I-configure ang Windows Defender Exploit na proteksyon sa Windows 10

Subukan Ang Aming Instrumento Para Sa Pagtanggal Ng Mga Problema

Ang paggamit ng proteksyon ay isang bagong tampok ng seguridad ng Windows Defender na ipinakilala ng Microsoft sa Pagbabagsak ng Taglalang ng Tagabuo ng operating system.

Tagabantay ng Bantay ay isang hanay ng mga tampok na kasama ang proteksyon sa pagsasamantala, pag-atake ng pagbawas sa ibabaw , proteksyon sa network, at kinokontrol na pag-access sa folder .

Ang pinakamahusay na proteksyon ay pinakamahusay na maaaring inilarawan bilang isang pinagsamang bersyon ng EMET ng Microsoft - Exploit Mitigation Experience Toolkit - tool sa seguridad na kung saan ang kumpanya magretiro sa kalagitnaan ng 2018 .

Sinabi ng Microsoft na dati na ang operating system ng Windows 10 ng kumpanya gagawa ng pagpapatakbo ng EMET sa tabi ng Windows hindi kinakailangan ; hindi bababa sa isang mananaliksik ang tumanggi sa pag-angkin ng Microsoft.

Ang Windows Defender na nagpapanatili ng proteksyon

Ang proteksyon ng paggamit ay pinagana sa pamamagitan ng default kung pinagana ang Windows Defender. Ang tampok ay ang tanging tampok na Exploit Guard na hindi nangangailangan ng proteksyon ng real-time na pinagana sa Windows Defender.

Ang tampok ay maaaring mai-configure sa application ng Windows Defender Security Center, sa pamamagitan ng mga utos ng PowerShell, o bilang mga patakaran.

Pag-configure sa Windows Defender Security Center app

exploit protection windows defender

Maaari mong mai-configure ang proteksyon sa proteksyon sa application ng Windows Defender Security Center.

  1. Gumamit ng Windows-I upang buksan ang application ng Mga Setting.
  2. Mag-navigate sa I-update at Seguridad> Windows Defender.
  3. Piliin ang Open Windows Defender Security Center.
  4. Piliin ang App & browser control na nakalista bilang isang link ng sidebar sa bagong window na bubukas.
  5. Hanapin ang pagpasok sa pagsasamantala ng proteksyon sa pahina, at mag-click sa mga setting ng proteksyon sa pagsasamantala.

Ang mga setting ay nahahati sa Mga Setting ng System at Mga Setting ng Program.

Listahan ng mga setting ng system ang magagamit na mga mekanismo ng proteksyon at ang kanilang katayuan. Magagamit ang mga sumusunod sa Update ng Windows 10 Fall Creators:

  • Control Flow Guard (CFG) - sa pamamagitan ng default.
  • Pag-iwas sa Data Exemption (DEP) - sa pamamagitan ng default.
  • Pilitin ang randomization para sa mga imahe (Mandatory ASLR) - off sa pamamagitan ng default.
  • Randomize ang mga paglalaan ng memorya (Bottom-up ASLR) - sa pamamagitan ng default.
  • Patunayan ang mga kadena ng pagbubukod (SEHOP) - sa pamamagitan ng default.
  • Patunayan ang integridad ng magbunton - sa pamamagitan ng default.

Maaari mong baguhin ang katayuan ng anumang pagpipilian upang 'on by default', 'off by default', o 'gamitin default'.

Ang mga setting ng programa ay nagbibigay sa iyo ng mga pagpipilian upang ipasadya ang proteksyon para sa mga indibidwal na programa at aplikasyon. Gumagana ito nang katulad sa kung paano ka maaaring magdagdag ng mga pagbubukod sa Microsoft EMET para sa mga partikular na programa; mabuti kung ang isang programa ay nagkamali kapag pinagana ang ilang mga module ng proteksyon.

Medyo ilang mga programa ay may mga pagbubukod sa default. Kasama dito ang svchost.exe, spools.exe, runtimebroker.exe, iexplore.exe at iba pang mga pangunahing programa sa Windows. Tandaan na maaari mong i-override ang mga pagbubukod na ito sa pamamagitan ng pagpili ng mga file at pag-click sa pag-edit.

program settings exploit protection

Mag-click sa 'magdagdag ng programa upang ipasadya' upang magdagdag ng isang programa ayon sa pangalan o eksaktong landas ng file sa listahan ng mga pagbubukod.

Maaari mong itakda ang katayuan ng lahat ng mga suportadong proteksyon nang paisa-isa para sa bawat programa na iyong idinagdag sa ilalim ng mga setting ng programa. Bukod sa pag-overrect ng default ng system, at pagpilit sa isa o off, mayroon ding pagpipilian na itakda ito sa 'pag-audit lamang'. Ang huli ay nagtatala ng mga kaganapan na maaaring magpaputok kung ang katayuan ng proteksyon ay magiging sa, ngunit naitala lamang ang kaganapan sa log ng mga kaganapan sa Windows.

Listahan ng Mga Setting ng Programa ay naglilista ng mga karagdagang pagpipilian sa proteksyon na hindi mo mai-configure sa ilalim ng mga setting ng system dahil naka-configure sila upang tumakbo sa antas ng application lamang.

Ito ang:

  • Arbitrary code guard (ACG)
  • Pumutok ang mga imahe ng mababang integridad
  • I-block ang mga malalayong imahe
  • I-block ang hindi pinagkakatiwalaang mga font
  • Code ng security guard
  • Huwag paganahin ang mga puntos ng extension
  • Huwag paganahin ang mga tawag sa system ng Win32
  • Huwag payagan ang mga proseso ng bata
  • Pag-filter ng address ng export (EAF)
  • Pag-filter ng address ng import (IAF)
  • Pagpatay ng simulate (SimExec)
  • Patunayan ang invocation ng API (CallerCheck)
  • Patunayan ang paggamit ng hawakan
  • Patunayan ang pagsasama sa imahe ng pagsasama
  • Patunayan ang integridad ng stack (StackPivot)

Ang pag-configure ng pagsasamantala sa proteksyon gamit ang PowerShell

Maaari mong gamitin ang PowerShell upang itakda, alisin o ilista ang mga pagpapagaan. Ang mga sumusunod na utos ay magagamit:

Upang ilista ang lahat ng mga pagpapagaan ng tinukoy na proseso: Kumuha-ProsesoMitigation -Name processName.exe

Upang itakda ang mga pagpapagaan: Set-ProsesoMitigation - -,,

  • Saklaw: ay alinman -System o -Name.
  • Aksyon: ay alinman sa -Enable o -Disable.
  • Pagganyak: ang pangalan ng Mitigation. Kumonsulta sa sumusunod na talahanayan. Maaari mong paghiwalayin ang mga pagpapagaan sa pamamagitan ng koma.

Mga halimbawa:

  • Set-Processmitigation -System -Enable DEP
  • Itakda-Processmitigation -Name test.exe -Remove -Disable DEP
  • Set-ProsesoMitigation -Name processName.exe -Enable EnableExportAddressFilterPlus -EAFModules dllName1.dll, dllName2.dll
PagpapatawadNalalapat saPowerShell cmdletsCmdlet mode ng audit
Kontrol ng daloy ng control (CFG)System at antas ng appCFG, StrictCFG, SuppressExportsHindi magagamit ang audit
Pag-iwas sa Data Exemption (DEP)System at antas ng appDEP, EmulateAtlThunksHindi magagamit ang audit
Pilitin ang randomization para sa mga imahe (Mandatory ASLR)System at antas ng appForceRelocateHindi magagamit ang audit
Randomize ang mga paglalaan ng memorya (Bottom-Up ASLR)System at antas ng appBottomUp, HighEntropyHindi magagamit ang audit
Patunayan ang mga kadena ng pagbubukod (SEHOP)System at antas ng appSEHOP, SEHOPTelemetryHindi magagamit ang audit
Patunayan ang integridad ng magbuntonSystem at antas ng appI-terminateOnHeapErrorHindi magagamit ang audit
Arbitrary code guard (ACG)App-level lamangDynamicCodeAuditDynamicCode
I-block ang mga imahe ng mababang integridadApp-level lamangI-blockLowLabelAuditImageLoad
I-block ang mga malalayong imaheApp-level lamangBlockRemoteImagesHindi magagamit ang audit
I-block ang hindi pinagkakatiwalaang mga fontApp-level lamangHindi PaganahinNonSystemFontsAuditFont, FontAuditOnly
Code ng security guardApp-level lamangBlockNonMicrosoftSigned, AllowStoreSignedAuditMicrosoftSigned, AuditStoreSigned
Huwag paganahin ang mga puntos ng extensionApp-level lamangExtensionPointHindi magagamit ang audit
Huwag paganahin ang mga tawag sa system ng Win32kApp-level lamangHindi PaganahinWin32kSystemCallsAuditSystemCall
Huwag payagan ang mga proseso ng bataApp-level lamangDisallowChildProcessCreationAuditChildProcess
Pag-filter ng address ng export (EAF)App-level lamangPaganahinExportAddressFilterPlus, PaganahinExportAddressFilter [isa] Hindi magagamit ang audit
Pag-filter ng address ng import (IAF)App-level lamangPaganahinImportAddressFilterHindi magagamit ang audit
Pagpatay ng simulate (SimExec)App-level lamangPaganahinRopSimExecHindi magagamit ang audit
Patunayan ang invocation ng API (CallerCheck)App-level lamangPaganahinRopCallerCheckHindi magagamit ang audit
Patunayan ang paggamit ng hawakanApp-level lamangStrictHandleHindi magagamit ang audit
Patunayan ang integridad ng imaheApp-level lamangPagpapatupadModuleDepencySigningHindi magagamit ang audit
Patunayan ang integridad ng stack (StackPivot)App-level lamangPaganahinRopStackPivotHindi magagamit ang audit

Pag-import at pag-export ng mga pagsasaayos

Ang mga pagsasaayos ay maaaring mai-import at mai-export. Magagawa mo ito gamit ang Windows Defender na pagsamantalahan ng mga setting ng proteksyon sa Windows Defender Security Center, sa pamamagitan ng paggamit ng PowerShell, sa pamamagitan ng paggamit ng mga patakaran.

Ang mga pagsasaayos ng EMET ay maaari pa ring mai-convert upang ma-import sila.

Paggamit ng mga setting ng proteksyon ng Exploit

Maaari kang mag-export ng mga pagsasaayos sa application ng mga setting, ngunit hindi mai-import ang mga ito. Ang pag-export ay nagdaragdag ng lahat ng antas ng system at pagpapagaan ng antas ng app.

Mag-click lamang sa link na 'export setting' sa ilalim ng pagsasamantalang proteksyon upang gawin ito.

Gamit ang PowerShell upang ma-export ang isang file ng pagsasaayos

  1. Magbukas ng isang nakataas na Powershell.
  2. Kumuha-ProsesoMitigation -PagtatayaConfigFilePath filename.xml

I-edit ang filename.xml upang maipakita nito ang pag-save ng lokasyon at filename.

Paggamit ng PowerShell upang mag-import ng isang file ng pagsasaayos

  1. Magbukas ng isang nakataas na Powershell.
  2. Patakbuhin ang sumusunod na utos: Itakda-ProsesoMitigation -PolicyFilePath filename.xml

I-edit ang filename.xml upang ito ay tumuturo sa lokasyon at pangalan ng file ng pagsasaayos ng XML file.

Paggamit ng Patakaran sa Grupo upang mag-install ng isang file ng pagsasaayos

use common set exploit protection

Maaari kang mag-install ng mga file ng pagsasaayos gamit ang mga patakaran.

  1. Tapikin ang Windows-key, i-type ang gpedit.msc, at pindutin ang Enter-key upang simulan ang Group Policy Editor.
  2. Mag-navigate sa pagsasaayos ng Computer> Mga template ng pang-administratibo> Mga sangkap ng Windows> Windows Defender Exploit Guard> Pagamit ang proteksyon.
  3. Mag-double click sa 'Gumamit ng isang set ng utos ng mga setting ng pagsasamantala sa proteksyon'.
  4. Itakda ang patakaran upang paganahin.
  5. Idagdag ang landas at filename ng file na XML ng pagsasaayos sa larangan ng mga pagpipilian.

Pag-convert ng isang EMET file

  1. Magbukas ng isang mataas na PowerShell mag-prompt tulad ng inilarawan sa itaas.
  2. Patakbuhin ang utos ConvertTo-ProsesoMitigationPolicy -EMETFilePath emetFile.xml -OutputFilePath filename.xml

Baguhin ang emetFile.xml sa landas at lokasyon ng file ng pagsasaayos ng EMET.

Baguhin ang filename.xml sa landas at lokasyon na nais mo upang mai-save ang na-convert na file.

Mga mapagkukunan