Konfigurieren Sie den Windows Defender Exploit-Schutz in Windows 10

Versuchen Sie Unser Instrument, Um Probleme Zu Beseitigen

Der Exploit-Schutz ist eine neue Sicherheitsfunktion von Windows Defender, die Microsoft im Fall Creators Update des Betriebssystems eingeführt hat.

Wache ausnutzen ist eine Reihe von Funktionen, die Exploit-Schutz umfassen, Reduzierung der Angriffsfläche , Netzwerkschutz und kontrollierter Ordnerzugriff .

Der Exploit-Schutz kann am besten als integrierte Version des Microsoft EMET - Exploit Mitigation Experience Toolkit - Sicherheitstools des Unternehmens beschrieben werden wird Mitte 2018 in den Ruhestand gehen .

Microsoft behauptete zuvor, dass das Windows 10-Betriebssystem des Unternehmens würde das Ausführen von EMET neben Windows unnötig machen ;; Mindestens ein Forscher wies jedoch die Behauptung von Microsoft zurück.

Windows Defender Exploit-Schutz

Der Exploit-Schutz ist standardmäßig aktiviert, wenn Windows Defender aktiviert ist. Die Funktion ist die einzige Exploit Guard-Funktion, für die kein Echtzeitschutz in Windows Defender aktiviert sein muss.

Die Funktion kann in der Windows Defender Security Center-Anwendung, über PowerShell-Befehle oder als Richtlinien konfiguriert werden.

Konfiguration in der Windows Defender Security Center-App

exploit protection windows defender

Sie können den Exploit-Schutz in der Windows Defender Security Center-Anwendung konfigurieren.

  1. Verwenden Sie Windows-I, um die Anwendung 'Einstellungen' zu öffnen.
  2. Navigieren Sie zu Update & Sicherheit> Windows Defender.
  3. Wählen Sie Open Windows Defender Security Center.
  4. Wählen Sie im neuen Fenster die App- und Browsersteuerung aus, die als Seitenleistenlink aufgeführt ist.
  5. Suchen Sie den Exploit-Schutzeintrag auf der Seite und klicken Sie auf Exploit-Schutzeinstellungen.

Die Einstellungen sind in Systemeinstellungen und Programmeinstellungen unterteilt.

In den Systemeinstellungen werden die verfügbaren Schutzmechanismen und deren Status aufgelistet. Folgendes ist im Windows 10 Fall Creators-Update verfügbar:

  • Control Flow Guard (CFG) - standardmäßig aktiviert.
  • Data Execution Prevention (DEP) - standardmäßig aktiviert.
  • Randomisierung für Bilder erzwingen (obligatorische ASLR) - standardmäßig deaktiviert.
  • Speicherzuordnungen randomisieren (Bottom-up-ASLR) - standardmäßig aktiviert.
  • Ausnahmeketten überprüfen (SEHOP) - standardmäßig aktiviert.
  • Überprüfen Sie die Heap-Integrität - standardmäßig aktiviert.

Sie können den Status jeder Option in 'Standardmäßig aktiviert', 'Standardmäßig deaktiviert' oder 'Standard verwenden' ändern.

Mit den Programmeinstellungen können Sie den Schutz für einzelne Programme und Anwendungen anpassen. Dies funktioniert ähnlich wie Sie Ausnahmen in Microsoft EMET für bestimmte Programme hinzufügen können. Gut, wenn sich ein Programm schlecht verhält, wenn bestimmte Schutzmodule aktiviert sind.

Nicht wenige Programme haben standardmäßig Ausnahmen. Dies umfasst svchost.exe, spools.exe, runtimebroker.exe, iexplore.exe und andere Windows-Kernprogramme. Beachten Sie, dass Sie diese Ausnahmen überschreiben können, indem Sie die Dateien auswählen und auf Bearbeiten klicken.

program settings exploit protection

Klicken Sie auf 'Programm zum Anpassen hinzufügen', um ein Programm nach Namen oder genauem Dateipfad zur Liste der Ausnahmen hinzuzufügen.

Sie können den Status aller unterstützten Schutzfunktionen für jedes Programm, das Sie unter Programmeinstellungen hinzugefügt haben, einzeln festlegen. Neben dem Überschreiben des Systemstandards und dem Erzwingen des Ein- oder Ausschaltens gibt es auch die Option, ihn auf 'Nur Audit' zu setzen. Letzterer zeichnet Ereignisse auf, die ausgelöst worden wären, wenn der Status des Schutzes aktiviert gewesen wäre, zeichnet jedoch nur das Ereignis im Windows-Ereignisprotokoll auf.

In den Programmeinstellungen werden zusätzliche Schutzoptionen aufgeführt, die Sie in den Systemeinstellungen nicht konfigurieren können, da sie nur für die Ausführung auf Anwendungsebene konfiguriert sind.

Diese sind:

  • Arbitrary Code Guard (ACG)
  • Blasen Sie Bilder mit geringer Integrität
  • Blockieren Sie Remote-Images
  • Blockieren Sie nicht vertrauenswürdige Schriftarten
  • Code Integrity Guard
  • Erweiterungspunkte deaktivieren
  • Deaktivieren Sie Win32-Systemaufrufe
  • Lassen Sie keine untergeordneten Prozesse zu
  • Exportadressfilterung (EAF)
  • Import-Adressfilterung (IAF)
  • Ausführung simulieren (SimExec)
  • API-Aufruf validieren (CallerCheck)
  • Überprüfen Sie die Verwendung des Handles
  • Überprüfen Sie die Integration der Bildabhängigkeit
  • Überprüfen Sie die Stapelintegrität (StackPivot).

Konfigurieren des Exploit-Schutzes mit PowerShell

Sie können PowerShell verwenden, um Schadensbegrenzungen festzulegen, zu entfernen oder aufzulisten. Folgende Befehle stehen zur Verfügung:

So listen Sie alle Abschwächungen des angegebenen Prozesses auf: Get-ProcessMitigation -Name processName.exe

So legen Sie Schadensbegrenzungen fest: Set-ProcessMitigation - - ,,

  • Geltungsbereich: ist entweder -System oder -Name.
  • Aktion: ist entweder -Enable oder -Disable.
  • Schadensbegrenzung: Der Name der Schadensbegrenzung. Konsultieren Sie die folgende Tabelle. Sie können Abschwächungen durch Komma trennen.

Beispiele:

  • Set-Processmitigation -System -Enable DEP
  • Set-Processmitigation -Name test.exe -Remove -Disable DEP
  • Set-ProcessMitigation -Name processName.exe -Enable EnableExportAddressFilterPlus -EAFModules dllName1.dll, dllName2.dll
MinderungGilt fürPowerShell-CmdletsCmdlet für den Überwachungsmodus
Kontrollflussschutz (CFG)System- und App-EbeneCFG, StrictCFG, SuppressExportsAudit nicht verfügbar
Verhinderung der Datenausführung (DEP)System- und App-EbeneDEP, EmulateAtlThunksAudit nicht verfügbar
Randomisierung für Bilder erzwingen (Obligatorische ASLR)System- und App-EbeneForceRelocateAudit nicht verfügbar
Speicherzuordnungen randomisieren (Bottom-Up ASLR)System- und App-EbeneBottomUp, HighEntropyAudit nicht verfügbar
Ausnahmeketten validieren (SEHOP)System- und App-EbeneSEHOP, SEHOPTelemetrieAudit nicht verfügbar
Überprüfen Sie die Heap-IntegritätSystem- und App-EbeneTerminateOnHeapErrorAudit nicht verfügbar
Arbitrary Code Guard (ACG)Nur auf App-EbeneDynamicCodeAuditDynamicCode
Blockieren Sie Bilder mit geringer IntegritätNur auf App-EbeneBlockLowLabelAuditImageLoad
Blockieren Sie Remote-ImagesNur auf App-EbeneBlockRemoteImagesAudit nicht verfügbar
Blockieren Sie nicht vertrauenswürdige SchriftartenNur auf App-EbeneDisableNonSystemFontsAuditFont, FontAuditOnly
Code Integrity GuardNur auf App-EbeneBlockNonMicrosoftSigned, AllowStoreSignedAuditMicrosoftSigned, AuditStoreSigned
Erweiterungspunkte deaktivierenNur auf App-EbeneExtensionPointAudit nicht verfügbar
Deaktivieren Sie Win32k-SystemaufrufeNur auf App-EbeneDisableWin32kSystemCallsAuditSystemCall
Lassen Sie keine untergeordneten Prozesse zuNur auf App-EbeneDisallowChildProcessCreationAuditChildProcess
Exportadressfilterung (EAF)Nur auf App-EbeneEnableExportAddressFilterPlus, EnableExportAddressFilter [einer] Audit nicht verfügbar
Import-Adressfilterung (IAF)Nur auf App-EbeneEnableImportAddressFilterAudit nicht verfügbar
Ausführung simulieren (SimExec)Nur auf App-EbeneEnableRopSimExecAudit nicht verfügbar
API-Aufruf validieren (CallerCheck)Nur auf App-EbeneEnableRopCallerCheckAudit nicht verfügbar
Überprüfen Sie die Verwendung des HandlesNur auf App-EbeneStrictHandleAudit nicht verfügbar
Überprüfen Sie die Integrität der BildabhängigkeitNur auf App-EbeneEnforceModuleDepencySigningAudit nicht verfügbar
Überprüfen Sie die Stapelintegrität (StackPivot).Nur auf App-EbeneEnableRopStackPivotAudit nicht verfügbar

Konfigurationen importieren und exportieren

Konfigurationen können importiert und exportiert werden. Sie können dies mithilfe der Windows Defender-Exploit-Schutzeinstellungen im Windows Defender-Sicherheitscenter, mithilfe von PowerShell und mithilfe von Richtlinien tun.

EMET-Konfigurationen können außerdem konvertiert werden, so dass sie importiert werden können.

Verwenden der Exploit-Schutzeinstellungen

Sie können Konfigurationen in der Einstellungsanwendung exportieren, aber nicht importieren. Beim Exportieren werden alle Abschwächungen auf Systemebene und auf App-Ebene hinzugefügt.

Klicken Sie dazu einfach auf den Link 'Exporteinstellungen' unter Exploit-Schutz.

Exportieren einer Konfigurationsdatei mit PowerShell

  1. Öffnen Sie eine erhöhte Powershell-Eingabeaufforderung.
  2. Get-ProcessMitigation -RegistryConfigFilePath Dateiname.xml

Bearbeiten Sie filename.xml so, dass es den Speicherort und den Dateinamen widerspiegelt.

Verwenden von PowerShell zum Importieren einer Konfigurationsdatei

  1. Öffnen Sie eine erhöhte Powershell-Eingabeaufforderung.
  2. Führen Sie den folgenden Befehl aus: Set-ProcessMitigation -PolicyFilePath filename.xml

Bearbeiten Sie filename.xml so, dass es auf den Speicherort und den Dateinamen der Konfigurations-XML-Datei verweist.

Verwenden von Gruppenrichtlinien zum Installieren einer Konfigurationsdatei

use common set exploit protection

Sie können Konfigurationsdateien mithilfe von Richtlinien installieren.

  1. Tippen Sie auf die Windows-Taste, geben Sie gpedit.msc ein und drücken Sie die Eingabetaste, um den Gruppenrichtlinien-Editor zu starten.
  2. Navigieren Sie zu Computerkonfiguration> Administrative Vorlagen> Windows-Komponenten> Windows Defender Exploit Guard> Exploit-Schutz.
  3. Doppelklicken Sie auf 'Befehlssatz mit Exploit-Schutzeinstellungen verwenden'.
  4. Setzen Sie die Richtlinie auf aktiviert.
  5. Fügen Sie den Pfad und den Dateinamen der Konfigurations-XML-Datei in das Optionsfeld ein.

Konvertieren einer EMET-Datei

  1. Öffnen Sie eine PowerShell-Eingabeaufforderung mit erhöhten Rechten wie oben beschrieben.
  2. Führen Sie den Befehl ConvertTo-ProcessMitigationPolicy -EMETFilePath emetFile.xml -OutputFilePath filename.xml aus

Ändern Sie emetFile.xml in den Pfad und den Speicherort der EMET-Konfigurationsdatei.

Ändern Sie filename.xml in den Pfad und den Speicherort, in dem die konvertierte Konfigurationsdatei gespeichert werden soll.

Ressourcen