Konfigurere Windows Defender Utnytte beskyttelse i Windows-10

0
303

Utnytte beskyttelse er en ny sikkerhetsfunksjon i Windows Defender at Microsoft introdusert i operativsystemet Fall Skaperne Oppdatering.

Utnytte Guard er et sett av funksjoner som inkluderer utnytte beskyttelse, angripe overflaten reduksjon, nettverket beskyttelse, og kontrollert mappe-tilgang.

Utnytte beskyttelse kan best beskrives som en integrert versjon av Microsofts EMET — Utnytte Mitigation Experience Toolkit — sikkerhetsverktøy som selskapet vil pensjonere seg i midten av 2018.

Microsoft hevdet tidligere at selskapets Windows-10 operativsystem ville gjøre kjører EMET sammen med Windows unødvendig; minst én forsker tilbakevist Microsoft hevder imidlertid.

Windows Defender Utnytte beskyttelse

Utnytte beskyttelse er aktivert som standard hvis Windows Defender er aktivert. Funksjonen er bare Utnytte Guard-funksjon som ikke krever at beskyttelsen i sanntid er aktivert i Windows Defender.

Funksjonen kan konfigureres i Windows Defender Security Center-programmet, via PowerShell-kommandoer, eller som retningslinjer.

Konfigurasjon i Windows Defender Security Center

exploit protection windows defender

Du kan konfigurere utnytte beskyttelse i Windows Defender Security Center-programmet.

  1. Bruk Windows-jeg for å åpne applikasjonen Innstillinger.
  2. Navigere til å Oppdatere Og Sikkerhet > Windows Defender.
  3. Velg Åpne Windows Defender Security Center.
  4. Velg App & nettleser kontroll oppført som en sidelinken i det nye vinduet som åpnes.
  5. Finn utnytte beskyttelse oppføring på siden, og klikk på utnytte beskyttelse innstillinger.

Innstillingene er delt inn i Innstillinger for System-og programinnstillinger.

System innstillinger liste over tilgjengelige beskyttelse mekanismer og deres status. Følgende er tilgjengelige i Windows-10 Falle Skaperne Oppdatering:

  • Kontrollere Flyten Guard (CFG) — på som standard.
  • DEP (Data Execution Prevention) — på som standard.
  • Force randomisering for bilder (Obligatorisk ASLR) — av som standard.
  • Randomize minne tildelinger (Bottom-up ASLR) –på som standard.
  • Validere unntak kjeder (SEHOP) — på som standard.
  • Validere haugen integritet — på som standard.

Du kan endre statusen for et alternativ til “on by default”, “standard” eller “bruk som standard”.

Innstillinger for programmet gir deg alternativer for å tilpasse beskyttelse for individuelle programmer og applikasjoner. Dette fungerer på samme måte til hvordan du kan legge til unntak i Microsoft EMET for bestemte programmer; bra hvis et program misbehaves når visse beskyttende modulene som er aktivert.

Ganske mange programmer har unntak av standard. Dette inkluderer svchost.exe, spools.exe, runtimebroker.exe, iexplore.exe og core andre Windows-programmer. Merk at du kan overstyre disse unntakene ved å velge filene og deretter klikke på rediger.

program settings exploit protection

Klikk på “legg til program for å tilpasse” for å legge til et program ved navn eller eksakte fil-banen til i listen over unntak.

Du kan angi status for alle støttede beskyttelse individuelt for hvert program du har lagt til under innstillinger for programmet. I tillegg til overordnede systemet standard, og tvinge den til en eller av, det er også et alternativ for å sette den til “revisjon”. Sistnevnte registrerer hendelser som ville ha sparket hvis beskyttelsen status ville ha vært på, men vil bare spille inn hendelsen til Windows-hendelser.

Program Innstillinger-listen ekstra beskyttelse alternativer som du kan ikke konfigurere under innstillinger for system fordi de er konfigurert til å kjøre på programnivå.

Disse er:

  • Vilkårlig kode guard (ACG)
  • Blåse lav integritet bilder
  • Blokkere eksterne bilder
  • Blokker ukjente skrifter
  • Koden integritet vakt
  • Deaktiver extension poeng
  • Deaktiver Win32 system anrop
  • Ikke la barn prosesser
  • Eksport-adresse filtrering (EAF)
  • Import-adresse filtrering (IAF)
  • Simulere kjøring (SimExec)
  • Validere API bruken (CallerCheck)
  • Validere håndtere bruk
  • Validere bilde avhengighet integrering
  • Validere stabelen integritet (StackPivot)

Konfigurere utnytte beskyttelse ved hjelp av PowerShell

Du kan bruke PowerShell for å sette eller fjerne eller liste over begrensninger. Følgende kommandoer tilgjengelige:

Å liste opp alle faktorene i den angitte prosessen: Få-ProcessMitigation -Navn processName.exe

Å sette begrensninger: Set-ProcessMitigation -<scope> <app kjørbare> -<aksjon> <avbøtende eller valg>,<avbøtende eller valg>,<avbøtende eller valg>

  • Omfang: enten -System eller -Navn <programnavn>.
  • Handling: enten -Aktiver eller Deaktiver.
  • Avbøtende: navnet på Klimatiltak. Se følgende tabell. Du kan separat tiltakene med komma.

Les også: Fjern Windows-10 hurtigmenyen bloat

Eksempler:

  • Set-Processmitigation -System -Aktivere DEP
  • Set-Processmitigation -Navn test.exe -Fjern-for å Deaktivere DEP
  • Set-ProcessMitigation -Navn processName.exe -Aktiver EnableExportAddressFilterPlus -EAFModules dllName1.dll,dllName2.dll
MitigationApplies toPowerShell cmdletsAudit modus cmdlet
Kontrollere flyten guard (CFG) System-og app-nivå CFG, StrictCFG, SuppressExports Revisjon ikke tilgjengelig
DEP (Data Execution Prevention) System-og app-nivå DEP, EmulateAtlThunks Revisjon ikke tilgjengelig
Force randomisering for bilder (Obligatorisk ASLR) System-og app-nivå ForceRelocate Revisjon ikke tilgjengelig
Randomize minne tildelinger (Bottom-Up ASLR) System-og app-nivå BottomUp, HighEntropy Revisjon ikke tilgjengelig
Validere unntak kjeder (SEHOP) System-og app-nivå SEHOP, SEHOPTelemetry Revisjon ikke tilgjengelig
Validere haugen integritet System-og app-nivå TerminateOnHeapError Revisjon ikke tilgjengelig
Vilkårlig kode guard (ACG) App-nivå DynamicCode AuditDynamicCode
Blokk lav integritet bilder App-nivå BlockLowLabel AuditImageLoad
Blokkere eksterne bilder App-nivå BlockRemoteImages Revisjon ikke tilgjengelig
Blokker ukjente skrifter App-nivå DisableNonSystemFonts AuditFont, FontAuditOnly
Koden integritet vakt App-nivå BlockNonMicrosoftSigned, AllowStoreSigned AuditMicrosoftSigned, AuditStoreSigned
Deaktiver extension poeng App-nivå ExtensionPoint Revisjon ikke tilgjengelig
Deaktiver Win32k system anrop App-nivå DisableWin32kSystemCalls AuditSystemCall
Ikke la barn prosesser App-nivå DisallowChildProcessCreation AuditChildProcess
Eksport-adresse filtrering (EAF) App-nivå EnableExportAddressFilterPlus, EnableExportAddressFilter [1] Revisjon ikke tilgjengelig
Import-adresse filtrering (IAF) App-nivå EnableImportAddressFilter Revisjon ikke tilgjengelig
Simulere kjøring (SimExec) App-nivå EnableRopSimExec Revisjon ikke tilgjengelig
Validere API bruken (CallerCheck) App-nivå EnableRopCallerCheck Revisjon ikke tilgjengelig
Validere håndtere bruk App-nivå StrictHandle Revisjon ikke tilgjengelig
Validere bilde avhengighet integritet App-nivå EnforceModuleDepencySigning Revisjon ikke tilgjengelig
Validere stabelen integritet (StackPivot) App-nivå EnableRopStackPivot Revisjon ikke tilgjengelig

Import og eksport av konfigurasjoner

Konfigurasjonene kan importeres og eksporteres. Du kan gjøre det ved å bruke Windows Defender utnytte beskyttelse innstillinger i Windows Defender Security Center, ved hjelp av PowerShell, kan du ved hjelp av retningslinjer.

EMET konfigurasjoner kan videre være omvendt, slik at de kan importeres.

Ved å bruke Utnytte beskyttelse innstillinger

Du kan eksportere konfigurasjoner i innstillinger-appen, men ikke importere dem. Eksport legger alle systemnivå og app nivå tiltakene.

Bare klikk på “eksporter innstillinger” lenken under utnytte beskyttelse for å gjøre det.

Ved hjelp av PowerShell for å eksportere en konfigurasjonsfil

  1. Åpne en hevet Powershell-ledeteksten.
  2. Få-ProcessMitigation -RegistryConfigFilePath filename.xml

Redigere filename.xml slik at det reflekterer lagre plassering og et filnavn.

Ved hjelp av PowerShell for å importere en konfigurasjon fil

  1. Åpne en hevet Powershell-ledeteksten.
  2. Kjør følgende kommando: Set-ProcessMitigation -PolicyFilePath filename.xml

Redigere filename.xml slik at den peker til plasseringen og filnavnet for konfigurasjon XML-fil.

 

Ved hjelp av gruppepolicy til å installere en konfigurasjonsfil

use common set exploit protection

Du kan installere konfigurasjonen filer ved hjelp av retningslinjer.

  1. Trykk på Windows-tasten, skriv gpedit.msc, og trykk på Enter-tasten for å starte Group Policy Editor.
  2. Naviger til Computer configuration – > Administrative maler > Windows-komponenter > Windows Defender Utnytte Vakt > Utnytte beskyttelse.
  3. Dobbel-klikk på “Bruk en kommando sett utnytte beskyttelse innstillinger”.
  4. Sette politikken til aktivert.
  5. Legg til bane og filnavn av konfigurasjon XML-fil i alternativer-feltet.

Konvertere en fil EMET

  1. Åpne en hevet PowerShell-ledeteksten, som beskrevet ovenfor.
  2. Kjør kommandoen ConvertTo-ProcessMitigationPolicy -EMETFilePath emetFile.xml -OutputFilePath filename.xml

Endre emetFile.xml til banen og plassering av EMET konfigurasjonsfilen.

Endre filename.xml til banen og sted som du ønsker den konverterte konfigurasjonsfilen skal lagres til.

Ressurser

  • Vurdere Utnytte beskyttelse
  • Aktiver Utnytte beskyttelse
  • Tilpasse Utnytte beskyttelse
  • Import, eksport og distribuere Utnytte beskyttelse konfigurasjoner