Konfigurace programu Windows Defender Využití ochrany v systému Windows 10

• Kategorie: Okna

Vyzkoušejte Náš Nástroj Pro Odstranění Problémů

Vyberte Operační Systém Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Vyberte Program Projekce (Volitelně) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Popište Svůj Problém

Získejte Odpověď

Pošlete Mi E -Mailem Zobrazit Na Webu

Ochrana před zneužitím je nová funkce zabezpečení programu Windows Defender, kterou společnost Microsoft uvedla v aktualizaci operačního programu Fall Creators.

Využijte stráž je sada funkcí, která zahrnují ochranu proti zneužití, redukce povrchu útoku , ochrana sítě a řízený přístup ke složkám .

Ochrana před zneužitím může být nejlépe popsána jako integrovaná verze EMET společnosti Microsoft - Exploit Mitigation Experience Toolkit - bezpečnostní nástroj, který společnost odejde do důchodu v polovině roku 2018 .

Microsoft dříve tvrdil, že operační systém společnosti Windows 10 by spuštění EMET spolu s Windows zbytečné ; alespoň jeden výzkumný pracovník však požadavek společnosti Microsoft odmítl.

Ochrana před zneužitím programu Windows Defender

Ochrana před zneužitím je ve výchozím nastavení povolena, pokud je povolen program Windows Defender. Tato funkce je jedinou funkcí Exploit Guard, která nevyžaduje, aby byla v programu Windows Defender povolena ochrana v reálném čase.

Tuto funkci lze nakonfigurovat v aplikaci Windows Defender Security Center pomocí příkazů PowerShell nebo jako zásady.

Konfigurace v aplikaci Windows Defender Security Center

Ochranu proti zneužití můžete nakonfigurovat v aplikaci Windows Defender Security Center.

1. K otevření aplikace Nastavení použijte Windows-I.
2. Přejděte na Aktualizace a zabezpečení> Windows Defender.
3. Vyberte možnost Otevřít Centrum zabezpečení programu Windows Defender.
4. V novém okně, které se otevře, vyberte jako odkaz na postranní panel ovládací prvek Aplikace a prohlížeč.
5. Vyhledejte položku ochrany před zneužitím na stránce a klikněte na nastavení ochrany před zneužitím.

Nastavení jsou rozdělena do systémových nastavení a nastavení programu.

Nastavení systému uvádí dostupné mechanismy ochrany a jejich stav. V aktualizaci Windows 10 Fall Creators Update jsou k dispozici následující položky:

• Guard Flow Guard (CFG) - ve výchozím nastavení zapnuto.
• Prevence spuštění dat (DEP) - ve výchozím nastavení zapnutá.
• Vynutit náhodnost obrázků (povinně ASLR) - ve výchozím nastavení vypnuto.
• Randomize alokace paměti (ASLR zdola nahoru) - ve výchozím nastavení.
• Ověřit řetězce výjimek (SEHOP) - ve výchozím nastavení zapnuto.
• Ověření integrity haldy - ve výchozím nastavení zapnuto.

Můžete změnit stav jakékoli možnosti na „zapnuto ve výchozím nastavení“, „vypnuto ve výchozím nastavení“ nebo „použít výchozí“.

Nastavení programu vám dává možnost přizpůsobit ochranu jednotlivým programům a aplikacím. Funguje to podobně, jak byste mohli přidat výjimky v Microsoft EMET pro konkrétní programy; dobré, pokud se program chová, když jsou povoleny určité ochranné moduly.

Pouze několik programů má ve výchozím nastavení výjimky. To zahrnuje svchost.exe, spools.exe, runtimebroker.exe, iexplore.exe a další základní programy Windows. Tyto výjimky můžete potlačit výběrem souborů a kliknutím na Upravit.

Kliknutím na „Přidat program pro přizpůsobení“ přidáte program do seznamu výjimek podle názvu nebo přesné cesty k souboru.

Můžete nastavit stav všech podporovaných ochran individuálně pro každý program, který jste přidali v nastavení programu. Kromě potlačení výchozího nastavení systému a jeho vynucení na jedno nebo vypnuto, existuje také možnost nastavit jej na „pouze audit“. Ten zaznamenává události, které by byly spuštěny, pokud by byl stav ochrany zapnutý, ale zaznamená pouze událost do protokolu událostí systému Windows.

Nastavení programu uvádí další možnosti ochrany, které nemůžete konfigurovat v rámci systémových nastavení, protože jsou nakonfigurovány tak, aby se spouštěly pouze na úrovni aplikace.

Tyto jsou:

• Hlídač libovolného kódu (ACG)
• Vyfoukněte obrázky s nízkou integritou
• Blokovat vzdálené obrázky
• Blokovat nedůvěryhodná písma
• Ochrana integrity kódu
• Zakázat prodlužovací body
• Zakázat systémová volání Win32
• Nepovolit podřízené procesy
• Exportovat filtrování adres (EAF)
• Importovat filtrování adres (IAF)
• Simulovat provádění (SimExec)
• Ověření vyvolání API (CallerCheck)
• Ověřte použití popisovače
• Ověření integrace závislosti na obrázku
• Ověření integrity zásobníku (StackPivot)

Konfigurace ochrany před zneužitím pomocí prostředí PowerShell

K nastavení, odstranění nebo seznamu zmírnění můžete použít PowerShell. K dispozici jsou následující příkazy:

Seznam všech zmírnění zadaného procesu: Get-ProcessMitigation -Name processName.exe

Nastavení mitigací: Set-ProcessMitigation - - ,,

• Rozsah: je buď -systém nebo -Name.
• Akce: je buď -Povolitelné nebo -Disable.
• Zmírnění: název zmírnění. Podívejte se na následující tabulku. Zmírnění můžete oddělit čárkou.

Příklady:

• Set-Processmitigation -System -Enable DEP
• Set-Processmitigation -Name test.exe -Remove -Disable DEP
• Set-ProcessMitigation -Name processName.exe - Povolit EnableExportAddressFilterPlus -EAFModules dllName1.dll, dllName2.dll

Zmírnění	Platí pro	Rutiny PowerShell	Auditovací režim cmdlet
Ochrana toku toku (CFG)	Systém a úroveň aplikací	CFG, StrictCFG, SuppressExports	Audit není k dispozici
Prevence spouštění dat (DEP)	Systém a úroveň aplikací	DEP, EmulateAtlThunks	Audit není k dispozici
Vynutit náhodnost obrázků (povinná ASLR)	Systém a úroveň aplikací	ForceRelocate	Audit není k dispozici
Náhodná alokace paměti (ASLR zdola nahoru)	Systém a úroveň aplikací	BottomUp, HighEntropy	Audit není k dispozici
Ověření řetězců výjimek (SEHOP)	Systém a úroveň aplikací	SEHOP, SEHOPTelemetry	Audit není k dispozici
Ověření integrity haldy	Systém a úroveň aplikací	TerminateOnHeapError	Audit není k dispozici
Hlídač libovolného kódu (ACG)	Pouze na úrovni aplikace	DynamicCode	AuditDynamicCode
Blokujte obrázky s nízkou integritou	Pouze na úrovni aplikace	BlockLowLabel	AuditImageLoad
Blokovat vzdálené obrázky	Pouze na úrovni aplikace	BlockRemoteImages	Audit není k dispozici
Blokovat nedůvěryhodná písma	Pouze na úrovni aplikace	DisableNonSystemFonts	AuditFont, FontAuditOnly
Ochrana integrity kódu	Pouze na úrovni aplikace	BlockNonMicrosoftSigned, AllowStoreSigned	AuditMicrosoftSigned, AuditStoreSigned
Zakázat prodlužovací body	Pouze na úrovni aplikace	ExtensionPoint	Audit není k dispozici
Zakázat systémová volání Win32k	Pouze na úrovni aplikace	DisableWin32kSystemCalls	AuditSystemCall
Nepovolit podřízené procesy	Pouze na úrovni aplikace	DisallowChildProcessCreation	AuditChildProcess
Exportovat filtrování adres (EAF)	Pouze na úrovni aplikace	EnableExportAddressFilterPlus, EnableExportAddressFilter [jeden]	Audit není k dispozici
Importovat filtrování adres (IAF)	Pouze na úrovni aplikace	EnableImportAddressFilter	Audit není k dispozici
Simulovat provádění (SimExec)	Pouze na úrovni aplikace	EnableRopSimExec	Audit není k dispozici
Ověření vyvolání API (CallerCheck)	Pouze na úrovni aplikace	EnableRopCallerCheck	Audit není k dispozici
Ověřte použití popisovače	Pouze na úrovni aplikace	StrictHandle	Audit není k dispozici
Ověření integrity obrázku	Pouze na úrovni aplikace	EnforceModuleDepencySigning	Audit není k dispozici
Ověření integrity zásobníku (StackPivot)	Pouze na úrovni aplikace	EnableRopStackPivot	Audit není k dispozici

Import a export konfigurací

Konfigurace lze importovat a exportovat. Můžete tak učinit pomocí nastavení ochrany zneužití Windows Defender v Centru zabezpečení Windows Defender pomocí PowerShell pomocí zásad.

Konfigurace EMET lze dále převést tak, aby mohly být importovány.

Použití nastavení ochrany exploit

Konfigurace můžete exportovat v aplikaci nastavení, ale neimportovat. Při exportu se přidají všechny změny úrovně systému a aplikace.

Stačí kliknout na odkaz „nastavení exportu“ pod ochranou před zneužitím.

Pomocí PowerShell exportujte konfigurační soubor

1. Otevřete zvýšenou výzvu Powershell.
2. Get-ProcessMitigation -RegistryConfigFilePath filename.xml

Upravte název souboru.xml tak, aby odrážel umístění uložení a název souboru.

Pomocí aplikace PowerShell importujte konfigurační soubor

1. Otevřete zvýšenou výzvu Powershell.
2. Spusťte následující příkaz: Set-ProcessMitigation -PolicyFilePath filename.xml

Upravte název souboru.xml tak, aby ukazoval na umístění a název konfiguračního souboru XML.

K instalaci konfiguračního souboru použijte zásady skupiny

Konfigurační soubory můžete nainstalovat pomocí zásad.

1. Klepněte na klíč Windows, zadejte gpedit.msc a stiskem klávesy Enter spusťte Editor zásad skupiny.
2. Přejděte do Konfigurace počítače> Šablony pro správu> Komponenty Windows> Windows Defender Exploit Guard> Exploit protection.
3. Poklepejte na položku „Použít příkazovou sadu nastavení ochrany před zneužitím“.
4. Nastavte zásadu na povolenou.
5. Do pole voleb přidejte cestu a název souboru konfiguračního souboru XML.

Převod souboru EMET

1. Otevřete zvýšenou výzvu PowerShell, jak je popsáno výše.
2. Spusťte příkaz ConvertTo-ProcessMitigationPolicy -EMETFilePath emetFile.xml -OutputFilePath filename.xml

Změňte emetFile.xml na cestu a umístění konfiguračního souboru EMET.

Změňte filename.xml na cestu a umístění, do kterého chcete uložit převedený konfigurační soubor.

Zdroje

• Vyhodnoťte ochranu proti zneužití
• Povolit ochranu před zneužitím
• Přizpůsobte ochranu proti zneužití
• Importovat, exportovat a nasazovat konfigurace ochrany Exploit