Määritä Windows Defender Exploit -suojaus Windows 10: ssä

• Luokka: Windows

Kokeile Instrumenttia Ongelmien Poistamiseksi

Valitse Käyttöjärjestelmä Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Valitse Projektio -Ohjelma (Valinnaisesti) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Kuvaile Ongelmasi

Saada Vastausta

Lähetä Minut Sähköpostitse Näytä Sivustolla

Hyödyntäsuoja on Windows Defenderin uusi turvaominaisuus, jonka Microsoft esitteli käyttöjärjestelmän syksyn luomispäivitykseen.

Hyödynnä vartijaa on joukko ominaisuuksia, jotka sisältävät hyväksikäytön suojauksen, hyökkäyspinnan vähentäminen , verkon suojaus ja hallittu kansion käyttö .

Hyödyntämissuojaus voidaan parhaiten kuvata integroituna versiona Microsoftin EMET - Exploit Mitigation Experience Toolkit - tietoturvatyökalu, jonka yritys jää eläkkeelle vuoden 2018 puolivälissä .

Microsoft väitti aiemmin, että yrityksen Windows 10 -käyttöjärjestelmä tekisi EMET: n suorittamisesta Windowsin kanssa tarpeettomana ; Ainakin yksi tutkija kiisti kuitenkin Microsoftin väitteen.

Windows Defender Hyödynnä suojaus

Hyödyntämissuojaus on oletuksena käytössä, jos Windows Defender on käytössä. Ominaisuus on ainoa Exploit Guard -ominaisuus, joka ei vaadi reaaliaikaisen suojauksen ottamista käyttöön Windows Defenderissä.

Ominaisuus voidaan määrittää Windows Defender Security Center -sovelluksessa, PowerShell-komentojen kautta tai käytännöinä.

Määritykset Windows Defender Security Center -sovelluksessa

Voit määrittää hyväksikäytön suojauksen Windows Defender Security Center -sovelluksessa.

1. Avaa Asetukset-sovellus Windows-I: n avulla.
2. Siirry kohtaan Päivitys ja suojaus> Windows Defender.
3. Valitse Avaa Windows Defenderin tietoturvakeskus.
4. Valitse sovellus- ja selainohjaus, joka on lueteltu sivupalkin linkinä uudessa avautuvassa ikkunassa.
5. Etsi sivulta hyväksikäyttösuojaus ja napsauta hyväksikäyttösuojausasetuksia.

Asetukset on jaettu Järjestelmäasetukset ja Ohjelma-asetukset.

Järjestelmäasetuksissa luetellaan käytettävissä olevat suojamekanismit ja niiden tila. Seuraavat ovat saatavana Windows 10: n syksyntuottajien päivityksessä:

• Control Flow Guard (CFG) - päällä oletuksena.
• Tietojen suorittamisen estäminen (DEP) - oletusasetuksena.
• Pakota kuvien satunnaistaminen (pakollinen ASLR) - oletuksena pois käytöstä.
• Satunnaista muistin varaukset (Bottom-up ASLR) - oletusarvoisesti.
• Vahvista poikkeusketjut (SEHOP) - oletuksena päällä.
• Vahvista kasan eheys - päällä oletuksena.

Voit muuttaa minkä tahansa vaihtoehdon tilan oletusasetuksena päällä, oletuksena pois päältä tai käytön oletusasetuksena.

Ohjelma-asetukset antavat sinulle mahdollisuuden mukauttaa yksittäisten ohjelmien ja sovellusten suojausta. Tämä toimii samalla tavalla kuin miten voit lisätä poikkeuksia Microsoft EMETiin tietyille ohjelmille; hyvä, jos ohjelma toimii huonosti, kun tietyt suojamoduulit otetaan käyttöön.

Muutamilla ohjelmilla on oletuksena poikkeuksia. Tämä sisältää svchost.exe, spools.exe, runtimebroker.exe, iexplore.exe ja muut Windowsin ydinohjelmat. Huomaa, että voit ohittaa nämä poikkeukset valitsemalla tiedostot ja napsauttamalla Muokkaa.

Napsauta 'Lisää ohjelma mukauttaaksesi' lisätäksesi ohjelman nimen tai tarkan polun mukaan poikkeusluetteloon.

Voit asettaa kaikkien tuettujen suojausten tilan erikseen jokaiselle ohjelmalle, jonka olet lisännyt ohjelma-asetuksissa. Järjestelmän oletusarvojen ohittamisen ja yhden tai pois käytön pakottamisen lisäksi on olemassa myös vaihtoehto asettaa se vain auditointiin. Jälkimmäinen tallentaa tapahtumia, jotka olisivat lauenneet, jos suojauksen tila olisi ollut käytössä, mutta tallentaa vain tapahtuman Windows-tapahtumalokiin.

Ohjelma-asetukset luettelevat lisäsuojausasetukset, joita et voi määrittää järjestelmäasetuksissa, koska ne on määritetty toimimaan vain sovellustasolla.

Nämä ovat:

• Mielivaltainen koodisuoja (ACG)
• Puhalla heikkolaatuisia kuvia
• Estä etäkuvat
• Estä epäluotetut fontit
• Koodin eheyden suoja
• Poista laajennuspisteet käytöstä
• Poista Win32-järjestelmäkutsu käytöstä
• Älä salli lapsiprosesseja
• Vie osoitteiden suodatus (EAF)
• Tuo osoitteiden suodatus (IAF)
• Suorita simulointi (SimExec)
• Vahvista API-kutsu (CallerCheck)
• Vahvista kahvan käyttö
• Tarkista kuvan riippuvuus -integraatio
• Vahvista pinon eheys (StackPivot)

Hyödyntämisen suojauksen määrittäminen PowerShellin avulla

Voit käyttää PowerShelliä asettamaan, poistamaan tai listaamaan lievennyksiä. Seuraavat komennot ovat käytettävissä:

Voit luetella määritetyn prosessin kaikki lievennykset: Get-ProcessMitigation -Name processName.exe

Aseta lievennykset: Set-ProcessMitigation - - ,,

• Soveltamisala: on joko -järjestelmä tai -nimi.
• Toimi: on joko käytössä tai poissa käytöstä.
• Lieventäminen: lieventämisen nimi. Katso seuraava taulukko. Voit erottaa lievennykset pilkulla.

esimerkkejä:

• Set-Processmitigation -Systeemi - Ota DEP käyttöön
• Set-Processmitigation -Nimi test.exe -Poista - Poista DEP
• Set-ProcessMitigation -Nimi processName.exe - Ota EnableExportAddressFilterPlus käyttöön -EAFModules dllName1.dll, dllName2.dll

lieventäminen	Pätee	PowerShell-cmdletit	Tarkistustilan cmdlet
Säätövirtaussuoja (CFG)	Järjestelmä- ja sovellustaso	CFG, StrictCFG, SuppressExports	Auditointia ei ole saatavana
Tietojen suorittamisen estäminen (DEP)	Järjestelmä- ja sovellustaso	DEP, EmulateAtlThunks	Auditointia ei ole saatavana
Pakota kuvien satunnaistaminen (pakollinen ASLR)	Järjestelmä- ja sovellustaso	ForceRelocate	Auditointia ei ole saatavana
Satunnaista muistin varaukset (Bottom-Up ASLR)	Järjestelmä- ja sovellustaso	BottomUp, korkeaEntropia	Auditointia ei ole saatavana
Validoi poikkeusketjut (SEHOP)	Järjestelmä- ja sovellustaso	SEHOP, SEHOPTelemetry	Auditointia ei ole saatavana
Vahvista kasan eheys	Järjestelmä- ja sovellustaso	TerminateOnHeapError	Auditointia ei ole saatavana
Mielivaltainen koodisuoja (ACG)	Vain sovellustasolla	DynamicCode	AuditDynamicCode
Estä heikkolaatuiset kuvat	Vain sovellustasolla	BlockLowLabel	AuditImageLoad
Estä etäkuvat	Vain sovellustasolla	BlockRemoteImages	Auditointia ei ole saatavana
Estä epäluotetut fontit	Vain sovellustasolla	DisableNonSystemFonts	AuditFont, FontAuditOnly
Koodin eheyden suoja	Vain sovellustasolla	BlockNonMicrosoftSignated, AllowStoreSignated	AuditMicrosoftSigned, AuditStoreSignated
Poista laajennuspisteet käytöstä	Vain sovellustasolla	ExtensionPoint	Auditointia ei ole saatavana
Poista Win32k-järjestelmäpuhelut käytöstä	Vain sovellustasolla	DisableWin32kSystemCalls	AuditSystemCall
Älä salli lapsiprosesseja	Vain sovellustasolla	DisallowChildProcessCreation	AuditChildProcess
Vie osoitteiden suodatus (EAF)	Vain sovellustasolla	EnableExportAddressFilterPlus, EnableExportAddressFilter [yksi]	Auditointia ei ole saatavana
Tuo osoitteiden suodatus (IAF)	Vain sovellustasolla	EnableImportAddressFilter	Auditointia ei ole saatavana
Suorita simulointi (SimExec)	Vain sovellustasolla	EnableRopSimExec	Auditointia ei ole saatavana
Vahvista API-kutsu (CallerCheck)	Vain sovellustasolla	EnableRopCallerCheck	Auditointia ei ole saatavana
Vahvista kahvan käyttö	Vain sovellustasolla	StrictHandle	Auditointia ei ole saatavana
Vahvista kuvan riippuvuuden eheys	Vain sovellustasolla	EnforceModuleDepencySigning	Auditointia ei ole saatavana
Vahvista pinon eheys (StackPivot)	Vain sovellustasolla	EnableRopStackPivot	Auditointia ei ole saatavana

Kokoonpanojen tuominen ja vienti

Kokoonpanot voidaan tuoda ja viedä. Voit tehdä niin Windows Defenderin avulla, joka hyödyntää Windows Defenderin tietoturvakeskuksen suojausasetuksia, käyttämällä PowerShelliä ja käytäntöjä.

EMET-kokoonpanot voidaan lisäksi muuntaa siten, että ne voidaan tuoda.

Hyödyntä suoja -asetusten käyttäminen

Voit viedä kokoonpanot asetussovelluksessa, mutta et voi tuoda niitä. Vienti lisää kaikki järjestelmä- ja sovellustason lievennykset.

Napsauta vain viedä suojaus -linkkiä hyödyntääksesi suojausta.

Määritystiedoston vieminen PowerShell-sovelluksella

1. Avaa kohonnut Powershell-kehote.
2. Get-ProcessMitigation -RegistryConfigFilePath-tiedostonimi.xml

Muokkaa tiedostonimi.xml niin, että se heijastaa tallennuspaikkaa ja tiedostonimeä.

Konfigurointitiedoston tuominen PowerShellin avulla

1. Avaa kohonnut Powershell-kehote.
2. Suorita seuraava komento: Set-ProcessMitigation -PolicyFilePath tiedostonimi.xml

Muokkaa tiedostonimi.xml niin, että se osoittaa kokoonpano-XML-tiedoston sijainnin ja tiedostonimen.

Ryhmäkäytännön käyttäminen asetustiedoston asentamisessa

Voit asentaa määritystiedostot käytäntöjen avulla.

1. Napauta Windows-näppäintä, kirjoita gpedit.msc ja paina Enter-näppäintä käynnistääksesi ryhmäkäytäntöeditorin.
2. Siirry kohtaan Tietokonekokoonpano> Hallintamallit> Windows-komponentit> Windows Defender Exploit Guard> Hyödynnä suojaus.
3. Kaksoisnapsauta kohtaa Käytä komentojoukkoa hyväksikäytön suojausasetukset.
4. Aseta käytäntö käyttöön.
5. Lisää konfigurointi-XML-tiedoston polku ja tiedostonimi asetuskenttään.

EMET-tiedoston muuntaminen

1. Avaa korotettu PowerShell-kehote yllä kuvatulla tavalla.
2. Suorita komento ConvertTo-ProcessMitigationPolicy -EMETFilePath emetFile.xml -OutputFilePath tiedostonimi.xml

Muuta emetFile.xml EMET-määritystiedoston polkuun ja sijaintiin.

Muuta tiedostonimi.xml polkuun ja sijaintiin, johon haluat muuntaa konfigurointitiedoston.

voimavarat

• Arvioi hyväksikäytön suoja
• Ota käyttöön hyväksikäytön suojaus
• Mukauta Hyödyntä suojaus
• Tuo, vie ja ota käyttöön Suojauskonfiguraatiot