Konfigurácia programu Windows Defender Ochrana pred zneužitím v systéme Windows 10

• Kategórie: Windows

Vyskúšajte Náš Nástroj Na Odstránenie Problémov

Vyberte Operačný Systém Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Vyberte Program Projekcie (Voliteľne) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Popíšte Svoj Problém

Získajte Odpoveď

Pošlite Mi E -Mailom Zobraziť Na Webe

Ochrana pred zneužitím je nová funkcia zabezpečenia programu Windows Defender, ktorú spoločnosť Microsoft uviedla v aktualizácii Fall Creators operačného systému.

Využite stráž je skupina funkcií, ktoré zahŕňajú ochranu pred zneužitím, redukcia povrchu útoku , ochrana siete a riadený prístup do priečinka ,

Ochrana pred zneužitím sa dá najlepšie opísať ako integrovaná verzia súboru EMET od spoločnosti Microsoft - Exploit Mitigation Experience Toolkit - bezpečnostného nástroja, ktorý spoločnosť odchádza do dôchodku v polovici roku 2018 ,

Microsoft predtým tvrdil, že operačný systém Windows 10 spoločnosti by spustenie EMET popri Windows nebolo potrebné ; aspoň jeden výskumný pracovník však tvrdenie spoločnosti Microsoft vyvrátil.

Ochrana pred zneužitím programu Windows Defender

Ochrana pred zneužitím je v predvolenom nastavení povolená, ak je povolený program Windows Defender. Táto funkcia je jedinou funkciou Exploit Guard, ktorá nevyžaduje, aby bola v programe Windows Defender povolená ochrana v reálnom čase.

Túto funkciu je možné nakonfigurovať v aplikácii Windows Defender Security Center pomocou príkazov PowerShell alebo ako zásady.

Konfigurácia v aplikácii Windows Defender Security Center

Ochranu pred zneužitím môžete nakonfigurovať v aplikácii Windows Defender Security Center.

1. Na otvorenie aplikácie Nastavenia použite Windows-I.
2. Prejdite na položky Aktualizácia a zabezpečenie> Windows Defender.
3. Vyberte položku Otvoriť Centrum zabezpečenia programu Windows Defender.
4. V novom okne, ktoré sa otvorí, vyberte položku Ovládanie aplikácií a prehľadávačov ako odkaz na bočnom paneli.
5. Vyhľadajte položku ochrany pred zneužitím na stránke a kliknite na nastavenia ochrany pred zneužitím.

Tieto nastavenia sú rozdelené do systémových nastavení a nastavení programu.

Nastavenia systému obsahujú zoznam dostupných ochranných mechanizmov a ich stav. V aktualizácii Windows 10 Fall Creators sú k dispozícii tieto položky:

• Guard Flow Guard (CFG) - v predvolenom nastavení zapnuté.
• Prevencia spustenia údajov (DEP) - predvolene zapnutá.
• Vynútiť randomizáciu pre obrázky (Povinné ASLR) - predvolene vypnuté.
• Náhodné rozdelenie pamäte (ASLR zdola nahor) - v predvolenom nastavení.
• Overiť reťazce výnimiek (SEHOP) - predvolene zapnuté.
• Overiť integritu haldy - v predvolenom nastavení zapnuté.

Môžete zmeniť stav ľubovoľnej možnosti na „zapnuté v predvolenom nastavení“, „vypnuté v predvolenom nastavení“ alebo „použiť predvolené“.

Nastavenia programu vám poskytujú možnosti prispôsobenia ochrany jednotlivým programom a aplikáciám. Funguje to podobne, ako by ste mohli pridať výnimky v programe Microsoft EMET pre konkrétne programy; dobré, ak sa program chová, keď sú aktivované určité ochranné moduly.

Niektoré programy majú predvolene výnimky. Patria sem svchost.exe, spools.exe, runtimebroker.exe, iexplore.exe a ďalšie základné programy Windows. Upozorňujeme, že tieto výnimky môžete potlačiť výberom súborov a kliknutím na položku Upraviť.

Kliknutím na „pridať program na prispôsobenie“ pridáte program do zoznamu výnimiek podľa názvu alebo presnej cesty k súboru.

Stav všetkých podporovaných ochrán môžete nastaviť individuálne pre každý program, ktorý ste pridali v rámci nastavení programu. Okrem potlačenia predvoleného systému a jeho nútenia k jednému alebo druhému vypnutiu je tu tiež možnosť nastaviť ho na „iba audit“. Ten zaznamenáva udalosti, ktoré by sa spustili, ak by bol stav ochrany zapnutý, ale zaznamená sa iba do udalosti udalostí systému Windows.

Nastavenia programu obsahujú zoznam ďalších možností ochrany, ktoré nemôžete nakonfigurovať v rámci systémových nastavení, pretože sú nakonfigurované tak, aby sa spúšťali iba na aplikačnej úrovni.

Sú to tieto:

• Ľubovoľný strážca kódu (ACG)
• Vyfúknite obrázky s nízkou integritou
• Blokujte vzdialené obrázky
• Zablokujte nedôveryhodné písma
• Ochrana integrity kódu
• Zakázať predlžovacie body
• Zakázať systémové hovory Win32
• Nedovoľte podradeným procesom
• Filtrovanie vývozných adries (EAF)
• Importovať filtrovanie adries (IAF)
• Simulovať vykonanie (SimExec)
• Overenie vyvolania rozhrania API (CallerCheck)
• Overte použitie popisovača
• Overte integráciu závislosti obrázka
• Overenie integrity zásobníka (StackPivot)

Konfigurácia ochrany pred zneužitím pomocou programu PowerShell

Na nastavenie, odstránenie alebo vymenovanie zmiernení môžete použiť PowerShell. K dispozícii sú nasledujúce príkazy:

Zoznam všetkých zmiernení zadaného procesu: Get-ProcessMitigation -Name processName.exe

Ak chcete nastaviť zmiernenie: Set-ProcessMitigation - - ,,

• Rozsah: je buď -systém alebo -name.
• Akcia: je buď -Povoliteľná alebo -Zrušiteľná.
• Zmiernenie: názov zmiernenia. Prečítajte si nasledujúcu tabuľku. Zmiernenia môžete oddeliť čiarkou.

Príklady:

• Set-Processmitigation -System -Enable DEP
• Set-Processmitigation -Name test.exe -Remove -Disable DEP
• Set-ProcessMitigation -Name processName.exe - Enable EnableExportAddressFilterPlus -EAFModules dllName1.dll, dllName2.dll

zmiernenie	Týka sa	Cmdlets PowerShell	Cmdlet režimu auditu
Ochrana toku toku (CFG)	Systém a úroveň aplikácií	CFG, StrictCFG, SuppressExports	Audit nie je k dispozícii
Prevencia spustenia údajov (DEP)	Systém a úroveň aplikácií	DEP, EmulateAtlThunks	Audit nie je k dispozícii
Vynútiť randomizáciu pre obrázky (povinné ASLR)	Systém a úroveň aplikácií	ForceRelocate	Audit nie je k dispozícii
Náhodné rozdelenie pamäte (ASLR zdola nahor)	Systém a úroveň aplikácií	BottomUp, HighEntropy	Audit nie je k dispozícii
Overiť reťazce výnimiek (SEHOP)	Systém a úroveň aplikácií	SEHOP, SEHOPTeletria	Audit nie je k dispozícii
Overte integritu haldy	Systém a úroveň aplikácií	TerminateOnHeapError	Audit nie je k dispozícii
Ľubovoľný strážca kódu (ACG)	Iba na úrovni aplikácie	DynamicCode	AuditDynamicCode
Blokujte obrázky s nízkou integritou	Iba na úrovni aplikácie	BlockLowLabel	AuditImageLoad
Blokujte vzdialené obrázky	Iba na úrovni aplikácie	BlockRemoteImages	Audit nie je k dispozícii
Zablokujte nedôveryhodné písma	Iba na úrovni aplikácie	DisableNonSystemFonts	AuditFont, FontAuditOnly
Ochrana integrity kódu	Iba na úrovni aplikácie	BlockNonMicrosoftSigned, AllowStoreSigned	AuditMicrosoftSigned, AuditStoreSigned
Zakázať predlžovacie body	Iba na úrovni aplikácie	ExtensionPoint	Audit nie je k dispozícii
Zakázať systémové volania Win32k	Iba na úrovni aplikácie	DisableWin32kSystemCalls	AuditSystemCall
Nedovoľte podradeným procesom	Iba na úrovni aplikácie	DisallowChildProcessCreation	AuditChildProcess
Filtrovanie vývozných adries (EAF)	Iba na úrovni aplikácie	EnableExportAddressFilterPlus, EnableExportAddressFilter [Jeden]	Audit nie je k dispozícii
Importovať filtrovanie adries (IAF)	Iba na úrovni aplikácie	EnableImportAddressFilter	Audit nie je k dispozícii
Simulovať vykonanie (SimExec)	Iba na úrovni aplikácie	EnableRopSimExec	Audit nie je k dispozícii
Overenie platnosti API (CallerCheck)	Iba na úrovni aplikácie	EnableRopCallerCheck	Audit nie je k dispozícii
Overte použitie popisovača	Iba na úrovni aplikácie	StrictHandle	Audit nie je k dispozícii
Overte integritu závislosti obrázka	Iba na úrovni aplikácie	EnforceModuleDepencySigning	Audit nie je k dispozícii
Overenie integrity zásobníka (StackPivot)	Iba na úrovni aplikácie	EnableRopStackPivot	Audit nie je k dispozícii

Import a export konfigurácií

Konfigurácie je možné importovať a exportovať. Môžete to urobiť pomocou nastavení ochrany zneužitia programu Windows Defender v Centre zabezpečenia programu Windows Defender pomocou PowerShell pomocou politík.

Konfigurácie EMET sa môžu ďalej konvertovať, aby sa mohli importovať.

Použitie nastavení ochrany pred zneužitím

Konfigurácie môžete exportovať v aplikácii nastavení, ale nie ich importovať. Exportovanie pridá všetky zmiernenia na úrovni systému a aplikácie.

Stačí kliknúť na odkaz „Nastavenia exportu“ pod ochranou pred zneužitím.

Pomocou programu PowerShell exportujte konfiguračný súbor

1. Otvorte zvýšenú výzvu Powershell.
2. Get-ProcessMitigation -RegistryConfigFilePath filename.xml

Upravte filename.xml tak, aby odrážal miesto uloženia a názov súboru.

Pomocou programu PowerShell importujte konfiguračný súbor

1. Otvorte zvýšenú výzvu Powershell.
2. Spustite nasledujúci príkaz: Set-ProcessMitigation -PolicyFilePath filename.xml

Upravte filename.xml tak, aby ukazoval na umiestnenie a názov konfiguračného súboru XML.

Inštalácia konfiguračného súboru pomocou skupinovej politiky

Konfiguračné súbory môžete nainštalovať pomocou politík.

1. Klepnite na kláves Windows, napíšte gpedit.msc a stlačte kláves Enter, čím spustíte Editor skupinovej politiky.
2. Prejdite na Konfigurácia počítača> Šablóny pre správu> Komponenty Windows> Windows Defender Exploit Guard> Ochrana pred zneužitím.
3. Dvakrát kliknite na položku „Použiť sadu príkazov s nastaveniami ochrany pred zneužitím“.
4. Nastavte politiku na povolenú.
5. Do poľa možností zadajte cestu a názov súboru konfiguračného súboru XML.

Prevod súboru EMET

1. Otvorte zvýšenú výzvu PowerShell, ako je opísané vyššie.
2. Spustite príkaz ConvertTo-ProcessMitigationPolicy -EMETFilePath emetFile.xml -OutputFilePath filename.xml

Zmeňte emetFile.xml na cestu a umiestnenie konfiguračného súboru EMET.

Zmeňte názov súboru.xml na cestu a umiestnenie, do ktorého chcete uložiť prevedený konfiguračný súbor.

zdroje

• Vyhodnotiť ochranu pred zneužitím
• Povoliť ochranu pred zneužitím
• Prispôsobte ochranu pred zneužitím
• Importujte, exportujte a nasadzujte konfigurácie ochrany zneužitia