Настройка защиты от эксплойтов Защитника Windows в Windows 10

Попробуйте наш инструмент устранения неполадок

Защита от эксплойтов - это новая функция безопасности Защитника Windows, которую Microsoft представила в Fall Creators Update для операционной системы.

Exploit Guard это набор функций, который включает защиту от эксплойтов, уменьшение поверхности атаки , защита сети и контролируемый доступ к папке ,

Защиту от эксплойтов лучше всего описать как интегрированную версию Microsoft EMET - Exploit Mitigation Experience Toolkit - инструмента безопасности, который компания выйдет на пенсию в середине 2018 года ,

Microsoft ранее заявляла, что операционная система Windows 10 компании сделает ненужным запуск EMET вместе с Windows ; Однако по крайней мере один исследователь опроверг утверждение Microsoft.

Защита от эксплойтов в Защитнике Windows

Защита от эксплойтов включена по умолчанию, если включен Защитник Windows. Эта функция - единственная функция Exploit Guard, которая не требует включения защиты в реальном времени в Защитнике Windows.

Эту функцию можно настроить в приложении Центра безопасности Защитника Windows, с помощью команд PowerShell или в виде политик.

Конфигурация в приложении Центр безопасности Защитника Windows

exploit protection windows defender

Вы можете настроить защиту от эксплойтов в приложении Центра безопасности Защитника Windows.

  1. Используйте Windows-I, чтобы открыть приложение «Настройки».
  2. Перейдите в Обновление и безопасность> Защитник Windows.
  3. Выберите Открыть центр безопасности Защитника Windows.
  4. В открывшемся новом окне выберите Управление приложением и браузером, указанное в виде ссылки на боковой панели.
  5. Найдите на странице запись о защите от эксплойтов и нажмите «Настройки защиты от эксплойтов».

Настройки разделены на системные настройки и настройки программы.

В системных настройках перечислены доступные механизмы защиты и их состояние. В Windows 10 Fall Creators Update доступно следующее:

  • Control Flow Guard (CFG) - по умолчанию включен.
  • Предотвращение выполнения данных (DEP) - по умолчанию включено.
  • Принудительная рандомизация изображений (Обязательный ASLR) - по умолчанию отключено.
  • Произвести случайное распределение памяти (ASLR снизу вверх) - по умолчанию включено.
  • Проверять цепочки исключений (SEHOP) - по умолчанию включено.
  • Проверять целостность кучи - по умолчанию включено.

Вы можете изменить статус любого параметра на «включено по умолчанию», «выключено по умолчанию» или «использовать по умолчанию».

Параметры программы позволяют настроить защиту отдельных программ и приложений. Это работает аналогично тому, как вы можете добавлять исключения в Microsoft EMET для определенных программ; хорошо, если программа плохо себя ведет при включении определенных защитных модулей.

Во многих программах по умолчанию есть исключения. Сюда входят svchost.exe, spools.exe, runtimebroker.exe, iexplore.exe и другие основные программы Windows. Обратите внимание, что вы можете переопределить эти исключения, выбрав файлы и нажав кнопку «Изменить».

program settings exploit protection

Щелкните «Добавить программу для настройки», чтобы добавить программу по имени или точному пути к файлу в список исключений.

Вы можете установить статус всех поддерживаемых защит индивидуально для каждой программы, которую вы добавили в настройках программы. Помимо переопределения системного значения по умолчанию и принудительного включения или отключения его, есть также возможность установить для него значение «только аудит». Последний записывает события, которые сработали бы, если бы состояние защиты было включено, но будет записывать только событие в журнал событий Windows.

В параметрах программы перечислены дополнительные параметры защиты, которые нельзя настроить в параметрах системы, поскольку они настроены для работы только на уровне приложения.

Эти:

  • Защита от произвольного кода (ACG)
  • Удалять изображения с низким уровнем целостности
  • Блокировать удаленные изображения
  • Блокировать ненадежные шрифты
  • Защита целостности кода
  • Отключить точки расширения
  • Отключить системные вызовы Win32
  • Не разрешать дочерние процессы
  • Фильтрация адресов экспорта (EAF)
  • Фильтрация адресов импорта (IAF)
  • Имитация выполнения (SimExec)
  • Проверить вызов API (CallerCheck)
  • Проверить использование дескриптора
  • Проверить интеграцию зависимостей изображений
  • Проверить целостность стека (StackPivot)

Настройка защиты от эксплойтов с помощью PowerShell

Вы можете использовать PowerShell для установки, удаления или перечисления средств защиты. Доступны следующие команды:

Чтобы перечислить все меры защиты указанного процесса: Get-ProcessMitigation -Name processName.exe

Чтобы установить меры по снижению рисков: Set-ProcessMitigation - - ,,

  • Область действия: либо -System, либо -Name.
  • Действие: либо -Enable, либо -Disable.
  • Смягчение: название смягчения. См. Следующую таблицу. Вы можете разделить смягчения запятой.

Примеры:

  • Set-Processmitigation -System -Enable DEP
  • Set-Processmitigation -Name test.exe -Remove -Disable DEP
  • Set-ProcessMitigation -Name processName.exe -Enable EnableExportAddressFilterPlus -EAFModules dllName1.dll, dllName2.dll
смягчениеОтносится кКомандлеты PowerShellКомандлет режима аудита
Защита потока управления (CFG)Уровень системы и приложенияCFG, StrictCFG, SuppressExportsАудит недоступен
Предотвращение выполнения данных (DEP)Уровень системы и приложенияDEP, EmulateAtlThunksАудит недоступен
Принудительная рандомизация для изображений (обязательный ASLR)Уровень системы и приложенияForceRelocateАудит недоступен
Произвести случайное распределение памяти (ASLR снизу вверх)Уровень системы и приложенияBottomUp, HighEntropyАудит недоступен
Проверить цепочки исключений (SEHOP)Уровень системы и приложенияSEHOP, SEHOPТелеметрияАудит недоступен
Проверить целостность кучиУровень системы и приложенияTerminateOnHeapErrorАудит недоступен
Защита от произвольного кода (ACG)Только на уровне приложенияDynamicCodeAuditDynamicCode
Блокировать изображения с низким уровнем целостностиТолько на уровне приложенияBlockLowLabelAuditImageLoad
Блокировать удаленные изображенияТолько на уровне приложенияBlockRemoteImagesАудит недоступен
Блокировать ненадежные шрифтыТолько на уровне приложенияDisableNonSystemFontsAuditFont, FontAuditOnly
Защита целостности кодаТолько на уровне приложенияBlockNonMicrosoftSigned, AllowStoreSignedAuditMicrosoftSigned, AuditStoreSigned
Отключить точки расширенияТолько на уровне приложенияExtensionPointАудит недоступен
Отключить системные вызовы Win32kТолько на уровне приложенияDisableWin32kSystemCallsAuditSystemCall
Не разрешать дочерние процессыТолько на уровне приложенияDisallowChildProcessCreationAuditChildProcess
Фильтрация адресов экспорта (EAF)Только на уровне приложенияEnableExportAddressFilterPlus, EnableExportAddressFilter [один] Аудит недоступен
Фильтрация адресов импорта (IAF)Только на уровне приложенияEnableImportAddressFilterАудит недоступен
Имитация выполнения (SimExec)Только на уровне приложенияEnableRopSimExecАудит недоступен
Проверить вызов API (CallerCheck)Только на уровне приложенияEnableRopCallerCheckАудит недоступен
Проверить использование дескриптораТолько на уровне приложенияStrictHandleАудит недоступен
Проверка целостности зависимости изображенияТолько на уровне приложенияEnforceModuleDepencySigningАудит недоступен
Проверить целостность стека (StackPivot)Только на уровне приложенияEnableRopStackPivotАудит недоступен

Импорт и экспорт конфигураций

Конфигурации можно импортировать и экспортировать. Это можно сделать с помощью параметров защиты от эксплойтов Защитника Windows в Центре безопасности Защитника Windows, с помощью PowerShell, с помощью политик.

Кроме того, конфигурации EMET можно преобразовать так, чтобы их можно было импортировать.

Использование настроек защиты от эксплойтов

Вы можете экспортировать конфигурации в приложении настроек, но не импортировать их. При экспорте добавляются все меры по снижению рисков на уровне системы и приложения.

Для этого просто нажмите ссылку «Параметры экспорта» под защитой от эксплойтов.

Использование PowerShell для экспорта файла конфигурации

  1. Откройте командную строку Powershell с повышенными привилегиями.
  2. Get-ProcessMitigation -RegistryConfigFilePath filename.xml

Отредактируйте filename.xml так, чтобы он отражал место сохранения и имя файла.

Использование PowerShell для импорта файла конфигурации

  1. Откройте командную строку Powershell с повышенными привилегиями.
  2. Выполните следующую команду: Set-ProcessMitigation -PolicyFilePath filename.xml

Измените filename.xml так, чтобы он указывал на расположение и имя файла конфигурации XML-файла.

Использование групповой политики для установки файла конфигурации

use common set exploit protection

Вы можете установить файлы конфигурации с помощью политик.

  1. Нажмите клавишу Windows, введите gpedit.msc и нажмите клавишу Enter, чтобы запустить редактор групповой политики.
  2. Перейдите к Конфигурация компьютера> Административные шаблоны> Компоненты Windows> Exploit Guard в Защитнике Windows> Защита от эксплойтов.
  3. Дважды щелкните «Использовать набор команд для настройки защиты от эксплойтов».
  4. Установите для политики значение включено.
  5. Добавьте путь и имя файла XML-файла конфигурации в поле параметров.

Преобразование файла EMET

  1. Откройте командную строку PowerShell с повышенными привилегиями, как описано выше.
  2. Выполните команду ConvertTo-ProcessMitigationPolicy -EMETFilePath emetFile.xml -OutputFilePath filename.xml

Измените emetFile.xml на путь и расположение файла конфигурации EMET.

Измените filename.xml на путь и расположение, в котором вы хотите сохранить преобразованный файл конфигурации.

Ресурсы