Exploit-Schutz ist eine neue Sicherheitsfunktion von Windows Defender, das Microsoft eingeführt in das Betriebssystem Fallen Schöpfer Update.
Exploit-Schutz ist eine Reihe von Funktionen, enthält exploit-Schutz, Reduzierung der Angriffsfläche, Netzwerk-Schutz, und kontrolliert den Zugriff auf Ordner.
Exploit-Schutz kann am besten beschrieben werden als eine integrierte version des Microsoft EMET — Exploit-Mitigation Experience Toolkit — Sicherheits-tool, das dem Unternehmen in den Ruhestand tritt Mitte 2018.
Microsoft behauptete zuvor, dass die Firma Windows 10 Betriebssystem machen würde, running EMET neben Windows unnötig; wenigstens eine Forscherin widerlegt Microsoft Behauptung jedoch.
Windows Defender Exploit-Schutz
Exploit-Schutz ist standardmäßig aktiviert, wenn Windows Defender aktiviert ist. Die Funktion ist die nur Ausnutzen Guard-Funktion, die nicht erfordert, dass der Echtzeit-Schutz aktiviert ist in Windows Defender.
Die Funktion kann konfiguriert werden, in der Windows-Defender Security Center-Anwendung, über die PowerShell-Befehle, oder als Richtlinien.
Konfiguration in der Windows-Defender Security-Center-app
Sie können konfigurieren, exploit-Schutz in der Windows-Defender Security Center-Anwendung.
- Verwenden Sie die Windows-I öffnen Sie die Anwendung “Einstellungen”.
- Navigieren Sie zu Updates & Sicherheit > Windows-Defender.
- Wählen Sie ” Öffnen Sie Den Windows Defender Security-Center.
- Wählen Sie App & browser-Steuerelement aufgelistet, wie eine sidebar-link in dem neuen Fenster, das sich öffnet.
- Suchen Sie den exploit protection Eintrag auf der Seite, und klicken Sie auf exploit-Schutz-Einstellungen.
Die Einstellungen sind unterteilt in System-Einstellungen und Programm-Einstellungen.
System-Einstellungen-Liste der verfügbaren Schutzmechanismen und deren status. Die folgenden sind verfügbar im Windows 10 Fallen Machern-Update:
- Control Flow Guard (CFG) — standardmäßig aktiviert.
- Data Execution Prevention (DEP) — standardmäßig aktiviert.
- Kraft Randomisierung für Bilder (Mandatory ASLR) — standardmäßig deaktiviert.
- Randomize-Allokationen (Bottom up ASLR) –standardmäßig aktiviert.
- Überprüfen Ausnahme Ketten (SEHOP) — standardmäßig aktiviert.
- Überprüfen heap Integrität — standardmäßig aktiviert.
Sie können ändern Sie den status der option “standardmäßig auf”, “off by default” oder “Standard verwenden”.
Programm-Einstellungen geben Sie Optionen zum anpassen der Schutz für die einzelnen Programme und Anwendungen. Dies funktioniert ähnlich, wie könnte man Ausnahmen hinzufügen, in Microsoft EMET für bestimmte Programme; gut, wenn ein Programm falsch verhält, wenn bestimmte Schutzmodule sind aktiviert.
Etliche Programme werden Ausnahmen standardmäßig. Dies beinhaltet svchost.exe, spools.exe, runtimebroker.exe, iexplore.exe und der andere Kern für Windows-Programme. Beachten Sie, dass Sie überschreiben können diese Ausnahmen, indem Sie die Dateien und klicken Sie auf Bearbeiten.
Klicken Sie auf “Programm hinzufügen anpassen” zu Programm hinzufügen, indem Sie Namen oder die genauen Datei-Pfad zu der Liste der Ausnahmen.
Sie können den status von allen unterstützten Schutzmaßnahmen individuell für jedes Programm, das Sie Hinzugefügt haben, unter Programm-Einstellungen. Neben dem überschreiben der Standard-system, und zwingt ihn, ein oder aus, es ist auch eine option, um es zu “überwachen”. Der letztere zeichnet die Ereignisse, die würden gefeuert haben, wenn der Sicherheitsstatus gewesen wäre, sondern nur die Aufzeichnung der Veranstaltung auf das Windows-Ereignisprotokoll.
Programm-Einstellungen-Liste zusätzlichen Schutz-Optionen, die Sie nicht konfigurieren unter system-Einstellungen, weil Sie konfiguriert sind, um die Ausführung auf Anwendungsebene nur.
Diese sind:
- Beliebigen code guard (ACG)
- Schlag mit niedriger Integrität Bilder
- Block remote-Bilder
- Blockieren nicht Vertrauenswürdige Schriften
- Code integrity guard
- Deaktivieren Sie die Erweiterung Punkte
- Deaktivieren Win32-Systemaufrufe
- Tun nicht zulassen, dass Kind-Prozesse
- Export address filtering (EAF)
- Import address filtering ” (IAF)
- Simulieren Sie die Ausführung (SimExec)
- Validierung-API-Aufruf (CallerCheck)
- Überprüfen behandeln Verwendung
- Überprüfen Bild dependency integration
- Überprüfen stack-Integrität (StackPivot)
Konfigurieren exploit-Schutz mit PowerShell
Sie können PowerShell verwenden, einzustellen, zu entfernen oder die Liste Schutzmaßnahmen. Die folgenden Befehle sind verfügbar:
Um eine Liste aller schadensbegrenzenden Maßnahmen des angegebenen Prozesses: Get-ProcessMitigation -Namen processName.exe
Setzen Schutzmaßnahmen: Set-ProcessMitigation -<scope> <app-EXE-Datei> -<Aktion> <Linderung oder Optionen>,<Linderung oder Optionen>,<Linderung oder Optionen>
- Umfang: entweder -System oder -Name <name der Anwendung>.
- Aktion: ist entweder zu Aktivieren oder zu Deaktivieren.
- Minderung: der name der Schadensbegrenzung. Konsultieren Sie die folgende Tabelle. Sie können mehrere Schadensbegrenzende Maßnahmen durch ein Komma.
Lesen Sie auch: Mein nehmen auf dem Windows-10-Machern-Update
Beispiele:
- Set-Processmitigation -System -Aktivieren Sie DEP
- Set-Processmitigation -Namen test.exe -Entfernen -Deaktivieren Sie DEP
- Set-ProcessMitigation -Namen processName.exe -Aktivieren EnableExportAddressFilterPlus -EAFModules dllName1.dll,dllName2.dll
| Control flow guard (CFG) | System-und app-Ebene | CFG, StrictCFG, SuppressExports | Audit nicht verfügbar |
| Data Execution Prevention (DEP) | System-und app-Ebene | DEP, EmulateAtlThunks | Audit nicht verfügbar |
| Kraft Randomisierung für Bilder (Mandatory ASLR) | System-und app-Ebene | ForceRelocate | Audit nicht verfügbar |
| Randomize-Allokationen (Bottom Up ASLR) | System-und app-Ebene | Bottom-Up -, HighEntropy | Audit nicht verfügbar |
| Überprüfen Ausnahme Ketten (SEHOP) | System-und app-Ebene | SEHOP, SEHOPTelemetry | Audit nicht verfügbar |
| Überprüfen heap Integrität | System-und app-Ebene | TerminateOnHeapError | Audit nicht verfügbar |
| Beliebigen code guard (ACG) | App-Ebene nur | DynamicCode | AuditDynamicCode |
| Block mit niedriger Integrität Bilder | App-Ebene nur | BlockLowLabel | AuditImageLoad |
| Block remote-Bilder | App-Ebene nur | BlockRemoteImages | Audit nicht verfügbar |
| Blockieren nicht Vertrauenswürdige Schriften | App-Ebene nur | DisableNonSystemFonts | AuditFont, FontAuditOnly |
| Code integrity guard | App-Ebene nur | BlockNonMicrosoftSigned, AllowStoreSigned | AuditMicrosoftSigned, AuditStoreSigned |
| Deaktivieren Sie die Erweiterung Punkte | App-Ebene nur | ExtensionPoint | Audit nicht verfügbar |
| Deaktivieren Win32k system-Aufrufe | App-Ebene nur | DisableWin32kSystemCalls | AuditSystemCall |
| Tun nicht zulassen, dass Kind-Prozesse | App-Ebene nur | DisallowChildProcessCreation | AuditChildProcess |
| Export address filtering (EAF) | App-Ebene nur | EnableExportAddressFilterPlus, EnableExportAddressFilter [1] | Audit nicht verfügbar |
| Import address filtering ” (IAF) | App-Ebene nur | EnableImportAddressFilter | Audit nicht verfügbar |
| Simulieren Sie die Ausführung (SimExec) | App-Ebene nur | EnableRopSimExec | Audit nicht verfügbar |
| Validierung-API-Aufruf (CallerCheck) | App-Ebene nur | EnableRopCallerCheck | Audit nicht verfügbar |
| Überprüfen behandeln Verwendung | App-Ebene nur | StrictHandle | Audit nicht verfügbar |
| Überprüfen Bild Abhängigkeit Integrität | App-Ebene nur | EnforceModuleDepencySigning | Audit nicht verfügbar |
| Überprüfen stack-Integrität (StackPivot) | App-Ebene nur | EnableRopStackPivot | Audit nicht verfügbar |
Importieren und exportieren von Konfigurationen
Konfigurationen können importiert und exportiert werden. Sie können dies über die Windows-Defender-exploit-Schutz-Einstellungen in der Windows-Defender Security-Center, mithilfe von PowerShell mithilfe von Richtlinien.
EMET-Konfigurationen können zudem konvertiert werden, so dass Sie importiert werden können.
Mit Hilfe der Exploit-Schutz-Einstellungen
Sie können exportieren von Konfigurationen in der Anwendung “Einstellungen”, aber nicht importieren. Exportieren fügt alle system-level-und app-Ebene Schutzmaßnahmen.
Klicken Sie einfach auf “export-Einstellungen” – link unter exploit-Schutz zu tun.
Verwenden von PowerShell zum exportieren einer Konfigurationsdatei
- Öffnen Sie eine erweiterte Powershell-Eingabeaufforderung ein.
- Get-ProcessMitigation -RegistryConfigFilePath filename.xml
Bearbeiten filename.xml so, dass es spiegelt den Speicherort und den Dateinamen an.
Mit PowerShell zu importieren einer Konfigurationsdatei
- Öffnen Sie eine erweiterte Powershell-Eingabeaufforderung ein.
- Führen Sie den folgenden Befehl aus: Set-ProcessMitigation -PolicyFilePath filename.xml
Bearbeiten filename.xml so, dass es auf den Speicherort und den Dateinamen für die Konfigurations-XML-Datei.
Mithilfe von Gruppenrichtlinien installieren Sie eine Konfigurationsdatei
Sie können die Installation von configuration-Dateien mit Politik.
- Tippen Sie auf die Windows-Taste, geben Sie gpedit.msc, und drücken Sie die Enter-Taste starten Sie den Gruppenrichtlinien-Editor.
- Navigieren Sie zu Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > Windows Defender Exploit-Schutz > Exploit-Schutz.
- Doppel-klicken Sie auf “Verwenden Sie einen Befehl festlegen, der exploit-Schutz-Einstellungen”.
- Stellen Sie die Richtlinie auf aktiviert.
- Fügen Sie den Pfad und den Dateinamen der XML-Konfigurationsdatei in den Optionen.
Die Umwandlung eines EMET-Datei
- Öffnen Sie eine erweiterte PowerShell-Eingabeaufforderung wie oben beschrieben.
- Führen Sie den Befehl ” ConvertTo-ProcessMitigationPolicy -EMETFilePath emetFile.xml -OutputFilePath filename.xml
Ändern emetFile.xml um den Pfad und den Speicherort der EMET-Konfiguration-Datei.
Ändern filename.xml der Pfad und der Ort, den Sie möchten, dass die konvertierte Konfigurations-Datei gespeichert werden.
Ressourcen
- Bewerten Exploit-Schutz
- Aktivieren Exploit-Schutz
- Anpassen Exploit-Schutz
- Importieren, exportieren und bereitstellen, die Exploit-Schutz-Konfigurationen