Configura la protecció amb Windows Defender Exploit a Windows 10

La protecció d’explotació és una nova característica de seguretat de Windows Defender que Microsoft va introduir a l’actualització Fall Creators Update del sistema operatiu.

Guàrdia d'explotació és un conjunt de funcions que inclou protecció d’explotació, reducció de la superfície d’atac , protecció de xarxa i accés de carpeta controlat .

La protecció d’explotació es pot descriure millor com a versió integrada de l’EMET de Microsoft - Exploit Mitigation Experience Toolkit - eina de seguretat que l’empresa es retirarà a mitjan 2018 .

Microsoft va afirmar anteriorment que el sistema operatiu Windows 10 de l’empresa faria necessari fer funcionar EMET al costat de Windows ; Almenys un investigador va refutar la afirmació de Microsoft tanmateix.

Protecció d’explotació de Windows Defender

La protecció d’explotació està habilitada de manera predeterminada si Windows Defender està habilitat. La funció és l'única característica Exploit Guard que no requereix que la protecció en temps real estigui habilitada a Windows Defender.

La característica es pot configurar a l'aplicació Windows Defender Security Center, mitjançant ordres PowerShell o com a polítiques.

Configuració a l'aplicació Windows Defender Security Center

exploit protection windows defender

Podeu configurar la protecció d’explotació a l’aplicació Windows Defender Security Center.

  1. Utilitzeu Windows-I per obrir l'aplicació Configuració.
  2. Desplaceu-vos a Actualització i seguretat> Defensor de Windows.
  3. Seleccioneu Obre el centre de seguretat de Windows Defender.
  4. Seleccioneu Control i aplicació del navegador que apareixen com a enllaç de la barra lateral a la nova finestra que s'obre.
  5. Localitzeu l’entrada de protecció d’explotació a la pàgina i feu clic a la configuració de protecció d’explotació.

La configuració es divideix en Configuració del sistema i Configuració del programa.

La configuració del sistema mostra els mecanismes de protecció disponibles i el seu estat. L'actualització de Windows 10 Fall Creators està disponible a continuació:

  • Protecció de flux de control (CFG): activa de manera predeterminada.
  • Prevenció de l'execució de dades (DEP): està predeterminada.
  • Força l’atzarització d’imatges (obligatori ASLR): desactivada de manera predeterminada.
  • Alertar les assignacions de memòria (ASLR inferior), de manera predeterminada.
  • Valida les cadenes d’excepcions (SEHOP): activa de manera predeterminada.
  • Valida la integritat de la pila: està per defecte.

Podeu canviar l'estat de qualsevol opció a 'activat per defecte', 'desactivat per defecte' o 'utilitzar per defecte'.

La configuració del programa us ofereix opcions per personalitzar la protecció per a programes i aplicacions individuals. Això funciona de manera similar a com podeu afegir excepcions a Microsoft EMET per a programes concrets; És bo si un programa es comporta malament quan estan habilitats determinats mòduls de protecció.

Alguns programes tenen excepcions per defecte. Inclou svchost.exe, spools.exe, runtimebroker.exe, iexplore.exe i altres programes bàsics de Windows. Tingueu en compte que podeu substituir aquestes excepcions si seleccioneu els fitxers i feu clic a Edita.

program settings exploit protection

Feu clic a 'Afegir programa per personalitzar' per afegir un programa per nom o ruta d'accés exacte al fitxer a la llista d'excepcions.

Podeu definir l'estat de totes les proteccions admeses de manera individual per a cada programa que heu afegit a la configuració del programa. A més de superar el valor predeterminat del sistema i forçar-lo a un o fora, també hi ha una opció per definir-lo com a 'només d'auditoria'. Aquest últim registra esdeveniments que s'haurien disparat si l'estat de la protecció s'hagués activat, però només registrarà l'esdeveniment al registre d'esdeveniments de Windows.

Configuració del programa mostra opcions de protecció addicionals que no podeu configurar sota la configuració del sistema perquè estan configurades per funcionar només al nivell de l’aplicació.

Aquests són:

  • Protecció de codi arbitral (ACG)
  • Imatges de baixa integritat
  • Bloquejar imatges remotes
  • Bloqueja tipus de lletra no fiables
  • Protecció de la integritat del codi
  • Desactiva els punts d’extensió
  • Desactiva les trucades del sistema Win32
  • No permetis processos infantils
  • Exportar filtres d'adreces (EAF)
  • Importa el filtrat d'adreces (IAF)
  • Simula l'execució (SimExec)
  • Valida la invocació de l'API (CallerCheck)
  • Valida l’ús del maneig
  • Validar la integració de la dependència de la imatge
  • Validar la integritat de la pila (StackPivot)

Configuració de la protecció d’explotació mitjançant PowerShell

Podeu utilitzar PowerShell per configurar, eliminar o enumerar mitigacions. Les comandes següents estan disponibles:

Per llistar totes les mitigacions del procés especificat: Get-ProcessMitigation -Name processName.exe

Per establir mitigacions: Set-ProcessMitigation - - ,,

  • Abast: és -Sistema o -Nom.
  • Acció: és -Enable o -Disponible.
  • Mitigació: el nom de la Mitigació. Consulteu la taula següent. Podeu separar les mitigacions per comes.

Exemples:

  • Set-Processmitigation -System -Enable DEP
  • Set-Processmitigation -Nom test.exe -Removeu -Disable DEP
  • Set-ProcessMitigation -Name processName.exe -Enable EnableExportAddressFilterPlus -EAFModules dllName1.dll, dllName2.dll
MitigacióS'aplica aCmdlets PowerShellCMDlet del mode d'auditoria
Protecció de flux de control (CFG)Nivell de sistema i d'aplicacionsCFG, StrictCFG, SuppressExportsAuditoria no disponible
Prevenció de l'execució de dades (DEP)Nivell de sistema i d'aplicacionsDEP, EmulateAtlThunksAuditoria no disponible
Força l’atzarització d’imatges (obligatori ASLR)Nivell de sistema i d'aplicacionsForceRelocateAuditoria no disponible
Assignació aleatòria de la memòria (ASLR de fons)Nivell de sistema i d'aplicacionsBottomUp, HighEntropyAuditoria no disponible
Validar les cadenes d’excepcions (SEHOP)Nivell de sistema i d'aplicacionsSEHOP, SEHOPTelemetryAuditoria no disponible
Validar la integritat de la pilaNivell de sistema i d'aplicacionsTerminateOnHeapErrorAuditoria no disponible
Protecció de codi arbitral (ACG)Només a nivell d'aplicacióCodi dinàmicAuditDynamicCode
Bloquejar imatges de baixa integritatNomés a nivell d'aplicacióBlockLowLabelAuditImageLoad
Bloquejar imatges remotesNomés a nivell d'aplicacióBlockRemoteImagesAuditoria no disponible
Bloqueja tipus de lletra no fiablesNomés a nivell d'aplicacióDisableNonSystemFontsAuditFont, FontAuditOnly
Protecció de la integritat del codiNomés a nivell d'aplicacióBlockNonMicrosoftSigned, AllowStoreSignedAuditMicrosoftSigned, AuditStoreSigned
Desactiva els punts d’extensióNomés a nivell d'aplicacióExtensionPointAuditoria no disponible
Desactiva les trucades del sistema Win32kNomés a nivell d'aplicacióDisableWin32kSystemCallsAuditSystemCall
No permetis processos infantilsNomés a nivell d'aplicacióDisallowChildProcessCreationAuditChildProcess
Exportar filtres d'adreces (EAF)Només a nivell d'aplicacióEnableExportAddressFilterPlus, EnableExportAddressFilter [1] Auditoria no disponible
Importa el filtrat d'adreces (IAF)Només a nivell d'aplicacióEnableImportAddressFilterAuditoria no disponible
Simula l'execució (SimExec)Només a nivell d'aplicacióEnableRopSimExecAuditoria no disponible
Valida la invocació de l'API (CallerCheck)Només a nivell d'aplicacióEnableRopCallerCheckAuditoria no disponible
Valida l’ús del maneigNomés a nivell d'aplicacióStrictHandleAuditoria no disponible
Validar la integritat de la dependència de la imatgeNomés a nivell d'aplicacióEnforceModuleDepencySigningAuditoria no disponible
Validar la integritat de la pila (StackPivot)Només a nivell d'aplicacióEnableRopStackPivotAuditoria no disponible

Importació i exportació de configuracions

Es poden importar i exportar configuracions. Podeu fer-ho mitjançant la configuració de protecció d’explotar Windows Defender al Windows Defender Security Center, mitjançant PowerShell, mitjançant polítiques.

Les configuracions EMET també es poden convertir de manera que es poden importar.

Ús de la configuració de protecció Explota

Podeu exportar configuracions a l’aplicació de configuració, però no importar-les. Exportar afegeix totes les mitigacions del nivell i del sistema.

Per fer-ho, només cal que feu clic a l’enllaç “configuració d’exportació” situat a la protecció d’explotació.

Utilitzant PowerShell per exportar un fitxer de configuració

  1. Obre un indicador de Powershell elevat.
  2. Get-ProcessMitigation -RegistryConfigFilePath nom de fitxer.xml

Editeu nom de fitxer.xml de manera que reflecteixi la ubicació de desat i el nom de fitxer.

Utilitzant PowerShell per importar un fitxer de configuració

  1. Obre un indicador de Powershell elevat.
  2. Executeu la següent comanda: Set-ProcessMitigation -PolicyFilePath nom de fitxer.xml

Editeu nom de fitxer.xml perquè apunti a la ubicació i al nom del fitxer del fitxer XML de configuració.

Utilitzant la política de grup per instal·lar un fitxer de configuració

use common set exploit protection

Podeu instal·lar fitxers de configuració mitjançant polítiques.

  1. Toqueu la tecla Windows, escriviu gpedit.msc i toqueu la tecla Enter per iniciar l'editor de polítiques de grup.
  2. Vés a la configuració de l'ordinador> Plantilles administratives> Components de Windows> Windows Defender Exploit Guard> Protecció d'explotació.
  3. Feu doble clic a 'Utilitzeu un conjunt de comandes de la configuració de protecció d'explotació'.
  4. Estableix la política a l'activació.
  5. Afegiu la ruta i el nom de fitxer del fitxer XML de configuració al camp d’opcions.

Convertint un fitxer EMET

  1. Obriu un indicador de PowerShell elevat com es descriu més amunt.
  2. Executeu l'ordre ConvertTo-ProcessMitigationPolicy -EMETFilePath emetFile.xml -OutputFilePath nom de fitxer.xml

Canvieu emetFile.xml a la ruta i la ubicació del fitxer de configuració EMET.

Canvieu el nom de fitxer.xml a la ruta i la ubicació on voleu que es desi el fitxer de configuració convertit.

Recursos