Konfigurera Windows Defender Exploit-skydd i Windows 10

• Kategori: Windows

Prova Vårt Instrument För Att Eliminera Problem

Välj Operativsystemet Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Välj Ett Projektprogram (Valfritt) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Beskriv Ditt Problem

Få Svar

Skicka Mig Via E -Post Visa På Webbplatsen

Exploit-skydd är en ny säkerhetsfunktion i Windows Defender som Microsoft introducerade i operativsystemets Fall Creators Update.

Utnyttja vakten är en uppsättning funktioner som inkluderar exploateringsskydd, attack yta reduktion , nätverksskydd och kontrollerad mappåtkomst .

Exploit-skydd kan bäst beskrivas som en integrerad version av Microsofts EMET - Exploit Mitigation Experience Toolkit - säkerhetsverktyg som företaget kommer att gå i pension i mitten av 2018 .

Microsoft hävdade tidigare att företagets Windows 10-operativsystem skulle göra att köra EMET tillsammans med Windows onödigt ; åtminstone en forskare avvecklade Microsofts påstående dock.

Windows Defender Exploit-skydd

Exploit-skydd är som standard aktiverat om Windows Defender är aktiverat. Funktionen är den enda Exploit Guard-funktionen som inte kräver att realtidsskydd är aktiverat i Windows Defender.

Funktionen kan konfigureras i Windows Defender Security Center-applikationen, via PowerShell-kommandon eller som policyer.

Konfiguration i appen Windows Defender Security Center

Du kan konfigurera exploateringsskydd i Windows Defender Security Center-applikationen.

1. Använd Windows-I för att öppna programmet Inställningar.
2. Navigera till Uppdatering & säkerhet> Windows Defender.
3. Välj Öppna Windows Defender Security Center.
4. Välj App & webbläsarkontroll som listas som sidofält i det nya fönstret som öppnas.
5. Leta reda på användningsskyddsposten på sidan och klicka på exploateringsskyddsinställningarna.

Inställningarna är indelade i Systeminställningar och Programinställningar.

Systeminställningar visar tillgängliga skyddsmekanismer och deras status. Följande är tillgängliga i Windows 10 Fall Creators Update:

• Control Flow Guard (CFG) - som standard.
• Data Execution Prevention (DEP) - på som standard.
• Tvinga randomisering för bilder (obligatorisk ASLR) - av som standard.
• Slumpmässiga minnesallokeringar (nedifrån och upp ASLR) - som standard.
• Validera undantagskedjor (SEHOP) - på som standard.
• Validera hög integritet - på som standard.

Du kan ändra statusen för valfritt alternativ till 'på som standard', 'av som standard' eller 'använda standard'.

Programinställningar ger dig alternativ för att anpassa skyddet för enskilda program och applikationer. Detta fungerar på samma sätt som hur du kan lägga till undantag i Microsoft EMET för vissa program; bra om ett program inte fungerar när vissa skyddsmoduler är aktiverade.

Ganska många program har som standard undantag. Detta inkluderar svchost.exe, spools.exe, runtimebroker.exe, iexplore.exe och andra centrala Windows-program. Observera att du kan åsidosätta dessa undantag genom att välja filerna och klicka på redigera.

Klicka på 'lägg till program för att anpassa' för att lägga till ett program med namn eller exakt filväg till listan med undantag.

Du kan ställa in status för alla stödda skydd individuellt för varje program som du har lagt till under programinställningarna. Förutom att åsidosätta systemets standard, och tvinga det till ett eller av, finns det också ett alternativ att ställa in det till 'endast granskning'. Den senare registrerar händelser som skulle ha avfyratt om skyddets status skulle ha varit på, men registrerar bara händelsen i Windows-händelseloggen.

Programinställningar visar ytterligare skyddsalternativ som du inte kan konfigurera under systeminställningarna eftersom de bara är konfigurerade för att köras på applikationsnivå.

Dessa är:

• Arbiträr kodskydd (ACG)
• Blåsa bilder med låg integritet
• Blockera fjärrbilder
• Blockera otillförlitliga teckensnitt
• Kodintegritetsvakt
• Inaktivera förlängningspunkter
• Inaktivera Win32-systemsamtal
• Tillåt inte barnprocesser
• Exportera adressfiltrering (EAF)
• Import address filtering (IAF)
• Simulera körning (SimExec)
• Validera API-anrop (CallerCheck)
• Validera användningen av handtaget
• Validera integration av bildberoende
• Validera stackintegritet (StackPivot)

Konfigurera exploateringsskydd med PowerShell

Du kan använda PowerShell för att ställa in, ta bort eller lista förminskningar. Följande kommandon är tillgängliga:

Så här listar du alla begränsningar av den angivna processen: Get-ProcessMitigation -Name processName.exe

Så här ställer du in begränsningar: Set-ProcessMitigation - - ,,

• Räckvidd: är antingen -System eller -Namn.
• Åtgärd: är antingen-Aktivera eller -Deaktivera.
• Begränsning: namnet på mildring. Se följande tabell. Du kan separera begränsningar genom komma.

Exempel:

• Set-Processmitigation -System-Enable DEP
• Set-Processmitigation -Name test.exe-Ta bort-Avaktivera DEP
• Set-ProcessMitigation -Name processName.exe-Enable EnableExportAddressFilterPlus -EAFModules dllName1.dll, dllName2.dll

Mitigation	Gäller för	PowerShell-cmdlets	Granskningsläge cmdlet
Styrflödesskydd (CFG)	System- och appnivå	CFG, StrictCFG, SuppressExports	Granskning inte tillgänglig
Data Execution Prevention (DEP)	System- och appnivå	DEP, EmulateAtlTunks	Granskning inte tillgänglig
Tvinga randomisering för bilder (obligatorisk ASLR)	System- och appnivå	ForceRelocate	Granskning inte tillgänglig
Slumpmässiga minnesallokeringar (Bottom-Up ASLR)	System- och appnivå	BottomUp, HighEntropy	Granskning inte tillgänglig
Validera undantagskedjor (SEHOP)	System- och appnivå	SEHOP, SEHOPTelemetry	Granskning inte tillgänglig
Validera hög integritet	System- och appnivå	TerminateOnHeapError	Granskning inte tillgänglig
Arbiträr kodskydd (ACG)	Endast app-nivå	DynamicCode	AuditDynamicCode
Blockera bilder med låg integritet	Endast app-nivå	BlockLowLabel	AuditImageLoad
Blockera fjärrbilder	Endast app-nivå	BlockRemoteImages	Granskning inte tillgänglig
Blockera otillförlitliga teckensnitt	Endast app-nivå	DisableNonSystemFonts	AuditFont, FontAuditOnly
Kodintegritetsvakt	Endast app-nivå	BlockNonMicrosoftSIGN, AllowStoreSIGN	AuditMicrosoftSIGN, AuditStoreSIGN
Inaktivera förlängningspunkter	Endast app-nivå	ExtensionPoint	Granskning inte tillgänglig
Inaktivera Win32k-systemsamtal	Endast app-nivå	DisableWin32kSystemCalls	AuditSystemCall
Tillåt inte barnprocesser	Endast app-nivå	DisallowChildProcessCreation	AuditChildProcess
Exportera adressfiltrering (EAF)	Endast app-nivå	EnableExportAddressFilterPlus, EnableExportAddressFilter [ett]	Granskning inte tillgänglig
Import address filtering (IAF)	Endast app-nivå	EnableImportAddressFilter	Granskning inte tillgänglig
Simulera körning (SimExec)	Endast app-nivå	EnableRopSimExec	Granskning inte tillgänglig
Validera API-anrop (CallerCheck)	Endast app-nivå	EnableRopCallerCheck	Granskning inte tillgänglig
Validera användningen av handtaget	Endast app-nivå	StrictHandle	Granskning inte tillgänglig
Validera integriteten för bildberoende	Endast app-nivå	EnforceModuleDepencySigning	Granskning inte tillgänglig
Validera stackintegritet (StackPivot)	Endast app-nivå	EnableRopStackPivot	Granskning inte tillgänglig

Importera och exportera konfigurationer

Konfigurationer kan importeras och exporteras. Du kan göra det genom att använda Windows Defender utnyttja skyddsinställningarna i Windows Defender Security Center, med hjälp av PowerShell, med hjälp av policyer.

EMET-konfigurationer kan vidare konverteras så att de kan importeras.

Använda Exploit-skyddsinställningarna

Du kan exportera konfigurationer i inställningsprogrammet, men inte importera dem. Exportering lägger till alla minskningar på systemnivå och appnivå.

Klicka bara på länken 'exportinställningar' under exploateringsskydd för att göra det.

Använda PowerShell för att exportera en konfigurationsfil

1. Öppna en höjd Powershell-prompt.
2. Get-ProcessMitigation -RegistryConfigFilePath filnamn.xml

Redigera filnamn.xml så att det återspeglar spara plats och filnamn.

Använd PowerShell för att importera en konfigurationsfil

1. Öppna en höjd Powershell-prompt.
2. Kör följande kommando: Set-ProcessMitigation -PolicyFilePath filnamn.xml

Redigera filename.xml så att den pekar på platsen och filnamnet för konfigurations XML-filen.

Använda grupppolicy för att installera en konfigurationsfil

Du kan installera konfigurationsfiler med hjälp av policyer.

1. Klicka på Windows-nyckeln, skriv gpedit.msc och tryck på Enter-knappen för att starta grupppolicyredigeraren.
2. Navigera till datorkonfiguration> Administrativa mallar> Windows-komponenter> Windows Defender Exploit Guard> Exploit-skydd.
3. Dubbelklicka på 'Använd en kommandouppsättning för exploateringsskyddsinställningar'.
4. Ställ in policyn till aktiverad.
5. Lägg till sökvägen och filnamnet för XML-konfigurationsfilen i alternativfältet.

Konvertera en EMET-fil

1. Öppna en förhöjd PowerShell-prompt som beskrivs ovan.
2. Kör kommandot ConvertTo-ProcessMitigationPolicy -EMETFilePath emetFile.xml -OutputFilePath filnamn.xml

Ändra emetFile.xml till sökvägen och platsen för EMET-konfigurationsfilen.

Ändra filename.xml till den sökväg och plats där du vill att den konverterade konfigurationsfilen ska sparas.

Resurser

• Utvärdera exploateringsskyddet
• Aktivera Exploit-skydd
• Anpassa Exploit-skyddet
• Importera, exportera och distribuera Exploit-skyddskonfigurationer