилкуАудит недоступний
Довільна охорона коду (ACG)Лише на рівні програмиDynamicCodeAuditDynamicCode
Блокуйте зображення низької цілісностіЛише на рівні програмиBlockLowLabelAuditImageLoad
Блокувати віддалені зображенняЛише на рівні програмиBlockRemoteImagesАудит недоступний
Блокуйте ненадійні шрифтиЛише на рівні програмиDisableNonSystemFontsAuditFont, FontAuditOnly
Захист цілісності кодуЛише на рівні програмиBlockNonMicrosoftSigned, AllowStoreSignedAuditMicrosoftSigned, AuditStoreSigned
Вимкнути точки розширенняЛише на рівні програмиExtensionPointАудит недоступний
Вимкнути системні виклики Win32kЛише на рівні програмиDisableWin32kSystemCallsAuditSystemCall
Не допускати дочірніх процесівЛише на рівні програмиDisallowChildProcessCreationAuditChildProcess
Експорт фільтрації адрес (EAF)Лише на рівні програмиEnableExportAddressFilterPlus, EnableExportAddressFilter [один] Аудит недоступний
Імпорт фільтрації адрес (IAF)Лише на рівні програмиEnableImportAddressFilterАудит недоступний
Моделювання виконання (SimExec)Лише на рівні програмиEnableRopSimExecАудит недоступний
Перевірка виклику API (CallerCheck)Лише на рівні програмиEnableRopCallerCheckАудит недоступний
Перевірка використання ручкиЛише на рівні програмиStrictHandleАудит недоступний
Перевірка цілісності залежності зображенняЛише на рівні програмиEnforceModuleDepencySigningАудит недоступний
Перевірка цілісності стека (StackPivot)Лише на рівні програмиEnableRopStackPivotАудит недоступний

Імпорт та експорт конфігурацій

Конфігурації можна імпортувати та експортувати. Це можна зробити, використовуючи налаштування захисту Windows Defender в Центрі безпеки Windows Defender, використовуючи PowerShell, використовуючи політику.

Конфігурації EMET можна також перетворити так, щоб їх можна було імпортувати.

Використовуючи параметри захисту Exploit

Ви можете експортувати конфігурації в програму налаштувань, але не імпортувати їх. Експорт додає всі послаблення на рівні системи та додатків.

Просто натисніть на посилання 'налаштування експорту' під захистом експлуатації, щоб зробити це.

Використання PowerShell для експорту файлу конфігурації

  1. Відкрийте піднесений підказник Powershell.
  2. Get-ProcessMitigation -RegistryConfigFilePath filename.xml

Відредагуйте filename.xml так, щоб воно відображало місце збереження та ім'я файлу.

Використання PowerShell для імпорту файлу конфігурації

  1. Відкрийте піднесений підказник Powershell.
  2. Виконайте таку команду: Set-ProcessMitigation -PolicyFilePath filename.xml

Відредагуйте filename.xml так, щоб він вказував на розташування та ім'я файлу конфігураційного XML.

Використання групової політики для встановлення файла конфігурації

use common set exploit protection

Ви можете встановити конфігураційні файли за допомогою політики.

  1. Торкніться ключа Windows, введіть gpedit.msc і натисніть клавішу Enter, щоб запустити редактор групової політики.
  2. Перейдіть до Конфігурація комп'ютера> Адміністративні шаблони> Компоненти Windows> Windows Defender Exploit Guard> Використання захисту.
  3. Двічі клацніть на 'Використовувати набір команд параметрів захисту експлуатації'.
  4. Встановіть політику увімкнено.
  5. Додайте шлях і ім’я файлу конфігураційного XML у поле параметрів.

Перетворення файлу EMET

  1. Відкрийте піднятий запит PowerShell, як описано вище.
  2. Запустіть команду ConvertTo-ProcessMitigationPolicy -EMETFilePath emetFile.xml -OutputFilePath filename.xml

Змініть emetFile.xml на шлях та розташування файлу конфігурації EMET.

Змініть filename.xml на шлях та місце, до яких потрібно зберегти перетворений конфігураційний файл.

Ресурси