Windows Defenderi konfigureerimine Windows XP kaitse kasutamiseks

• Kategooria: Windows

Proovige Meie Instrumenti Probleemide Kõrvaldamiseks

Valige Operatsioonisüsteem Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Valige Projektsiooniprogramm (Valikuliselt) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Kirjeldage Oma Probleemi

Vastust Saama

Saada Mulle E -Posti Teel Näita Saidil

Lubatud kaitse on Windows Defenderi uus turvafunktsioon, mille Microsoft tutvustas opsüsteemi värskenduses Fall Creators.

Kasutage valvurit on funktsioonide kogum, mis hõlmab ärakasutamise kaitset, rünnaku pinna vähendamine , võrgu kaitse ja kontrollitud juurdepääs kaustadele .

Ärakasutamise kaitset saab kõige paremini kirjeldada Microsofti EMET - Exploit Mitigation Experience Toolkit - integreeritud versioonina - turbevahendina, mille ettevõte läheb pensionile 2018. aasta keskel .

Microsoft väitis varem, et ettevõtte Windows 10 opsüsteem muudaks EMETi käitamise Windowsi kõrval tarbetuks ; vähemalt üks teadlane lükkas Microsofti väite ümber.

Windows Defender Kasutage kaitset

Lubatud kaitse on vaikimisi lubatud, kui Windows Defender on lubatud. See funktsioon on ainus Exploit Guard'i funktsioon, mis ei nõua, et Windows Defenderis oleks lubatud reaalajas kaitse.

Seda funktsiooni saab konfigureerida Windows Defenderi turvakeskuse rakenduses, PowerShelli käskude kaudu või poliitikatena.

Konfiguratsioon rakenduses Windows Defender Security Center

Kaitset saate konfigureerida rakenduses Windows Defender Security Center.

1. Rakenduse Seadistused avamiseks kasutage Windows-I.
2. Minge jaotisse Värskendamine ja turvalisus> Windows Defender.
3. Valige Ava Windows Defenderi turvakeskus.
4. Valige avanevas uues aknas külgriba lingina loetletud rakendused ja brauseri juhtnupud.
5. Leidke lehelt kaitse kaitse kirje ja klõpsake käsku ekspordi kaitse sätted.

Seadistused jagunevad süsteemiseadeteks ja programmi säteteks.

Süsteemi sätetes loetletakse saadaolevad kaitsemehhanismid ja nende olek. Windows 10 sügisel loojate värskenduses on saadaval järgmised andmed:

• Control Flow Guard (CFG) - vaikimisi sisse lülitatud.
• Data Execution Prevention (DEP) - vaikimisi sisse lülitatud.
• Sundida piltide randomiseerimine (kohustuslik ASLR) - vaikimisi välja lülitatud.
• Juhuslik mälu eraldamine (Bottom-up ASLR) - vaikimisi.
• Valideeri erandiahelad (SEHOP) - vaikimisi sisse lülitatud.
• Kinnitage hunniku terviklikkus - vaikimisi sisse.

Võite suvalise oleku muuta olekuks vaikimisi sisse lülitatud, vaikimisi välja lülitatud või vaikimisi kasutatavaks.

Programmisätted annavad teile üksikute programmide ja rakenduste kaitse kohandamise võimalused. See toimib sarnaselt sellega, kuidas saaksite Microsoft EMETis teatud programmidele erandeid lisada; hea, kui programm töötab teatud kaitsemoodulite aktiveerimisel valesti.

Paljudel programmidel on vaikimisi erandeid. See hõlmab svchost.exe, spools.exe, runtimebroker.exe, iexplore.exe ja muid Windowsi põhiprogramme. Pange tähele, et saate need erandid alistada, valides failid ja klõpsates redigeeri.

Kui soovite programmi nime või täpse failitee lisamiseks erandite loendisse lisada, klõpsake nuppu 'programmi lisamine kohandamiseks'.

Kõigi toetatud kaitse olekute saate määrata iga programmi jaoks, mille olete programmi sätete all lisanud. Lisaks süsteemi vaikimisi alistamisele ja selle ühele või välja lülitamisele on võimalus seada see ka ainult auditile. Viimane salvestab sündmused, mis oleks vallandatud, kui kaitse olek oleks olnud sisse lülitatud, kuid registreerib ainult sündmuse Windowsi sündmuste logisse.

Programmisätted loetlevad täiendavad kaitsevalikud, mida te ei saa süsteemiseadetes konfigureerida, kuna need on konfigureeritud töötama ainult rakendustasandil.

Need on:

• Suvaline koodivalvur (ACG)
• Puhu madala terviklikkusega pildid
• Blokeerige kaugpildid
• Blokeerige ebausaldusväärsed fondid
• Koodi terviklikkuse valvur
• Keela pikenduspunktid
• Keela Win32 süsteemikõned
• Ärge lubage lapsprotsesse
• Ekspordi aadressi filtreerimine (EAF)
• Impordi aadresside filtreerimine (IAF)
• Täitmise simuleerimine (SimExec)
• Kinnitage API kutsumine (CallerCheck)
• Kinnitage käepideme kasutamine
• Kujutise sõltuvuse integreerimise valideerimine
• Kinnitage virna terviklikkus (StackPivot)

Kasutuskaitse seadistamine PowerShelli abil

Leevendamiste seadistamiseks, eemaldamiseks või loetlemiseks võite kasutada PowerShelli. Saadaval on järgmised käsud:

Määratud protsessi kõigi leevendamiste loetlemiseks: Get-ProcessMitigation -Name processName.exe

Leevendamiste määramiseks toimige järgmiselt: Set-ProcessMitigation - -,,

• Reguleerimisala: on kas -süsteem või -nimi.
• Toiming: on kas lubatav või desaktiveeritav.
• Leevendamine: leevenduse nimi. Tutvuge järgmise tabeliga. Leevendamise võib eraldada komaga.

Näited:

• Määra protsessiprotseduur-süsteem - lubage DEP
• Set-Processmitigation -Name test.exe -Eemalda - DEP keelamine
• Set-ProcessMitigation -Name processName.exe - Luba EnableExportAddressFilterPlus - EAFModules dllName1.dll, dllName2.dll

Leevendamine	Kehtib	PowerShelli cmdlet	Auditi režiimi cmdlet
Vooluhulga kaitse (CFG)	Süsteemi- ja rakendustasand	CFG, StrictCFG, SuppressExports	Audit pole saadaval
Andmete täitmise ennetamine (DEP)	Süsteemi- ja rakendustasand	DEP, EmulateAtlThunks	Audit pole saadaval
Piltide randomiseerimine sundimiseks (kohustuslik ASLR)	Süsteemi- ja rakendustasand	ForceRelocate	Audit pole saadaval
Juhuslik mälu eraldamine (Bottom-Up ASLR)	Süsteemi- ja rakendustasand	BottomUp, HighEntropy	Audit pole saadaval
Erandikettide valideerimine (SEHOP)	Süsteemi- ja rakendustasand	SEHOP, SEHOPTelemeetria	Audit pole saadaval
Kinnitage hunniku terviklikkus	Süsteemi- ja rakendustasand	TerminateOnHeapError	Audit pole saadaval
Suvaline koodivalvur (ACG)	Ainult rakenduse tasemel	DynamicCode	AuditDynamicCode
Blokeerige madala terviklikkusega pildid	Ainult rakenduse tasemel	BlockLowLabel	AuditImageLoad
Blokeerige kaugpildid	Ainult rakenduse tasemel	BlockRemoteImages	Audit pole saadaval
Blokeerige ebausaldusväärsed fondid	Ainult rakenduse tasemel	DisableNonSystemFonts	AuditFont, FontAuditOnly
Koodi terviklikkuse valvur	Ainult rakenduse tasemel	BlockNonMicrosoftSignated, AllowStoreSignated	AuditMicrosoftSigna, AuditStoreSignated
Keela pikenduspunktid	Ainult rakenduse tasemel	ExtensionPoint	Audit pole saadaval
Keela Win32k süsteemikõned	Ainult rakenduse tasemel	DisableWin32kSystemCalls	AuditSystemCall
Ärge lubage lapsprotsesse	Ainult rakenduse tasemel	DisallowChildProcessCreation	AuditChildProcess
Ekspordi aadressi filtreerimine (EAF)	Ainult rakenduse tasemel	EnableExportAddressFilterPlus, EnableExportAddressFilter [üks]	Audit pole saadaval
Impordi aadresside filtreerimine (IAF)	Ainult rakenduse tasemel	EnableImportAddressFilter	Audit pole saadaval
Täitmise simuleerimine (SimExec)	Ainult rakenduse tasemel	EnableRopSimExec	Audit pole saadaval
Kinnitage API kutsumine (CallerCheck)	Ainult rakenduse tasemel	EnableRopCallerCheck	Audit pole saadaval
Kinnitage käepideme kasutamine	Ainult rakenduse tasemel	Range käepide	Audit pole saadaval
Kinnitage kujutise sõltuvuse terviklikkus	Ainult rakenduse tasemel	EnforceModuleDepencySigning	Audit pole saadaval
Kinnitage virna terviklikkus (StackPivot)	Ainult rakenduse tasemel	EnableRopStackPivot	Audit pole saadaval

Konfiguratsioonide importimine ja eksportimine

Konfiguratsioone saab importida ja eksportida. Seda saate teha Windows Defenderi abil Windows Defenderi turbekeskuse kaitsesätete kasutamiseks, kasutades PowerShelli ja kasutades eeskirju.

Lisaks saab EMET-i konfiguratsioone teisendada nii, et neid saaks importida.

Kaitse sätete ekspluateerimine

Seadete rakenduses saate konfiguratsioone eksportida, kuid mitte neid importida. Eksportimine lisab kõik süsteemitaseme ja rakenduse taseme leevendused.

Selleks klõpsake lihtsalt kaitse ekspluateerimise lingil 'eksporti sätted'.

PowerShelli kasutamine konfiguratsioonifaili eksportimiseks

1. Avage kõrgendatud Powershelli viip.
2. Get-ProcessMitigation -RegistryConfigFilePath failinimi.xml

Muutke failinimi.xml nii, et see kajastaks salvestamise asukohta ja failinime.

PowerShelli kasutamine konfiguratsioonifaili importimiseks

1. Avage kõrgendatud Powershelli viip.
2. Käivitage järgmine käsk: Set-ProcessMitigation -PolicyFilePath failinimi.xml

Muutke failinimi.xml nii, et see osutab konfiguratsiooni XML-faili asukohale ja failinimele.

Grupipoliitika kasutamine konfiguratsioonifaili installimiseks

Konfiguratsioonifaile saate installida poliitikate abil.

1. Puudutage Windowsi võtit, tippige gpedit.msc ja klõpsake rühmapoliitika redaktori käivitamiseks sisestusklahvi.
2. Minge jaotisse Arvuti konfiguratsioon> Administratiivmallid> Windowsi komponendid> Windows Defender Exploit Guard> Exploit.
3. Topeltklõpsake nuppu 'Kasuta käskude komplekti, et kaitsta kaitsesätteid'.
4. Seadke poliitika lubatuks.
5. Lisage suvandiväljale konfiguratsiooni XML-faili tee ja failinimi.

EMET-faili teisendamine

1. Avage kõrgendatud PowerShelli viip, nagu eespool kirjeldatud.
2. Käivitage käsk ConvertTo-ProcessMitigationPolicy -EMETFilePath emetFile.xml -OutputFilePath failinimi.xml

Muutke emetFile.xml EMET-i konfiguratsioonifaili asukohaks ja asukohaks.

Muutke failinimi.xml asukohta ja asukohta, kuhu soovite teisendatud konfiguratsioonifaili salvestada.

Ressursid

• Hinnake ekspluateerimise kaitset
• Luba ekspluateerimise kaitse
• Kohandage ekspluateerimise kaitse
• Importida, eksportida ja juurutada kaitsekonfiguratsioonide kasutamine