הגדר את תצורת ההגנה של Windows Defender לנצל ב- Windows 10
- קטגוריה: חלונות
הגנה מפני ניצול היא תכונת אבטחה חדשה של Windows Defender שמיקרוסופט הציגה בעדכון Fall Creators של מערכת ההפעלה.
לנצל את המשמר היא קבוצה של תכונות הכוללות הגנה מפני ניצול, צמצום שטח התקפה , הגנת רשת, ו גישה לתיקייה מבוקרת .
ניתן לתאר בצורה הטובה ביותר את ההגנה מפני ניצול כגרסה משולבת של EMET של מיקרוסופט - Exploit Mitigation Experience Toolkit - כלי אבטחה אותו החברה יפרוש באמצע 2018 .
מיקרוסופט טענה בעבר כי מערכת ההפעלה Windows 10 של החברה יהפוך את הפעלת EMET לצד Windows למיותרת ; לפחות חוקר אחד הפריך את טענת מיקרוסופט.
Windows Defender לנצל הגנה
הגנה מפני ניצול מופעלת כברירת מחדל אם Windows Defender מופעל. התכונה היא התכונה היחידה של Exploit Guard שאינה מצריכה הפעלה של הגנה בזמן אמת ב- Windows Defender.
ניתן להגדיר את התכונה ביישום Windows Defender Security Center, באמצעות פקודות PowerShell או כמדיניות.
תצורה באפליקציית מרכז האבטחה של Windows Defender
אתה יכול להגדיר תצורה של ניצול הגנה ביישום Windows Defender Security Center.
- השתמש ב- Windows I כדי לפתוח את יישום ההגדרות.
- נווט אל עדכון ואבטחה> Windows Defender.
- בחר פתיחת מרכז האבטחה של Windows Defender.
- בחר בקרת אפליקציות ודפדפנים המופיעים כקישור בסרגל הצד בחלון החדש שנפתח.
- אתר את ערך ההגנה מפני ניצול בדף ולחץ על הגדרות הגנה מפני ניצול.
ההגדרות מחולקות להגדרות מערכת ולהגדרות התוכנית.
הגדרות מערכת מפרטות את מנגנוני ההגנה הזמינים ואת מצבם. שלהלן זמינים בעדכון היוצרים של חלונות 10 Fall:
- משמר זרימת בקרה (CFG) - מופעל כברירת מחדל.
- מניעת ביצוע נתונים (DEP) - מופעלת כברירת מחדל.
- כפה אקראיות לתמונות (חובה ASLR) - כבוי כברירת מחדל.
- אקראי הקצאות זיכרון (ASLR מלמטה למעלה) - כברירת מחדל.
- אמת שרשראות חריגות (SEHOP) - מופעל כברירת מחדל.
- אמת את שלמות הערימה - מופעל כברירת מחדל.
אתה יכול לשנות את הסטטוס של כל אפשרות ל'מופעל כברירת מחדל ',' כבוי כברירת מחדל ', או' השתמש בברירת מחדל '.
הגדרות התוכנית נותנות לך אפשרויות להתאים אישית את ההגנה עבור תוכניות ויישומים בודדים. זה עובד באופן דומה לאופן בו תוכלו להוסיף חריגים ב- Microsoft EMET עבור תוכניות מסוימות; טוב אם תוכנית לא מתנהגת כאשר מודולי הגנה מסוימים מופעלים.
לא מעט תוכניות כוללות חריגות כברירת מחדל. זה כולל svchost.exe, spools.exe, runtimebroker.exe, iexplore.exe ותוכנות ליבה אחרות של Windows. שימו לב שתוכלו לעקוף חריגים אלה על ידי בחירת הקבצים ולחיצה על עריכה.
לחץ על 'הוסף תוכנית להתאמה אישית' כדי להוסיף תוכנית לפי שם או נתיב קובץ מדויק לרשימת החריגים.
אתה יכול לקבוע את הסטטוס של כל ההגנות הנתמכות בנפרד עבור כל תוכנית שהוספת תחת הגדרות התוכנית. מלבד הדירוג של ברירת המחדל של המערכת, ואילוץ אותה לאחת או לביטול, יש גם אפשרות להגדיר אותה כ'ביקורת בלבד '. האחרון מתעד אירועים שהיו מפטרים אם סטטוס ההגנה היה מופעל, אך יתעד את האירוע רק ביומן האירועים של חלונות.
הגדרות התוכנית מציגות אפשרויות הגנה נוספות שלא ניתן להגדיר תחת הגדרות המערכת מכיוון שהן מוגדרות להפעלה ברמת היישום בלבד.
אלו הם:
- שומר קוד שרירותי (ACG)
- פוצו תמונות שלמות נמוכה
- חסום תמונות מרחוק
- חסום גופנים לא מהימנים
- שומר שלמות הקוד
- השבת נקודות סיומת
- השבת שיחות מערכת Win32
- אל תאפשר תהליכים של ילדים
- ייצוא סינון כתובות (EAF)
- יבוא סינון כתובות (IAF)
- הדמת ביצוע (SimExec)
- אמת את הזמנת ה- API (בדיקת שיחה)
- אמת את השימוש בידית
- אמת שילוב של תלות בתמונה
- אמת את שלמות הערימה (StackPivot)
קביעת תצורה של הגנת ניצול באמצעות PowerShell
אתה יכול להשתמש ב- PowerShell כדי להגדיר, להסיר או לרשום הפחתות. הפקודות הבאות זמינות:
כדי לרשום את כל ההפחתות של התהליך שצוין: Get-ProcessMitigation -Name processName.exe
להגדרת התקלות: הגדרת מעבד-הפעלה - - ,,
- היקף: הוא מערכת או שם.
- פעולה: הינה הפעלה או זמינה.
- Mitigation: שם ההקלה. עיין בטבלה הבאה. אתה יכול להפריד בין הקלות על ידי פסיק.
דוגמאות:
- Set-Processmitigation -System-Enable DEP
- Set-Processmitigation -Name test.exe-הסר-DEP ניתן להסרה
- Set-ProcessMitigation -Name processName.exe-Enable EnableExportAddressFilterPlus -EAFModules dllName1.dll, dllName2.dll
| הֲקָלָה | חל על | כונני PowerShell | Cmdlet מצב ביקורת |
|---|---|---|---|
| שומר זרימת בקרה (CFG) | רמת מערכת ואפליקציה | CFG, StrictCFG, SuppressExports | ביקורת אינה זמינה |
| מניעת ביצוע נתונים (DEP) | רמת מערכת ואפליקציה | DEP, EmulateAtlTunks | ביקורת אינה זמינה |
| הכרח אקראיות לתמונות (חובה ASLR) | רמת מערכת ואפליקציה | ForceRelocate | ביקורת אינה זמינה |
| אקראי הקצאות זיכרון (ASLR מלמטה למעלה) | רמת מערכת ואפליקציה | BottomUp, HighEntropy | ביקורת אינה זמינה |
| אמת רשתות חריגות (SEHOP) | רמת מערכת ואפליקציה | SEHOP, SEHOPTelemetry | ביקורת אינה זמינה |
| אמת את שלמות הערימה | רמת מערכת ואפליקציה | TerminalOnHeapError | ביקורת אינה זמינה |
| שומר קוד שרירותי (ACG) | רמת אפליקציה בלבד | DynamicCode | AuditDynamicCode |
| חסום תמונות שלמות נמוכה | רמת אפליקציה בלבד | BlockLowLabel | AuditImageLoad |
| חסום תמונות מרחוק | רמת אפליקציה בלבד | BlockRemoteImages | ביקורת אינה זמינה |
| חסום גופנים לא מהימנים | רמת אפליקציה בלבד | DisableNonSystemFonts | AuditFont, FontAuditOnly |
| שומר שלמות הקוד | רמת אפליקציה בלבד | BlockNonMicrosoftSIGN, AllowStoreSIGN | AuditMicrosoftSIGN, AuditStoreSIGN |
| השבת נקודות סיומת | רמת אפליקציה בלבד | ExtensionPoint | ביקורת אינה זמינה |
| השבת שיחות מערכת Win32k | רמת אפליקציה בלבד | DisableWin32kSystemCalls | AuditSystemCall |
| אל תאפשר תהליכים של ילדים | רמת אפליקציה בלבד | DisallowChildProcessCreation | AuditChildProcess |
| ייצוא סינון כתובות (EAF) | רמת אפליקציה בלבד | EnableExportAddressFilterPlus, EnableExportAddressFilter [אחד] | ביקורת אינה זמינה |
| יבוא סינון כתובות (IAF) | רמת אפליקציה בלבד | EnableImportAddressFilter | ביקורת אינה זמינה |
| הדמת ביצוע (SimExec) | רמת אפליקציה בלבד | EnableRopSimExec | ביקורת אינה זמינה |
| אמת את הזמנת ה- API (בדיקת שיחה) | רמת אפליקציה בלבד | EnableRopCallerCheck | ביקורת אינה זמינה |
| אמת את השימוש בידית | רמת אפליקציה בלבד | StrictHandle | ביקורת אינה זמינה |
| אמת את תקינות תלות התמונה | רמת אפליקציה בלבד | EnforceModuleDepencySigning | ביקורת אינה זמינה |
| אמת את שלמות הערימה (StackPivot) | רמת אפליקציה בלבד | אפשרRopStackPivot | ביקורת אינה זמינה |
יבוא ויצוא תצורות
ניתן לייבא ולייצא תצורות. אתה יכול לעשות זאת באמצעות Windows Defender לנצל את הגדרות ההגנה במרכז האבטחה של Windows, באמצעות PowerShell, על ידי שימוש במדיניות.
בנוסף ניתן להמיר תצורות EMET כך שניתן לייבא אותן.
באמצעות הגדרות ההגנה לנצל
ניתן לייצא תצורות ביישום ההגדרות, אך לא לייבא אותן. ייצוא מוסיף את כל ההפחתות ברמת המערכת ורמת האפליקציות.
פשוט לחץ על הקישור 'הגדרות ייצוא' תחת ניצול הגנה כדי לעשות זאת.
באמצעות PowerShell לייצוא קובץ תצורה
- פתח שורת Powershell מוגבהת.
- קבל תהליך-מעצורים - RegistryConfigFilePath filename.xml
ערוך את filename.xml כך שישקף את מיקום שמור ושם הקובץ.
באמצעות PowerShell לייבוא קובץ תצורה
- פתח שורת Powershell מוגבהת.
- הפעל את הפקודה הבאה: Set-ProcessMitigation -PolicyFilePath filename.xml
ערוך את filename.xml כך שהוא יצביע על המיקום ושם הקובץ של קובץ ה- XML.
שימוש במדיניות קבוצתית להתקנת קובץ תצורה
ניתן להתקין קבצי תצורה באמצעות מדיניות.
- הקש על מקש Windows, הקלד gpedit.msc והקש על מקש Enter כדי להפעיל את עורך המדיניות הקבוצתית.
- נווט לתצורת מחשב> תבניות ניהול> רכיבי Windows> Windows Defender Exploit Guard> הגנה מפני ניצול.
- לחץ פעמיים על 'השתמש בערכת פקודה של הגדרות הגנה מפני ניצול'.
- הגדר את המדיניות למופעלת.
- הוסף את הנתיב ושם הקובץ של קובץ ה- XML לתצורה בשדה האפשרויות.
המרת קובץ EMET
- פתח שורת PowerShell מוגבהת כמתואר לעיל.
- הפעל את הפקודה ConvertTo-Process MitigationPolicy -EMETFilePath emetFile.xml -OutputFilePath filename.xml
שנה emetFile.xml לנתיב ולמיקום של קובץ התצורה EMET.
שנה filename.xml לנתיב ולמיקום שאליו ברצונך לשמור את קובץ התצורה שהומר.