กำหนดค่าการป้องกัน Windows Defender Exploit ใน Windows 10
- หมวดหมู่: ของ Windows
การป้องกันการใช้ประโยชน์เป็นคุณลักษณะด้านความปลอดภัยใหม่ของ Windows Defender ที่ Microsoft เปิดตัวใน Fall Creators Update ของระบบปฏิบัติการ
ใช้ประโยชน์จาก Guard เป็นชุดคุณสมบัติที่มีการป้องกันการใช้ประโยชน์ การลดพื้นผิวการโจมตี , การป้องกันเครือข่ายและ การเข้าถึงโฟลเดอร์ที่ควบคุม .
การป้องกันการใช้ประโยชน์สามารถอธิบายได้ดีที่สุดว่าเป็น EMET - Exploit Mitigation Experience Toolkit รุ่นบูรณาการของ Microsoft - เครื่องมือรักษาความปลอดภัยซึ่ง บริษัท จะเกษียณในกลางปี 2561 .
Microsoft อ้างว่าก่อนหน้านี้ระบบปฏิบัติการ Windows 10 ของ บริษัท จะทำให้ไม่จำเป็นต้องใช้ EMET ควบคู่ไปกับ Windows ; อย่างไรก็ตามนักวิจัยอย่างน้อยหนึ่งคนปฏิเสธข้อเรียกร้องของ Microsoft
การป้องกัน Windows Defender Exploit
การป้องกันการใช้ประโยชน์จะเปิดใช้งานโดยค่าเริ่มต้นหากเปิดใช้งาน Windows Defender คุณลักษณะนี้เป็นคุณลักษณะ Exploit Guard เพียงอย่างเดียวที่ไม่ต้องการให้เปิดใช้งานการป้องกันแบบเรียลไทม์ใน Windows Defender
คุณลักษณะนี้สามารถกำหนดค่าได้ในแอปพลิเคชัน Windows Defender Security Center ผ่านคำสั่ง PowerShell หรือเป็นนโยบาย
การกำหนดค่าในแอป Windows Defender Security Center
คุณสามารถกำหนดค่าการป้องกันการโจมตีได้ในแอปพลิเคชัน Windows Defender Security Center
- ใช้ Windows-I เพื่อเปิดแอปพลิเคชันการตั้งค่า
- ไปที่ Update & Security> Windows Defender
- เลือกเปิด Windows Defender Security Center
- เลือกการควบคุมแอปและเบราว์เซอร์ที่แสดงเป็นลิงก์แถบด้านข้างในหน้าต่างใหม่ที่เปิดขึ้น
- ค้นหารายการการป้องกันการใช้ประโยชน์บนเพจและคลิกที่การตั้งค่าการป้องกันการใช้ประโยชน์
การตั้งค่าจะแบ่งออกเป็นการตั้งค่าระบบและการตั้งค่าโปรแกรม
การตั้งค่าระบบแสดงรายการกลไกการป้องกันที่มีและสถานะ สิ่งต่อไปนี้มีอยู่ใน Windows 10 Fall Creators Update:
- Control Flow Guard (CFG) - เปิดโดยค่าเริ่มต้น
- Data Execution Prevention (DEP) - เปิดโดยค่าเริ่มต้น
- บังคับให้สุ่มภาพ (ASLR บังคับ) - ปิดโดยค่าเริ่มต้น
- สุ่มการจัดสรรหน่วยความจำ (ASLR ด้านล่าง) - โดยค่าเริ่มต้น
- ตรวจสอบเชนข้อยกเว้น (SEHOP) - เปิดโดยค่าเริ่มต้น
- ตรวจสอบความสมบูรณ์ของฮีป - เปิดโดยค่าเริ่มต้น
คุณสามารถเปลี่ยนสถานะของตัวเลือกใด ๆ เป็น 'เปิดโดยค่าเริ่มต้น' 'ปิดโดยค่าเริ่มต้น' หรือ 'ใช้ค่าเริ่มต้น'
การตั้งค่าโปรแกรมช่วยให้คุณมีตัวเลือกในการปรับแต่งการป้องกันสำหรับแต่ละโปรแกรมและแอปพลิเคชัน วิธีนี้ทำงานคล้ายกับวิธีที่คุณสามารถเพิ่มข้อยกเว้นใน Microsoft EMET สำหรับโปรแกรมเฉพาะ จะดีหากโปรแกรมทำงานผิดพลาดเมื่อเปิดใช้งานโมดูลป้องกันบางอย่าง
โปรแกรมค่อนข้างน้อยมีข้อยกเว้นตามค่าเริ่มต้น ซึ่งรวมถึง svchost.exe, spools.exe, runtimebroker.exe, iexplore.exe และโปรแกรมหลักอื่น ๆ ของ Windows โปรดทราบว่าคุณสามารถลบล้างข้อยกเว้นเหล่านี้ได้โดยเลือกไฟล์และคลิกที่แก้ไข
คลิกที่ 'เพิ่มโปรแกรมเพื่อปรับแต่ง' เพื่อเพิ่มโปรแกรมตามชื่อหรือเส้นทางไฟล์ที่แน่นอนไปยังรายการข้อยกเว้น
คุณสามารถตั้งค่าสถานะของการป้องกันที่รองรับทั้งหมดแยกกันสำหรับแต่ละโปรแกรมที่คุณเพิ่มไว้ภายใต้การตั้งค่าโปรแกรม นอกเหนือจากการลบล้างค่าเริ่มต้นของระบบและบังคับให้เป็นหนึ่งหรือปิดแล้วยังมีตัวเลือกในการตั้งค่าเป็น 'ตรวจสอบเท่านั้น' หลังบันทึกเหตุการณ์ที่จะเริ่มทำงานหากสถานะของการป้องกันเปิดอยู่ แต่จะบันทึกเฉพาะเหตุการณ์ลงในบันทึกเหตุการณ์ของ Windows
การตั้งค่าโปรแกรมแสดงรายการตัวเลือกการป้องกันเพิ่มเติมที่คุณไม่สามารถกำหนดค่าภายใต้การตั้งค่าระบบได้เนื่องจากถูกกำหนดค่าให้ทำงานในระดับแอปพลิเคชันเท่านั้น
เหล่านี้คือ:
- การป้องกันรหัสโดยพลการ (ACG)
- เป่าภาพที่มีความสมบูรณ์ต่ำ
- บล็อกภาพระยะไกล
- บล็อกแบบอักษรที่ไม่น่าเชื่อถือ
- ตัวป้องกันความสมบูรณ์ของรหัส
- ปิดการใช้งานจุดส่วนขยาย
- ปิดใช้งานการเรียกระบบ Win32
- ไม่อนุญาตให้มีกระบวนการย่อย
- การกรองที่อยู่ส่งออก (EAF)
- นำเข้าการกรองที่อยู่ (IAF)
- จำลองการดำเนินการ (SimExec)
- ตรวจสอบการเรียกใช้ API (CallerCheck)
- ตรวจสอบการใช้งานหมายเลขอ้างอิง
- ตรวจสอบการรวมการพึ่งพารูปภาพ
- ตรวจสอบความสมบูรณ์ของสแต็ก (StackPivot)
การกำหนดค่าการป้องกันการใช้ประโยชน์โดยใช้ PowerShell
คุณสามารถใช้ PowerShell เพื่อตั้งค่าลบหรือแสดงรายการการบรรเทา มีคำสั่งต่อไปนี้:
หากต้องการแสดงรายการการบรรเทาทั้งหมดของกระบวนการที่ระบุ: Get-ProcessMitigation -Name processName.exe
ในการตั้งค่าการบรรเทา: Set-ProcessMitigation - - ,,
- ขอบเขต: เป็น -System หรือ -Name
- Action: เป็น -Enable หรือ -Disable
- การบรรเทา: ชื่อของการบรรเทาสาธารณภัย ดูตารางต่อไปนี้ คุณอาจแยกการบรรเทาโดยใช้ลูกน้ำ
ตัวอย่าง:
- Set-Processmitigation -System - เปิดใช้งาน DEP
- Set-Processmitigation - ชื่อ test.exe -Remove - ปิดการใช้งาน DEP
- Set-ProcessMitigation - ชื่อ processName.exe - เปิดใช้งาน EnableExportAddressFilterPlus -EAFModules dllName1.dll, dllName2.dll
| การบรรเทา | นำไปใช้กับ | cmdlet ของ PowerShell | cmdlet โหมดการตรวจสอบ |
|---|---|---|---|
| ตัวป้องกันการไหล (CFG) | ระบบและระดับแอป | CFG, StrictCFG, SuppressExports | ไม่มีการตรวจสอบ |
| การป้องกันการดำเนินการข้อมูล (DEP) | ระบบและระดับแอป | DEP, EmulateAtlThunks | ไม่มีการตรวจสอบ |
| บังคับให้สุ่มสำหรับรูปภาพ (บังคับ ASLR) | ระบบและระดับแอป | ForceRelocate | ไม่มีการตรวจสอบ |
| การจัดสรรหน่วยความจำแบบสุ่ม (Bottom-Up ASLR) | ระบบและระดับแอป | BottomUp, HighEntropy | ไม่มีการตรวจสอบ |
| ตรวจสอบเครือข่ายข้อยกเว้น (SEHOP) | ระบบและระดับแอป | SEHOP, SEHOPTelemetry | ไม่มีการตรวจสอบ |
| ตรวจสอบความสมบูรณ์ของฮีป | ระบบและระดับแอป | TerminateOnHeapError | ไม่มีการตรวจสอบ |
| การป้องกันรหัสโดยพลการ (ACG) | ระดับแอปเท่านั้น | DynamicCode | AuditDynamicCode |
| บล็อกภาพที่มีความสมบูรณ์ต่ำ | ระดับแอปเท่านั้น | BlockLowLabel | AuditImageLoad |
| บล็อกภาพระยะไกล | ระดับแอปเท่านั้น | BlockRemoteImages | ไม่มีการตรวจสอบ |
| บล็อกแบบอักษรที่ไม่น่าเชื่อถือ | ระดับแอปเท่านั้น | DisableNonSystemFonts | AuditFont, FontAuditOnly |
| ตัวป้องกันความสมบูรณ์ของรหัส | ระดับแอปเท่านั้น | BlockNonMicrosoftSigned, AllowStoreSigned | AuditMicrosoftSigned, AuditStoreSigned |
| ปิดการใช้งานจุดส่วนขยาย | ระดับแอปเท่านั้น | ExtensionPoint | ไม่มีการตรวจสอบ |
| ปิดใช้งานการเรียกระบบ Win32k | ระดับแอปเท่านั้น | DisableWin32kSystemCalls | AuditSystemCall |
| ไม่อนุญาตให้มีกระบวนการย่อย | ระดับแอปเท่านั้น | DisallowChildProcessCreation | AuditChildProcess |
| การกรองที่อยู่ส่งออก (EAF) | ระดับแอปเท่านั้น | เปิดใช้งานExportAddressFilterPlus, EnableExportAddressFilter [หนึ่ง] | ไม่มีการตรวจสอบ |
| นำเข้าการกรองที่อยู่ (IAF) | ระดับแอปเท่านั้น | EnableImportAddressFilter | ไม่มีการตรวจสอบ |
| จำลองการดำเนินการ (SimExec) | ระดับแอปเท่านั้น | EnableRopSimExec | ไม่มีการตรวจสอบ |
| ตรวจสอบการเรียกใช้ API (CallerCheck) | ระดับแอปเท่านั้น | EnableRopCallerCheck | ไม่มีการตรวจสอบ |
| ตรวจสอบการใช้งานหมายเลขอ้างอิง | ระดับแอปเท่านั้น | StrictHandle | ไม่มีการตรวจสอบ |
| ตรวจสอบความสมบูรณ์ของการพึ่งพารูปภาพ | ระดับแอปเท่านั้น | EnforceModuleDepencySigning | ไม่มีการตรวจสอบ |
| ตรวจสอบความสมบูรณ์ของสแต็ก (StackPivot) | ระดับแอปเท่านั้น | EnableRopStackPivot | ไม่มีการตรวจสอบ |
การนำเข้าและส่งออกการกำหนดค่า
การกำหนดค่าสามารถนำเข้าและส่งออกได้ คุณสามารถทำได้โดยใช้การตั้งค่าการป้องกันการใช้ประโยชน์จาก Windows Defender ใน Windows Defender Security Center โดยใช้ PowerShell โดยใช้นโยบาย
นอกจากนี้ยังสามารถแปลงการกำหนดค่า EMET เพื่อให้สามารถนำเข้าได้
ใช้การตั้งค่าการป้องกันการใช้ประโยชน์
คุณสามารถส่งออกการกำหนดค่าในแอปพลิเคชันการตั้งค่า แต่ไม่สามารถนำเข้าได้ การส่งออกจะเพิ่มการลดระดับระบบและระดับแอปทั้งหมด
เพียงคลิกที่ลิงก์ 'การตั้งค่าการส่งออก' ภายใต้การป้องกันการใช้ประโยชน์เพื่อดำเนินการดังกล่าว
ใช้ PowerShell เพื่อส่งออกไฟล์การกำหนดค่า
- เปิดพรอมต์ Powershell ที่ยกระดับ
- รับ ProcessMitigation -RegistryConfigFilePath filename.xml
แก้ไข filename.xml เพื่อให้แสดงตำแหน่งบันทึกและชื่อไฟล์
ใช้ PowerShell เพื่อนำเข้าไฟล์การกำหนดค่า
- เปิดพรอมต์ Powershell ที่ยกระดับ
- รันคำสั่งต่อไปนี้: Set-ProcessMitigation -PolicyFilePath filename.xml
แก้ไข filename.xml เพื่อให้ชี้ไปที่ตำแหน่งและชื่อไฟล์ของไฟล์ XML การกำหนดค่า
ใช้ Group Policy เพื่อติดตั้งไฟล์คอนฟิกูเรชัน
คุณสามารถติดตั้งไฟล์คอนฟิกูเรชันโดยใช้นโยบาย
- แตะที่ปุ่ม Windows พิมพ์ gpedit.msc และกดปุ่ม Enter เพื่อเริ่มตัวแก้ไขนโยบายกลุ่ม
- ไปที่การกำหนดค่าคอมพิวเตอร์> เทมเพลตการดูแลระบบ> ส่วนประกอบของ Windows> Windows Defender Exploit Guard> การป้องกันการใช้ประโยชน์
- ดับเบิลคลิกที่ 'ใช้ชุดคำสั่งของการตั้งค่าการป้องกันการใช้ประโยชน์'
- ตั้งค่านโยบายเป็นเปิดใช้งาน
- เพิ่มพา ธ และชื่อไฟล์ของไฟล์ XML คอนฟิกูเรชันในฟิลด์อ็อพชัน
การแปลงไฟล์ EMET
- เปิดพรอมต์ PowerShell ที่ยกระดับตามที่อธิบายไว้ข้างต้น
- รันคำสั่ง ConvertTo-ProcessMitigationPolicy -EMETFilePath emetFile.xml -OutputFilePath filename.xml
เปลี่ยน emetFile.xml เป็นพา ธ และตำแหน่งของไฟล์คอนฟิกูเรชัน EMET
เปลี่ยน filename.xml เป็นพา ธ และตำแหน่งที่คุณต้องการบันทึกไฟล์คอนฟิกูเรชันที่แปลงแล้ว