Sfruttare la protezione è una nuova funzionalità di protezione di Windows Defender che Microsoft ha introdotto nel sistema operativo, con la Caduta Creatori di Aggiornamento.
Sfruttare la Guardia è un insieme di funzionalità che include sfruttare la protezione, la riduzione della superficie di attacco, rete di protezione, e controllato l’accesso alla cartella.
Sfruttare la protezione può essere meglio descritta come una versione integrata di Microsoft EMET — Sfruttare Mitigation Experience Toolkit — strumento di sicurezza che la società andrà in pensione a metà del 2018.
Microsoft affermato in precedenza che l’azienda di Windows 10 sistema operativo sarebbe esecuzione di EMET a fianco di Windows non necessari; almeno un ricercatore ha confutato l’affermazione della Microsoft secondo però.
Windows Defender Sfruttare protezione
Sfruttare la protezione è attivata per impostazione predefinita, Windows Defender è attivata. La funzionalità è il solo Sfruttare Guardia caratteristica che non è necessario che la protezione in tempo reale è attivato in Windows Defender.
La funzione può essere configurata in Windows Defender Centro di Sicurezza di applicazione, tramite i comandi di PowerShell, o come politiche.
Configurazione in di Protezione di Windows Defender Centro app
Si può configurare l’exploit di protezione in di Protezione di Windows Defender Centro di applicazione.
- Uso Windows-I per aprire l’applicazione Impostazioni.
- Navigare per l’Aggiornamento & Sicurezza > Windows Defender.
- Selezionare Apri Il Defender Di Windows Security Center.
- Selezionare l’Applicazione e il controllo del browser elencati come una barra laterale link in nuova finestra che si apre.
- Individuare l’exploit voce protezione della pagina e fare clic su di sfruttare le impostazioni di protezione.
Le impostazioni sono suddivise in Impostazioni di Sistema e le Impostazioni del Programma.
Sistema elenco delle impostazioni disponibili meccanismi di protezione e il loro stato. Le seguenti sono disponibili in Windows 10 Cadere Creatori di Aggiornamento:
- Controllo del Flusso di Guardia (CFG) — impostazione predefinita.
- Data Execution Prevention (DEP) — impostazione predefinita.
- Forza randomizzazione per immagini (Obbligatorio ASLR) — off per impostazione predefinita.
- Randomize allocazioni di memoria (Bottom-up ASLR) –impostazione predefinita.
- Convalidare eccezione catene (SEHOP) — impostazione predefinita.
- Convalidare heap integrità — impostazione predefinita.
È possibile modificare lo stato di un qualsiasi opzione “impostazione predefinita”, “off di default”, o “use default”.
Le impostazioni del programma darà le opzioni per personalizzare la protezione per i singoli programmi e applicazioni. Questo funziona in modo simile a come si potrebbe aggiungere eccezioni in Microsoft EMET per particolari programmi di buono, se un programma si comporta male quando alcuni moduli di protezione sono abilitati.
Un bel paio di programmi di eccezioni per impostazione predefinita. Questo include svchost.exe, spools.exe, runtimebroker.exe, iexplore.exe e in altri programmi di Windows. Si noti che è possibile ignorare queste eccezioni selezionando il file e cliccando su “modifica”.
Fare clic su “aggiungi programma per personalizzare” per aggiungere un programma dal nome o l’esatto percorso del file all’elenco di eccezioni.
È possibile impostare lo stato di tutte le protezioni singolarmente per ogni programma che hai aggiunto in impostazioni del programma. Oltre a sovrascrivere il sistema di default, e costringendolo a uno o off, c’è anche un’opzione per impostare “controllo”. L’ultimo record di eventi che avrebbero sparato se la protezione di stato sarebbe stato, ma registra solo l’evento nel registro eventi di Windows.
Le Impostazioni del programma elenco di opzioni aggiuntive di protezione che non è possibile configurare le impostazioni di sistema, perché sono configurati per l’esecuzione a livello di applicazione.
Questi sono:
- Codice arbitrario guardia (ACG)
- Colpo basso di integrità immagini
- Blocco remoto le immagini
- Blocco di dubbia font
- L’integrità del codice di guardia
- Disattivare i punti di estensione
- Disattivare Win32 chiamate di sistema
- Non consentire ai bambini di processi
- Esportare il filtraggio degli indirizzi (EAF)
- Importare il filtraggio degli indirizzi (IAF)
- Simulare l’esecuzione (SimExec)
- Convalidare API invocazione (CallerCheck)
- Convalidare l’utilizzo di handle
- Convalidare immagine di dipendenza integrazione
- Convalidare l’integrità dello stack (StackPivot)
La configurazione di sfruttare la protezione tramite PowerShell
Si può utilizzare PowerShell per, rimuovere o elenco attenuazioni. Sono disponibili i seguenti comandi:
Elenco di tutte le attenuazioni del processo specificato: Get-ProcessMitigation -Nome processName.exe
Per impostare strategie di riduzione del rischio: Set-ProcessMitigation -<scope> <applicazione eseguibile> -<azione> <mitigazione o opzioni>,<mitigazione o opzioni>,<mitigazione o opzioni>
- Campo di applicazione: è di Sistema o -Nome <nome applicazione>.
- Azione: è Abilitare o Disabilitare all’.
- Mitigazione: il nome di Mitigazione. Consultare la tabella seguente. Si possono separare le attenuazioni da una virgola.
Leggi anche: Rimuovere Windows 10 Menu di Contesto bloat
Esempi:
- Set-Processmitigation di Sistema -attivazione di DEP
- Set-Processmitigation -Nome test.exe -Rimuovere -Disattivare la funzionalità protezione esecuzione programmi
- Set-ProcessMitigation -Nome processName.exe -Attivare EnableExportAddressFilterPlus -EAFModules dllName1.dll,dllName2.dll
| Controllo del flusso di guardia (CFG) | Del sistema e delle app a livello di | CFG, StrictCFG, SuppressExports | Di controllo non è disponibile |
| Data Execution Prevention (DEP) | Del sistema e delle app a livello di | DEP, EmulateAtlThunks | Di controllo non è disponibile |
| Forza randomizzazione per immagini (Obbligatorio ASLR) | Del sistema e delle app a livello di | ForceRelocate | Di controllo non è disponibile |
| Randomize allocazioni di memoria (Bottom-Up ASLR) | Del sistema e delle app a livello di | Bottom-Up, HighEntropy | Di controllo non è disponibile |
| Convalidare eccezione catene (SEHOP) | Del sistema e delle app a livello di | SEHOP, SEHOPTelemetry | Di controllo non è disponibile |
| Convalidare heap integrità | Del sistema e delle app a livello di | TerminateOnHeapError | Di controllo non è disponibile |
| Codice arbitrario guardia (ACG) | App-solo a livello di | DynamicCode | AuditDynamicCode |
| Blocco di integrità basso immagini | App-solo a livello di | BlockLowLabel | AuditImageLoad |
| Blocco remoto le immagini | App-solo a livello di | BlockRemoteImages | Di controllo non è disponibile |
| Blocco di dubbia font | App-solo a livello di | DisableNonSystemFonts | AuditFont, FontAuditOnly |
| L’integrità del codice di guardia | App-solo a livello di | BlockNonMicrosoftSigned, AllowStoreSigned | AuditMicrosoftSigned, AuditStoreSigned |
| Disattivare i punti di estensione | App-solo a livello di | ExtensionPoint | Di controllo non è disponibile |
| Disattivare Win32k chiamate di sistema | App-solo a livello di | DisableWin32kSystemCalls | AuditSystemCall |
| Non consentire ai bambini di processi | App-solo a livello di | DisallowChildProcessCreation | AuditChildProcess |
| Esportare il filtraggio degli indirizzi (EAF) | App-solo a livello di | EnableExportAddressFilterPlus, EnableExportAddressFilter [1] | Di controllo non è disponibile |
| Importare il filtraggio degli indirizzi (IAF) | App-solo a livello di | EnableImportAddressFilter | Di controllo non è disponibile |
| Simulare l’esecuzione (SimExec) | App-solo a livello di | EnableRopSimExec | Di controllo non è disponibile |
| Convalidare API invocazione (CallerCheck) | App-solo a livello di | EnableRopCallerCheck | Di controllo non è disponibile |
| Convalidare l’utilizzo di handle | App-solo a livello di | StrictHandle | Di controllo non è disponibile |
| Convalidare immagine di dipendenza integrità | App-solo a livello di | EnforceModuleDepencySigning | Di controllo non è disponibile |
| Convalidare l’integrità dello stack (StackPivot) | App-solo a livello di | EnableRopStackPivot | Di controllo non è disponibile |
Importazione ed esportazione delle configurazioni
Le configurazioni possono essere importati ed esportati. È possibile farlo utilizzando il Windows Defender sfruttare le impostazioni di protezione in di Protezione di Windows Defender Centro, utilizzando PowerShell, utilizzando i criteri.
EMET configurazioni possono, inoltre, essere convertito in modo che possano essere importati.
Utilizzando l’Exploit impostazioni di protezione
È possibile esportare le configurazioni nell’applicazione impostazioni, ma non li importa. Esportazione aggiunge tutti a livello di sistema e a livello di app attenuazioni.
È sufficiente fare clic su “impostazioni di esportazione” link sotto sfruttare la protezione di farlo.
Utilizzando PowerShell per esportare un file di configurazione
- Aprire una riga di comandi Powershell.
- Get-ProcessMitigation -RegistryConfigFilePath filename.xml
Modifica filename.xml in modo che rispecchi il percorso di salvataggio e il nome del file.
Utilizzo di PowerShell per importare un file di configurazione
- Aprire una riga di comandi Powershell.
- Eseguire il seguente comando: Set-ProcessMitigation -PolicyFilePath filename.xml
Modifica filename.xml in modo che punti al percorso e il nome file del file di configurazione XML.
Utilizzando i Criteri di Gruppo per installare un file di configurazione
È possibile installare i file di configurazione utilizzando i criteri.
- Toccare il tasto di Windows, digitare gpedit.msc e premere il tasto Invio per avviare l’Editor Criteri di Gruppo.
- Passare alla configurazione Computer > modelli Amministrativi > componenti di Windows > Windows Defender Sfruttare la Guardia > > Sfruttare protezione.
- Fare doppio clic su “Utilizza un set di comandi di sfruttare le impostazioni di protezione”.
- Impostare l’opzione abilitata.
- Aggiungere il percorso e il nome del file XML di configurazione nel campo delle opzioni.
La conversione di un file di EMET
- Aprire una riga di comandi PowerShell come descritto sopra.
- Eseguire il comando ConvertTo-ProcessMitigationPolicy -EMETFilePath emetFile.xml -OutputFilePath filename.xml
Cambiare emetFile.xml per il percorso e il percorso di EMET file di configurazione.
Cambiare filename.xml per il percorso e il percorso che si desidera convertire il file di configurazione per essere salvati.
Risorse
- Valutare Sfruttare protezione
- Consentono di Sfruttare la protezione
- Personalizzare Sfruttare protezione
- L’importazione, l’esportazione e la distribuzione di Sfruttare la protezione configurazioni