Exploiteren van de bescherming is een nieuwe beveiligingsfunctie in Windows Defender van Microsoft geïntroduceerd in het besturingssysteem Vallen Makers Update.
Exploiteren Guard is een set van kenmerken die bevat te exploiteren bescherming, aanvallen vermindering, bescherming van het netwerk, en een gecontroleerde map toegang.
Exploiteren bescherming kan het best omschreven worden als een geïntegreerde versie van Microsoft EMET — Exploiteren Mitigation Experience Toolkit — security tool die het bedrijf zal met pensioen gaan medio 2018.
Microsoft beweerde eerder dat de vennootschap Windows-10-besturingssysteem zou running EMET naast Windows onnodige; ten minste één onderzoeker ontkracht de bewering van Microsoft echter.
Windows Defender Exploiteren bescherming
Exploiteren bescherming is standaard ingeschakeld als u Windows Defender is ingeschakeld. De functie is alleen te Exploiteren Guard functie die niet vereisen dat de real-time protection is ingeschakeld in Windows Defender.
De functie kan worden geconfigureerd in het Windows Defender Security Center applicatie, via de PowerShell commando ‘ s, of als beleid.
De configuratie van de Windows Defender Security Center-app
U kunt benutten bescherming in de Windows Defender Security Center-applicatie.
- Gebruik Windows-ik open de applicatie Instellingen.
- Ga naar Update En Beveiliging > Windows Defender.
- Selecteer Openen Met Windows Defender Security Center.
- Selecteer App & browser control vermeld als een zijbalk link in het nieuwe venster dat wordt geopend.
- Zoek het exploiteren bescherming van de vermelding op de pagina, en klik op het benutten van de bescherming van de instellingen.
De instellingen zijn verdeeld in Systeem Instellingen en Programma-Instellingen.
Systeem instellingen een lijst van de beschikbare mechanismen voor de bescherming en hun status. De volgende opties zijn beschikbaar in het Windows-10 Vallen Makers Update:
- Control Flow Guard (CFG) — op standaard.
- Preventie van gegevensuitvoering (DEP) — op standaard.
- Kracht randomisatie voor afbeeldingen (Verplicht ASLR) — standaard uitgeschakeld.
- Randomize geheugen toewijzingen (Bottom-up ASLR) –op standaard.
- Valideren uitzondering ketens (SEHOP) — op standaard.
- Valideren heap integriteit — op standaard.
U kan de status wijzigen van een optie in op “standaard”, “standaard uit”, of “standaard”.
Programma-instellingen geeft u opties voor het aanpassen van de bescherming voor de individuele programma ‘ s en toepassingen. Dit werkt op dezelfde manier als hoe kon je uitzonderingen toevoegen in Microsoft EMET voor bepaalde programma ‘ s; goed als een programma zich misdraagt, wanneer bepaalde beschermende modules zijn ingeschakeld.
Wel een paar programma ‘ s hebben uitzonderingen standaard. Dit omvat svchost.exe, spools.exe, runtimebroker.exe, iexplore.exe en andere belangrijke Windows-programma ‘ s. Opmerking dat u kunt overschrijven deze uitzonderingen door de bestanden te selecteren en te klikken op edit.
Klik op “add programma aanpassen” voor het toevoegen van een programma door de naam of het exacte pad naar de lijst van uitzonderingen.
U kan de status van alle ondersteunde bescherming individueel voor elk programma dat u hebt toegevoegd onder programma-instellingen. Naast het overschrijven van de standaard, en dwingt deze om één of uitgeschakeld, is er ook een optie om het op een “audit”. De laatste records gebeurtenissen die zou hebben ontslagen indien de bescherming van de status zou zijn, maar zal het opnemen van alleen de gebeurtenis in het gebeurtenislogboek van Windows.
Programma-Instellingen lijst extra bescherming van de opties die u niet kunt configureren onder systeem-instellingen zijn, omdat ze zijn geconfigureerd om te worden uitgevoerd op het niveau van de toepassing.
Deze zijn:
- Willekeurige code guard (ACG)
- Blaas lage integriteit beelden
- Externe afbeeldingen blokkeren
- Blokkeren-vertrouwde lettertypen
- Code integriteit bewaken
- Uitschakelen uitbreiding punten
- Uitschakelen Win32 system calls
- Niet toestaan dat de onderliggende processen
- Export-adres filtering (EAF)
- Importeren adres filtering (IAF)
- Het simuleren van de uitvoering (SimExec)
- Valideren API-aanroep (CallerCheck)
- Valideren handgreep gebruik
- Valideren afbeelding afhankelijkheid integratie
- Het valideren van stapel integriteit (StackPivot)
Het configureren van exploiteren van de bescherming met behulp van PowerShell
U mag gebruik maken van PowerShell te stellen, te verwijderen of lijst oplossingen. De volgende opdrachten zijn beschikbaar:
Om een lijst van alle oplossingen van de opgegeven proces: Voor-ProcessMitigation -Naam processName.exe
Om oplossingen: Set-ProcessMitigation -<scope> <app uitvoerbaar> -<actie> <mitigatie of opties>,<mitigatie of opties>,<mitigatie of opties>
- Toepassingsgebied: ofwel -Systeem of -Naam <applicatie naam>.
- Actie: ofwel Inschakelen of -Uitschakelen.
- Mitigatie: de naam van de Klimaatverandering. Raadpleeg de volgende tabel. U kunt afzonderlijke oplossingen door komma ‘ s.
Lees ook: Mijn kijk op de Windows-10 Makers Update
Voorbeelden:
- Set-Processmitigation -Systeem Inschakelen DEP
- Set-Processmitigation -Naam test.exe -Verwijder -Uitschakelen DEP
- Set-ProcessMitigation -Naam processName.exe -Inschakelen EnableExportAddressFilterPlus -EAFModules dllName1.dll,dllName2.dll
| Control flow guard (CFG) | Systeem-en app-niveau | CFG, StrictCFG, SuppressExports | Audit niet beschikbaar |
| Preventie van gegevensuitvoering (DEP) | Systeem-en app-niveau | DEP, EmulateAtlThunks | Audit niet beschikbaar |
| Kracht randomisatie voor afbeeldingen (Verplicht ASLR) | Systeem-en app-niveau | ForceRelocate | Audit niet beschikbaar |
| Randomize geheugen toewijzingen (Bottom-Up ASLR) | Systeem-en app-niveau | Bottom-Up, HighEntropy | Audit niet beschikbaar |
| Valideren uitzondering ketens (SEHOP) | Systeem-en app-niveau | SEHOP, SEHOPTelemetry | Audit niet beschikbaar |
| Valideren heap integriteit | Systeem-en app-niveau | TerminateOnHeapError | Audit niet beschikbaar |
| Willekeurige code guard (ACG) | App-niveau | DynamicCode | AuditDynamicCode |
| Blokkeren lage integriteit beelden | App-niveau | BlockLowLabel | AuditImageLoad |
| Externe afbeeldingen blokkeren | App-niveau | BlockRemoteImages | Audit niet beschikbaar |
| Blokkeren-vertrouwde lettertypen | App-niveau | DisableNonSystemFonts | AuditFont, FontAuditOnly |
| Code integriteit bewaken | App-niveau | BlockNonMicrosoftSigned, AllowStoreSigned | AuditMicrosoftSigned, AuditStoreSigned |
| Uitschakelen uitbreiding punten | App-niveau | ExtensionPoint | Audit niet beschikbaar |
| Uitschakelen Win32k system calls | App-niveau | DisableWin32kSystemCalls | AuditSystemCall |
| Niet toestaan dat de onderliggende processen | App-niveau | DisallowChildProcessCreation | AuditChildProcess |
| Export-adres filtering (EAF) | App-niveau | EnableExportAddressFilterPlus, EnableExportAddressFilter [1] | Audit niet beschikbaar |
| Importeren adres filtering (IAF) | App-niveau | EnableImportAddressFilter | Audit niet beschikbaar |
| Het simuleren van de uitvoering (SimExec) | App-niveau | EnableRopSimExec | Audit niet beschikbaar |
| Valideren API-aanroep (CallerCheck) | App-niveau | EnableRopCallerCheck | Audit niet beschikbaar |
| Valideren handgreep gebruik | App-niveau | StrictHandle | Audit niet beschikbaar |
| Valideren afbeelding afhankelijkheid integriteit | App-niveau | EnforceModuleDepencySigning | Audit niet beschikbaar |
| Het valideren van stapel integriteit (StackPivot) | App-niveau | EnableRopStackPivot | Audit niet beschikbaar |
Het importeren en exporteren van configuraties
Configuraties kunnen worden geïmporteerd en geëxporteerd. U kunt dit doen met behulp van de Windows Defender exploiteren bescherming van de instellingen in de Windows Defender Security Center, met behulp van PowerShell, door de hand van beleidsregels.
EMET configuraties kan bovendien worden omgezet, zodat ze kunnen worden geïmporteerd.
Met behulp van de Exploit bescherming instellingen
U kunt het exporteren van configuraties in de instellingen, maar niet importeren. Exporteren hiermee voegt u alle systeem-niveau en app-niveau oplossingen.
Klik gewoon op de “export instellingen” link onder exploiteren bescherming te doen.
Met behulp van PowerShell voor het exporteren van een configuratie bestand
- Open een verhoogde Powershell-prompt.
- Get-ProcessMitigation -RegistryConfigFilePath filename.xml
Bewerken filename.xml zodat de opslaglocatie en bestandsnaam.
Met behulp van PowerShell voor het importeren van een configuratie bestand
- Open een verhoogde Powershell-prompt.
- Voer de volgende opdracht in: Set-ProcessMitigation -PolicyFilePath filename.xml
Bewerken filename.xml zodat het pad naar de locatie en de bestandsnaam van het configuratie XML bestand.
Met behulp van groepsbeleid voor het installeren van een configuratie bestand
U kunt het installeren van configuratie-bestanden aan de hand van beleidsregels.
- Tik op de Windows-toets, typ gpedit.msc, en druk op de Enter-toets start de Group Policy Editor.
- Ga naar Computer configuration – > Administrative templates > Windows-onderdelen > Windows Defender Exploiteren Guard > Exploiteren bescherming.
- Dubbel-klik op “Gebruik een commando set van exploiteren bescherming instellingen”.
- Stel het beleid ingeschakeld.
- Voeg het pad en de bestandsnaam van het configuratie XML bestand in het veld options (opties).
Het omzetten van een bestand EMET
- Open een verhoogde PowerShell aanwijzing als hierboven beschreven.
- Het uitvoeren van de opdracht ConvertTo-ProcessMitigationPolicy -EMETFilePath emetFile.xml -OutputFilePath filename.xml
Veranderen emetFile.xml het pad en de locatie van de EMET configuratie bestand.
Veranderen filename.xml het pad en de locatie die u wilt de geconverteerde configuratie bestand moet worden opgeslagen.
Bronnen
- Evalueren Exploiteren bescherming
- Inschakelen Exploiteren bescherming
- Aanpassen Exploiteren bescherming
- Importeren, exporteren en implementeren Exploiteren bescherming configuraties