Конфигуришите заштиту Виндовс Дефендер Екплоит у Виндовс 10
- Категорија: Виндовс
Заштита од експлоатације је нова безбедносна карактеристика Виндовс Дефендер-а коју је Мицрософт увео у Фалл Цреаторс Упдате.
Екплоит Гуард је скуп функција које укључују заштиту од експлоатације, смањење површине напада , заштиту мреже и контролирани приступ фасцикли .
Заштита од експлоатације може се најбоље описати као интегрисана верзија Мицрософтовог ЕМЕТ - Екплоит Митигатион Екпериенце Тоолкит - безбедносног алата који компанија повући ће се средином 2018. године .
Мицрософт је раније тврдио да је Виндовс 10 оперативни систем учинило би покретање ЕМЕТ-а поред Виндовс-а непотребним ; барем је један истраживач одбацио Мицрософтову тврдњу.
Виндовс Дефендер Екплоит заштита
Заштита од употребе подразумевано је омогућена ако је омогућен Виндовс Дефендер. Ова функција је једина функција Екплоит Гуард-а за коју није потребна заштита у реалном времену у програму Виндовс Дефендер.
Функција се може конфигурирати у апликацији Виндовс Дефендер Сецурити Центер, путем наредби ПоверСхелл или као правила.
Конфигурација у апликацији Виндовс Дефендер Сецурити Центер
Можете да конфигуришете заштиту од употребе у апликацији Виндовс Дефендер Сецурити Центер.
- Користите Виндовс-И да отворите апликацију Подешавања.
- Идите на Ажурирање и сигурност> Виндовс Дефендер.
- Изаберите Отвори безбедносни центар Виндовс Дефендер.
- Изаберите апликацију и контролу прегледача наведену као везу бочне траке у новом прозору који се отвори.
- Пронађите унос заштите експлоатације на страници и кликните на поставке заштите експлоатације.
Подешавања су подељена на Подешавања система и Подешавања програма.
Подешавања система наводе доступне механизме заштите и њихов статус. Следеће су доступне у Ажурирању за Виндовс 10 Фалл Цреаторс:
- Цонтрол Флов Гуард (ЦФГ) - подразумевано укључен.
- Превенција извршавања података (ДЕП) - подразумевано је укључена.
- Присиљава насумичност наслова (Обавезно АСЛР) - искључено је подразумевано.
- Рандомизирајте додељивање меморије (одоздо према горе АСЛР) - или подразумевано.
- Провјерите ланце изузетака (СЕХОП) - подразумевано укључено.
- Провјерите интегритет копије - подразумијевано је укључено.
Статус било које опције можете да промените у „подразумевано укључено“, „подразумевано искључено“ или „користи подразумевано“.
Поставке програма пружају вам могућности прилагођавања заштите за појединачне програме и апликације. Ово функционише слично као што бисте могли да додате изузетака у Мицрософт ЕМЕТ-у за одређене програме; добро ако се програм лоше понаша када су омогућени одређени заштитни модули.
Доста неколико програма подразумевано има изузетке. Ово укључује свцхост.еке, споолс.еке, рунтимеброкер.еке, иекплоре.еке и остале основне Виндовс програме. Имајте на уму да ове изузетке можете надјачати одабиром датотека и кликом на уређивање.
Кликните на „додај програм да се прилагоди“ да бисте додали програм по имену или тачан пут датотеке у листу изузетака.
Можете подесити статус свих подржаних заштита појединачно за сваки програм који сте додали у програмским подешавањима. Осим што поништавате задани систем и форсирате га на једно или искључено, постоји и опција да се подеси на „само ревизију“. Потоњи бележи догађаје који би били активирани када би статус заштите био укључен, али ће само догађај бележити у дневник догађаја Виндовс.
Поставке програма набрајају додатне опције заштите које не можете да конфигуришете у подешавањима система јер су конфигуриране за покретање само на нивоу апликације.
Су:
- Арбитрарни заштитни код (АЦГ)
- Отисните слике ниског интегритета
- Блокирајте удаљене слике
- Блокирајте непоуздане фонтове
- Заштита интегритета кода
- Онемогућите продужне тачке
- Онемогућите системске позиве Вин32
- Не дозволите дечије процесе
- Филтрирање извозних адреса (ЕАФ)
- Увези филтрирање адреса (ИАФ)
- Симулација извршавања (СимЕкец)
- Провјера АПИ позива (ЦаллерЦхецк)
- Потврдите употребу ручке
- Потврдите интеграцију зависности слике
- Провјерите интегритет скупа (СтацкПивот)
Конфигурисање заштите експлоатације помоћу ПоверСхелл-а
ПоверСхелл можете користити за постављање, уклањање или попис ублажавања. Доступне су следеће команде:
Да бисте излистали сва ублажавања наведеног процеса: Гет-ПроцессМитигатион -Наме процессНаме.еке
Да бисте поставили ублажавања: Сет-ПроцессМитигатион - - ,,
- Обим: је или -Систем или -Наме.
- Радња: или -Енабле или -Дисабле.
- Ублажавање: назив ублажавања. Погледајте следећу табелу. Ублажавање можете одвојити зарезом.
Примери:
- Сет-Процессмитигатион -Систем -Енабле ДЕП
- Сет-Процессмитигатион -Наме тест.еке -Ремове -Дисабле ДЕП
- Сет-ПроцессМитигатион -Наме процессНаме.еке -Енабле ЕнаблеЕкпортАддрессФилтерПлус -ЕАФМодулес дллНаме1.длл, дллНаме2.длл
Ублажавање | Се односи на | ПоверСхелл цмдлетс | Цмдлет мод ревизије |
---|---|---|---|
Штитник за контролни проток (ЦФГ) | Системски и апликативни ниво | ЦФГ, СтрицтЦФГ, СуппрессЕкпортс | Ревизија није доступна |
Спречавање извршавања података (ДЕП) | Системски и апликативни ниво | ДЕП, ЕмулатеАтлТхункс | Ревизија није доступна |
Присилна рандомизација слика (Обавезна АСЛР) | Системски и апликативни ниво | ФорцеРелоцате | Ревизија није доступна |
Случајно доделите меморију (Боттом-Уп АСЛР) | Системски и апликативни ниво | БоттомУп, ХигхЕнтропи | Ревизија није доступна |
Потврдите ланце изузетака (СЕХОП) | Системски и апликативни ниво | СЕХОП, СЕХОПТелеметрија | Ревизија није доступна |
Провјерите интегритет хрпе | Системски и апликативни ниво | ТерминатеОнХеапЕррор | Ревизија није доступна |
Арбитрарни заштитни код (АЦГ) | Само на нивоу апликације | ДинамицЦоде | АудитДинамицЦоде |
Блокирајте слике слабог интегритета | Само на нивоу апликације | БлоцкЛовЛабел | АудитИмагеЛоад |
Блокирајте удаљене слике | Само на нивоу апликације | БлоцкРемотеИмагес | Ревизија није доступна |
Блокирајте непоуздане фонтове | Само на нивоу апликације | ДисаблеНонСистемФонтс | АудитФонт, ФонтАудитОнли |
Заштита интегритета кода | Само на нивоу апликације | БлоцкНонМицрософтСигнед, АлловСтореСигнед | АудитМицрософтСигнед, АудитСтореСигнед |
Онемогућите продужне тачке | Само на нивоу апликације | ЕктенсионПоинт | Ревизија није доступна |
Онемогућите системске позиве Вин32к | Само на нивоу апликације | ДисаблеВин32кСистемЦаллс | АудитСистемЦалл |
Не дозволите дечије процесе | Само на нивоу апликације | ДисалловЦхилдПроцессЦреатион | АудитЦхилдПроцесс |
Филтрирање извозних адреса (ЕАФ) | Само на нивоу апликације | ЕнаблеЕкпортАддрессФилтерПлус, ЕнаблеЕкпортАддрессФилтер [једно] | Ревизија није доступна |
Увези филтрирање адреса (ИАФ) | Само на нивоу апликације | ЕнаблеИмпортАддрессФилтер | Ревизија није доступна |
Симулација извршавања (СимЕкец) | Само на нивоу апликације | ЕнаблеРопСимЕкец | Ревизија није доступна |
Провјера АПИ позива (ЦаллерЦхецк) | Само на нивоу апликације | ЕнаблеРопЦаллерЦхецк | Ревизија није доступна |
Потврдите употребу ручке | Само на нивоу апликације | СтрицтХандле | Ревизија није доступна |
Провјерите интегритет овисности слике | Само на нивоу апликације | ЕнфорцеМодулеДепенциСигнинг | Ревизија није доступна |
Провјерите интегритет скупа (СтацкПивот) | Само на нивоу апликације | ЕнаблеРопСтацкПивот | Ревизија није доступна |
Увоз и извоз конфигурација
Конфигурације се могу увести и извозити. То можете учинити користећи Виндовс Дефендер подешавања заштите у програму Виндовс Дефендер Сецурити Центер, користећи ПоверСхелл, користећи смернице.
ЕМЕТ конфигурације се такође могу претворити тако да се могу увозити.
Коришћење поставки заштите Екплоит
Конфигурације можете извести у апликацији за подешавања, али не и увозити их. Извоз додаје сва ублажавања на нивоу система и на апликацијама.
Само кликните на везу „Извези поставке“ под заштитом искориштавања да бисте то учинили.
Користите ПоверСхелл за извоз конфигурационе датотеке
- Отворите брзи Поверсхелл промпт.
- Гет-ПроцессМитигатион -РегистриЦонфигФилеПатх филенаме.кмл
Уредите филенаме.кмл тако да одражава локацију сачувања и назив датотеке.
Помоћу ПоверСхелл-а за увоз конфигурационе датотеке
- Отворите брзи Поверсхелл промпт.
- Покрените следећу наредбу: Сет-ПроцессМитигатион -ПолициФилеПатх филенаме.кмл
Уредите филенаме.кмл тако да указује на локацију и назив датотеке конфигурацијске КСМЛ датотеке.
Коришћење смерница групе за инсталирање конфигурационе датотеке
Конфигурацијске датотеке можете инсталирати користећи смернице.
- Куцните на Виндовс кључ, откуцајте гпедит.мсц и притисните тастер Ентер да бисте покренули уређивач групних политика.
- Идите до Конфигурација рачунара> Административни предлошци> Виндовс компоненте> Виндовс Дефендер Екплоит Гуард> Екплоит протецтион.
- Двапут кликните на 'Користи наредбени сет поставки заштите експлоатације'.
- Подесите смернице на омогућено.
- Додајте путању и назив датотеке конфигурацијске КСМЛ датотеке у поље с опцијама.
Конвертовање ЕМЕТ датотеке
- Отворите повишен ПоверСхелл промпт као што је горе описано.
- Покрените наредбу ЦонвертТо-ПроцессМитигатионПолици -ЕМЕТФилеПатх еметФиле.кмл -ОутпутФилеПатх филенаме.кмл
Промените еметФиле.кмл на путању и локацију конфигурационе датотеке ЕМЕТ.
Промените филенаме.кмл у путању и локацију на коју желите да се конвертирана конфигурациона датотека сачува.