Configura la protecció amb Windows Defender Exploit a Windows 10
- Categoria: Windows
La protecció d’explotació és una nova característica de seguretat de Windows Defender que Microsoft va introduir a l’actualització Fall Creators Update del sistema operatiu.
Guàrdia d'explotació és un conjunt de funcions que inclou protecció d’explotació, reducció de la superfície d’atac , protecció de xarxa i accés de carpeta controlat .
La protecció d’explotació es pot descriure millor com a versió integrada de l’EMET de Microsoft - Exploit Mitigation Experience Toolkit - eina de seguretat que l’empresa es retirarà a mitjan 2018 .
Microsoft va afirmar anteriorment que el sistema operatiu Windows 10 de l’empresa faria necessari fer funcionar EMET al costat de Windows ; Almenys un investigador va refutar la afirmació de Microsoft tanmateix.
Protecció d’explotació de Windows Defender
La protecció d’explotació està habilitada de manera predeterminada si Windows Defender està habilitat. La funció és l'única característica Exploit Guard que no requereix que la protecció en temps real estigui habilitada a Windows Defender.
La característica es pot configurar a l'aplicació Windows Defender Security Center, mitjançant ordres PowerShell o com a polítiques.
Configuració a l'aplicació Windows Defender Security Center
Podeu configurar la protecció d’explotació a l’aplicació Windows Defender Security Center.
- Utilitzeu Windows-I per obrir l'aplicació Configuració.
- Desplaceu-vos a Actualització i seguretat> Defensor de Windows.
- Seleccioneu Obre el centre de seguretat de Windows Defender.
- Seleccioneu Control i aplicació del navegador que apareixen com a enllaç de la barra lateral a la nova finestra que s'obre.
- Localitzeu l’entrada de protecció d’explotació a la pàgina i feu clic a la configuració de protecció d’explotació.
La configuració es divideix en Configuració del sistema i Configuració del programa.
La configuració del sistema mostra els mecanismes de protecció disponibles i el seu estat. L'actualització de Windows 10 Fall Creators està disponible a continuació:
- Protecció de flux de control (CFG): activa de manera predeterminada.
- Prevenció de l'execució de dades (DEP): està predeterminada.
- Força l’atzarització d’imatges (obligatori ASLR): desactivada de manera predeterminada.
- Alertar les assignacions de memòria (ASLR inferior), de manera predeterminada.
- Valida les cadenes d’excepcions (SEHOP): activa de manera predeterminada.
- Valida la integritat de la pila: està per defecte.
Podeu canviar l'estat de qualsevol opció a 'activat per defecte', 'desactivat per defecte' o 'utilitzar per defecte'.
La configuració del programa us ofereix opcions per personalitzar la protecció per a programes i aplicacions individuals. Això funciona de manera similar a com podeu afegir excepcions a Microsoft EMET per a programes concrets; És bo si un programa es comporta malament quan estan habilitats determinats mòduls de protecció.
Alguns programes tenen excepcions per defecte. Inclou svchost.exe, spools.exe, runtimebroker.exe, iexplore.exe i altres programes bàsics de Windows. Tingueu en compte que podeu substituir aquestes excepcions si seleccioneu els fitxers i feu clic a Edita.
Feu clic a 'Afegir programa per personalitzar' per afegir un programa per nom o ruta d'accés exacte al fitxer a la llista d'excepcions.
Podeu definir l'estat de totes les proteccions admeses de manera individual per a cada programa que heu afegit a la configuració del programa. A més de superar el valor predeterminat del sistema i forçar-lo a un o fora, també hi ha una opció per definir-lo com a 'només d'auditoria'. Aquest últim registra esdeveniments que s'haurien disparat si l'estat de la protecció s'hagués activat, però només registrarà l'esdeveniment al registre d'esdeveniments de Windows.
Configuració del programa mostra opcions de protecció addicionals que no podeu configurar sota la configuració del sistema perquè estan configurades per funcionar només al nivell de l’aplicació.
Aquests són:
- Protecció de codi arbitral (ACG)
- Imatges de baixa integritat
- Bloquejar imatges remotes
- Bloqueja tipus de lletra no fiables
- Protecció de la integritat del codi
- Desactiva els punts d’extensió
- Desactiva les trucades del sistema Win32
- No permetis processos infantils
- Exportar filtres d'adreces (EAF)
- Importa el filtrat d'adreces (IAF)
- Simula l'execució (SimExec)
- Valida la invocació de l'API (CallerCheck)
- Valida l’ús del maneig
- Validar la integració de la dependència de la imatge
- Validar la integritat de la pila (StackPivot)
Configuració de la protecció d’explotació mitjançant PowerShell
Podeu utilitzar PowerShell per configurar, eliminar o enumerar mitigacions. Les comandes següents estan disponibles:
Per llistar totes les mitigacions del procés especificat: Get-ProcessMitigation -Name processName.exe
Per establir mitigacions: Set-ProcessMitigation - - ,,
- Abast: és -Sistema o -Nom.
- Acció: és -Enable o -Disponible.
- Mitigació: el nom de la Mitigació. Consulteu la taula següent. Podeu separar les mitigacions per comes.
Exemples:
- Set-Processmitigation -System -Enable DEP
- Set-Processmitigation -Nom test.exe -Removeu -Disable DEP
- Set-ProcessMitigation -Name processName.exe -Enable EnableExportAddressFilterPlus -EAFModules dllName1.dll, dllName2.dll
| Mitigació | S'aplica a | Cmdlets PowerShell | CMDlet del mode d'auditoria |
|---|---|---|---|
| Protecció de flux de control (CFG) | Nivell de sistema i d'aplicacions | CFG, StrictCFG, SuppressExports | Auditoria no disponible |
| Prevenció de l'execució de dades (DEP) | Nivell de sistema i d'aplicacions | DEP, EmulateAtlThunks | Auditoria no disponible |
| Força l’atzarització d’imatges (obligatori ASLR) | Nivell de sistema i d'aplicacions | ForceRelocate | Auditoria no disponible |
| Assignació aleatòria de la memòria (ASLR de fons) | Nivell de sistema i d'aplicacions | BottomUp, HighEntropy | Auditoria no disponible |
| Validar les cadenes d’excepcions (SEHOP) | Nivell de sistema i d'aplicacions | SEHOP, SEHOPTelemetry | Auditoria no disponible |
| Validar la integritat de la pila | Nivell de sistema i d'aplicacions | TerminateOnHeapError | Auditoria no disponible |
| Protecció de codi arbitral (ACG) | Només a nivell d'aplicació | Codi dinàmic | AuditDynamicCode |
| Bloquejar imatges de baixa integritat | Només a nivell d'aplicació | BlockLowLabel | AuditImageLoad |
| Bloquejar imatges remotes | Només a nivell d'aplicació | BlockRemoteImages | Auditoria no disponible |
| Bloqueja tipus de lletra no fiables | Només a nivell d'aplicació | DisableNonSystemFonts | AuditFont, FontAuditOnly |
| Protecció de la integritat del codi | Només a nivell d'aplicació | BlockNonMicrosoftSigned, AllowStoreSigned | AuditMicrosoftSigned, AuditStoreSigned |
| Desactiva els punts d’extensió | Només a nivell d'aplicació | ExtensionPoint | Auditoria no disponible |
| Desactiva les trucades del sistema Win32k | Només a nivell d'aplicació | DisableWin32kSystemCalls | AuditSystemCall |
| No permetis processos infantils | Només a nivell d'aplicació | DisallowChildProcessCreation | AuditChildProcess |
| Exportar filtres d'adreces (EAF) | Només a nivell d'aplicació | EnableExportAddressFilterPlus, EnableExportAddressFilter [1] | Auditoria no disponible |
| Importa el filtrat d'adreces (IAF) | Només a nivell d'aplicació | EnableImportAddressFilter | Auditoria no disponible |
| Simula l'execució (SimExec) | Només a nivell d'aplicació | EnableRopSimExec | Auditoria no disponible |
| Valida la invocació de l'API (CallerCheck) | Només a nivell d'aplicació | EnableRopCallerCheck | Auditoria no disponible |
| Valida l’ús del maneig | Només a nivell d'aplicació | StrictHandle | Auditoria no disponible |
| Validar la integritat de la dependència de la imatge | Només a nivell d'aplicació | EnforceModuleDepencySigning | Auditoria no disponible |
| Validar la integritat de la pila (StackPivot) | Només a nivell d'aplicació | EnableRopStackPivot | Auditoria no disponible |
Importació i exportació de configuracions
Es poden importar i exportar configuracions. Podeu fer-ho mitjançant la configuració de protecció d’explotar Windows Defender al Windows Defender Security Center, mitjançant PowerShell, mitjançant polítiques.
Les configuracions EMET també es poden convertir de manera que es poden importar.
Ús de la configuració de protecció Explota
Podeu exportar configuracions a l’aplicació de configuració, però no importar-les. Exportar afegeix totes les mitigacions del nivell i del sistema.
Per fer-ho, només cal que feu clic a l’enllaç “configuració d’exportació” situat a la protecció d’explotació.
Utilitzant PowerShell per exportar un fitxer de configuració
- Obre un indicador de Powershell elevat.
- Get-ProcessMitigation -RegistryConfigFilePath nom de fitxer.xml
Editeu nom de fitxer.xml de manera que reflecteixi la ubicació de desat i el nom de fitxer.
Utilitzant PowerShell per importar un fitxer de configuració
- Obre un indicador de Powershell elevat.
- Executeu la següent comanda: Set-ProcessMitigation -PolicyFilePath nom de fitxer.xml
Editeu nom de fitxer.xml perquè apunti a la ubicació i al nom del fitxer del fitxer XML de configuració.
Utilitzant la política de grup per instal·lar un fitxer de configuració
Podeu instal·lar fitxers de configuració mitjançant polítiques.
- Toqueu la tecla Windows, escriviu gpedit.msc i toqueu la tecla Enter per iniciar l'editor de polítiques de grup.
- Vés a la configuració de l'ordinador> Plantilles administratives> Components de Windows> Windows Defender Exploit Guard> Protecció d'explotació.
- Feu doble clic a 'Utilitzeu un conjunt de comandes de la configuració de protecció d'explotació'.
- Estableix la política a l'activació.
- Afegiu la ruta i el nom de fitxer del fitxer XML de configuració al camp d’opcions.
Convertint un fitxer EMET
- Obriu un indicador de PowerShell elevat com es descriu més amunt.
- Executeu l'ordre ConvertTo-ProcessMitigationPolicy -EMETFilePath emetFile.xml -OutputFilePath nom de fitxer.xml
Canvieu emetFile.xml a la ruta i la ubicació del fitxer de configuració EMET.
Canvieu el nom de fitxer.xml a la ruta i la ubicació on voleu que es desi el fitxer de configuració convertit.