Udnytte beskyttelse er en ny sikkerhedsfunktion i Windows Defender, som Microsoft introducerede i operativsystemet Fald Skabere Opdatering.
Udnytte Guard er et sæt af funktioner, der omfatter udnytte beskyttelse, angreb overflade reduktion, beskyttelse af netværket, og kontrolleret mappe, der er inkluderet.
Udnytte beskyttelse kan bedst beskrives som en integreret version af Microsofts EMET — Udnytte Mitigation Experience Toolkit-sikkerhed værktøj, som virksomheden vil gå på pension i midten af 2018.
Microsoft hævdede tidligere, at selskabets Windows-10-operativsystem ville gøre at køre EMET sammen med Windows unødvendig; mindst én forsker, der afviste Microsofts hævder imidlertid.
Windows Defender Udnytte beskyttelse
Udnytte beskyttelse er aktiveret som standard, hvis Windows Defender er slået til. Funktionen er kun Udnytte Vagt funktion, der ikke kræver, at real-time beskyttelse er aktiveret i Windows Defender.
Funktionen kan konfigureres i Windows Defender Security Center ansøgning, via PowerShell-kommandoer, eller som politikker.
Konfiguration i Windows Defender Security Center app
Du kan konfigurere udnytte beskyttelse i Windows Defender Security Center applikation.
- Brug Windows-jeg for at åbne programmet Indstillinger.
- Naviger til Opdatering Og Sikkerhed > Windows Defender.
- Vælg Åbn Windows Defender Security Center.
- Vælg App & browser kontrol, der er opført som et sidepanel link i det nye vindue, der åbnes.
- Find udnytte beskyttelse indlæg på siden, og klik på udnytte beskyttelse indstillinger.
Indstillingerne er opdelt i System Indstillinger og Indstillinger.
System indstillinger liste over de tilgængelige mekanismer til beskyttelse og deres status. De følgende indstillinger er tilgængelige i Windows-10 Falder Skabere Opdatering:
- Kontrol Flow Guard (CFG) — on som standard.
- Data Execution Prevention (DEP) — on som standard.
- Kraft randomisering til billeder (Mandatory ASLR) — som standard slået fra.
- Randomisere hukommelse tildelinger (Bottom-up ASLR) –on som standard.
- Validere undtagelse kæder (SEHOP) — on som standard.
- Validere bunke integritet-som standard slået til.
Du kan ændre status for en indstilling til “standard”, “slået fra som standard”, eller “brug standard”.
Program indstillinger giver dig muligheder for at tilpasse beskyttelse for de enkelte programmer og applikationer. Dette fungerer på samme måde, hvordan du kan tilføje undtagelser i Microsoft EMET for bestemte programmer; godt, hvis programmet fejler, når visse beskyttende moduler er aktiveret.
En hel del programmer har en række undtagelser som standard. Dette omfatter svchost.exe, spools.exe, runtimebroker.exe, iexplore.exe og andre centrale Windows-programmer. Bemærk, at du kan tilsidesætte disse undtagelser ved at vælge filer og klikke på rediger.
Klik på “tilføj program til at tilpasse” for at tilføje et program ved navn eller nøjagtige fil sti til listen over undtagelser.
Du kan indstille status for alle understøttede beskyttelse individuelt for hvert program, du har tilføjet under program-indstillinger. Udover at tilsidesætte standard system, og tvinger det til eller fra, der er også en mulighed for at indstille det til “revision”. Sidstnævnte registrerer hændelser, der ville have fyret, hvis beskyttelse status ville have været på, men vil kun at optage arrangementet til Windows-hændelser.
Program liste med Indstillinger yderligere beskyttelse muligheder, som du ikke kan konfigurere under systemindstillinger, fordi de er konfigureret til at køre på program-plan.
Disse er:
- Vilkårlig kode guard (ACG)
- Blæse lav integritet billeder
- Bloker eksterne billeder
- Blok skrifttyper, der ikke er tillid til
- Kode integritet vagt
- Deaktiver extension point
- Deaktiver Win32 system opkald
- Tillad ikke, at børn processer
- Eksport-adresse-filtrering (EAF)
- Import-adresse-filtrering (IAF)
- Simulere udførelse (SimExec)
- Validere API-kald (CallerCheck)
- Validere håndtag forbrug
- Validere billede afhængighed integration
- Validere stak integritet (StackPivot)
Konfiguration udnytte beskyttelse ved hjælp af PowerShell
Du kan bruge PowerShell til at indstille, fjerne eller liste afhjælpninger. Følgende kommandoer er tilgængelige:
For en liste over alle afhjælpninger af den angivne proces: Få-ProcessMitigation -Navn processName.exe
For at indstille afhjælpninger: Set-ProcessMitigation -<scope> <app eksekverbare> -<action> <afhjælpning eller valg>,<afhjælpning eller valg>,<afhjælpning eller valg>
- Anvendelsesområde: enten -System eller -Navn <programnavn>.
- Handling: enten -Aktiver eller Deaktiver.
- Afhjælpning: navnet på den Begrænsning. Se følgende tabel. Du kan separat afhjælpninger af komma.
Læs også: Min tage på Windows-10 Skabere Opdatering
Eksempler:
- Set-Processmitigation -System Aktiverer forhindring af datakørsel
- Set-Processmitigation -Navn test.exe -Fjerne -Deaktivere forhindring af datakørsel
- Set-ProcessMitigation -Navn processName.exe -Aktiver EnableExportAddressFilterPlus -EAFModules dllName1.dll,dllName2.dll
| Kontrol flow guard (CFG) | System-og app-niveau | CFG, StrictCFG, SuppressExports | Revision ikke tilgængelig |
| Data Execution Prevention (DEP) | System-og app-niveau | Forhindring af datakørsel, EmulateAtlThunks | Revision ikke tilgængelig |
| Kraft randomisering til billeder (Mandatory ASLR) | System-og app-niveau | ForceRelocate | Revision ikke tilgængelig |
| Randomisere hukommelse tildelinger (Bottom-Up ASLR) | System-og app-niveau | Bottom-Up -, HighEntropy | Revision ikke tilgængelig |
| Validere undtagelse kæder (SEHOP) | System-og app-niveau | SEHOP, SEHOPTelemetry | Revision ikke tilgængelig |
| Validere bunke integritet | System-og app-niveau | TerminateOnHeapError | Revision ikke tilgængelig |
| Vilkårlig kode guard (ACG) | App-niveau kun | DynamicCode | AuditDynamicCode |
| Blok lav integritet billeder | App-niveau kun | BlockLowLabel | AuditImageLoad |
| Bloker eksterne billeder | App-niveau kun | BlockRemoteImages | Revision ikke tilgængelig |
| Blok skrifttyper, der ikke er tillid til | App-niveau kun | DisableNonSystemFonts | AuditFont, FontAuditOnly |
| Kode integritet vagt | App-niveau kun | BlockNonMicrosoftSigned, AllowStoreSigned | AuditMicrosoftSigned, AuditStoreSigned |
| Deaktiver extension point | App-niveau kun | ExtensionPoint | Revision ikke tilgængelig |
| Deaktiver Win32k system opkald | App-niveau kun | DisableWin32kSystemCalls | AuditSystemCall |
| Tillad ikke, at børn processer | App-niveau kun | DisallowChildProcessCreation | AuditChildProcess |
| Eksport-adresse-filtrering (EAF) | App-niveau kun | EnableExportAddressFilterPlus, EnableExportAddressFilter [1] | Revision ikke tilgængelig |
| Import-adresse-filtrering (IAF) | App-niveau kun | EnableImportAddressFilter | Revision ikke tilgængelig |
| Simulere udførelse (SimExec) | App-niveau kun | EnableRopSimExec | Revision ikke tilgængelig |
| Validere API-kald (CallerCheck) | App-niveau kun | EnableRopCallerCheck | Revision ikke tilgængelig |
| Validere håndtag forbrug | App-niveau kun | StrictHandle | Revision ikke tilgængelig |
| Validere billede afhængighed integritet | App-niveau kun | EnforceModuleDepencySigning | Revision ikke tilgængelig |
| Validere stak integritet (StackPivot) | App-niveau kun | EnableRopStackPivot | Revision ikke tilgængelig |
Import og eksport af konfigurationer
Konfigurationer kan importeres og eksporteres. Du kan gøre det ved hjælp af Windows Defender udnytte beskyttelse af indstillingerne i Windows Defender Security Center, ved hjælp af PowerShell, ved hjælp af politikker.
EMET konfigurationer kan desuden blive konverteret, så de kan importeres.
Hjælp Udnytte beskyttelse indstillinger
Du kan eksportere konfigurationer i applikationen indstillinger, men ikke importere dem. Eksport tilføjer alle system-niveau og app-niveau afhjælpninger.
Bare klik på “eksporter indstillinger” linket under udnytte beskyttelse til at gøre det.
Brug PowerShell til at eksportere en konfigurationsfil
- Åbne en forhøjet Powershell prompten.
- Få-ProcessMitigation -RegistryConfigFilePath filename.xml
Rediger filename.xml så den afspejler gemme placering og filnavn.
Brug PowerShell til at import af en konfiguration fil
- Åbne en forhøjet Powershell prompten.
- Skal du køre følgende kommando: Set-ProcessMitigation -PolicyFilePath filename.xml
Rediger filename.xml så det peger på den placering og filnavn for konfiguration af XML-fil.
Ved hjælp af gruppepolitik til at installere en opsætningsfil
Du kan installere konfiguration filer ved hjælp af politikker.
- Tryk på Windows-tasten, type gpedit.msc, og tryk på Enter-tasten for at starte Group Policy Editor.
- Naviger til Computerens konfiguration > Administrative skabeloner > Windows-komponenter > Windows Defender Udnytte Guard > Udnytte beskyttelse.
- Dobbelt-klik på “Brug en kommando sæt af udnytte beskyttelse indstillinger”.
- Sæt den politik, at den er aktiveret.
- Tilføje stien til og filnavnet på konfiguration af XML fil i options-feltet.
Konvertering af en EMET-fil
- Åbne en forhøjet PowerShell prompt, som beskrevet ovenfor.
- Kør kommandoen ConvertTo-ProcessMitigationPolicy -EMETFilePath emetFile.xml -OutputFilePath filename.xml
Skift emetFile.xml til stien og placering af EMET konfigurationsfilen.
Skift filename.xml til stien og placering, som du vil have konverteret konfiguration fil skal gemmes til.
Ressourcer
- Evaluere Udnytte beskyttelse
- Gøre det muligt at Udnytte beskyttelse
- Tilpas Udnytte beskyttelse
- Import, eksport og implementere Udnytte beskyttelse konfigurationer