Configurer Windows Defender Exploiter protection dans Windows 10

0
1764

Exploiter la protection est une nouvelle fonctionnalité de sécurité de Windows Defender que Microsoft a introduit dans le système d’exploitation de l’Automne, les Créateurs de mise à Jour.

Exploiter la Garde est un ensemble de fonctionnalités qui inclut la protection contre les attaques, de la surface d’attaque de la réduction, de la protection réseau, et le contrôle de l’accès au dossier.

Exploiter la protection peut être décrit comme une version intégrée de Microsoft EMET — Exploiter Mitigation Experience Toolkit — outil de sécurité dont la société qui prendra sa retraite à la mi-2018.

Microsoft affirmé précédemment que la société de Windows 10 système d’exploitation serait faire courir EMET aux côtés de Windows inutiles; au moins un chercheur a réfuté l’affirmation de Microsoft.

Windows Defender Exploiter la protection de l’

Exploiter la protection est activée par défaut si Windows Defender est activé. La fonctionnalité est la seule à Exploiter Garde fonctionnalité qui ne nécessite pas de protection en temps réel est activée dans Windows Defender.

La fonctionnalité peut être configurée dans le Windows Defender Centre de Sécurité de l’application, via des commandes PowerShell, ou que des politiques.

Dans la Configuration de Windows Defender Security Center app

exploit protection windows defender

Vous pouvez configurer la protection contre les attaques dans le Windows Defender Centre de Sécurité de l’application.

  1. Utilisez Windows-I pour ouvrir l’application Paramètres.
  2. Accédez à la mise à Jour Et Sécurité > Windows Defender.
  3. Sélectionnez Ouvrir Le Centre De Sécurité Windows Defender.
  4. Sélectionnez l’Application et de contrôle du navigateur répertorié comme une barre latérale lien dans la nouvelle fenêtre qui s’ouvre.
  5. Localiser l’exploit de protection de l’entrée sur la page, et cliquez sur exploiter les paramètres de protection.

Les paramètres sont divisés dans les Paramètres Système et les Paramètres du Programme.

Système de liste des paramètres disponibles mécanismes de protection et de leur statut. Les documents suivants sont disponibles dans le Windows 10 à l’Automne Créateurs de mise à Jour:

  • Flux de contrôle de la Garde (CFG) — par défaut.
  • Prévention d’Exécution des données (DEP) — par défaut.
  • La Force de randomisation pour les images (Obligatoire ASLR) — désactivé par défaut.
  • Randomiser les allocations de mémoire (ASLR) –par défaut.
  • Valider l’exception des chaînes (SEHOP) — par défaut.
  • Valider tas intégrité — par défaut.

Vous pouvez modifier le statut d’une option “par défaut”, “par défaut”, ou “utiliser par défaut”.

Programme les paramètres de vous donner des options pour personnaliser la protection de programmes et d’applications. Cela fonctionne de la même manière vous pouvez ajouter des exceptions dans Microsoft EMET pour des programmes particuliers; bon, si un programme se comporte mal quand certains modules de protection sont activés.

Très peu de programmes ont des exceptions par défaut. Cela comprend svchost.exe, spools.exe, runtimebroker.exe, iexplore.exe et d’autres programmes Windows. Notez que vous pouvez remplacer ces exceptions en sélectionnant les fichiers et en cliquant sur modifier.

program settings exploit protection

Cliquez sur “ajouter un programme à personnaliser” pour ajouter un programme par son nom ou exact du fichier chemin d’accès à la liste des exceptions.

Vous pouvez définir l’état de toutes les éditions des protections individuellement pour chaque programme que vous avez ajouté en vertu de paramètres du programme. Outre la substitution de la valeur par défaut du système, et la force à l’un ou à l’arrêt, il y a également une option pour le mettre en “audit”. Les derniers enregistrements d’événements qui ont déclenché si la protection de l’état aurait été sur, mais va enregistrer uniquement l’événement dans le journal des événements de Windows.

Programme de la liste des Paramètres de protection supplémentaire des options que vous ne pouvez pas configurer sous paramètres système parce qu’ils sont configurés pour s’exécuter sur le niveau de l’application.

Ce sont:

  • Du code arbitraire de la garde (NOC)
  • Coup bas de l’intégrité des images
  • Bloquer les images à distance
  • Bloc de polices non fiables
  • De l’intégrité du Code de la garde
  • Désactiver les points d’extension
  • Désactiver le système Win32 appels
  • Ne pas permettre à l’enfant de processus
  • L’exportation d’un filtrage d’adresse (FAE)
  • L’importation d’un filtrage d’adresse (FAI)
  • Simuler l’exécution (SimExec)
  • Valider API invocation (CallerCheck)
  • Valider l’utilisation de la poignée
  • Valider l’image de la dépendance de l’intégration
  • Valider l’intégrité de la pile. (StackPivot)

Configuration de la protection contre les attaques à l’aide de PowerShell

Vous pouvez utiliser PowerShell pour définir, supprimer ou liste de mesures d’atténuation. Les commandes suivantes sont disponibles:

Pour la liste de toutes les mesures d’atténuation du processus spécifié: Get-ProcessMitigation -Nom processName.exe

Pour définir des mesures d’atténuation: Les ProcessMitigation -<scope> <application exécutable> -<action> <atténuation ou options>,<atténuation ou options>,<atténuation ou options>

  • Champ d’application: soit le Système ou le Nom <nom de l’application>.
  • Action: est-Activer ou Désactiver.
  • Atténuation: le nom de l’Atténuation. Consultez le tableau suivant. Vous pouvez séparer les mesures d’atténuation par des virgules.

Lire aussi: O&O ShutUp10 mise à jour arrive à temps pour l’Automne, les Créateurs de mise à Jour

Exemples:

  • Set-Processmitigation -Système -Activer DEP
  • Set-Processmitigation -Nom test.exe -Retirez -Désactiver la prévention de
  • Set-ProcessMitigation -Nom processName.exe -Permettre EnableExportAddressFilterPlus -EAFModules dllName1.dll,dllName2.dll
MitigationApplies toPowerShell cmdletsAudit mode applet de commande
Flux de contrôle de la garde (CFG) Des applications et du système de niveau CFG, StrictCFG, SuppressExports Vérification non disponible
Prévention d’Exécution des données (DEP) Des applications et du système de niveau DEP, EmulateAtlThunks Vérification non disponible
La Force de randomisation pour les images (Obligatoire ASLR) Des applications et du système de niveau ForceRelocate Vérification non disponible
Randomiser les allocations de mémoire (ASLR) Des applications et du système de niveau BottomUp, HighEntropy Vérification non disponible
Valider l’exception des chaînes (SEHOP) Des applications et du système de niveau SEHOP, SEHOPTelemetry Vérification non disponible
Valider tas d’intégrité Des applications et du système de niveau TerminateOnHeapError Vérification non disponible
Du code arbitraire de la garde (NOC) Niveau application seulement DynamicCode AuditDynamicCode
Bloc bas de l’intégrité des images Niveau application seulement BlockLowLabel AuditImageLoad
Bloquer les images à distance Niveau application seulement BlockRemoteImages Vérification non disponible
Bloc de polices non fiables Niveau application seulement DisableNonSystemFonts AuditFont, FontAuditOnly
De l’intégrité du Code de la garde Niveau application seulement BlockNonMicrosoftSigned, AllowStoreSigned AuditMicrosoftSigned, AuditStoreSigned
Désactiver les points d’extension Niveau application seulement ExtensionPoint Vérification non disponible
Désactiver Win32k appels système Niveau application seulement DisableWin32kSystemCalls AuditSystemCall
Ne pas permettre à l’enfant de processus Niveau application seulement DisallowChildProcessCreation AuditChildProcess
L’exportation d’un filtrage d’adresse (FAE) Niveau application seulement EnableExportAddressFilterPlus, EnableExportAddressFilter [1] Vérification non disponible
L’importation d’un filtrage d’adresse (FAI) Niveau application seulement EnableImportAddressFilter Vérification non disponible
Simuler l’exécution (SimExec) Niveau application seulement EnableRopSimExec Vérification non disponible
Valider API invocation (CallerCheck) Niveau application seulement EnableRopCallerCheck Vérification non disponible
Valider l’utilisation de la poignée Niveau application seulement StrictHandle Vérification non disponible
Valider l’image de la dépendance à l’intégrité Niveau application seulement EnforceModuleDepencySigning Vérification non disponible
Valider l’intégrité de la pile. (StackPivot) Niveau application seulement EnableRopStackPivot Vérification non disponible

L’importation et l’exportation des configurations

Les Configurations peuvent être importés et exportés. Vous pouvez le faire en utilisant le Windows Defender exploiter les réglages de la protection de la Windows Defender Centre de Sécurité, par l’utilisation de PowerShell, en utilisant des stratégies.

EMET les configurations peuvent en outre être convertis afin qu’ils puissent être importés.

L’aide de l’Exploiter paramètres de protection

Vous pouvez exporter des configurations dans les paramètres de l’application, mais pas les importer. L’exportation ajoute tous les niveau du système et de l’application du niveau de mesures d’atténuation.

Cliquez simplement sur “exporter les paramètres” situé sous protection contre les attaques de le faire.

À l’aide de PowerShell pour exporter un fichier de configuration

  1. Ouvrir une élévation de l’invite de Powershell.
  2. Get-ProcessMitigation -RegistryConfigFilePath filename.xml

Modifier filename.xml afin qu’il reflète l’emplacement d’enregistrement et le nom de fichier.

À l’aide de PowerShell pour importer un fichier de configuration

  1. Ouvrir une élévation de l’invite de Powershell.
  2. Exécutez la commande suivante: Set-ProcessMitigation -PolicyFilePath filename.xml

Modifier filename.xml de sorte qu’il pointe vers l’emplacement et le nom de fichier du fichier XML de configuration.

 

À l’aide de Stratégie de Groupe pour installer un fichier de configuration

use common set exploit protection

Vous pouvez installer les fichiers de configuration à l’aide de politiques.

  1. Appuyez sur le Windows-clé, tapez gpedit.msc, et frapper la touche Entrée pour lancer l’Éditeur de Stratégie de Groupe.
  2. Accédez à configuration Ordinateur > modèles d’Administration > composants Windows > Windows Defender Exploiter Garde > protection contre les attaques.
  3. Double-cliquez sur “Utiliser un ensemble de commandes d’exploiter les paramètres de protection”.
  4. Définir la stratégie est activée.
  5. Ajouter le chemin d’accès et nom de fichier du fichier XML de configuration dans le champ des options.

La conversion d’une EMET fichier

  1. Ouvrir une élévation de l’invite de PowerShell, comme décrit ci-dessus.
  2. Exécutez la commande ConvertTo-ProcessMitigationPolicy -EMETFilePath emetFile.xml -OutputFilePath filename.xml

Changement emetFile.xml le chemin d’accès et l’emplacement de la trousse à outils EMET fichier de configuration.

Changement filename.xml le chemin d’accès et l’emplacement que vous souhaitez convertir le fichier de configuration pour être enregistré.

Ressources

  • Évaluer la protection contre les attaques
  • Activer la protection contre les attaques
  • Personnaliser la protection de l’Exploiter
  • L’importation, l’exportation, et de déployer d’Exploiter la protection des configurations