Konfigurieren Sie den Windows Defender Exploit-Schutz in Windows 10
- Kategorie: Windows
Der Exploit-Schutz ist eine neue Sicherheitsfunktion von Windows Defender, die Microsoft im Fall Creators Update des Betriebssystems eingeführt hat.
Wache ausnutzen ist eine Reihe von Funktionen, die Exploit-Schutz umfassen, Reduzierung der Angriffsfläche , Netzwerkschutz und kontrollierter Ordnerzugriff .
Der Exploit-Schutz kann am besten als integrierte Version des Microsoft EMET - Exploit Mitigation Experience Toolkit - Sicherheitstools des Unternehmens beschrieben werden wird Mitte 2018 in den Ruhestand gehen .
Microsoft behauptete zuvor, dass das Windows 10-Betriebssystem des Unternehmens würde das Ausführen von EMET neben Windows unnötig machen ;; Mindestens ein Forscher wies jedoch die Behauptung von Microsoft zurück.
Windows Defender Exploit-Schutz
Der Exploit-Schutz ist standardmäßig aktiviert, wenn Windows Defender aktiviert ist. Die Funktion ist die einzige Exploit Guard-Funktion, für die kein Echtzeitschutz in Windows Defender aktiviert sein muss.
Die Funktion kann in der Windows Defender Security Center-Anwendung, über PowerShell-Befehle oder als Richtlinien konfiguriert werden.
Konfiguration in der Windows Defender Security Center-App
Sie können den Exploit-Schutz in der Windows Defender Security Center-Anwendung konfigurieren.
- Verwenden Sie Windows-I, um die Anwendung 'Einstellungen' zu öffnen.
- Navigieren Sie zu Update & Sicherheit> Windows Defender.
- Wählen Sie Open Windows Defender Security Center.
- Wählen Sie im neuen Fenster die App- und Browsersteuerung aus, die als Seitenleistenlink aufgeführt ist.
- Suchen Sie den Exploit-Schutzeintrag auf der Seite und klicken Sie auf Exploit-Schutzeinstellungen.
Die Einstellungen sind in Systemeinstellungen und Programmeinstellungen unterteilt.
In den Systemeinstellungen werden die verfügbaren Schutzmechanismen und deren Status aufgelistet. Folgendes ist im Windows 10 Fall Creators-Update verfügbar:
- Control Flow Guard (CFG) - standardmäßig aktiviert.
- Data Execution Prevention (DEP) - standardmäßig aktiviert.
- Randomisierung für Bilder erzwingen (obligatorische ASLR) - standardmäßig deaktiviert.
- Speicherzuordnungen randomisieren (Bottom-up-ASLR) - standardmäßig aktiviert.
- Ausnahmeketten überprüfen (SEHOP) - standardmäßig aktiviert.
- Überprüfen Sie die Heap-Integrität - standardmäßig aktiviert.
Sie können den Status jeder Option in 'Standardmäßig aktiviert', 'Standardmäßig deaktiviert' oder 'Standard verwenden' ändern.
Mit den Programmeinstellungen können Sie den Schutz für einzelne Programme und Anwendungen anpassen. Dies funktioniert ähnlich wie Sie Ausnahmen in Microsoft EMET für bestimmte Programme hinzufügen können. Gut, wenn sich ein Programm schlecht verhält, wenn bestimmte Schutzmodule aktiviert sind.
Nicht wenige Programme haben standardmäßig Ausnahmen. Dies umfasst svchost.exe, spools.exe, runtimebroker.exe, iexplore.exe und andere Windows-Kernprogramme. Beachten Sie, dass Sie diese Ausnahmen überschreiben können, indem Sie die Dateien auswählen und auf Bearbeiten klicken.
Klicken Sie auf 'Programm zum Anpassen hinzufügen', um ein Programm nach Namen oder genauem Dateipfad zur Liste der Ausnahmen hinzuzufügen.
Sie können den Status aller unterstützten Schutzfunktionen für jedes Programm, das Sie unter Programmeinstellungen hinzugefügt haben, einzeln festlegen. Neben dem Überschreiben des Systemstandards und dem Erzwingen des Ein- oder Ausschaltens gibt es auch die Option, ihn auf 'Nur Audit' zu setzen. Letzterer zeichnet Ereignisse auf, die ausgelöst worden wären, wenn der Status des Schutzes aktiviert gewesen wäre, zeichnet jedoch nur das Ereignis im Windows-Ereignisprotokoll auf.
In den Programmeinstellungen werden zusätzliche Schutzoptionen aufgeführt, die Sie in den Systemeinstellungen nicht konfigurieren können, da sie nur für die Ausführung auf Anwendungsebene konfiguriert sind.
Diese sind:
- Arbitrary Code Guard (ACG)
- Blasen Sie Bilder mit geringer Integrität
- Blockieren Sie Remote-Images
- Blockieren Sie nicht vertrauenswürdige Schriftarten
- Code Integrity Guard
- Erweiterungspunkte deaktivieren
- Deaktivieren Sie Win32-Systemaufrufe
- Lassen Sie keine untergeordneten Prozesse zu
- Exportadressfilterung (EAF)
- Import-Adressfilterung (IAF)
- Ausführung simulieren (SimExec)
- API-Aufruf validieren (CallerCheck)
- Überprüfen Sie die Verwendung des Handles
- Überprüfen Sie die Integration der Bildabhängigkeit
- Überprüfen Sie die Stapelintegrität (StackPivot).
Konfigurieren des Exploit-Schutzes mit PowerShell
Sie können PowerShell verwenden, um Schadensbegrenzungen festzulegen, zu entfernen oder aufzulisten. Folgende Befehle stehen zur Verfügung:
So listen Sie alle Abschwächungen des angegebenen Prozesses auf: Get-ProcessMitigation -Name processName.exe
So legen Sie Schadensbegrenzungen fest: Set-ProcessMitigation - - ,,
- Geltungsbereich: ist entweder -System oder -Name.
- Aktion: ist entweder -Enable oder -Disable.
- Schadensbegrenzung: Der Name der Schadensbegrenzung. Konsultieren Sie die folgende Tabelle. Sie können Abschwächungen durch Komma trennen.
Beispiele:
- Set-Processmitigation -System -Enable DEP
- Set-Processmitigation -Name test.exe -Remove -Disable DEP
- Set-ProcessMitigation -Name processName.exe -Enable EnableExportAddressFilterPlus -EAFModules dllName1.dll, dllName2.dll
| Minderung | Gilt für | PowerShell-Cmdlets | Cmdlet für den Überwachungsmodus |
|---|---|---|---|
| Kontrollflussschutz (CFG) | System- und App-Ebene | CFG, StrictCFG, SuppressExports | Audit nicht verfügbar |
| Verhinderung der Datenausführung (DEP) | System- und App-Ebene | DEP, EmulateAtlThunks | Audit nicht verfügbar |
| Randomisierung für Bilder erzwingen (Obligatorische ASLR) | System- und App-Ebene | ForceRelocate | Audit nicht verfügbar |
| Speicherzuordnungen randomisieren (Bottom-Up ASLR) | System- und App-Ebene | BottomUp, HighEntropy | Audit nicht verfügbar |
| Ausnahmeketten validieren (SEHOP) | System- und App-Ebene | SEHOP, SEHOPTelemetrie | Audit nicht verfügbar |
| Überprüfen Sie die Heap-Integrität | System- und App-Ebene | TerminateOnHeapError | Audit nicht verfügbar |
| Arbitrary Code Guard (ACG) | Nur auf App-Ebene | DynamicCode | AuditDynamicCode |
| Blockieren Sie Bilder mit geringer Integrität | Nur auf App-Ebene | BlockLowLabel | AuditImageLoad |
| Blockieren Sie Remote-Images | Nur auf App-Ebene | BlockRemoteImages | Audit nicht verfügbar |
| Blockieren Sie nicht vertrauenswürdige Schriftarten | Nur auf App-Ebene | DisableNonSystemFonts | AuditFont, FontAuditOnly |
| Code Integrity Guard | Nur auf App-Ebene | BlockNonMicrosoftSigned, AllowStoreSigned | AuditMicrosoftSigned, AuditStoreSigned |
| Erweiterungspunkte deaktivieren | Nur auf App-Ebene | ExtensionPoint | Audit nicht verfügbar |
| Deaktivieren Sie Win32k-Systemaufrufe | Nur auf App-Ebene | DisableWin32kSystemCalls | AuditSystemCall |
| Lassen Sie keine untergeordneten Prozesse zu | Nur auf App-Ebene | DisallowChildProcessCreation | AuditChildProcess |
| Exportadressfilterung (EAF) | Nur auf App-Ebene | EnableExportAddressFilterPlus, EnableExportAddressFilter [einer] | Audit nicht verfügbar |
| Import-Adressfilterung (IAF) | Nur auf App-Ebene | EnableImportAddressFilter | Audit nicht verfügbar |
| Ausführung simulieren (SimExec) | Nur auf App-Ebene | EnableRopSimExec | Audit nicht verfügbar |
| API-Aufruf validieren (CallerCheck) | Nur auf App-Ebene | EnableRopCallerCheck | Audit nicht verfügbar |
| Überprüfen Sie die Verwendung des Handles | Nur auf App-Ebene | StrictHandle | Audit nicht verfügbar |
| Überprüfen Sie die Integrität der Bildabhängigkeit | Nur auf App-Ebene | EnforceModuleDepencySigning | Audit nicht verfügbar |
| Überprüfen Sie die Stapelintegrität (StackPivot). | Nur auf App-Ebene | EnableRopStackPivot | Audit nicht verfügbar |
Konfigurationen importieren und exportieren
Konfigurationen können importiert und exportiert werden. Sie können dies mithilfe der Windows Defender-Exploit-Schutzeinstellungen im Windows Defender-Sicherheitscenter, mithilfe von PowerShell und mithilfe von Richtlinien tun.
EMET-Konfigurationen können außerdem konvertiert werden, so dass sie importiert werden können.
Verwenden der Exploit-Schutzeinstellungen
Sie können Konfigurationen in der Einstellungsanwendung exportieren, aber nicht importieren. Beim Exportieren werden alle Abschwächungen auf Systemebene und auf App-Ebene hinzugefügt.
Klicken Sie dazu einfach auf den Link 'Exporteinstellungen' unter Exploit-Schutz.
Exportieren einer Konfigurationsdatei mit PowerShell
- Öffnen Sie eine erhöhte Powershell-Eingabeaufforderung.
- Get-ProcessMitigation -RegistryConfigFilePath Dateiname.xml
Bearbeiten Sie filename.xml so, dass es den Speicherort und den Dateinamen widerspiegelt.
Verwenden von PowerShell zum Importieren einer Konfigurationsdatei
- Öffnen Sie eine erhöhte Powershell-Eingabeaufforderung.
- Führen Sie den folgenden Befehl aus: Set-ProcessMitigation -PolicyFilePath filename.xml
Bearbeiten Sie filename.xml so, dass es auf den Speicherort und den Dateinamen der Konfigurations-XML-Datei verweist.
Verwenden von Gruppenrichtlinien zum Installieren einer Konfigurationsdatei
Sie können Konfigurationsdateien mithilfe von Richtlinien installieren.
- Tippen Sie auf die Windows-Taste, geben Sie gpedit.msc ein und drücken Sie die Eingabetaste, um den Gruppenrichtlinien-Editor zu starten.
- Navigieren Sie zu Computerkonfiguration> Administrative Vorlagen> Windows-Komponenten> Windows Defender Exploit Guard> Exploit-Schutz.
- Doppelklicken Sie auf 'Befehlssatz mit Exploit-Schutzeinstellungen verwenden'.
- Setzen Sie die Richtlinie auf aktiviert.
- Fügen Sie den Pfad und den Dateinamen der Konfigurations-XML-Datei in das Optionsfeld ein.
Konvertieren einer EMET-Datei
- Öffnen Sie eine PowerShell-Eingabeaufforderung mit erhöhten Rechten wie oben beschrieben.
- Führen Sie den Befehl ConvertTo-ProcessMitigationPolicy -EMETFilePath emetFile.xml -OutputFilePath filename.xml aus
Ändern Sie emetFile.xml in den Pfad und den Speicherort der EMET-Konfigurationsdatei.
Ändern Sie filename.xml in den Pfad und den Speicherort, in dem die konvertierte Konfigurationsdatei gespeichert werden soll.