Конфигуришите заштиту Виндовс Дефендер Екплоит у Виндовс 10

Заштита од експлоатације је нова безбедносна карактеристика Виндовс Дефендер-а коју је Мицрософт увео у Фалл Цреаторс Упдате.



Екплоит Гуард је скуп функција које укључују заштиту од експлоатације, смањење површине напада , заштиту мреже и контролирани приступ фасцикли .

Заштита од експлоатације може се најбоље описати као интегрисана верзија Мицрософтовог ЕМЕТ - Екплоит Митигатион Екпериенце Тоолкит - безбедносног алата који компанија повући ће се средином 2018. године .

Мицрософт је раније тврдио да је Виндовс 10 оперативни систем учинило би покретање ЕМЕТ-а поред Виндовс-а непотребним ; барем је један истраживач одбацио Мицрософтову тврдњу.

Виндовс Дефендер Екплоит заштита



Заштита од употребе подразумевано је омогућена ако је омогућен Виндовс Дефендер. Ова функција је једина функција Екплоит Гуард-а за коју није потребна заштита у реалном времену у програму Виндовс Дефендер.

Функција се може конфигурирати у апликацији Виндовс Дефендер Сецурити Центер, путем наредби ПоверСхелл или као правила.

Конфигурација у апликацији Виндовс Дефендер Сецурити Центер

exploit protection windows defender



Можете да конфигуришете заштиту од употребе у апликацији Виндовс Дефендер Сецурити Центер.

  1. Користите Виндовс-И да отворите апликацију Подешавања.
  2. Идите на Ажурирање и сигурност> Виндовс Дефендер.
  3. Изаберите Отвори безбедносни центар Виндовс Дефендер.
  4. Изаберите апликацију и контролу прегледача наведену као везу бочне траке у новом прозору који се отвори.
  5. Пронађите унос заштите експлоатације на страници и кликните на поставке заштите експлоатације.

Подешавања су подељена на Подешавања система и Подешавања програма.

Подешавања система наводе доступне механизме заштите и њихов статус. Следеће су доступне у Ажурирању за Виндовс 10 Фалл Цреаторс:

  • Цонтрол Флов Гуард (ЦФГ) - подразумевано укључен.
  • Превенција извршавања података (ДЕП) - подразумевано је укључена.
  • Присиљава насумичност наслова (Обавезно АСЛР) - искључено је подразумевано.
  • Рандомизирајте додељивање меморије (одоздо према горе АСЛР) - или подразумевано.
  • Провјерите ланце изузетака (СЕХОП) - подразумевано укључено.
  • Провјерите интегритет копије - подразумијевано је укључено.



Статус било које опције можете да промените у „подразумевано укључено“, „подразумевано искључено“ или „користи подразумевано“.

Поставке програма пружају вам могућности прилагођавања заштите за појединачне програме и апликације. Ово функционише слично као што бисте могли да додате изузетака у Мицрософт ЕМЕТ-у за одређене програме; добро ако се програм лоше понаша када су омогућени одређени заштитни модули.



Доста неколико програма подразумевано има изузетке. Ово укључује свцхост.еке, споолс.еке, рунтимеброкер.еке, иекплоре.еке и остале основне Виндовс програме. Имајте на уму да ове изузетке можете надјачати одабиром датотека и кликом на уређивање.

program settings exploit protection

Кликните на „додај програм да се прилагоди“ да бисте додали програм по имену или тачан пут датотеке у листу изузетака.

Можете подесити статус свих подржаних заштита појединачно за сваки програм који сте додали у програмским подешавањима. Осим што поништавате задани систем и форсирате га на једно или искључено, постоји и опција да се подеси на „само ревизију“. Потоњи бележи догађаје који би били активирани када би статус заштите био укључен, али ће само догађај бележити у дневник догађаја Виндовс.

Поставке програма набрајају додатне опције заштите које не можете да конфигуришете у подешавањима система јер су конфигуриране за покретање само на нивоу апликације.

Су:

  • Арбитрарни заштитни код (АЦГ)
  • Отисните слике ниског интегритета
  • Блокирајте удаљене слике
  • Блокирајте непоуздане фонтове
  • Заштита интегритета кода
  • Онемогућите продужне тачке
  • Онемогућите системске позиве Вин32
  • Не дозволите дечије процесе
  • Филтрирање извозних адреса (ЕАФ)
  • Увези филтрирање адреса (ИАФ)
  • Симулација извршавања (СимЕкец)
  • Провјера АПИ позива (ЦаллерЦхецк)
  • Потврдите употребу ручке
  • Потврдите интеграцију зависности слике
  • Провјерите интегритет скупа (СтацкПивот)

Конфигурисање заштите експлоатације помоћу ПоверСхелл-а

ПоверСхелл можете користити за постављање, уклањање или попис ублажавања. Доступне су следеће команде:

Да бисте излистали сва ублажавања наведеног процеса: Гет-ПроцессМитигатион -Наме процессНаме.еке

Да бисте поставили ублажавања: Сет-ПроцессМитигатион - - ,,

  • Обим: је или -Систем или -Наме.
  • Радња: или -Енабле или -Дисабле.
  • Ублажавање: назив ублажавања. Погледајте следећу табелу. Ублажавање можете одвојити зарезом.

Примери:

  • Сет-Процессмитигатион -Систем -Енабле ДЕП
  • Сет-Процессмитигатион -Наме тест.еке -Ремове -Дисабле ДЕП
  • Сет-ПроцессМитигатион -Наме процессНаме.еке -Енабле ЕнаблеЕкпортАддрессФилтерПлус -ЕАФМодулес дллНаме1.длл, дллНаме2.длл
УблажавањеСе односи наПоверСхелл цмдлетсЦмдлет мод ревизије
Штитник за контролни проток (ЦФГ)Системски и апликативни нивоЦФГ, СтрицтЦФГ, СуппрессЕкпортсРевизија није доступна
Спречавање извршавања података (ДЕП)Системски и апликативни нивоДЕП, ЕмулатеАтлТхунксРевизија није доступна
Присилна рандомизација слика (Обавезна АСЛР)Системски и апликативни нивоФорцеРелоцатеРевизија није доступна
Случајно доделите меморију (Боттом-Уп АСЛР)Системски и апликативни нивоБоттомУп, ХигхЕнтропиРевизија није доступна
Потврдите ланце изузетака (СЕХОП)Системски и апликативни нивоСЕХОП, СЕХОПТелеметријаРевизија није доступна
Провјерите интегритет хрпеСистемски и апликативни нивоТерминатеОнХеапЕррорРевизија није доступна
Арбитрарни заштитни код (АЦГ)Само на нивоу апликацијеДинамицЦодеАудитДинамицЦоде
Блокирајте слике слабог интегритетаСамо на нивоу апликацијеБлоцкЛовЛабелАудитИмагеЛоад
Блокирајте удаљене сликеСамо на нивоу апликацијеБлоцкРемотеИмагесРевизија није доступна
Блокирајте непоуздане фонтовеСамо на нивоу апликацијеДисаблеНонСистемФонтсАудитФонт, ФонтАудитОнли
Заштита интегритета кодаСамо на нивоу апликацијеБлоцкНонМицрософтСигнед, АлловСтореСигнедАудитМицрософтСигнед, АудитСтореСигнед
Онемогућите продужне тачкеСамо на нивоу апликацијеЕктенсионПоинтРевизија није доступна
Онемогућите системске позиве Вин32кСамо на нивоу апликацијеДисаблеВин32кСистемЦаллсАудитСистемЦалл
Не дозволите дечије процесеСамо на нивоу апликацијеДисалловЦхилдПроцессЦреатионАудитЦхилдПроцесс
Филтрирање извозних адреса (ЕАФ)Само на нивоу апликацијеЕнаблеЕкпортАддрессФилтерПлус, ЕнаблеЕкпортАддрессФилтер [једно] Ревизија није доступна
Увези филтрирање адреса (ИАФ)Само на нивоу апликацијеЕнаблеИмпортАддрессФилтерРевизија није доступна
Симулација извршавања (СимЕкец)Само на нивоу апликацијеЕнаблеРопСимЕкецРевизија није доступна
Провјера АПИ позива (ЦаллерЦхецк)Само на нивоу апликацијеЕнаблеРопЦаллерЦхецкРевизија није доступна
Потврдите употребу ручкеСамо на нивоу апликацијеСтрицтХандлеРевизија није доступна
Провјерите интегритет овисности сликеСамо на нивоу апликацијеЕнфорцеМодулеДепенциСигнингРевизија није доступна
Провјерите интегритет скупа (СтацкПивот)Само на нивоу апликацијеЕнаблеРопСтацкПивотРевизија није доступна

Увоз и извоз конфигурација

Конфигурације се могу увести и извозити. То можете учинити користећи Виндовс Дефендер подешавања заштите у програму Виндовс Дефендер Сецурити Центер, користећи ПоверСхелл, користећи смернице.

ЕМЕТ конфигурације се такође могу претворити тако да се могу увозити.

Коришћење поставки заштите Екплоит

Конфигурације можете извести у апликацији за подешавања, али не и увозити их. Извоз додаје сва ублажавања на нивоу система и на апликацијама.

Само кликните на везу „Извези поставке“ под заштитом искориштавања да бисте то учинили.

Користите ПоверСхелл за извоз конфигурационе датотеке

  1. Отворите брзи Поверсхелл промпт.
  2. Гет-ПроцессМитигатион -РегистриЦонфигФилеПатх филенаме.кмл

Уредите филенаме.кмл тако да одражава локацију сачувања и назив датотеке.

Помоћу ПоверСхелл-а за увоз конфигурационе датотеке

  1. Отворите брзи Поверсхелл промпт.
  2. Покрените следећу наредбу: Сет-ПроцессМитигатион -ПолициФилеПатх филенаме.кмл

Уредите филенаме.кмл тако да указује на локацију и назив датотеке конфигурацијске КСМЛ датотеке.

Коришћење смерница групе за инсталирање конфигурационе датотеке

use common set exploit protection

Конфигурацијске датотеке можете инсталирати користећи смернице.

  1. Куцните на Виндовс кључ, откуцајте гпедит.мсц и притисните тастер Ентер да бисте покренули уређивач групних политика.
  2. Идите до Конфигурација рачунара> Административни предлошци> Виндовс компоненте> Виндовс Дефендер Екплоит Гуард> Екплоит протецтион.
  3. Двапут кликните на 'Користи наредбени сет поставки заштите експлоатације'.
  4. Подесите смернице на омогућено.
  5. Додајте путању и назив датотеке конфигурацијске КСМЛ датотеке у поље с опцијама.

Конвертовање ЕМЕТ датотеке

  1. Отворите повишен ПоверСхелл промпт као што је горе описано.
  2. Покрените наредбу ЦонвертТо-ПроцессМитигатионПолици -ЕМЕТФилеПатх еметФиле.кмл -ОутпутФилеПатх филенаме.кмл

Промените еметФиле.кмл на путању и локацију конфигурационе датотеке ЕМЕТ.

Промените филенаме.кмл у путању и локацију на коју желите да се конвертирана конфигурациона датотека сачува.

Ресурси