Windows Defenderi konfigureerimine Windows XP kaitse kasutamiseks

Lubatud kaitse on Windows Defenderi uus turvafunktsioon, mille Microsoft tutvustas opsüsteemi värskenduses Fall Creators.

Kasutage valvurit on funktsioonide kogum, mis hõlmab ärakasutamise kaitset, rünnaku pinna vähendamine , võrgu kaitse ja kontrollitud juurdepääs kaustadele .

Ärakasutamise kaitset saab kõige paremini kirjeldada Microsofti EMET - Exploit Mitigation Experience Toolkit - integreeritud versioonina - turbevahendina, mille ettevõte läheb pensionile 2018. aasta keskel .

Microsoft väitis varem, et ettevõtte Windows 10 opsüsteem muudaks EMETi käitamise Windowsi kõrval tarbetuks ; vähemalt üks teadlane lükkas Microsofti väite ümber.

Windows Defender Kasutage kaitset

Lubatud kaitse on vaikimisi lubatud, kui Windows Defender on lubatud. See funktsioon on ainus Exploit Guard'i funktsioon, mis ei nõua, et Windows Defenderis oleks lubatud reaalajas kaitse.

Seda funktsiooni saab konfigureerida Windows Defenderi turvakeskuse rakenduses, PowerShelli käskude kaudu või poliitikatena.

Konfiguratsioon rakenduses Windows Defender Security Center

exploit protection windows defender

Kaitset saate konfigureerida rakenduses Windows Defender Security Center.

  1. Rakenduse Seadistused avamiseks kasutage Windows-I.
  2. Minge jaotisse Värskendamine ja turvalisus> Windows Defender.
  3. Valige Ava Windows Defenderi turvakeskus.
  4. Valige avanevas uues aknas külgriba lingina loetletud rakendused ja brauseri juhtnupud.
  5. Leidke lehelt kaitse kaitse kirje ja klõpsake käsku ekspordi kaitse sätted.

Seadistused jagunevad süsteemiseadeteks ja programmi säteteks.

Süsteemi sätetes loetletakse saadaolevad kaitsemehhanismid ja nende olek. Windows 10 sügisel loojate värskenduses on saadaval järgmised andmed:

  • Control Flow Guard (CFG) - vaikimisi sisse lülitatud.
  • Data Execution Prevention (DEP) - vaikimisi sisse lülitatud.
  • Sundida piltide randomiseerimine (kohustuslik ASLR) - vaikimisi välja lülitatud.
  • Juhuslik mälu eraldamine (Bottom-up ASLR) - vaikimisi.
  • Valideeri erandiahelad (SEHOP) - vaikimisi sisse lülitatud.
  • Kinnitage hunniku terviklikkus - vaikimisi sisse.

Võite suvalise oleku muuta olekuks vaikimisi sisse lülitatud, vaikimisi välja lülitatud või vaikimisi kasutatavaks.

Programmisätted annavad teile üksikute programmide ja rakenduste kaitse kohandamise võimalused. See toimib sarnaselt sellega, kuidas saaksite Microsoft EMETis teatud programmidele erandeid lisada; hea, kui programm töötab teatud kaitsemoodulite aktiveerimisel valesti.

Paljudel programmidel on vaikimisi erandeid. See hõlmab svchost.exe, spools.exe, runtimebroker.exe, iexplore.exe ja muid Windowsi põhiprogramme. Pange tähele, et saate need erandid alistada, valides failid ja klõpsates redigeeri.

program settings exploit protection

Kui soovite programmi nime või täpse failitee lisamiseks erandite loendisse lisada, klõpsake nuppu 'programmi lisamine kohandamiseks'.

Kõigi toetatud kaitse olekute saate määrata iga programmi jaoks, mille olete programmi sätete all lisanud. Lisaks süsteemi vaikimisi alistamisele ja selle ühele või välja lülitamisele on võimalus seada see ka ainult auditile. Viimane salvestab sündmused, mis oleks vallandatud, kui kaitse olek oleks olnud sisse lülitatud, kuid registreerib ainult sündmuse Windowsi sündmuste logisse.

Programmisätted loetlevad täiendavad kaitsevalikud, mida te ei saa süsteemiseadetes konfigureerida, kuna need on konfigureeritud töötama ainult rakendustasandil.

Need on:

  • Suvaline koodivalvur (ACG)
  • Puhu madala terviklikkusega pildid
  • Blokeerige kaugpildid
  • Blokeerige ebausaldusväärsed fondid
  • Koodi terviklikkuse valvur
  • Keela pikenduspunktid
  • Keela Win32 süsteemikõned
  • Ärge lubage lapsprotsesse
  • Ekspordi aadressi filtreerimine (EAF)
  • Impordi aadresside filtreerimine (IAF)
  • Täitmise simuleerimine (SimExec)
  • Kinnitage API kutsumine (CallerCheck)
  • Kinnitage käepideme kasutamine
  • Kujutise sõltuvuse integreerimise valideerimine
  • Kinnitage virna terviklikkus (StackPivot)

Kasutuskaitse seadistamine PowerShelli abil

Leevendamiste seadistamiseks, eemaldamiseks või loetlemiseks võite kasutada PowerShelli. Saadaval on järgmised käsud:

Määratud protsessi kõigi leevendamiste loetlemiseks: Get-ProcessMitigation -Name processName.exe

Leevendamiste määramiseks toimige järgmiselt: Set-ProcessMitigation - -,,

  • Reguleerimisala: on kas -süsteem või -nimi.
  • Toiming: on kas lubatav või desaktiveeritav.
  • Leevendamine: leevenduse nimi. Tutvuge järgmise tabeliga. Leevendamise võib eraldada komaga.

Näited:

  • Määra protsessiprotseduur-süsteem - lubage DEP
  • Set-Processmitigation -Name test.exe -Eemalda - DEP keelamine
  • Set-ProcessMitigation -Name processName.exe - Luba EnableExportAddressFilterPlus - EAFModules dllName1.dll, dllName2.dll
LeevendamineKehtibPowerShelli cmdletAuditi režiimi cmdlet
Vooluhulga kaitse (CFG)Süsteemi- ja rakendustasandCFG, StrictCFG, SuppressExportsAudit pole saadaval
Andmete täitmise ennetamine (DEP)Süsteemi- ja rakendustasandDEP, EmulateAtlThunksAudit pole saadaval
Piltide randomiseerimine sundimiseks (kohustuslik ASLR)Süsteemi- ja rakendustasandForceRelocateAudit pole saadaval
Juhuslik mälu eraldamine (Bottom-Up ASLR)Süsteemi- ja rakendustasandBottomUp, HighEntropyAudit pole saadaval
Erandikettide valideerimine (SEHOP)Süsteemi- ja rakendustasandSEHOP, SEHOPTelemeetriaAudit pole saadaval
Kinnitage hunniku terviklikkusSüsteemi- ja rakendustasandTerminateOnHeapErrorAudit pole saadaval
Suvaline koodivalvur (ACG)Ainult rakenduse tasemelDynamicCodeAuditDynamicCode
Blokeerige madala terviklikkusega pildidAinult rakenduse tasemelBlockLowLabelAuditImageLoad
Blokeerige kaugpildidAinult rakenduse tasemelBlockRemoteImagesAudit pole saadaval
Blokeerige ebausaldusväärsed fondidAinult rakenduse tasemelDisableNonSystemFontsAuditFont, FontAuditOnly
Koodi terviklikkuse valvurAinult rakenduse tasemelBlockNonMicrosoftSignated, AllowStoreSignatedAuditMicrosoftSigna, AuditStoreSignated
Keela pikenduspunktidAinult rakenduse tasemelExtensionPointAudit pole saadaval
Keela Win32k süsteemikõnedAinult rakenduse tasemelDisableWin32kSystemCallsAuditSystemCall
Ärge lubage lapsprotsesseAinult rakenduse tasemelDisallowChildProcessCreationAuditChildProcess
Ekspordi aadressi filtreerimine (EAF)Ainult rakenduse tasemelEnableExportAddressFilterPlus, EnableExportAddressFilter [üks] Audit pole saadaval
Impordi aadresside filtreerimine (IAF)Ainult rakenduse tasemelEnableImportAddressFilterAudit pole saadaval
Täitmise simuleerimine (SimExec)Ainult rakenduse tasemelEnableRopSimExecAudit pole saadaval
Kinnitage API kutsumine (CallerCheck)Ainult rakenduse tasemelEnableRopCallerCheckAudit pole saadaval
Kinnitage käepideme kasutamineAinult rakenduse tasemelRange käepideAudit pole saadaval
Kinnitage kujutise sõltuvuse terviklikkusAinult rakenduse tasemelEnforceModuleDepencySigningAudit pole saadaval
Kinnitage virna terviklikkus (StackPivot)Ainult rakenduse tasemelEnableRopStackPivotAudit pole saadaval

Konfiguratsioonide importimine ja eksportimine

Konfiguratsioone saab importida ja eksportida. Seda saate teha Windows Defenderi abil Windows Defenderi turbekeskuse kaitsesätete kasutamiseks, kasutades PowerShelli ja kasutades eeskirju.

Lisaks saab EMET-i konfiguratsioone teisendada nii, et neid saaks importida.

Kaitse sätete ekspluateerimine

Seadete rakenduses saate konfiguratsioone eksportida, kuid mitte neid importida. Eksportimine lisab kõik süsteemitaseme ja rakenduse taseme leevendused.

Selleks klõpsake lihtsalt kaitse ekspluateerimise lingil 'eksporti sätted'.

PowerShelli kasutamine konfiguratsioonifaili eksportimiseks

  1. Avage kõrgendatud Powershelli viip.
  2. Get-ProcessMitigation -RegistryConfigFilePath failinimi.xml

Muutke failinimi.xml nii, et see kajastaks salvestamise asukohta ja failinime.

PowerShelli kasutamine konfiguratsioonifaili importimiseks

  1. Avage kõrgendatud Powershelli viip.
  2. Käivitage järgmine käsk: Set-ProcessMitigation -PolicyFilePath failinimi.xml

Muutke failinimi.xml nii, et see osutab konfiguratsiooni XML-faili asukohale ja failinimele.

Grupipoliitika kasutamine konfiguratsioonifaili installimiseks

use common set exploit protection

Konfiguratsioonifaile saate installida poliitikate abil.

  1. Puudutage Windowsi võtit, tippige gpedit.msc ja klõpsake rühmapoliitika redaktori käivitamiseks sisestusklahvi.
  2. Minge jaotisse Arvuti konfiguratsioon> Administratiivmallid> Windowsi komponendid> Windows Defender Exploit Guard> Exploit.
  3. Topeltklõpsake nuppu 'Kasuta käskude komplekti, et kaitsta kaitsesätteid'.
  4. Seadke poliitika lubatuks.
  5. Lisage suvandiväljale konfiguratsiooni XML-faili tee ja failinimi.

EMET-faili teisendamine

  1. Avage kõrgendatud PowerShelli viip, nagu eespool kirjeldatud.
  2. Käivitage käsk ConvertTo-ProcessMitigationPolicy -EMETFilePath emetFile.xml -OutputFilePath failinimi.xml

Muutke emetFile.xml EMET-i konfiguratsioonifaili asukohaks ja asukohaks.

Muutke failinimi.xml asukohta ja asukohta, kuhu soovite teisendatud konfiguratsioonifaili salvestada.

Ressursid