Määritä Windows Defender Exploit -suojaus Windows 10: ssä

Hyödyntäsuoja on Windows Defenderin uusi turvaominaisuus, jonka Microsoft esitteli käyttöjärjestelmän syksyn luomispäivitykseen.

Hyödynnä vartijaa on joukko ominaisuuksia, jotka sisältävät hyväksikäytön suojauksen, hyökkäyspinnan vähentäminen , verkon suojaus ja hallittu kansion käyttö .

Hyödyntämissuojaus voidaan parhaiten kuvata integroituna versiona Microsoftin EMET - Exploit Mitigation Experience Toolkit - tietoturvatyökalu, jonka yritys jää eläkkeelle vuoden 2018 puolivälissä .

Microsoft väitti aiemmin, että yrityksen Windows 10 -käyttöjärjestelmä tekisi EMET: n suorittamisesta Windowsin kanssa tarpeettomana ; Ainakin yksi tutkija kiisti kuitenkin Microsoftin väitteen.

Windows Defender Hyödynnä suojaus

Hyödyntämissuojaus on oletuksena käytössä, jos Windows Defender on käytössä. Ominaisuus on ainoa Exploit Guard -ominaisuus, joka ei vaadi reaaliaikaisen suojauksen ottamista käyttöön Windows Defenderissä.

Ominaisuus voidaan määrittää Windows Defender Security Center -sovelluksessa, PowerShell-komentojen kautta tai käytännöinä.

Määritykset Windows Defender Security Center -sovelluksessa

exploit protection windows defender

Voit määrittää hyväksikäytön suojauksen Windows Defender Security Center -sovelluksessa.

  1. Avaa Asetukset-sovellus Windows-I: n avulla.
  2. Siirry kohtaan Päivitys ja suojaus> Windows Defender.
  3. Valitse Avaa Windows Defenderin tietoturvakeskus.
  4. Valitse sovellus- ja selainohjaus, joka on lueteltu sivupalkin linkinä uudessa avautuvassa ikkunassa.
  5. Etsi sivulta hyväksikäyttösuojaus ja napsauta hyväksikäyttösuojausasetuksia.

Asetukset on jaettu Järjestelmäasetukset ja Ohjelma-asetukset.

Järjestelmäasetuksissa luetellaan käytettävissä olevat suojamekanismit ja niiden tila. Seuraavat ovat saatavana Windows 10: n syksyntuottajien päivityksessä:

  • Control Flow Guard (CFG) - päällä oletuksena.
  • Tietojen suorittamisen estäminen (DEP) - oletusasetuksena.
  • Pakota kuvien satunnaistaminen (pakollinen ASLR) - oletuksena pois käytöstä.
  • Satunnaista muistin varaukset (Bottom-up ASLR) - oletusarvoisesti.
  • Vahvista poikkeusketjut (SEHOP) - oletuksena päällä.
  • Vahvista kasan eheys - päällä oletuksena.

Voit muuttaa minkä tahansa vaihtoehdon tilan oletusasetuksena päällä, oletuksena pois päältä tai käytön oletusasetuksena.

Ohjelma-asetukset antavat sinulle mahdollisuuden mukauttaa yksittäisten ohjelmien ja sovellusten suojausta. Tämä toimii samalla tavalla kuin miten voit lisätä poikkeuksia Microsoft EMETiin tietyille ohjelmille; hyvä, jos ohjelma toimii huonosti, kun tietyt suojamoduulit otetaan käyttöön.

Muutamilla ohjelmilla on oletuksena poikkeuksia. Tämä sisältää svchost.exe, spools.exe, runtimebroker.exe, iexplore.exe ja muut Windowsin ydinohjelmat. Huomaa, että voit ohittaa nämä poikkeukset valitsemalla tiedostot ja napsauttamalla Muokkaa.

program settings exploit protection

Napsauta 'Lisää ohjelma mukauttaaksesi' lisätäksesi ohjelman nimen tai tarkan polun mukaan poikkeusluetteloon.

Voit asettaa kaikkien tuettujen suojausten tilan erikseen jokaiselle ohjelmalle, jonka olet lisännyt ohjelma-asetuksissa. Järjestelmän oletusarvojen ohittamisen ja yhden tai pois käytön pakottamisen lisäksi on olemassa myös vaihtoehto asettaa se vain auditointiin. Jälkimmäinen tallentaa tapahtumia, jotka olisivat lauenneet, jos suojauksen tila olisi ollut käytössä, mutta tallentaa vain tapahtuman Windows-tapahtumalokiin.

Ohjelma-asetukset luettelevat lisäsuojausasetukset, joita et voi määrittää järjestelmäasetuksissa, koska ne on määritetty toimimaan vain sovellustasolla.

Nämä ovat:

  • Mielivaltainen koodisuoja (ACG)
  • Puhalla heikkolaatuisia kuvia
  • Estä etäkuvat
  • Estä epäluotetut fontit
  • Koodin eheyden suoja
  • Poista laajennuspisteet käytöstä
  • Poista Win32-järjestelmäkutsu käytöstä
  • Älä salli lapsiprosesseja
  • Vie osoitteiden suodatus (EAF)
  • Tuo osoitteiden suodatus (IAF)
  • Suorita simulointi (SimExec)
  • Vahvista API-kutsu (CallerCheck)
  • Vahvista kahvan käyttö
  • Tarkista kuvan riippuvuus -integraatio
  • Vahvista pinon eheys (StackPivot)

Hyödyntämisen suojauksen määrittäminen PowerShellin avulla

Voit käyttää PowerShelliä asettamaan, poistamaan tai listaamaan lievennyksiä. Seuraavat komennot ovat käytettävissä:

Voit luetella määritetyn prosessin kaikki lievennykset: Get-ProcessMitigation -Name processName.exe

Aseta lievennykset: Set-ProcessMitigation - - ,,

  • Soveltamisala: on joko -järjestelmä tai -nimi.
  • Toimi: on joko käytössä tai poissa käytöstä.
  • Lieventäminen: lieventämisen nimi. Katso seuraava taulukko. Voit erottaa lievennykset pilkulla.

esimerkkejä:

  • Set-Processmitigation -Systeemi - Ota DEP käyttöön
  • Set-Processmitigation -Nimi test.exe -Poista - Poista DEP
  • Set-ProcessMitigation -Nimi processName.exe - Ota EnableExportAddressFilterPlus käyttöön -EAFModules dllName1.dll, dllName2.dll
lieventäminenPäteePowerShell-cmdletitTarkistustilan cmdlet
Säätövirtaussuoja (CFG)Järjestelmä- ja sovellustasoCFG, StrictCFG, SuppressExportsAuditointia ei ole saatavana
Tietojen suorittamisen estäminen (DEP)Järjestelmä- ja sovellustasoDEP, EmulateAtlThunksAuditointia ei ole saatavana
Pakota kuvien satunnaistaminen (pakollinen ASLR)Järjestelmä- ja sovellustasoForceRelocateAuditointia ei ole saatavana
Satunnaista muistin varaukset (Bottom-Up ASLR)Järjestelmä- ja sovellustasoBottomUp, korkeaEntropiaAuditointia ei ole saatavana
Validoi poikkeusketjut (SEHOP)Järjestelmä- ja sovellustasoSEHOP, SEHOPTelemetryAuditointia ei ole saatavana
Vahvista kasan eheysJärjestelmä- ja sovellustasoTerminateOnHeapErrorAuditointia ei ole saatavana
Mielivaltainen koodisuoja (ACG)Vain sovellustasollaDynamicCodeAuditDynamicCode
Estä heikkolaatuiset kuvatVain sovellustasollaBlockLowLabelAuditImageLoad
Estä etäkuvatVain sovellustasollaBlockRemoteImagesAuditointia ei ole saatavana
Estä epäluotetut fontitVain sovellustasollaDisableNonSystemFontsAuditFont, FontAuditOnly
Koodin eheyden suojaVain sovellustasollaBlockNonMicrosoftSignated, AllowStoreSignatedAuditMicrosoftSigned, AuditStoreSignated
Poista laajennuspisteet käytöstäVain sovellustasollaExtensionPointAuditointia ei ole saatavana
Poista Win32k-järjestelmäpuhelut käytöstäVain sovellustasollaDisableWin32kSystemCallsAuditSystemCall
Älä salli lapsiprosessejaVain sovellustasollaDisallowChildProcessCreationAuditChildProcess
Vie osoitteiden suodatus (EAF)Vain sovellustasollaEnableExportAddressFilterPlus, EnableExportAddressFilter [yksi] Auditointia ei ole saatavana
Tuo osoitteiden suodatus (IAF)Vain sovellustasollaEnableImportAddressFilterAuditointia ei ole saatavana
Suorita simulointi (SimExec)Vain sovellustasollaEnableRopSimExecAuditointia ei ole saatavana
Vahvista API-kutsu (CallerCheck)Vain sovellustasollaEnableRopCallerCheckAuditointia ei ole saatavana
Vahvista kahvan käyttöVain sovellustasollaStrictHandleAuditointia ei ole saatavana
Vahvista kuvan riippuvuuden eheysVain sovellustasollaEnforceModuleDepencySigningAuditointia ei ole saatavana
Vahvista pinon eheys (StackPivot)Vain sovellustasollaEnableRopStackPivotAuditointia ei ole saatavana

Kokoonpanojen tuominen ja vienti

Kokoonpanot voidaan tuoda ja viedä. Voit tehdä niin Windows Defenderin avulla, joka hyödyntää Windows Defenderin tietoturvakeskuksen suojausasetuksia, käyttämällä PowerShelliä ja käytäntöjä.

EMET-kokoonpanot voidaan lisäksi muuntaa siten, että ne voidaan tuoda.

Hyödyntä suoja -asetusten käyttäminen

Voit viedä kokoonpanot asetussovelluksessa, mutta et voi tuoda niitä. Vienti lisää kaikki järjestelmä- ja sovellustason lievennykset.

Napsauta vain viedä suojaus -linkkiä hyödyntääksesi suojausta.

Määritystiedoston vieminen PowerShell-sovelluksella

  1. Avaa kohonnut Powershell-kehote.
  2. Get-ProcessMitigation -RegistryConfigFilePath-tiedostonimi.xml

Muokkaa tiedostonimi.xml niin, että se heijastaa tallennuspaikkaa ja tiedostonimeä.

Konfigurointitiedoston tuominen PowerShellin avulla

  1. Avaa kohonnut Powershell-kehote.
  2. Suorita seuraava komento: Set-ProcessMitigation -PolicyFilePath tiedostonimi.xml

Muokkaa tiedostonimi.xml niin, että se osoittaa kokoonpano-XML-tiedoston sijainnin ja tiedostonimen.

Ryhmäkäytännön käyttäminen asetustiedoston asentamisessa

use common set exploit protection

Voit asentaa määritystiedostot käytäntöjen avulla.

  1. Napauta Windows-näppäintä, kirjoita gpedit.msc ja paina Enter-näppäintä käynnistääksesi ryhmäkäytäntöeditorin.
  2. Siirry kohtaan Tietokonekokoonpano> Hallintamallit> Windows-komponentit> Windows Defender Exploit Guard> Hyödynnä suojaus.
  3. Kaksoisnapsauta kohtaa Käytä komentojoukkoa hyväksikäytön suojausasetukset.
  4. Aseta käytäntö käyttöön.
  5. Lisää konfigurointi-XML-tiedoston polku ja tiedostonimi asetuskenttään.

EMET-tiedoston muuntaminen

  1. Avaa korotettu PowerShell-kehote yllä kuvatulla tavalla.
  2. Suorita komento ConvertTo-ProcessMitigationPolicy -EMETFilePath emetFile.xml -OutputFilePath tiedostonimi.xml

Muuta emetFile.xml EMET-määritystiedoston polkuun ja sijaintiin.

Muuta tiedostonimi.xml polkuun ja sijaintiin, johon haluat muuntaa konfigurointitiedoston.

voimavarat