Konfigurer Windows Defender Exploit-beskyttelse i Windows 10

• Kategori: Windows

Prøv Instrumentet Vårt For Å Eliminere Problemer

Velg Operativsystemet Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Velg Et Projeksjonsprogram (Valgfritt) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Beskriv Problemet Ditt

Få Svar

Send Meg Via E -Post Vis På Nettstedet

Exploit protection er en ny sikkerhetsfunksjon i Windows Defender som Microsoft introduserte i operativsystemets Fall Creators Update.

Utnytte vakt er et sett med funksjoner som inkluderer utnyttelsesbeskyttelse, angrep overflate reduksjon , nettverksbeskyttelse, og kontrollert mappetilgang .

Eksploitbeskyttelse kan best beskrives som en integrert versjon av Microsofts EMET - Exploit Mitigation Experience Toolkit - sikkerhetsverktøy som selskapet går av med pensjon i midten av 2018 .

Microsoft hevdet tidligere at selskapets Windows 10-operativsystem ville gjøre å kjøre EMET sammen med Windows unødvendig ; minst en forsker tilbakeviste Microsofts påstand.

Windows Defender Exploit-beskyttelse

Utnyttelsesbeskyttelse er som standard aktivert hvis Windows Defender er aktivert. Funksjonen er den eneste Exploit Guard-funksjonen som ikke krever at sanntidsbeskyttelse er aktivert i Windows Defender.

Funksjonen kan konfigureres i Windows Defender Security Center-applikasjonen, via PowerShell-kommandoer eller som policyer.

Konfigurasjon i Windows Defender Security Center-appen

Du kan konfigurere utnyttelsesbeskyttelse i Windows Defender Security Center-applikasjonen.

1. Bruk Windows-I for å åpne Innstillinger-applikasjonen.
2. Naviger til Oppdatering og sikkerhet> Windows Defender.
3. Velg Åpne Windows Defender Security Center.
4. Velg App & nettleserkontroll oppført som en sidefeltlink i det nye vinduet som åpnes.
5. Finn utnyttelsesbeskyttelsesoppføringen på siden, og klikk på innstillinger for utnyttelsesbeskyttelse.

Innstillingene er delt inn i Systeminnstillinger og Programinnstillinger.

Systeminnstillinger viser tilgjengelige beskyttelsesmekanismer og deres status. Følgende er tilgjengelige i Windows 10 Fall Creators Update:

• Control Flow Guard (CFG) - som standard.
• Forhindring av utførelse av data (DEP) - som standard.
• Tving randomisering for bilder (obligatorisk ASLR) - av som standard.
• Tilfeldig minnetildelinger (bottom-up ASLR) - som standard.
• Valider unntakskjeder (SEHOP) - som standard.
• Valider haugintegritet - på som standard.

Du kan endre statusen til et hvilket som helst alternativ til 'på som standard', 'av som standard' eller 'bruk standard'.

Programinnstillinger gir deg muligheter for å tilpasse beskyttelsen for individuelle programmer og applikasjoner. Dette fungerer på samme måte som hvordan du kan legge til unntak i Microsoft EMET for bestemte programmer; bra hvis et program ikke oppfører seg når visse beskyttelsesmoduler er aktivert.

Mange programmer har unntak som standard. Dette inkluderer svchost.exe, spools.exe, runtimebroker.exe, iexplore.exe og andre kjerne Windows-programmer. Merk at du kan overstyre disse unntakene ved å velge filene og klikke på rediger.

Klikk på 'legg til program for å tilpasse' for å legge til et program med navn eller eksakt filsti i listen over unntak.

Du kan angi status for alle støttede beskyttelser individuelt for hvert program du har lagt til under programinnstillinger. I tillegg til å overstyre systemets standard, og tvinge den til en eller av, er det også et alternativ å stille det til 'bare revisjon'. Sistnevnte registrerer hendelser som ville ha avfyrt hvis beskyttelsens status ville vært på, men vil bare registrere hendelsen i Windows-hendelsesloggen.

Programinnstillinger viser ytterligere beskyttelsesalternativer som du ikke kan konfigurere under systeminnstillinger fordi de er konfigurert til å bare kjøres på applikasjonsnivå.

Disse er:

• Vilkårlig kodevakt (ACG)
• Blås bilder med lav integritet
• Blokker eksterne bilder
• Blokker ikke betrodde skrifter
• Kode-integritetsvakt
• Deaktiver forlengelsespunkter
• Deaktiver Win32-systemanrop
• Ikke la barneprosesser
• Eksporter adressefiltrering (EAF)
• Importer adressefiltrering (IAF)
• Simulere utførelse (SimExec)
• Valider API-innkalling (CallerCheck)
• Valider håndtering av håndtaket
• Valider integrering av bildeavhengighet
• Valider stackintegritet (StackPivot)

Konfigurere utnyttelsesbeskyttelse ved hjelp av PowerShell

Du kan bruke PowerShell til å angi, fjerne eller liste opp begrensninger. Følgende kommandoer er tilgjengelige:

Slik viser du alle avbøtninger av den spesifiserte prosessen: Get-ProcessMitigation -Name processName.exe

Slik angir du begrensninger: Set-ProcessMitigation - - ,,

• Omfang: er enten -System eller -Navn.
• Handling: er enten-Aktiver eller -Deaktiver.
• Begrensning: navnet på avbøtningen. Konsulter følgende tabell. Du kan skille avbøtninger med komma.

eksempler:

• Set-Processmitigation -System-Enable DEP
• Set-Processmitigation -Name test.exe -Fjerne -Disable DEP
• Set-ProcessMitigation -Name processName.exe-Enable EnableExportAddressFilterPlus -EAFModules dllName1.dll, dllName2.dll

Skadebegrensning	Gjelder	PowerShell cmdlets	Revisjonsmodus cmdlet
Kontrollstrømsvakt (CFG)	System- og appnivå	CFG, StrictCFG, SuppressExports	Tilsyn ikke tilgjengelig
Forhindring av utførelse av data (DEP)	System- og appnivå	DEP, EmulateAtlThunks	Tilsyn ikke tilgjengelig
Tving randomisering for bilder (obligatorisk ASLR)	System- og appnivå	ForceRelocate	Tilsyn ikke tilgjengelig
Tilfeldig minnetildelinger (Bottom-Up ASLR)	System- og appnivå	BottomUp, HighEntropy	Tilsyn ikke tilgjengelig
Valider unntakskjeder (SEHOP)	System- og appnivå	SEHOP, SEHOPTelemetry	Tilsyn ikke tilgjengelig
Valider haugintegritet	System- og appnivå	TerminateOnHeapError	Tilsyn ikke tilgjengelig
Vilkårlig kodevakt (ACG)	App-nivå bare	DynamicCode	AuditDynamicCode
Blokker bilder med lav integritet	App-nivå bare	BlockLowLabel	AuditImageLoad
Blokker eksterne bilder	App-nivå bare	BlockRemoteImages	Tilsyn ikke tilgjengelig
Blokker ikke betrodde skrifter	App-nivå bare	DisableNonSystemFonts	AuditFont, FontAuditOnly
Kode-integritetsvakt	App-nivå bare	BlockNonMicrosoftSIGN, AllowStoreSIGN	AuditMicrosoftSIGN, AuditStoreSIGN
Deaktiver forlengelsespunkter	App-nivå bare	ExtensionPoint	Tilsyn ikke tilgjengelig
Deaktiver Win32k-systemanrop	App-nivå bare	DisableWin32kSystemCalls	AuditSystemCall
Ikke la barneprosesser	App-nivå bare	DisallowChildProcessCreation	AuditChildProcess
Eksporter adressefiltrering (EAF)	App-nivå bare	EnableExportAddressFilterPlus, EnableExportAddressFilter [en]	Tilsyn ikke tilgjengelig
Importer adressefiltrering (IAF)	App-nivå bare	EnableImportAddressFilter	Tilsyn ikke tilgjengelig
Simulere utførelse (SimExec)	App-nivå bare	EnableRopSimExec	Tilsyn ikke tilgjengelig
Valider API-innkalling (CallerCheck)	App-nivå bare	EnableRopCallerCheck	Tilsyn ikke tilgjengelig
Valider håndtering av håndtaket	App-nivå bare	StrictHandle	Tilsyn ikke tilgjengelig
Valider bildeavhengighetsintegritet	App-nivå bare	EnforceModuleDepencySigning	Tilsyn ikke tilgjengelig
Valider stackintegritet (StackPivot)	App-nivå bare	EnableRopStackPivot	Tilsyn ikke tilgjengelig

Import og eksport av konfigurasjoner

Konfigurasjoner kan importeres og eksporteres. Du kan gjøre det ved å bruke Windows Defender utnytte beskyttelsesinnstillingene i Windows Defender Security Center, ved å bruke PowerShell, ved å bruke retningslinjer.

EMET-konfigurasjoner kan videre konverteres slik at de kan importeres.

Bruke innstillingene for utnytt beskyttelse

Du kan eksportere konfigurasjoner i innstillingsprogrammet, men ikke importere dem. Eksport legger til alle systemnivåer og appnivåreduseringer.

Bare klikk på 'eksportinnstillinger' -lenken under utnytt beskyttelse for å gjøre det.

Bruke PowerShell til å eksportere en konfigurasjonsfil

1. Åpne en forhøyet Powershell-ledetekst.
2. Get-ProcessMitigation -RegistryConfigFilePath filnavn.xml

Rediger filnavn.xml slik at det gjenspeiler lagringsstedet og filnavnet.

Bruke PowerShell for å importere en konfigurasjonsfil

1. Åpne en forhøyet Powershell-ledetekst.
2. Kjør følgende kommando: Set-ProcessMitigation -PolicyFilePath filnavn.xml

Rediger filename.xml slik at den peker til plasseringen og filnavnet til konfigurasjons-XML-filen.

Bruke gruppepolicy for å installere en konfigurasjonsfil

Du kan installere konfigurasjonsfiler ved å bruke policyer.

1. Trykk på Windows-tasten, skriv gpedit.msc, og trykk Enter-tasten for å starte Group Policy Editor.
2. Naviger til Datakonfigurasjon> Administrative maler> Windows-komponenter> Windows Defender Exploit Guard> Exploit protection.
3. Dobbeltklikk på 'Bruk et kommandosett med beskyttelsesinnstillinger for utnyttelse'.
4. Sett policyen til aktivert.
5. Legg til banen og filnavnet til konfigurasjons-XML-filen i alternativfeltet.

Konvertering av en EMET-fil

1. Åpne en forhøyet PowerShell-ledetekst som beskrevet ovenfor.
2. Kjør kommandoen ConvertTo-ProcessMitigationPolicy -EMETFilePath emetFile.xml -OutputFilePath filnavn.xml

Endre emetFile.xml til banen og plasseringen til EMET-konfigurasjonsfilen.

Endre filename.xml til banen og stedet du vil at den konverterte konfigurasjonsfilen skal lagres på.

ressurser

• Evaluer utnyttelsesbeskyttelse
• Aktiver utnyttelsesbeskyttelse
• Tilpass utnyttelsesbeskyttelse
• Importer, eksporter og distribuer konfigurasjons konfigurasjoner