Ρύθμιση παραμέτρων προστασίας του Windows Defender Exploit στα Windows 10

• Κατηγορία: Παράθυρα

Δοκιμάστε Το Όργανο Μας Για Την Εξάλειψη Των Προβλημάτων

Επιλέξτε Το Λειτουργικό Σύστημα Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Επιλέξτε Ένα Πρόγραμμα Προβολής (Προαιρετικά) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Περιγράψτε Το Πρόβλημά Σας

Λάβετε Μια Απάντηση

Στείλτε Μου Μέσω Email Εμφάνιση Στον Ιστότοπο

Το Exploit protection είναι μια νέα δυνατότητα ασφάλειας του Windows Defender που παρουσίασε η Microsoft στο Fall Creators Update του λειτουργικού συστήματος.

Εκμετάλλευση φρουράς είναι ένα σύνολο χαρακτηριστικών που περιλαμβάνει προστασία εκμετάλλευσης, μείωση της επιφάνειας επίθεσης , προστασία δικτύου και πρόσβαση σε ελεγχόμενο φάκελο .

Το Exploit protection μπορεί καλύτερα να περιγραφεί ως μια ολοκληρωμένη έκδοση του EMET της Microsoft - Exploit Mitigation Experience Toolkit - εργαλείο ασφάλειας που η εταιρεία θα αποσυρθεί στα μέσα του 2018 .

Η Microsoft ισχυρίστηκε προηγουμένως ότι το λειτουργικό σύστημα Windows 10 της εταιρείας θα καθιστούσε περιττή την εκτέλεση του EMET μαζί με τα Windows ; Ωστόσο, τουλάχιστον ένας ερευνητής αμφισβήτησε τον ισχυρισμό της Microsoft.

Προστασία εκμετάλλευσης του Windows Defender

Η προστασία της εκμετάλλευσης είναι ενεργοποιημένη από προεπιλογή εάν είναι ενεργοποιημένη η λειτουργία Windows Defender. Η δυνατότητα είναι η μόνη δυνατότητα Exploit Guard που δεν απαιτεί την ενεργοποίηση της προστασίας σε πραγματικό χρόνο στο Windows Defender.

Η δυνατότητα μπορεί να ρυθμιστεί στην εφαρμογή Windows Defender Security Center, μέσω εντολών PowerShell ή ως πολιτικών.

Διαμόρφωση στην εφαρμογή Windows Defender Security Center

Μπορείτε να διαμορφώσετε την προστασία εκμετάλλευσης στην εφαρμογή Windows Defender Security Center.

1. Χρησιμοποιήστε τα Windows-I για να ανοίξετε την εφαρμογή Ρυθμίσεις.
2. Μεταβείτε στην ενότητα Ενημέρωση και ασφάλεια> Windows Defender.
3. Επιλέξτε Άνοιγμα του Κέντρου ασφαλείας Windows Defender.
4. Επιλέξτε Έλεγχος εφαρμογών και προγράμματος περιήγησης που αναφέρεται ως σύνδεσμος πλευρικής γραμμής στο νέο παράθυρο που ανοίγει.
5. Εντοπίστε την καταχώριση προστασίας εκμετάλλευσης στη σελίδα και κάντε κλικ στις ρυθμίσεις προστασίας εκμετάλλευσης.

Οι ρυθμίσεις χωρίζονται σε Ρυθμίσεις συστήματος και Ρυθμίσεις προγράμματος.

Οι ρυθμίσεις συστήματος παραθέτουν τους διαθέσιμους μηχανισμούς προστασίας και την κατάστασή τους. Τα ακόλουθα είναι διαθέσιμα στην Ενημέρωση δημιουργών πτώσης των Windows 10:

• Control Flow Guard (CFG) - ενεργοποιημένο από προεπιλογή.
• Πρόληψη εκτέλεσης δεδομένων (DEP) - ενεργοποιείται από προεπιλογή.
• Αναγκαστική τυχαιοποίηση για εικόνες (Υποχρεωτική ASLR) - απενεργοποιημένη από προεπιλογή.
• Τυχαία κατανομή μνήμης (Bottom-up ASLR) - από προεπιλογή.
• Επικύρωση αλυσίδων εξαίρεσης (SEHOP) - ενεργοποιημένη από προεπιλογή.
• Επικύρωση ακεραιότητας σωρού - ενεργοποιημένο από προεπιλογή.

Μπορείτε να αλλάξετε την κατάσταση οποιασδήποτε επιλογής σε «από προεπιλογή», ​​«απενεργοποιημένη από προεπιλογή» ή «χρήση από προεπιλογή».

Οι ρυθμίσεις προγράμματος σας δίνουν επιλογές για να προσαρμόσετε την προστασία για μεμονωμένα προγράμματα και εφαρμογές. Αυτό λειτουργεί παρόμοια με τον τρόπο με τον οποίο θα μπορούσατε να προσθέσετε εξαιρέσεις στο Microsoft EMET για συγκεκριμένα προγράμματα. καλό εάν ένα πρόγραμμα δεν συμπεριφέρεται σωστά όταν είναι ενεργοποιημένες ορισμένες προστατευτικές μονάδες.

Από προεπιλογή, αρκετά προγράμματα έχουν εξαιρέσεις. Αυτό περιλαμβάνει svchost.exe, spools.exe, runtimebroker.exe, iexplore.exe και άλλα βασικά προγράμματα των Windows. Σημειώστε ότι μπορείτε να παρακάμψετε αυτές τις εξαιρέσεις επιλέγοντας τα αρχεία και κάνοντας κλικ στην επεξεργασία.

Κάντε κλικ στο «προσθήκη προγράμματος για προσαρμογή» για να προσθέσετε ένα πρόγραμμα με όνομα ή ακριβή διαδρομή αρχείου στη λίστα εξαιρέσεων.

Μπορείτε να ορίσετε την κατάσταση όλων των υποστηριζόμενων προστατευμάτων ξεχωριστά για κάθε πρόγραμμα που έχετε προσθέσει στις ρυθμίσεις προγράμματος. Εκτός από την παράκαμψη του προεπιλεγμένου συστήματος και την εξαναγκασμό του σε ένα ή απενεργοποιημένο, υπάρχει επίσης μια επιλογή να το ρυθμίσετε σε «μόνο έλεγχο». Το τελευταίο καταγράφει συμβάντα που θα είχαν ενεργοποιηθεί εάν η κατάσταση της προστασίας θα ήταν ενεργοποιημένη, αλλά θα καταγράφει μόνο το συμβάν στο αρχείο καταγραφής συμβάντων των Windows.

Οι Ρυθμίσεις προγράμματος εμφανίζουν πρόσθετες επιλογές προστασίας που δεν μπορείτε να διαμορφώσετε στις ρυθμίσεις συστήματος, επειδή έχουν ρυθμιστεί ώστε να εκτελούνται μόνο σε επίπεδο εφαρμογής.

Αυτά είναι:

• Αυθαίρετος προφυλακτήρας κώδικα (ACG)
• Φτιάξτε εικόνες χαμηλής ακεραιότητας
• Αποκλεισμός απομακρυσμένων εικόνων
• Αποκλεισμός μη αξιόπιστων γραμματοσειρών
• Προστατευτικό κώδικα ακεραιότητας
• Απενεργοποίηση σημείων επέκτασης
• Απενεργοποίηση κλήσεων συστήματος Win32
• Μην επιτρέπετε παιδικές διεργασίες
• Φιλτράρισμα διευθύνσεων εξαγωγής (EAF)
• Εισαγωγή φιλτραρίσματος διευθύνσεων (IAF)
• Προσομοίωση εκτέλεσης (SimExec)
• Επικύρωση επίκλησης API (CallerCheck)
• Επικυρώστε τη χρήση λαβής
• Επικυρώστε την ενσωμάτωση εξάρτησης εικόνας
• Επικύρωση ακεραιότητας στοίβας (StackPivot)

Διαμόρφωση προστασίας εκμετάλλευσης χρησιμοποιώντας το PowerShell

Μπορείτε να χρησιμοποιήσετε το PowerShell για να ορίσετε, να αφαιρέσετε ή να απαριθμήσετε μετριασμούς. Οι ακόλουθες εντολές είναι διαθέσιμες:

Για να απαριθμήσετε όλους τους μετριασμούς της καθορισμένης διαδικασίας: Get-ProcessMitigation -Name processName.exe

Για να ορίσετε μετριασμούς: Set-ProcessMitigation - - ,,

• Πεδίο εφαρμογής: είναι είτε -System είτε -Name.
• Ενέργεια: είναι είτε -Ενεργοποίηση είτε -Απενεργοποίηση.
• Μετριασμός: το όνομα του μετριασμού. Συμβουλευτείτε τον παρακάτω πίνακα. Μπορείτε να διαχωρίσετε τους μετριασμούς με κόμμα.

Παραδείγματα:

• Set-Processmitigation -System -Enable DEP
• Set-Processmitigation -Name test.exe -Remove -Disable DEP
• Set-ProcessMitigation -Name processName.exe -Enable EnableExportAddressFilterPlus -EAFModules dllName1.dll, dllName2.dll

Μείωση	Εφαρμόζεται σε	Cmdlets PowerShell	Λειτουργία ελέγχου cmdlet
Προστατευτικό ροής ελέγχου (CFG)	Επίπεδο συστήματος και εφαρμογής	CFG, StrictCFG, SuppressExports	Δεν υπάρχει έλεγχος
Πρόληψη εκτέλεσης δεδομένων (DEP)	Επίπεδο συστήματος και εφαρμογής	DEP, EmulateAtlThunks	Δεν υπάρχει έλεγχος
Αναγκαστική τυχαιοποίηση για εικόνες (Υποχρεωτική ASLR)	Επίπεδο συστήματος και εφαρμογής	ForceRelocation	Δεν υπάρχει έλεγχος
Τυχαία κατανομή μνήμης (Bottom-Up ASLR)	Επίπεδο συστήματος και εφαρμογής	BottomUp, HighEntropy	Δεν υπάρχει έλεγχος
Επικύρωση αλυσίδων εξαίρεσης (SEHOP)	Επίπεδο συστήματος και εφαρμογής	SEHOP, SEHOP Τηλεμετρία	Δεν υπάρχει έλεγχος
Επικυρώστε την ακεραιότητα του σωρού	Επίπεδο συστήματος και εφαρμογής	TerminateOnHeapError	Δεν υπάρχει έλεγχος
Αυθαίρετος προφυλακτήρας κώδικα (ACG)	Μόνο σε επίπεδο εφαρμογής	DynamicCode	AuditDynamicCode
Αποκλεισμός εικόνων χαμηλής ακεραιότητας	Μόνο σε επίπεδο εφαρμογής	BlockLowLabel	AuditImageLoad
Αποκλεισμός απομακρυσμένων εικόνων	Μόνο σε επίπεδο εφαρμογής	BlockRemoteImages	Δεν υπάρχει έλεγχος
Αποκλεισμός μη αξιόπιστων γραμματοσειρών	Μόνο σε επίπεδο εφαρμογής	DisableNonSystemFonts	AuditFont, FontAudit Μόνο
Προστατευτικό κώδικα ακεραιότητας	Μόνο σε επίπεδο εφαρμογής	BlockNonMicrosoftSigned, AllowStoreSigned	AuditMicrosoftSigned, AuditStoreSigned
Απενεργοποίηση σημείων επέκτασης	Μόνο σε επίπεδο εφαρμογής	Σημείο επέκτασης	Δεν υπάρχει έλεγχος
Απενεργοποίηση κλήσεων συστήματος Win32k	Μόνο σε επίπεδο εφαρμογής	DisableWin32kSystemCalls	AuditSystemCall
Μην επιτρέπετε παιδικές διεργασίες	Μόνο σε επίπεδο εφαρμογής	DisallowChildProcessCreation	AuditChildProcess
Φιλτράρισμα διευθύνσεων εξαγωγής (EAF)	Μόνο σε επίπεδο εφαρμογής	EnableExportAddressFilterPlus, EnableExportAddressFilter [ένας]	Δεν υπάρχει έλεγχος
Εισαγωγή φιλτραρίσματος διευθύνσεων (IAF)	Μόνο σε επίπεδο εφαρμογής	EnableImportAddressFilter	Δεν υπάρχει έλεγχος
Προσομοίωση εκτέλεσης (SimExec)	Μόνο σε επίπεδο εφαρμογής	EnableRopSimExec	Δεν υπάρχει έλεγχος
Επικύρωση επίκλησης API (CallerCheck)	Μόνο σε επίπεδο εφαρμογής	EnableRopCallerCheck	Δεν υπάρχει έλεγχος
Επικυρώστε τη χρήση λαβής	Μόνο σε επίπεδο εφαρμογής	StrictHandle	Δεν υπάρχει έλεγχος
Επικυρώστε την ακεραιότητα της εξάρτησης εικόνας	Μόνο σε επίπεδο εφαρμογής	EnforceModuleDepencySigning	Δεν υπάρχει έλεγχος
Επικύρωση ακεραιότητας στοίβας (StackPivot)	Μόνο σε επίπεδο εφαρμογής	EnableRopStackPivot	Δεν υπάρχει έλεγχος

Εισαγωγή και εξαγωγή διαμορφώσεων

Οι διαμορφώσεις μπορούν να εισαχθούν και να εξαχθούν. Μπορείτε να το κάνετε χρησιμοποιώντας τις ρυθμίσεις προστασίας του Windows Defender στο Κέντρο ασφαλείας του Windows Defender, χρησιμοποιώντας το PowerShell, χρησιμοποιώντας πολιτικές.

Οι διαμορφώσεις EMET μπορούν επιπλέον να μετατραπούν έτσι ώστε να μπορούν να εισαχθούν.

Χρήση των ρυθμίσεων προστασίας Exploit

Μπορείτε να εξαγάγετε διαμορφώσεις στην εφαρμογή ρυθμίσεων, αλλά να μην τις εισαγάγετε. Η εξαγωγή προσθέτει όλους τους μετριασμούς σε επίπεδο συστήματος και σε επίπεδο εφαρμογής.

Απλώς κάντε κλικ στο σύνδεσμο «Ρυθμίσεις εξαγωγής» στην προστασία εκμετάλλευσης για να το κάνετε.

Χρησιμοποιώντας το PowerShell για εξαγωγή ενός αρχείου διαμόρφωσης

1. Ανοίξτε μια ανυψωμένη προτροπή Powershell.
2. Get-ProcessMitigation -RegistryConfigFilePath filename.xml

Επεξεργαστείτε το filename.xml έτσι ώστε να αντικατοπτρίζει την τοποθεσία αποθήκευσης και το όνομα αρχείου.

Χρησιμοποιώντας το PowerShell για την εισαγωγή ενός αρχείου διαμόρφωσης

1. Ανοίξτε μια ανυψωμένη προτροπή Powershell.
2. Εκτελέστε την ακόλουθη εντολή: Set-ProcessMitigation -PolicyFilePath filename.xml

Επεξεργαστείτε το filename.xml έτσι ώστε να δείχνει στη θέση και το όνομα του αρχείου διαμόρφωσης XML.

Χρήση πολιτικής ομάδας για την εγκατάσταση ενός αρχείου διαμόρφωσης

Μπορείτε να εγκαταστήσετε αρχεία διαμόρφωσης χρησιμοποιώντας πολιτικές.

1. Πατήστε στο πλήκτρο Windows, πληκτρολογήστε gpedit.msc και πατήστε το πλήκτρο Enter για να ξεκινήσετε το πρόγραμμα επεξεργασίας πολιτικής ομάδας.
2. Μεταβείτε στην επιλογή Διαμόρφωση υπολογιστή> Πρότυπα διαχείρισης> Στοιχεία Windows> Windows Defender Exploit Guard> Προστασία εκρηκτικών.
3. Κάντε διπλό κλικ στο 'Use a command set of exploit protection settings'.
4. Ορίστε την πολιτική σε ενεργοποιημένη.
5. Προσθέστε τη διαδρομή και το όνομα αρχείου του αρχείου διαμόρφωσης XML στο πεδίο επιλογών.

Μετατροπή ενός αρχείου EMET

1. Ανοίξτε μια ανυψωμένη προτροπή PowerShell όπως περιγράφεται παραπάνω.
2. Εκτελέστε την εντολή ConvertTo-ProcessMitigationPolicy -EMETFilePath emetFile.xml -OutputFilePath filename.xml

Αλλάξτε το emetFile.xml στη διαδρομή και τη θέση του αρχείου διαμόρφωσης EMET.

Αλλάξτε το filename.xml στη διαδρομή και την τοποθεσία στην οποία θέλετε να αποθηκευτεί το αρχείο διαμόρφωσης.

Πόροι

• Αξιολογήστε την προστασία εκμετάλλευσης
• Ενεργοποίηση προστασίας εκμετάλλευσης
• Προσαρμόστε την προστασία εκμετάλλευσης
• Εισαγωγή, εξαγωγή και ανάπτυξη διαμορφώσεων προστασίας Exploit