Konfigurirajte Windows Defender Exploit zaštitu u sustavu Windows 10

• Kategorija: Windows

Isprobajte Naš Instrument Za Uklanjanje Problema

Odaberite Operativni Sustav Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Odaberite Program Projekcije (Po Želji) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Opišite Svoj Problem

Dobiti Odgovor

Pošaljite Mi E -Mail Prikaži Na Mjestu

Zaštita od iskorištavanja nova je sigurnosna značajka Windows Defendera koju je Microsoft uveo u Fall Creators Update.

Exploit Guard je skup značajki koje uključuju zaštitu od eksploatacije, smanjenje površine napada , zaštitu mreže i kontrolirani pristup mapi ,

Zaštita od iskorištavanja najbolje se može opisati kao integrirana verzija Microsoftovog EMET - Exploit Mitigation Experience Toolkit - sigurnosnog alata koji tvrtka povući će se sredinom 2018. godine ,

Microsoft je ranije tvrdio da je Windows 10 operativni sustav bilo bi nepotrebno pokretanje EMET-a uz Windows ; barem je jedan istraživač odbacio Microsoftovu tvrdnju.

Windows Defender Exploit zaštita

Zaštita iskorištavanja omogućena je prema zadanim postavkama ako je omogućen Windows Defender. Ova značajka je jedina značajka Exploit Guard-a za koju nije potrebna zaštita u stvarnom vremenu u programu Windows Defender.

Značajka se može konfigurirati u programu Windows Defender Security Center, putem naredbi PowerShell ili kao pravila.

Konfiguracija u aplikaciji Windows Defender Security Center

Možete konfigurirati zaštitu iskorištavanja u programu Windows Defender Security Center.

1. Upotrijebite Windows-I za otvaranje aplikacije Settings.
2. Dođite do Ažuriranja i sigurnosti> Windows Defender.
3. Odaberite Otvori sigurnosni centar Windows Defender.
4. Odaberite kontrolu aplikacije i preglednika navedenu kao vezu bočne trake u novom prozoru koji se otvori.
5. Pronađite stranicu zaštite eksploatacije na stranici i kliknite na postavke zaštite eksploatacije.

Postavke su podijeljene na postavke sustava i postavke programa.

U postavkama sustava navedeni su dostupni mehanizmi zaštite i njihov status. U ažuriranju sustava Windows 10 Fall Creators dostupno je sljedeće:

• Kontrola upravljačkog protoka (CFG) - uključena prema zadanim postavkama.
• Sprječavanje izvršavanja podataka (DEP) - uključeno je prema zadanim postavkama.
• Prisilna randomizacija slika (Obvezna ASLR) - isključena prema zadanim postavkama.
• Randomizirajte raspoređivanje memorije (odozdo prema gore ASLR) - prema zadanim postavkama.
• Provjerite lance izuzetaka (SEHOP) - zadano uključeno.
• Provjerite integritet hrpe - zadano je uključeno.

Status bilo koje opcije možete promijeniti u 'zadano uključeno', 'isključeno prema zadanom' ili 'koristiti zadano'.

Programske postavke omogućuju vam prilagođavanje zaštite za pojedinačne programe i programe. To funkcionira slično kao što biste mogli dodati iznimke u programu Microsoft EMET za pojedine programe; dobro ako se program loše ponaša kada su omogućeni određeni zaštitni moduli.

Dosta nekoliko programa prema zadanim postavkama ima iznimke. To uključuje svchost.exe, spools.exe, runtimebroker.exe, iexplore.exe i ostale osnovne Windows programe. Imajte na umu da ove iznimke možete nadjačati odabirom datoteka i klikom na uređivanje.

Kliknite 'dodaj program za prilagodbu' da biste dodali program po imenu ili točnom putu datoteke na popis iznimki.

Možete postaviti status svih podržanih zaštita pojedinačno za svaki program koji ste dodali u programskim postavkama. Osim što poništavate zadani sustav i prisilite ga na jedno ili isključeno, postoji i opcija da se podesi na 'samo reviziju'. Potonji bilježi događaje koji bi se pokrenuli ako bi status zaštite bio uključen, ali zabilježit će samo događaj u dnevnik događaja Windows.

Programske postavke navode dodatne opcije zaštite koje ne možete konfigurirati u postavkama sustava jer su konfigurirane za pokretanje samo na aplikacijskoj razini.

Ovi su:

• Arbitrarni zaštitni kod (ACG)
• Izlijevajte slike niske cjelovitosti
• Blokiraj udaljene slike
• Blokirajte nepouzdane fontove
• Zaštita integriteta koda
• Onemogućite produžne točke
• Onemogućite Win32 sistemske pozive
• Ne dopustite djeci procese
• Filtriranje izvoznih adresa (EAF)
• Uvoz filtriranja adresa (IAF)
• Simulacija izvršavanja (SimExec)
• Provjera poziva API (CallerCheck)
• Potvrdite upotrebu ručke
• Potvrdite integraciju ovisnosti slike
• Provjera integriteta snopa (StackPivot)

Konfiguriranje zaštite iskorištavanja pomoću PowerShell-a

Možete koristiti PowerShell za postavljanje, uklanjanje ili popis ublažavanja. Dostupne su sljedeće naredbe:

Za popis svih ublažavanja navedenog procesa: Get-ProcessMitigation -Name processName.exe

Za postavljanje ublažavanja: Set-ProcessMitigation - - ,,

• Opseg: ili je -System ili -Name.
• Radnja: ili -Enable ili -Disable.
• Ublažavanje: naziv ublažavanja. Pogledajte sljedeću tablicu. Ublažavanje možete odvojiti zarezom.

Primjeri:

• Set-Processmitigation -System -Enable DEP
• Set-Processmitigation -Name test.exe -Remove -Disable DEP
• Set-ProcessMitigation -Name processName.exe -Enable EnableExportAddressFilterPlus -EAFModules dllName1.dll, dllName2.dll

Smanjenje	Odnosi se na	PowerShell cmdleti	Cmdlet načina revizije
Štitnik upravljačkog protoka (CFG)	Sustav i razina aplikacija	CFG, StrictCFG, SuppressExports	Revizija nije dostupna
Sprječavanje izvršavanja podataka (DEP)	Sustav i razina aplikacija	DEP, EmulateAtlThunks	Revizija nije dostupna
Prisilna randomizacija slika (Obvezna ASLR)	Sustav i razina aplikacija	ForceRelocate	Revizija nije dostupna
Nasumično raspoređivanje memorije (odozdo prema gore ASLR)	Sustav i razina aplikacija	BottomUp, HighEntropy	Revizija nije dostupna
Provjera lanaca iznimki (SEHOP)	Sustav i razina aplikacija	SEHOP, SEHOPTelemetrija	Revizija nije dostupna
Provjerite integritet hrpe	Sustav i razina aplikacija	TerminateOnHeapError	Revizija nije dostupna
Arbitrarni zaštitni kod (ACG)	Samo na razini aplikacije	DynamicCode	AuditDynamicCode
Blokirajte slike slabog integriteta	Samo na razini aplikacije	BlockLowLabel	AuditImageLoad
Blokiraj udaljene slike	Samo na razini aplikacije	BlockRemoteImages	Revizija nije dostupna
Blokirajte nepouzdane fontove	Samo na razini aplikacije	DisableNonSystemFonts	AuditFont, FontAuditOnly
Zaštita integriteta koda	Samo na razini aplikacije	BlockNonMicrosoftSigned, AllowStoreSigned	AuditMicrosoftSigned, AuditStoreSigned
Onemogućite produžne točke	Samo na razini aplikacije	ExtensionPoint	Revizija nije dostupna
Onemogućite sistemske pozive Win32k	Samo na razini aplikacije	DisableWin32kSystemCalls	AuditSystemCall
Ne dopustite djeci procese	Samo na razini aplikacije	DisallowChildProcessCreation	AuditChildProcess
Filtriranje izvoznih adresa (EAF)	Samo na razini aplikacije	EnableExportAddressFilterPlus, EnableExportAddressFilter [jedan]	Revizija nije dostupna
Uvoz filtriranja adresa (IAF)	Samo na razini aplikacije	EnableImportAddressFilter	Revizija nije dostupna
Simulacija izvršavanja (SimExec)	Samo na razini aplikacije	EnableRopSimExec	Revizija nije dostupna
Provjera poziva API (CallerCheck)	Samo na razini aplikacije	EnableRopCallerCheck	Revizija nije dostupna
Potvrdite upotrebu ručke	Samo na razini aplikacije	StrictHandle	Revizija nije dostupna
Provjerite integritet ovisnosti slike	Samo na razini aplikacije	EnforceModuleDepencySigning	Revizija nije dostupna
Provjera integriteta snopa (StackPivot)	Samo na razini aplikacije	EnableRopStackPivot	Revizija nije dostupna

Uvoz i izvoz konfiguracija

Konfiguracije se mogu uvesti i izvoziti. To možete učiniti pomoću Windows Defender zaštitnih postavki iskorištavanja u Sigurnosnom centru Windows Defender, pomoću PowerShell-a, pomoću pravila.

Konfiguracije EMET-a mogu se nadalje pretvoriti tako da se mogu uvoziti.

Korištenje postavki zaštite Exploit

Možete izvesti konfiguracije u aplikaciji za postavke, ali ne i uvoziti ih. Izvoz dodaje sve mjere ublažavanja na razini sustava i aplikacija.

Samo kliknite vezu 'postavke izvoza' pod zaštitom iskorištavanja da biste to učinili.

Koristite PowerShell za izvoz konfiguracijske datoteke

1. Otvorite brzi Powershell.
2. Get-ProcessMitigation -RegistryConfigFilePath filename.xml

Uredite filename.xml tako da odražava lokaciju spremanja i naziv datoteke.

Koristite PowerShell za uvoz konfiguracijske datoteke

1. Otvorite brzi Powershell.
2. Izvršite sljedeću naredbu: Set-ProcessMitigation -PolicyFilePath filename.xml

Uredite filename.xml tako da ukazuje na mjesto i naziv datoteke konfiguracijske XML datoteke.

Upotreba pravila grupe za instaliranje konfiguracijske datoteke

Konfiguracijske datoteke možete instalirati pomoću pravila.

1. Dodirnite tipku Windows, upišite gpedit.msc i pritisnite tipku Enter da biste pokrenuli Uređivač pravila grupe.
2. Dođite do Konfiguracija računala> Administrativni predlošci> Windows komponente> Windows Defender Exploit Guard> Exploit protection.
3. Dvaput kliknite na 'Koristi naredbeni skup postavki zaštite eksploatacije'.
4. Postavite pravilo na omogućeno.
5. Dodajte putanju i naziv datoteke konfiguracijske XML datoteke u polje s mogućnostima.

Pretvaranje EMET datoteke

1. Otvorite povišeni PowerShell upit kao što je gore opisano.
2. Pokrenite naredbu ConvertTo-ProcessMitigationPolicy -EMETFilePath emetFile.xml -OutputFilePath filename.xml

Promijenite emetFile.xml na put i lokaciju konfiguracijske datoteke EMET.

Promijenite filename.xml u putanju i lokaciju na koju želite spremiti konvertiranu konfiguracijsku datoteku.

Resursi

• Procijenite zaštitu eksploatacije
• Omogući zaštitu zaštite
• Prilagodite zaštitu eksploatacije
• Uvoz, izvoz i implementacija Izkoristite zaštitne konfiguracije