Konfigurera Windows Defender Utnyttja skyddet i Windows 10

0
475

Utnyttja skydd är en ny säkerhetsfunktion i Windows Defender som införde Microsoft i operativsystemet Falla Skaparna Uppdatering.

Utnyttja Guard är en uppsättning av funktioner som ingår utnyttja skydd, attack yta minskning, nätverk skydd, och kontrollerad mapp tillgång.

Utnyttja skydd bäst kan beskrivas som en integrerad version av Microsofts EMET — Utnyttja Mitigation Experience Toolkit — säkerhet verktyg som företaget kommer att gå i pension i mitten av 2018.

Microsoft hävdade tidigare att företagets Windows-10-operativsystem skulle göra att köra EMET tillsammans med Windows onödiga, minst en forskare motbevisade Microsoft hävdar dock.

Windows Defender Utnyttja skydd

Utnyttja skyddet är aktiverat som standard om Windows Defender är aktiverat. Funktionen är endast Utnyttjar Guard-funktionen som inte kräver att realtidsskydd har aktiverats i Windows Defender.

Funktionen kan konfigureras i Windows Defender Security Center ansökan, via PowerShell-kommandon, eller som politik.

Konfigurationen i Windows Defender Security Center app

exploit protection windows defender

Du kan konfigurera utnyttja skyddet i Windows Defender Security Center ansökan.

  1. Använda Windows-i för att öppna Inställningar.
  2. Navigera till Uppdatering & Säkerhet – > Windows Defender.
  3. Välj Öppna Windows Defender Security Center.
  4. Välj App & webbläsaren kontroll anges som en sidebar länken i det nya fönstret som öppnas.
  5. Hitta utnyttja skydd inlägg på sidan, och klicka på utnyttja skydd inställningar.

Inställningarna är indelade i System Inställningar för Program och Inställningar.

System inställningar lista med tillgängliga mekanismer för skydd och deras status. Följande är tillgängliga i Windows-10 Faller Skaparna Uppdatering:

  • Kontrollera Flödet Guard (CFG) – på som standard.
  • DEP (Data Execution Prevention) – på som standard.
  • Kraft randomisering för bilder (Obligatorisk ASLR) — av som standard.
  • Slumpa anslagen minne (Bottom-up-ASLR) – på som standard.
  • Validera undantag kedjor (SEHOP) – på som standard.
  • Validera högen integritet-på som standard.

Du kan ändra status för något alternativ till “på som standard”, “på som standard”, eller “använd standard”.

Inställningar som programmet ger dig alternativ för att anpassa det skydd för enskilda program och applikationer. Detta fungerar på samma sätt för hur du kan lägga till undantag i Microsoft EMET för specifika program, bra om ett program som missköter sig när vissa skyddande moduler är aktiverad.

En hel del program har undantag som standard. Detta inkluderar svchost.exe, spools.exe, runtimebroker.exe, iexplore.exe och andra viktiga Windows-program. Observera att du kan åsidosätta dessa undantag genom att välja de filer och klicka på redigera.

program settings exploit protection

Klicka på “lägg till program för att anpassa” för att lägga till ett program efter namn eller exakt filsökväg till i listan över undantag.

Du kanske vill ställa in status för alla som stöds skydd individuellt för varje program som du har lagt till under programmets inställningar. Förutom tvingande system som standard, och tvingar den till en eller utanför, det är också ett alternativ för att ställa in den till “revision”. Den senare registrerar händelser som skulle få sparken om skydd status skulle ha varit på, men kommer att spela bara för den händelse att Windows event log.

Program Inställningar för lista över ytterligare skydd alternativ som du inte kan konfigurera under system-inställningar, eftersom de har konfigurerats för att köras på applikationsnivå.

Dessa är:

  • Godtycklig kod guard (ACG)
  • Blåsa låg integritet bilder
  • Blockera fjärrkontrollens bilder
  • Blockera opålitliga teckensnitt
  • Koden integritet guard
  • Inaktivera förlängning poäng
  • Inaktivera Win32 systemet samtal
  • Låt inte barn processer
  • Export adress filtrering (EAF)
  • Att importera adress filtrering (IAF)
  • Simulera utförande (SimExec)
  • Validera API-anrop (CallerCheck)
  • Validera handtag användning
  • Bekräfta bilden beroende integration
  • Validera stack integritet (StackPivot)

Konfigurera utnyttja skydd med hjälp av PowerShell

Du kan använda PowerShell för att ställa in, ta bort eller lista begränsande faktorer. Följande kommandon är tillgängliga:

För att lista alla mildrande åtgärder av den angivna processen: Få-ProcessMitigation -Namn processName.exe

För att ställa dem: Set-ProcessMitigation -<omfattning> <app körbara> -<action> <begränsning eller val>,<begränsning eller val>,<begränsning eller alternativ>

  • Omfattning: antingen -System eller -Namn <programnamn>.
  • Åtgärd: antingen Aktivera eller Inaktivera.
  • Begränsning: namnet på Begränsning. Se följande tabell. Du kan separera dem med kommatecken.

Läs också: Windows 10 Bygga 14986 fartyg

Exempel:

  • Set-Processmitigation -System -Aktivera DEP
  • Set-Processmitigation -Namn test.exe -ta Bort-om du Inaktiverar DEP
  • Set-ProcessMitigation -Namn processName.exe -Aktivera EnableExportAddressFilterPlus -EAFModules dllName1.dll,dllName2.dll
MitigationApplies toPowerShell cmdletsAudit läge cmdlet
Kontrollera flödet guard (CFG) System och app-nivå CFG, StrictCFG, SuppressExports Revisionen inte tillgängligt
DEP (Data Execution Prevention) System och app-nivå DEP, EmulateAtlThunks Revisionen inte tillgängligt
Kraft randomisering för bilder (Obligatorisk ASLR) System och app-nivå ForceRelocate Revisionen inte tillgängligt
Slumpa anslagen minne (Bottom-Up-ASLR) System och app-nivå Bottom-Up, HighEntropy Revisionen inte tillgängligt
Validera undantag kedjor (SEHOP) System och app-nivå SEHOP, SEHOPTelemetry Revisionen inte tillgängligt
Validera högen integritet System och app-nivå TerminateOnHeapError Revisionen inte tillgängligt
Godtycklig kod guard (ACG) App-nivå bara DynamicCode AuditDynamicCode
Blockera låga integritet bilder App-nivå bara BlockLowLabel AuditImageLoad
Blockera fjärrkontrollens bilder App-nivå bara BlockRemoteImages Revisionen inte tillgängligt
Blockera opålitliga teckensnitt App-nivå bara DisableNonSystemFonts AuditFont, FontAuditOnly
Koden integritet guard App-nivå bara BlockNonMicrosoftSigned, AllowStoreSigned AuditMicrosoftSigned, AuditStoreSigned
Inaktivera förlängning poäng App-nivå bara ExtensionPoint Revisionen inte tillgängligt
Inaktivera Win32k systemet samtal App-nivå bara DisableWin32kSystemCalls AuditSystemCall
Låt inte barn processer App-nivå bara DisallowChildProcessCreation AuditChildProcess
Export adress filtrering (EAF) App-nivå bara EnableExportAddressFilterPlus, EnableExportAddressFilter [1] Revisionen inte tillgängligt
Att importera adress filtrering (IAF) App-nivå bara EnableImportAddressFilter Revisionen inte tillgängligt
Simulera utförande (SimExec) App-nivå bara EnableRopSimExec Revisionen inte tillgängligt
Validera API-anrop (CallerCheck) App-nivå bara EnableRopCallerCheck Revisionen inte tillgängligt
Validera handtag användning App-nivå bara StrictHandle Revisionen inte tillgängligt
Bekräfta bilden beroende integritet App-nivå bara EnforceModuleDepencySigning Revisionen inte tillgängligt
Validera stack integritet (StackPivot) App-nivå bara EnableRopStackPivot Revisionen inte tillgängligt

Importera och exportera konfigurationer

Konfigurationer kan importeras och exporteras. Kan du göra det med hjälp av Windows Defender utnyttja skydd inställningar i Windows Defender Security Center, med hjälp av PowerShell, med hjälp av politik.

EMET konfigurationer kan dessutom omvandlas så att de kan importeras.

Använda Utnyttja skydd inställningar

Du kan exportera inställningar i inställningarna för programmet, men inte importera dem. Exportera lägger alla system nivå och app nivå begränsande faktorer.

Klicka bara på “exportera inställningar” – länken under utnyttja skydd att göra så.

Med hjälp av PowerShell för att exportera en konfigurationsfil

  1. Öppna en förhöjd Powershell-prompten.
  2. Få-ProcessMitigation -RegistryConfigFilePath filename.xml

Ändra filename.xml så att det återspeglar spara plats och filnamn.

Med hjälp av PowerShell för att importera en konfiguration fil

  1. Öppna en förhöjd Powershell-prompten.
  2. Kör följande kommando: Set-ProcessMitigation -PolicyFilePath filename.xml

Ändra filename.xml så att den pekar till den plats och fil i XML-konfigurationsfil.

 

Med hjälp av grupprincip för att installera en konfigurationsfil

use common set exploit protection

Kan du installerar inställningsfiler med hjälp av politik.

  1. Tryck på Windows-tangenten, skriv gpedit.msc, och tryck på Enter-tangenten för att starta grupprinciper.
  2. Bläddra till Computer configuration – > Administrativa mallar, Windows-komponenter > Windows Defender Utnyttja Guard > Utnyttja skyddet.
  3. Dubbel-klicka på “Använd kommandot set för att utnyttja skydd inställningar”.
  4. Den politiska aktiverad.
  5. Lägg till sökvägen och filnamnet på den XML-fil som i alternativ-fält.

Konvertera en EMET fil

  1. Öppna en förhöjd PowerShell-prompten som beskrivs ovan.
  2. Kör kommandot ConvertTo-ProcessMitigationPolicy -EMETFilePath emetFile.xml -OutputFilePath filename.xml

Ändra emetFile.xml till väg och platsen för EMET konfigurationsfilen.

Ändra filename.xml till väg och platsen som du vill att de konverterade konfigurationsfilen sparas.

Resurser

  • Utvärdera Utnyttja skydd
  • Aktivera Utnyttja skydd
  • Anpassa Utnyttja skydd
  • Importera, exportera och distribuera Utnyttja skydd konfigurationer