Configureer Windows Defender Exploit-beveiliging in Windows 10

Probeer Ons Instrument Voor Het Oplossen Van Problemen

Exploit-bescherming is een nieuwe beveiligingsfunctie van Windows Defender die Microsoft heeft geïntroduceerd in de Fall Creators Update van het besturingssysteem.

Exploit Guard is een set functies die bescherming tegen misbruik omvat, vermindering van het oppervlak van de aanval , netwerkbeveiliging en gecontroleerde maptoegang .

Exploitbescherming kan het beste worden omschreven als een geïntegreerde versie van Microsoft's EMET - Exploit Mitigation Experience Toolkit - beveiligingstool die het bedrijf gaat medio 2018 met pensioen .

Microsoft beweerde eerder dat het Windows 10-besturingssysteem van het bedrijf is zou EMET naast Windows overbodig maken ; tenminste één onderzoeker weerlegde de bewering van Microsoft echter.

Windows Defender Exploit-bescherming

Exploitbeveiliging is standaard ingeschakeld als Windows Defender is ingeschakeld. De functie is de enige Exploit Guard-functie waarvoor niet vereist is dat real-time bescherming is ingeschakeld in Windows Defender.

De functie kan worden geconfigureerd in de Windows Defender Security Center-toepassing, via PowerShell-opdrachten of als beleid.

Configuratie in de Windows Defender Security Center-app

exploit protection windows defender

U kunt misbruikbeveiliging configureren in de Windows Defender Security Center-toepassing.

  1. Gebruik Windows-I om de applicatie Instellingen te openen.
  2. Navigeer naar Update en beveiliging> Windows Defender.
  3. Selecteer Open Windows Defender Security Center.
  4. Selecteer App- en browserbeheer vermeld als een zijbalklink in het nieuwe venster dat wordt geopend.
  5. Zoek het item voor exploit-bescherming op de pagina en klik op instellingen voor exploit-bescherming.

De instellingen zijn onderverdeeld in Systeeminstellingen en Programma-instellingen.

Systeeminstellingen geven een overzicht van de beschikbare beschermingsmechanismen en hun status. Het volgende is beschikbaar in de Windows 10 Fall Creators Update:

  • Control Flow Guard (CFG) - standaard ingeschakeld.
  • Preventie van gegevensuitvoering (DEP) - standaard ingeschakeld.
  • Randomisatie forceren voor afbeeldingen (verplichte ASLR) - standaard uitgeschakeld.
  • Willekeurige geheugentoewijzingen (Bottom-up ASLR) - standaard ingeschakeld.
  • Valideer uitzonderingsketens (SEHOP) - standaard ingeschakeld.
  • Valideer heap-integriteit - standaard ingeschakeld.

U kunt de status van elke optie wijzigen in 'standaard aan', 'standaard uit' of 'standaard gebruiken'.

Programma-instellingen bieden u opties om de bescherming aan te passen voor individuele programma's en toepassingen. Dit werkt op dezelfde manier als u uitzonderingen zou kunnen toevoegen in Microsoft EMET voor bepaalde programma's; goed als een programma zich misdraagt ​​wanneer bepaalde beveiligingsmodules zijn ingeschakeld.

Heel wat programma's hebben standaard uitzonderingen. Dit omvat svchost.exe, spools.exe, runtimebroker.exe, iexplore.exe en andere Windows-kernprogramma's. Merk op dat u deze uitzonderingen kunt overschrijven door de bestanden te selecteren en op bewerken te klikken.

program settings exploit protection

Klik op 'programma toevoegen om aan te passen' om een ​​programma op naam of exact bestandspad toe te voegen aan de lijst met uitzonderingen.

U kunt de status van alle ondersteunde beveiligingen afzonderlijk instellen voor elk programma dat u hebt toegevoegd onder de programma-instellingen. Naast het overschrijven van de systeemstandaard, en het forceren naar een of uit, is er ook een optie om het in te stellen op 'alleen audit'. De laatste registreert gebeurtenissen die zouden zijn geactiveerd als de beveiligingsstatus zou zijn ingeschakeld, maar zal alleen de gebeurtenis opnemen in het Windows-gebeurtenissenlogboek.

Programma-instellingen geven aanvullende beveiligingsopties weer die u niet kunt configureren onder de systeeminstellingen omdat ze zijn geconfigureerd om alleen op toepassingsniveau te worden uitgevoerd.

Dit zijn:

  • Willekeurige code bewaker (ACG)
  • Blaas afbeeldingen met lage integriteit op
  • Blokkeer externe afbeeldingen
  • Blokkeer niet-vertrouwde lettertypen
  • Code integriteit bewaker
  • Schakel uitbreidingspunten uit
  • Schakel Win32-systeemoproepen uit
  • Sta geen onderliggende processen toe
  • Adresfiltering exporteren (EAF)
  • Adresfiltering importeren (IAF)
  • Simuleer uitvoering (SimExec)
  • Valideer API-aanroep (CallerCheck)
  • Valideer het gebruik van de handle
  • Valideer de integratie van afbeeldingsafhankelijkheid
  • Stack-integriteit valideren (StackPivot)

Bescherming tegen misbruik configureren met PowerShell

U kunt PowerShell gebruiken om beperkende maatregelen in te stellen, te verwijderen of weer te geven. De volgende commando's zijn beschikbaar:

Om alle beperkende factoren van het opgegeven proces weer te geven: Get-ProcessMitigation -Name processName.exe

Beperkende maatregelen instellen: Set-ProcessMitigation - --``

  • Bereik: is ofwel -Systeem of -Naam.
  • Actie: is -Inschakelen of -Uitschakelen.
  • Mitigation: de naam van de Mitigation. Raadpleeg de volgende tabel. U kunt de beperkende factoren door komma's scheiden.

Voorbeelden:

  • Set-Processmitigation -System-DEP inschakelen
  • Set-Processmitigation -Name test.exe -Verwijderen -Dep. Uitschakelen
  • Set-ProcessMitigation -Name processName.exe -Schakel EnableExportAddressFilterPlus -EAFModules dllName1.dll, dllName2.dll in
MitigatieGeldt voorPowerShell-cmdletsCmdlet voor controlemodus
Regelingsstroombeveiliging (CFG)Systeem- en app-niveauCFG, StrictCFG, SuppressExportsAudit niet beschikbaar
Preventie van gegevensuitvoering (DEP)Systeem- en app-niveauDEP, EmulateAtlThunksAudit niet beschikbaar
Randomisatie forceren voor afbeeldingen (verplichte ASLR)Systeem- en app-niveauForceRelocateAudit niet beschikbaar
Willekeurige geheugentoewijzingen (Bottom-Up ASLR)Systeem- en app-niveauBottomUp, HighEntropyAudit niet beschikbaar
Uitzonderingsketens valideren (SEHOP)Systeem- en app-niveauSEHOP, SEHOP TelemetrieAudit niet beschikbaar
Valideer de heap-integriteitSysteem- en app-niveauTerminateOnHeapErrorAudit niet beschikbaar
Willekeurige code bewaker (ACG)Alleen app-niveauDynamicCodeAuditDynamicCode
Blokkeer afbeeldingen met een lage integriteitAlleen app-niveauBlockLowLabelAuditImageLoad
Blokkeer externe afbeeldingenAlleen app-niveauBlockRemoteImagesAudit niet beschikbaar
Blokkeer niet-vertrouwde lettertypenAlleen app-niveauDisableNonSystemFontsAuditFont, FontAuditOnly
Code integriteit bewakerAlleen app-niveauBlockNonMicrosoftSigned, AllowStoreSignedAuditMicrosoftSigned, AuditStoreSigned
Schakel uitbreidingspunten uitAlleen app-niveauExtensionPointAudit niet beschikbaar
Schakel Win32k-systeemoproepen uitAlleen app-niveauSchakel Win32kSystemCalls uitAuditSystemCall
Sta geen onderliggende processen toeAlleen app-niveauDisallowChildProcessCreationAuditChildProcess
Adresfiltering exporteren (EAF)Alleen app-niveauEnableExportAddressFilterPlus, EnableExportAddressFilter [een] Audit niet beschikbaar
Adresfiltering importeren (IAF)Alleen app-niveauEnableImportAddressFilterAudit niet beschikbaar
Simuleer uitvoering (SimExec)Alleen app-niveauEnableRopSimExecAudit niet beschikbaar
Valideer API-aanroep (CallerCheck)Alleen app-niveauEnableRopCallerCheckAudit niet beschikbaar
Valideer het gebruik van de handleAlleen app-niveauStrictHandleAudit niet beschikbaar
Valideer de integriteit van de afbeeldingsafhankelijkheidAlleen app-niveauEnforceModuleDepencySigningAudit niet beschikbaar
Stack-integriteit valideren (StackPivot)Alleen app-niveauEnableRopStackPivotAudit niet beschikbaar

Configuraties importeren en exporteren

Configuraties kunnen worden geïmporteerd en geëxporteerd. U kunt dit doen met behulp van de Windows Defender-exploitbeveiligingsinstellingen in het Windows Defender-beveiligingscentrum, door PowerShell te gebruiken, door beleid te gebruiken.

EMET-configuraties kunnen bovendien worden geconverteerd zodat ze kunnen worden geïmporteerd.

De instellingen voor misbruikbeveiliging gebruiken

U kunt configuraties exporteren in de instellingenapp, maar ze niet importeren. Exporteren voegt alle beperkende maatregelen op systeemniveau en app-niveau toe.

Klik hiervoor op de link 'instellingen exporteren' onder bescherming tegen misbruik.

PowerShell gebruiken om een ​​configuratiebestand te exporteren

  1. Open een verhoogde Powershell-prompt.
  2. Get-ProcessMitigation -RegistryConfigFilePath bestandsnaam.xml

Bewerk filename.xml zodat het de opslaglocatie en bestandsnaam weerspiegelt.

PowerShell gebruiken om een ​​configuratiebestand te importeren

  1. Open een verhoogde Powershell-prompt.
  2. Voer de volgende opdracht uit: Set-ProcessMitigation -PolicyFilePath filename.xml

Bewerk filename.xml zodat het verwijst naar de locatie en de bestandsnaam van het XML-configuratiebestand.

Groepsbeleid gebruiken om een ​​configuratiebestand te installeren

use common set exploit protection

U kunt configuratiebestanden installeren met behulp van beleid.

  1. Tik op de Windows-toets, typ gpedit.msc, en druk op Enter om de Groepsbeleid-editor te starten.
  2. Navigeer naar Computerconfiguratie> Beheersjablonen> Windows-componenten> Windows Defender Exploit Guard> Exploitbeveiliging.
  3. Dubbelklik op 'Use a command set of exploit protection settings'.
  4. Stel het beleid in op ingeschakeld.
  5. Voeg het pad en de bestandsnaam van het XML-configuratiebestand toe in het optieveld.

Een EMET-bestand converteren

  1. Open een verhoogde PowerShell-prompt zoals hierboven beschreven.
  2. Voer de opdracht ConvertTo-ProcessMitigationPolicy -EMETFilePath emetFile.xml -OutputFilePath filename.xml uit

Wijzig emetFile.xml in het pad en de locatie van het EMET-configuratiebestand.

Verander filename.xml in het pad en de locatie waarnaar u het geconverteerde configuratiebestand wilt opslaan.

Middelen