Меню

Exploit protection windows 10 как найти

Как настроить Защиту от эксплойтов в Windows 10

Exploit Guard- новая функция безопасности Защитника Windows, которая была впервые представлена Microsoft в Windows 10 Fall Creators Update.

Защита от эксплойтов представляет собой интегрированную версию инструмента Microsoft EMET (Enhanced Mitigation Experience Toolkit), поддержка которого завершится в середине 2018 года.

Защита от использования уязвимостей включена по умолчанию, если активен Защитник Windows. Эта функция является единственной функцией Exploit Guard, которая не требует включения защиты в режиме реального времени.

Данную функцию можно настроить в Центре безопасности Защитника Windows, с помощью групповых политик или команд PowerShell.

Центр безопасности Защитника Windows

Пользователи Windows 10 могут настроить защиту от эксплойтов в Центре безопасности Защитника Windows.

  1. Используйте сочетание клавиша Windows + I для запуска приложения “Параметры”.
  2. Перейдите в “Обновление и безопасность”, затем выберите пункт “Защитник Windows”.
  3. Нажмите кнопку Открыть Центр безопасности Защитника Windows.
  4. Выберите панель “Управление приложениями и браузером”.
  5. На открывшейся странице выберите ссылку Параметры защиту от эксплойтов.

Все настройки разделены на две категории: Системные параметры и Параметры программ.

На вкладке Системные параметры выводится список всех доступных механизмов защиту с их статусом. В Windows 10 Fall Creators Update доступны следующие защиты:

  • Защита потока управления (CFG) — вкл. по умолчанию.
  • Предотвращение выполнения данных (DEP) — вкл. по умолчанию.
  • Принудительное случайное распределение для образов (обязательный ASLR) — выкл. по умолчанию.
  • Случайное распределение выделения памяти (низкий ASLR) — вкл. по умолчанию.
  • Проверить цепочки исключений (SEHOP) — вкл. по умолчанию.
  • Проверка целостности кучи — вкл. по умолчанию.

Параметры программ дают вам возможность настраивать защиту для отдельных программ и приложений. Данная опция работает аналогично функции исключений в Microsoft EMET для определенных программ. Данная возможность будет особо полезной, если программа ошибочно работает, когда включены определенные защитные модули.

По умолчанию несколько программ добавлены в исключения, в частности svchost.exe, spools.exe, runtimebroker.exe, iexplore.exe и другие основные программы Windows. Обратите внимание, что вы можете переопределить эти исключения, выбрав файлы и нажав кнопку “Редактировать”.

Нажмите ссылку “Добавление программы для индивидуальной настройки”, чтобы добавить приложение в список исключений.

Вы можете установить отдельный статус всех поддерживаемых защит для каждой программы, которую вы добавили в настройках программы. Помимо переопределения системного параметра по умолчанию и принудительного его включения или отключения, существует также возможность установить параметр только для аудита. В последнем случае будет происходить запись событий, которые происходили, если бы статус защиты был включен, в системный журнал Windows.

В списке “Параметры программ” перечислены дополнительные параметры защиты, которые невозможно настроить под системными параметрами, поскольку они настроены для работы только на уровне приложения.

  • Защита от произвольного кода (ACG)
  • Блокировка образов низкой целостности
  • Блокировка удаленных образов
  • Блокировка ненадежных шрифтов
  • Защита целостности кода
  • Отключение точек расширения
  • Отключение вызовов системы Win32k
  • Не разрешать дочерние процессы
  • Фильтрация адресов экспорта (EAF)
  • Фильтрация адресов импорта (IAF)
  • Имитация выполнения (SimExec)
  • Проверка вызовов API (CallerCheck)
  • Проверка использования дескриптора
  • Проверка целостности зависимостей образа
  • Проверка целостности стека (StackPivot)

PowerShell

Вы можете использовать командную строку PowerShell для установки, удаления или изменения списка мер. Доступны следующие команды:

Чтобы просмотреть все защитные меры указанного процесса: Get-ProcessMitigation -Name processName.exe

Чтобы установить защитную меру: Set-ProcessMitigation — — , ,

Область действия: -System или -Name .

Действие: либо -Enable или -Disable .

Мера: название защитной меры. Обратитесь к таблице на сайте Microsoft, чтобы посмотреть список доступных мер. Вы можете отделить несколько мер запятой.

  • Set-Processmitigation -System -Enable DEP
  • Set-Processmitigation -Name test.exe -Remove -Disable DEP
  • Set-ProcessMitigation -Name processName.exe -Enable EnableExportAddressFilterPlus -EAFModules dllName1.dll, dllName2.dll

Импорт и экспорт конфигураций

Конфигурации можно импортировать и экспортировать. Данные операции можно сделать на странице “Параметров защиты эксплойтов” в Центре безопасности Защитника Windows, а также с помощью PowerShell или редактора групповых политик.

Кроме того, конфигурации EMET можно преобразовать для последующего импорта.

Использование настроек защиты от эксплойтов

Вы можете экспортировать конфигурации в приложении “Центр безопасности Защитника Windows”, но не импортировать их. Экспорт добавляет все меры уровня системы и уровня приложения.

Нажмите ссылку “Параметры экспорта” и выберите местоположение для файла .XML с настройками.

Использование PowerShell для экспорта файла конфигурации

  1. Откройте Powershell с правами администратора устройства.
  2. Запустите команду: Get-ProcessMitigation -RegistryConfigFilePath filename.xml

Измените путь и filename.xml, указав требуемое местоположение и название файла.

Использование PowerShell для импорта файла конфигурации

  1. Откройте Powershell с правами администратора устройства.
  2. Запустите команду: Set-ProcessMitigation -PolicyFilePath filename.xml

Использование групповых политик для установки файла конфигурации

Вы можете установить файлы конфигураций с помощью редактора групповых политик:

Источник статьи: http://www.comss.ru/page.php?id=4568

Включить защиту от эксплойтов

Область применения:

Защита от эксплойтов позволяет защищаться от вредоносных программ, использующих эксплойты для заражения устройств и распространения. Защита от эксплойтов состоит из множества мер по устранению рисков, которые можно применять ко всей операционной системе или к отдельным приложениям.

.NET 2.0 несовместим с некоторыми возможностями защиты от эксплойтов, в частности, с фильтрацией адресов экспорта (EAF) и фильтрацией адресов импорта (IAF). При включении .NET 2.0 использование EAF и IAF не будет поддерживаться.

Многие функции из набора средств EMET включены в защиту от эксплойтов.

Каждое из этих средств можно включить отдельно, используя любой из указанных способов.

Защита от эксплойтов настраивается по умолчанию в Windows 10 и Windows 11. Для каждой меры можно установить значение по умолчанию: «Вкл.», «Выкл.» или «По умолчанию». Некоторые меры имеют больше параметров. Вы можете экспортировать эти параметры в формате XML-файла и развернуть их на других устройствах.

Вы также можете настроить для мер устранения рисков режим аудита. Режим аудита позволяет проверить эффективность мер (и просмотреть события), не влияя на обычное использование устройства.

Приложение «Безопасность Windows»

Откройте приложение «Безопасность Windows», выбрав значок щита на панели задач или открыв меню «Пуск» и выбрав параметр Безопасность.

Выберите плитку элемента управления & «Браузер приложений» (или значок приложения в левой строке меню), а затем выберите параметры защиты от эксплойтов.

Перейдите в Параметры программы и выберите приложение, к которому вы хотите применить меры.

  • Если приложение, которое вы хотите настроить, уже указано в списке, выберите его и нажмите Изменить.
  • Если приложение не указано в списке, в верхней части списка найдите Добавить программу для индивидуальной настройки, а затем выберите, как вы хотите добавить приложение.
  • Используйте Добавить по имени программы, чтобы применить меры к любым запущенным процессам с таким именем. Укажите файл с расширением. Вы можете ввести полный путь, чтобы ограничить применение мер только приложением с таким именем в этом расположении.
  • Нажмите Выбрать точный путь файла, чтобы использовать стандартное окно выбора файлов проводника Windows Explorer для поиска и выбора нужного файла.

После выбора приложения вы увидите список всех мер, которые можно применить. При выборе параметра Аудит применяется меры только в режиме аудита. Вы будете уведомлены при возникновении необходимости перезапуска процесса или приложения или перезапуска Windows.

Повторите шаги 3–4 для всех приложений и мер, которые вы хотите настроить.

В разделе Параметры системы найдите меры, которые необходимо настроить, и укажите один из следующих параметров. Приложения, которые не настроены индивидуально в разделе Параметры программы, используют параметры, настроенные здесь.

  • Включено по умолчанию: эта мера включена для приложений, для которых она не задана в разделе Параметры программы для конкретного приложения
  • Выключено по умолчанию: эта мера выключена для приложений, для которых она не задана в разделе Параметры программы для конкретного приложения
  • Использовать значение по умолчанию: эта мера включена или отключена в зависимости от конфигурации по умолчанию, настроенной при установке Windows 10 или Windows 11; значение по умолчанию (вкл. или выкл.) всегда указывается рядом с меткой Использовать по умолчанию для каждой меры

Повторите шаг 6 для всех приложений и мер, которые вы хотите настроить. После настройки конфигурации выберите Применить.

Если вы добавите приложение в раздел Параметры программы и настроите в нем отдельные параметры защиты, они будут иметь приоритет над конфигурацией для аналогичных мер, указанных в разделе Параметры системы. В следующей матрице и примерах показано, как работают значения по умолчанию:

Включено в Параметрах программы Включено в Параметрах системы Поведение
Да Нет Как определено в Параметрах программы
Да Да Как определено в Параметрах программы
Нет Да Как определено в Параметрах системы
Нет Нет По умолчанию, как определено в параметре Использовать по умолчанию

Пример 1. Майкл настраивает для предотвращения выполнения данных в разделе параметров системы значение «Выключено по умолчанию».

Майкл добавляет приложение test.exe в раздел Параметры программы. В параметрах этого приложения для предотвращения выполнения данных (DEP) Майкл включает параметр Переопределение параметров системы и устанавливает переключатель на Включено. В разделе Параметры программы нет других приложений.

В результате предотвращение выполнения данных (DEP) включено только для test.exe Для всех остальных приложений параметр DEP применяться не будет.

Пример 2. Джози настраивает для предотвращения выполнения данных в разделе параметров системы значение «Выключено по умолчанию».

Джози добавляет приложение test.exe в раздел Параметры программы. В параметрах этого приложения для предотвращения выполнения данных (DEP) Джози включает параметр Переопределение параметров системы и устанавливает переключатель на Включено.

Джози также добавляет приложение miles.exe в раздел Параметры программы и настраивает для Защиты потока управления (CFG) значение Включено. Джози не включает параметр Переопределение параметров системы для DEP или других мер для этого приложения.

В результате предотвращение выполнения данных (DEP) включено для test.exe. Параметр DEP не будет включен для других приложений, включая miles.exe. Параметр CFG будет включен для miles.exe.

Откройте приложение \»Безопасность Windows\», выбрав значок щита на панели задач или открыв меню «Пуск» и выбрав параметр Безопасность Windows.

Выберите плитку элемента управления & «Браузер приложений» (или значок приложения в строке меню слева), а затем выберите » Защита от эксплойтов».

Перейдите в Параметры программы и выберите приложение, к которому вы хотите применить меры.

  • Если приложение, которое вы хотите настроить, уже указано в списке, выберите его и нажмите Изменить.
  • Если приложение не указано в списке, в верхней части списка найдите Добавить программу для индивидуальной настройки, а затем выберите, как вы хотите добавить приложение.
    • Используйте Добавить по имени программы, чтобы применить меры к любым запущенным процессам с таким именем. Укажите файл с расширением. Вы можете ввести полный путь, чтобы ограничить применение мер только приложением с таким именем в этом расположении.
    • Нажмите Выбрать точный путь файла, чтобы использовать стандартное окно выбора файлов проводника Windows Explorer для поиска и выбора нужного файла.

После выбора приложения вы увидите список всех мер, которые можно применить. При выборе параметра Аудит применяется меры только в режиме аудита. Вы будете уведомлены при возникновении необходимости перезапуска процесса или приложения или перезапуска Windows.

Повторите шаги 3–4 для всех приложений и мер, которые вы хотите настроить. После настройки конфигурации выберите Применить.

Intune

Войдите на портал Azure и откройте Intune.

Перейдите в профиль создания профилей>конфигурации>устройства.

Назовите профиль, выберите Windows 10 или более позднюю версию и Защиту конечных точек.

Выберите «Настроить Защитник Windows>Exploit Guard>Exploit Protection.

Загрузите файл XML с параметрами защиты от эксплойтов:

Выберите OK, чтобы сохранить каждую открытую колонку, а затем нажмите Создать.

Перейдите на вкладку «Назначения профиля», назначьте политику всем пользователям &всем устройствам и нажмите кнопку «Сохранить».

Используйте поставщик услуг конфигурации (CSP) ./Vendor/MSFT/Policy/Config/ExploitGuard/ExploitProtectionSettings для включения или выключения мер защиты от эксплойтов или для применения режима аудита.

Microsoft Endpoint Manager

В Microsoft Endpoint Manager перейдите к сокращению направлений атак endpoint Security>.

Выберите «Создать платформу>политики», а для параметра «Профиль» — » Защита от эксплойтов». Затем нажмите кнопку Создать.

Укажите имя и описание, а затем нажмите Далее.

Нажмите Выбрать XML-файл и перейдите к расположению XML-файла защиты от эксплойтов. Выберите файл, а затем нажмите Далее.

При необходимости настройте теги области и назначения.

Во вкладке Проверка и создание просмотрите ваши параметры конфигурации и выберите Создать.

Microsoft Endpoint Configuration Manager

В microsoft Endpoint Configuration Manager перейдите в раздел «Активы» и «> >Защита конечных точек соответствия Защитник Windows Exploit Guard.

Выберите «Создать политику>Exploit Guard для дома».

Укажите имя и описание, выберите параметр Защита от эксплойтов, а затем нажмите Далее.

Перейдите к расположению XML-файла защиты от эксплойтов и нажмите Далее.

Проверьте параметры и нажмите кнопку Далее, чтобы создать политику.

После создания политики нажмите Закрыть.

Групповая политика

Откройте на вашем устройстве, управляющем групповыми политиками, Консоль управления групповой политикой, щелкните правой кнопкой мыши нужный объект групповой политики и выберите Изменить.

В редакторе управления групповыми политиками перейдите к конфигурации компьютера и выберите Административные шаблоны.

Разверните дерево до компонентов Windows>Защитник Windows Защита отэксплойтов ExploitGuard>>использует общий набор параметров защиты от эксплойтов.

Выберите Включено и введите расположение XML-файла, а затем нажмите ОК.

PowerShell

Вы можете использовать глагол PowerShell Get или Set командлет ProcessMitigation . При использовании Get вы увидите текущее состояние конфигурации всех мер, включенных на устройстве. Добавьте командлет -Name и расширение приложения, чтобы увидеть меры только для этого приложения:

Ненастроенные меры защиты на уровне системы будут показывать состояние NOTSET .

  • Для системных параметров NOTSET обозначает, что для этой меры защиты задано значение по умолчанию.
  • Для параметров на уровне приложения NOTSET обозначает, что для этой меры защиты будет задано значение на уровне системы. Параметр по умолчанию для каждой меры защиты на уровне системы можно увидеть в разделе \»Безопасность Windows\».

Используйте Set для настройки каждой меры в следующем формате:

  • действия:
    • -Name для указания мер, которые следует применить к определенному приложению. Укажите исполняемый файл приложения после того, как поставите этот флажок.
      • -System для указания мер, которые следует применить на уровне системы
  • :
    • -Enable , чтобы включить меры
    • -Disable , чтобы отключить меры
  • :
    • Командлет меры вместе с любыми подопциями (в окружении пробелов). Каждая мера отделена запятой.

Например, для включения предотвращения выполнения данных (DEP) с эмуляцией преобразователя ATL, а также для исполняемого файла с названием testing.exe в папке C:\Apps\LOB\tests и предотвращения создания этим исполняемым файлом дочерних процессов необходимо использовать следующую команду:

Отделяйте каждый параметр меры запятой.

Чтобы применить DEP на уровне системы, необходимо использовать следующую команду:

Чтобы отключить меры, можно заменить -Enable на -Disable . Однако для мер на уровне приложения это действие приведет к отключению меры только для этого приложения.

Если необходимо восстановить меры по умолчанию, включите командлет -Remove , как показано в следующем примере:

В следующей таблице перечислены отдельные мерыаудиты, если применимо) для использования с параметрами командлета -Enable или -Disable .

Тип устранения рисков Сфера применения Ключевое слово параметра командлета для устранения рисков Параметр командлета для режима аудита
Защита потока управления (CFG) Уровень системы и уровень приложения CFG , StrictCFG , SuppressExports Аудит недоступен
Предотвращение выполнения данных (DEP) Уровень системы и уровень приложения DEP , EmulateAtlThunks Аудит недоступен
Принудительный случайный выбор изображений (обязательный ASLR) Уровень системы и уровень приложения ForceRelocateImages Аудит недоступен
Случайные выделения памяти (ASLR снизу вверх) Уровень системы и уровень приложения BottomUp , HighEntropy Аудит недоступен
Проверка цепочек исключений (SEHOP) Уровень системы и уровень приложения SEHOP , SEHOPTelemetry Аудит недоступен
Проверка целостности кучи Уровень системы и уровень приложения TerminateOnError Аудит недоступен
Механизм Arbitrary code guard (ACG) Только на уровне приложения DynamicCode AuditDynamicCode
Блокировать изображений с низкой целостностью Только на уровне приложения BlockLowLabel AuditImageLoad
Блокировать удаленные изображения Только на уровне приложения BlockRemoteImages Аудит недоступен
Блокировка ненадежные шрифты Только на уровне приложения DisableNonSystemFonts AuditFont , FontAuditOnly
Защита целостности кода Только на уровне приложения BlockNonMicrosoftSigned , AllowStoreSigned AuditMicrosoftSigned, AuditStoreSigned
Отключить точки расширения Только на уровне приложения ExtensionPoint Аудит недоступен
Отключить системные вызовы Win32k Только на уровне приложения DisableWin32kSystemCalls AuditSystemCall
Не разрешать дочерние процессы Только на уровне приложения DisallowChildProcessCreation AuditChildProcess
Фильтрация адресов экспорта (EAF) Только на уровне приложения EnableExportAddressFilterPlus , EnableExportAddressFilter [1] Аудит недоступен [2]
Фильтрация адресов импорта (IAF) Только на уровне приложения EnableImportAddressFilter Аудит недоступен [2]
Имитация выполнения (SimExec) Только на уровне приложения EnableRopSimExec Аудит недоступен [2]
Проверка вызова API (CallerCheck) Только на уровне приложения EnableRopCallerCheck Аудит недоступен [2]
Проверка использования дескриптора Только на уровне приложения StrictHandle Аудит недоступен
Проверка целостности зависимостей изображения Только на уровне приложения EnforceModuleDepencySigning Аудит недоступен
Проверка целостности стека (StackPivot) Только на уровне приложения EnableRopStackPivot Аудит недоступен [2]

[1]: используйте следующий формат, чтобы включить модули EAF для библиотек DLL для процесса:

[2]. Аудит для этого устранения рисков недоступен с помощью командлетов PowerShell.

Настройка уведомлений

Дополнительные сведения о настройке уведомлений при срабатывании правила и блокировке приложения или файла см. в разделе Безопасность Windows.

Источник статьи: http://learn.microsoft.com/ru-Ru/microsoft-365/security/defender-endpoint/enable-exploit-protection?view=o365-worldwide

Enable exploit protection

Want to experience Defender for Endpoint? Sign up for a free trial.

Exploit protection helps protect against malware that uses exploits to infect devices and spread. Exploit protection consists of many mitigations that can be applied to either the operating system or individual apps.

.NET 2.0 is not compatible with some exploit protection capabilities, specifically, Export Address Filtering (EAF) and Import Address Filtering (IAF). If you have enabled .NET 2.0, usage of EAF and IAF are not supported.

Many features from the Enhanced Mitigation Experience Toolkit (EMET) are included in exploit protection.

You can enable each mitigation separately by using any of these methods:

Exploit protection is configured by default in Windows 10 and Windows 11. You can set each mitigation to on, off, or to its default value. Some mitigations have more options. You can export these settings as an XML file and deploy them to other devices.

You can also set mitigations to audit mode. Audit mode allows you to test how the mitigations would work (and review events) without impacting the normal use of the device.

Windows Security app

Open the Windows Security app by either selecting the shield icon in your task bar, or by searching the Start menu for Security.

Select the App & browser control tile (or the app icon on the left menu bar) and then select Exploit protection settings.

Go to Program settings and choose the app you want to apply mitigations to.

  • If the app you want to configure is already listed, select it, and then select Edit.
  • If the app is not listed, at the top of the list select Add program to customize and then choose how you want to add the app.
  • Use Add by program name to have the mitigation applied to any running process with that name. Specify a file with its extension. You can enter a full path to limit the mitigation to only the app with that name in that location.
  • Use Choose exact file path to use a standard Windows Explorer file picker window to find and select the file you want.

After selecting the app, you’ll see a list of all the mitigations that can be applied. Choosing Audit will apply the mitigation in audit mode only. You are notified if you need to restart the process or app, or if you need to restart Windows.

Repeat steps 3-4 for all the apps and mitigations you want to configure.

Under the System settings section, find the mitigation you want to configure and then specify one of the following settings. Apps that aren’t configured individually in the Program settings section use the settings that are configured here.

  • On by default: The mitigation is enabled for apps that don’t have this mitigation set in the app-specific Program settings section
  • Off by default: The mitigation is disabled for apps that don’t have this mitigation set in the app-specific Program settings section
  • Use default: The mitigation is either enabled or disabled, depending on the default configuration that is set up by Windows 10 or Windows 11 installation; the default value (On or Off) is always specified next to the Use default label for each mitigation

Repeat step 6 for all the system-level mitigations you want to configure. Select Apply when you’re done setting up your configuration.

If you add an app to the Program settings section and configure individual mitigation settings there, they will be honored above the configuration for the same mitigations specified in the System settings section. The following matrix and examples help to illustrate how defaults work:

Enabled in Program settings Enabled in System settings Behavior
Yes No As defined in Program settings
Yes Yes As defined in Program settings
No Yes As defined in System settings
No No Default as defined in Use default option

Example 1: Mikael configures Data Execution Prevention in system settings section to be off by default

Mikael adds the app test.exe to the Program settings section. In the options for that app, under Data Execution Prevention (DEP), Mikael enables the Override system settings option and sets the switch to On. There are no other apps listed in the Program settings section.

The result is that DEP is enabled only for test.exe. All other apps will not have DEP applied.

Example 2: Josie configures Data Execution Prevention in system settings to be off by default

Josie adds the app test.exe to the Program settings section. In the options for that app, under Data Execution Prevention (DEP), Josie enables the Override system settings option and sets the switch to On.

Josie also adds the app miles.exe to the Program settings section and configures Control flow guard (CFG) to On. Josie doesn’t enable the Override system settings option for DEP or any other mitigations for that app.

The result is that DEP is enabled for test.exe. DEP will not be enabled for any other app, including miles.exe. CFG will be enabled for miles.exe.

Open the Windows Security app by selecting the shield icon in the task bar or searching the start menu for Windows Security.

Select the App & browser control tile (or the app icon on the left menu bar) and then select Exploit protection.

Go to Program settings and choose the app you want to apply mitigations to.

  • If the app you want to configure is already listed, select it, and then select Edit.
  • If the app is not listed, at the top of the list select Add program to customize and then choose how you want to add the app.
    • Use Add by program name to have the mitigation applied to any running process with that name. Specify a file with an extension. You can enter a full path to limit the mitigation to only the app with that name in that location.
    • Use Choose exact file path to use a standard Windows Explorer file picker window to find and select the file you want.

After selecting the app, you’ll see a list of all the mitigations that can be applied. Choosing Audit will apply the mitigation in audit mode only. You will be notified if you need to restart the process or app, or if you need to restart Windows.

Repeat steps 3-4 for all the apps and mitigations you want to configure. Select Apply when you’re done setting up your configuration.

Intune

Sign in to the Azure portal and open Intune.

Go to Device configuration > Profiles > Create profile.

Name the profile, choose Windows 10 and later and Endpoint protection.

Select Configure > Windows Defender Exploit Guard > Exploit protection.

Upload an XML file with the exploit protection settings:

Select OK to save each open blade, and then choose Create.

Select the profile Assignments tab, assign the policy to All Users & All Devices, and then select Save.

Use the ./Vendor/MSFT/Policy/Config/ExploitGuard/ExploitProtectionSettings configuration service provider (CSP) to enable or disable exploit protection mitigations or to use audit mode.

Microsoft Endpoint Manager

In Microsoft Endpoint Manager, go to Endpoint Security > Attack surface reduction.

Select Create Policy > Platform, and for Profile, choose Exploit Protection. Then select Create.

Specify a name and a description, and then choose Next.

Choose Select XML File and browse to the location of the exploit protection XML file. Select the file, and then choose Next.

Configure Scope tags and Assignments if necessary.

Under Review + create, review your configuration settings, and then choose Create.

Microsoft Endpoint Configuration Manager

In Microsoft Endpoint Configuration Manager, go to Assets and Compliance > Endpoint Protection > Windows Defender Exploit Guard.

Select Home > Create Exploit Guard Policy.

Specify a name and a description, select Exploit protection, and then choose Next.

Browse to the location of the exploit protection XML file and select Next.

Review the settings, and then choose Next to create the policy.

After the policy is created, select Close.

Group Policy

On your Group Policy management device, open the Group Policy Management Console, right-click the Group Policy Object you want to configure and click Edit.

In the Group Policy Management Editor go to Computer configuration and select Administrative templates.

Expand the tree to Windows components > Windows Defender Exploit Guard > Exploit Protection > Use a common set of exploit protection settings.

Select Enabled and type the location of the XML file, and then choose OK.

PowerShell

You can use the PowerShell verb Get or Set with the cmdlet ProcessMitigation . Using Get will list the current configuration status of any mitigations that have been enabled on the device — add the -Name cmdlet and app exe to see mitigations for just that app:

System-level mitigations that have not been configured will show a status of NOTSET .

  • For system-level settings, NOTSET indicates the default setting for that mitigation has been applied.
  • For app-level settings, NOTSET indicates the system-level setting for the mitigation will be applied. The default setting for each system-level mitigation can be seen in the Windows Security.

Use Set to configure each mitigation in the following format:

For example, to enable the Data Execution Prevention (DEP) mitigation with ATL thunk emulation and for an executable called testing.exe in the folder C:\Apps\LOB\tests, and to prevent that executable from creating child processes, you’d use the following command:

Separate each mitigation option with commas.

If you wanted to apply DEP at the system level, you’d use the following command:

To disable mitigations, you can replace -Enable with -Disable . However, for app-level mitigations, this action forces the mitigation to be disabled only for that app.

If you need to restore the mitigation back to the system default, you need to include the -Remove cmdlet as well, as in the following example:

The following table lists the individual Mitigations (and Audits, when available) to be used with the -Enable or -Disable cmdlet parameters.

Mitigation type Applies to Mitigation cmdlet parameter keyword Audit mode cmdlet parameter
Control flow guard (CFG) System and app-level CFG , StrictCFG , SuppressExports Audit not available
Data Execution Prevention (DEP) System and app-level DEP , EmulateAtlThunks Audit not available
Force randomization for images (Mandatory ASLR) System and app-level ForceRelocateImages Audit not available
Randomize memory allocations (Bottom-Up ASLR) System and app-level BottomUp , HighEntropy Audit not available
Validate exception chains (SEHOP) System and app-level SEHOP , SEHOPTelemetry Audit not available
Validate heap integrity System and app-level TerminateOnError Audit not available
Arbitrary code guard (ACG) App-level only DynamicCode AuditDynamicCode
Block low integrity images App-level only BlockLowLabel AuditImageLoad
Block remote images App-level only BlockRemoteImages Audit not available
Block untrusted fonts App-level only DisableNonSystemFonts AuditFont , FontAuditOnly
Code integrity guard App-level only BlockNonMicrosoftSigned , AllowStoreSigned AuditMicrosoftSigned, AuditStoreSigned
Disable extension points App-level only ExtensionPoint Audit not available
Disable Win32k system calls App-level only DisableWin32kSystemCalls AuditSystemCall
Do not allow child processes App-level only DisallowChildProcessCreation AuditChildProcess
Export address filtering (EAF) App-level only EnableExportAddressFilterPlus , EnableExportAddressFilter [1] Audit not available [2]
Import address filtering (IAF) App-level only EnableImportAddressFilter Audit not available [2]
Simulate execution (SimExec) App-level only EnableRopSimExec Audit not available [2]
Validate API invocation (CallerCheck) App-level only EnableRopCallerCheck Audit not available [2]
Validate handle usage App-level only StrictHandle Audit not available
Validate image dependency integrity App-level only EnforceModuleDepencySigning Audit not available
Validate stack integrity (StackPivot) App-level only EnableRopStackPivot Audit not available [2]

[1]: Use the following format to enable EAF modules for DLLs for a process:

[2]: Audit for this mitigation is not available via PowerShell cmdlets.

Customize the notification

For information about customizing the notification when a rule is triggered and an app or file is blocked, see Windows Security.

Источник статьи: http://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoint/enable-exploit-protection?view=o365-worldwide

Защита от эксплойтов (Exploit Guard) в Защитнике Windows 10

Защита от эксплойтов (Exploit Guard) — эта новая функция в Windows Defender в Windows 10 1709, которая представляет собой объединенную и более улучшенную версию инструмента EMET от Microsoft. Exploit Guard предназначен для защиты компьютера от эксплоитов, и заражения вашей системы вредоносными программами. Специально активировать Защиту от эксплойтов не нужно, это происходит автоматически, но только при включенном защитнике Windows.

Изменить параметры Exploit Guard по умолчанию можно в Центре безопасности Защитника Windows.

    Получить к нему доступ можно через меню Пуск или Параметры (Windows + I). Настройки будут производиться именно через Центр Безопасности, а не Параметры Защитника. Учитывайте это при использовании быстрого поиска.

  • В появившемся окне перейдите в меню «Управление приложениями и браузером».
  • Пролистайте страницу в самый низ и выберите «Параметры защиты от эксплойтов».
  • Всего есть две основные категории для изменения конфигураций на компьютере. Рассмотрим каждую из них более подробно.

    Системные параметры

    Здесь отображается список доступных пользователю механизмов защиты Windows. Рядом указывается статус — включено, отключено. Доступны:

    Пользователь может отключить их независимо друг от друга.

    Параметры программ

    В этом разделе можно отдельно редактировать дополнительные настройки защиты для каждого исполняемого файла, добавлять их в список исключений. Если ПО конфликтует при каком-либо активированном в системных параметрах модуле, то его можно отключить. При этом настройки других программ останутся прежними.

    Опция работает по тому же принципу, что и исключения в инструменте EMET от Microsoft. По умолчанию здесь уже находятся некоторые штатные программы Windows.

    Добавить новый исполняемый файл в список можно здесь же, нажав на кнопку «Добавление программы для индивидуальной настройки». Для этого укажите название программы или точный путь к ней. После этого он отобразится в списке.

    Пользователь может редактировать параметры для каждой отдельной программы. Для этого выберите ее из списка, и кликните «Редактировать», после чего принудительно выключите/ включите нужную опцию. По желанию программу можно удалить из списка исключений.

    Для редактирования доступны только те параметры, которые невозможно настроить через категорию «Системные». Для некоторых опций доступно значение «Аудит». После его активации Windows будет записывать события в системный журнал, что удобно для дальнейшего анализа.

    Импорт и экспорт настроек

    Экспортировать текущие настройки Exploit Guard можно через Центр безопасности Защитника Windows. Для этого достаточно нажать на соответствующую кнопку и сохранить файл в формате XML.

    Экспортировать настройки можно и через командную строку Windows PowerShell. Для этого есть команда:

    Get-ProcessMitigation -RegistryConfigFilePath C:\Users\Alex\Desktop\Settings.xml

    Для импорта необходимо заменить командлет Get на Set и по аналогии с примером указать название и путь к файлу.

    Установить уже существующий XML файл с настройками можно через редактор локальных групповых политик gpedit.msc:

    1. В левой части экрана перейдите в ветку редактора Конфигурация компьютера —> Административные шаблоны —> Компоненты Windows —> Exploit Guard в Защитнике Windows —> Защита от эксплойтов. Откройте политику Используйте общий набор параметров защиты от эксплойтов.
    2. Измените значение на «Включено», а в появившемся поле укажите путь или URL- адрес к существующему XML файлу с конфигурацией.

    Сохраните внесенные изменения нажав на «Применить». Настройки вступят в силу немедленно, поэтому перезагружать ПК не обязательно.

    Настройка Exploit Guard с помощью PowerShell

    Для редактирования списка модулей защиты можно использовать командную строку Windows PowerShell.

    Здесь доступные следующие команды:

    1. Get-ProcessMitigation -Name iexplore.exe — получить список всех защитных мер для выбранного процесса. В данном примере это iexplore.exe, вы можете указать любой другой. Вместо имени программы, можно указать точный путь.
    2. Состояние NOTSET (не установлено) для категории системных параметров означает, что выставлены значения по умолчанию, для категории программ здесь следует вписать параметр, к которому будут присвоены меры защиты.
    3. Set с добавочной командой ProcessMitigation используется для редактирования каждого отдельного значения. Чтобы активировать SEHOP для конкретного исполняемого файла (в нашем примере test.exe) по адресу C:\Users\Alex\Desktop\test.exe, используйте команду в PowerShell: Set-ProcessMitigation -Name C:\Users\Alex\Desktop\test.exe -Enable SEHOP
    4. Чтобы применить эту меру для всех файлов, а не для конкретной программы, используйте команду: Set-Processmitigation -System -Enable SEHOP
    5. -Enable — включить, —Disable — отключить.
    6. Командлет —Remove используется для восстановления настроек по умолчанию и указывается сразу после —Name.
    7. -Enable или —DisableAuditDynamicCode — активировать или выключить аудит.

    При вводе команд учитывайте, что каждый отдельный параметр меры должен отделяться запятой. Посмотреть их список вы можете здесь же, в PowerShell. Они отобразятся после ввода команды Get-ProcessMitigation -Name имя_процесса.exe .

    Источник статьи: http://winitpro.ru/index.php/2018/01/26/zashhita-ot-eksplojtov-exploit-guard-v-zashhitnike-windows-10/

    Как включить функцию защиты от эксплойтов в Windows 10

    Разное / by admin / August 05, 2021

    Вы всегда боитесь вредоносных программ и вирусов, которые могут заразить ваш компьютер или ноутбук? Что ж, если это так, то вы найдете это руководство действительно полезным. Прочтите, чтобы узнать, как включить защиту от эксплойтов на своем ноутбуке или компьютере под управлением Windows 10.

    В современном мире технологий, где у каждого человека есть смартфон и ноутбук, очень легко получить доступ к чьей-либо информации. Мало того, что пользователи онлайн могут иметь доступ к вашим данным, которые вы добровольно предоставляете в социальных сетях, таких как Facebook, Twitter или Instagram, но люди также могут удерживать данные, к которым вы, возможно, не хотите, чтобы кто-либо имел доступ. к. Это включает в себя всевозможную конфиденциальную информацию, такую ​​как ваши счета, данные кредитной карты и пароли.

    У каждой экосистемы свой способ решения таких проблем безопасности. Apple известна своей безупречной безопасностью и за последние пару лет завоевала доверие миллионов пользователей. Apple делает это, ограничивая уровень доступа приложений и программ к вашим данным. С другой стороны, Windows — это совсем другая история. Windows всегда привлекала опытных пользователей, и по той же причине она допускает более тяжелую настройку и переделку самой ОС. Хотя большинству пользователей нравится менять только свои обои, опытные пользователи знают обо всех крошечных настройках, которые можно сделать на их компьютере с Windows.

    Это, однако, также одна из главных причин того, почему Windows имеет плохую репутацию, когда дело касается конфиденциальности и безопасности. В сети есть десятки и сотни троянов и вредоносных программ, которые люди случайно вводят в свои компьютеры. Как только вирус захватывает вашу машину, часто бывает довольно сложно избавиться от него, обеспечивая при этом полную целостность ваших данных. Для борьбы с этим многие люди используют антивирусные программы. У самой Windows есть собственный защитник, известный как Windows Security, и мы считаем, что он более чем способен защитить вас от вредоносных приложений и программ.

    Хотя приложение Windows Security является встроенным по умолчанию и активно сканирует ваше устройство на наличие угроз, оно имеет гораздо больший потенциал, если вы копнетесь глубже. Одна из лучших функций, которые предлагает приложение для обеспечения безопасности Windows, — это режим защиты от эксплойтов. Включив обычный антивирус и добавив новый уровень безопасности с помощью нового средства защиты от эксплойтов еще больше снижает вероятность того, что вы случайно загрузите вредоносный вирус на свой ноутбук или компьютер. В этом руководстве мы рассмотрим простые шаги, которые необходимо выполнить, чтобы включить защиту от эксплойтов в Windows 10.

    Включение функции защиты от эксплойтов в Windows 10

    Прежде чем начать, убедитесь, что у вас установлена ​​последняя сборка Windows. Функция защиты от эксплойтов появилась недавно в Windows 10, и вы, возможно, не сможете найти ее в более старых сборках. Чтобы проверить, установлены ли на вашем компьютере или ноутбуке под управлением Windows 10 последние обновления, перейдите в Настройки> Обновление и безопасность> Центр обновления Windows и, наконец, нажмите на Проверить наличие обновлений кнопка. Обновление вашего компьютера с Windows 10 не только включает в себя новейшие функции, которые могут вам понравиться, но также гарантирует, что ваше устройство защищено новейшими элементами безопасности.

    Итак, ниже приведены несколько шагов, которые вы можете выполнить, чтобы включить защиту от эксплойтов на своем ноутбуке или компьютере с Windows 10:

    1. Запустить Безопасность Windows приложение. Вы можете сделать это, нажав на Стартовое меню и поиск по ключевому слову. Как только появятся результаты поиска, просто щелкните приложение с надписью «Безопасность Windows».
    2. На панели управления безопасностью Windows щелкните раздел с надписью Контроль приложений и браузера.
    3. Откроется меню с тремя вариантами. Нас интересует последний, в котором говорится Защита от эксплойтов.
    4. Просто нажмите кнопку ниже с надписью Настройки защиты от эксплойтов, и вы будете перенаправлены в его параметры.
    5. Здесь вы можете вмешаться во все уровни безопасности, к которым вам доступны настройки защиты от эксплойтов. Мы рекомендуем установить все доступные параметры на По умолчанию для обеспечения максимальной безопасности.
    6. Вы также можете добавить в этот список сторонние приложения и программы. Просто перейдите на вкладку с надписью Настройки программы, и вы можете легко добавить любое количество программ, установленных на вашем компьютере. Вы также можете удалить некоторые из них, если хотите сделать исключения.
    7. Ваши настройки будут автоматически сохранены. Для получения оптимальных результатов просто перезагрузите компьютер один раз.

    Вуаля! Вы успешно повысили уровень безопасности своего ноутбука или компьютера с Windows 10. Если у вас возникли проблемы при следовании нашему руководству по включению защиты от эксплойтов в Windows 10, обязательно оставьте комментарий ниже, поскольку мы будем рады вам помочь!

    • Как управлять ПК или ноутбуком с Windows 10 с помощью голоса
    • Windows File Recovery — инструмент для восстановления файлов удаленных образов от Microsoft
    • Как очистить кеш в любом браузере Windows
    • Как держать окно всегда наверху в Windows 10
    • Как остановить автоматическую установку нового Microsoft Edge в Windows 10

    Студент днем, энтузиаст Android ночью, все, что связано с материальным дизайном, меня интригует. Увлечен кинопроизводством, писательством, а теперь и дизайном. Цель состоит в том, чтобы добавить немного индивидуальности всему, что я создаю!

    Источник статьи: http://concentraweb.com/ru/advices/17383-how-to-enable-exploit-protection-feature-in-windows-10

    Защита устройств от эксплойтов

    Область применения:

    Защита от эксплойтов автоматически применяет множество методов защиты от эксплойтов к процессам и приложениям операционной системы. Защита от эксплойтов поддерживается, начиная с Windows 10 версии 1709, в Windows 11 и Windows Server версии 1803.

    Защита от эксплойтов лучше всего работает с Defender для конечной точки, который предоставляет подробные отчеты о событиях и блоках защиты от эксплойтов в рамках обычных сценариев исследования оповещений.

    Можно включить защиту от эксплойтов на отдельном устройстве, а затем использовать групповую политику для распространения XML-файла на несколько устройств одновременно.

    Когда на устройстве обнаруживается устранение рисков, в Центре уведомлений отображается уведомление. Вы можете настроить уведомление, указав сведения о вашей организации и контактные данные. Вы также можете включить правила по отдельности, чтобы настроить, какие методы отслеживает функция.

    Вы также можете использовать режим аудита, чтобы оценить, как защита от эксплойтов повлияет на вашу организацию, если она будет включена.

    Многие функции в EMET включены в защиту от эксплойтов. Фактически вы можете преобразовать и импортировать существующие профили конфигурации EMET в защиту от эксплойтов. Дополнительные сведения см. в разделе Импорт, экспорт и развертывание конфигураций защиты от эксплойтов

    Если вы используете EMET, следует помнить, что поддержка EMET была прекращена 31 июля 2018 года. Рассмотрите возможность замены EMET на защиту от эксплойтов в Windows 10.

    Некоторые технологии защиты безопасности могут иметь проблемы совместимости с некоторыми приложениями. Необходимо проверить защиту от эксплойтов во всех сценариях целевого использования с помощью режима аудита перед развертыванием конфигурации в производственной среде или в остальной части сети.

    Просмотр событий защиты от эксплойтов на портале Microsoft 365 Defender

    Defender для конечной точки предоставляет подробные отчеты о событиях и блоках в рамках сценариев исследования оповещений.

    Вы можете запрашивать данные Defender для конечной точки с помощью Расширенной охоты на угрозы. Если вы используете режим аудита, вы можете использовать расширенную охоту на угрозы, чтобы узнать, как параметры защиты от эксплойтов могут повлиять на вашу среду.

    Просмотр событий защиты от эксплойтов в средстве просмотра событий Windows

    Вы можете просмотреть журнал событий Windows, чтобы просмотреть события, созданные при блокировке (или аудите) защиты от эксплойтов приложения:

    Поставщик/источник Идентификатор события Описание
    Безопасность — Устранение рисков 1 Аудит ACG
    Безопасность — Устранение рисков 2 Принудительное выполнение ACG
    Безопасность — Устранение рисков 3 Не разрешать аудит для дочерних процессов
    Безопасность — Устранение рисков 4 Не разрешать блокировку дочерних процессов
    Безопасность — Устранение рисков 5 Блокировать аудит изображений с низкой целостностью
    Безопасность — Устранение рисков 6 Блокировать блок изображений с низкой целостностью
    Безопасность — Устранение рисков 7 Блокировать аудит удаленных изображений
    Безопасность — Устранение рисков 8 Блокировать блок удаленных изображений
    Безопасность — Устранение рисков 9 Отключить аудит системных вызовов Win32k
    Безопасность — Устранение рисков 10 Отключить блокировку системных вызовов win32k
    Безопасность — Устранение рисков 11 Аудит защиты целостности кода
    Безопасность — Устранение рисков 12 Блок защиты целостности кода
    Безопасность — Устранение рисков 13 Аудит EAF
    Безопасность — Устранение рисков 14 Принудительное выполнение EAF
    Безопасность — Устранение рисков 15 EAF + аудит
    Безопасность — Устранение рисков 16 EAF+ принудительное выполнение
    Безопасность — Устранение рисков 17 Аудит IAF
    Безопасность — Устранение рисков 18 Принудительное выполнение IAF
    Безопасность — Устранение рисков 19 Аудит ROP StackPivot
    Безопасность — Устранение рисков 20 Принудительное выполнение ROP StackPivot
    Безопасность — Устранение рисков 21 Аудит ROP CallerCheck
    Безопасность — Устранение рисков 22 Принудительное выполнение ROP CallerCheck
    Безопасность — Устранение рисков 23 Аудит ROP SimExec
    Безопасность — Устранение рисков 24 Принудительное выполнение ROP SimExec
    WER — Диагностика 5 Блок CFG
    Win32K 260 Ненадежный шрифт

    Сравнение устранения рисков

    Средства защиты, доступные в EMET, включены в Windows 10 (начиная с версии 1709), в Windows 11 и Windows Server (начиная с версии 1803) в разделе Защита от эксплойтов.

    В таблице этого раздела указаны доступность и поддержка встроенных средств защиты EMET и защиты от эксплойтов.

    Устранение рисков Доступно в рамках защиты от эксплойтов Доступно в EMET
    Механизм Arbitrary code guard (ACG) Да Да
    Как «Проверка защиты памяти»
    Блокировать удаленные изображения Да Да
    Как «Загрузка проверки библиотеки»
    Блокировка ненадежные шрифты Да Да
    Предотвращение выполнения данных (DEP) Да Да
    Фильтрация адресов экспорта (EAF) Да Да
    Принудительный случайный выбор изображений (обязательный ASLR) Да Да
    Устранение рисков безопасности NullPage Да
    Изначально включено в Windows 10 и Windows 11
    Дополнительные сведения см. в статье «Устранение угроз с помощью Windows 10 безопасности».
    Да
    Случайные выделения памяти (ASLR снизу вверх) Да Да
    Имитация выполнения (SimExec) Да Да
    Проверка вызова API (CallerCheck) Да Да
    Проверка цепочек исключений (SEHOP) Да Да
    Проверка целостности стека (StackPivot) Да Да
    Сертификат доверия (настраиваемое закрепление сертификата) Windows 10 и Windows 11 обеспечивают закрепление корпоративных сертификатов Да
    Выделение распыления кучи Неэффективно в отношении новых браузерных эксплойтов; новые меры защиты обеспечивают лучшую защиту
    Дополнительные сведения см. в статье «Устранение угроз с помощью Windows 10 безопасности».
    Да
    Блокировать изображений с низкой целостностью Да Нет
    Защита целостности кода Да Нет
    Отключить точки расширения Да Нет
    Отключить системные вызовы Win32k Да Нет
    Не разрешать дочерние процессы Да Нет
    Фильтрация адресов импорта (IAF) Да Нет
    Проверка использования дескриптора Да Нет
    Проверка целостности кучи Да Нет
    Проверка целостности зависимостей изображения Да Нет

    Расширенные средства защиты от ROP, доступные в EMET, заменены ACG в Windows 10 и Windows 11. Другие дополнительные параметры EMET включены по умолчанию в рамках включения мер защиты от ROP для процесса. Дополнительные сведения об использовании в Windows 10 существующей технологии EMET см. в разделе Устранение рисков с помощью функций безопасности Windows 10.

    Источник статьи: http://learn.microsoft.com/ru-RU/microsoft-365/security/defender-endpoint/exploit-protection?view=o365-worldwide

    Защита от эксплойтов в Windows 10

    Защита от эксплойтов (Exploit Guard) в Защитнике Windows 10 — новый набор инструментов, который включает защиту от эксплойтов, систему сокращения возможных направлений атаки, сетевую защиту и контролируемый доступ к папкам Защита от эксплойтов обеспечивает повышенную защиту для приложений, которые ИТ может применять после компиляции и распространения программного обеспечения разработчиком.

    Экплойт (от слова эксплуатировать) является программой или кодом, который нужен для нарушения в работе системы через различные уязвимости. Конечно, их полноценными вирусами не назовешь, но опасность, они предоставляют довольно высокую. Смысл работы эксплойта найти уязвимость, после чего получить все права администратора и начать внедрять в систему вредоносное ПО и вирусы – торояны, черви и т д.

    Exploit Guard — это всего лишь инструмент снижения риска, он не избавляет от необходимости закрывать уязвимости в софте, но затрудняет их использование. В целом принцип работы Exploit Guard состоит в том, чтобы запрещать те операции, которые чаще всего используются зловредами.

    Проблема в том, что многие легитимные программы тоже их используют. Более того, есть старые программы (а точнее, динамические библиотеки), которые просто перестанут работать, если задействовать в Windows новые функции контроля памяти и прочие современные средства защиты. Поэтому настройка Exploit Guard — это такие же вилы, какими ранее было использование EMET.

    Если же безопасность превыше всего и требуется закрутить гайки потуже, то самыми востребованными функциями Exploit Guard были (со времен EMET) и остаются:

    • DEP (Data Execution Prevention) — предотвращение выполнения данных. Не позволяет запустить на исполнение фрагмент кода, оказавшийся в не предназначенной для этого области памяти (например, в результате ошибки переполнения стека);
    • случайное перераспределение памяти — предотвращает атаку по известным адресам;
    • отключение точек расширения — препятствует внедрению DLL в запускаемые процессы (см. статью про обход UAC, где этот метод широко использовался);
    • команда DisallowChildProcessCreation — запрещает указанному приложению создавать дочерние процессы;
    • фильтрация таблиц адресов импорта (IAF) и экспорта (EAF) — не позволяет (вредоносному) процессу выполнять перебор таблиц адресов и обращаться к странице памяти системных библиотек;
    • CallerCheck — проверяет наличие прав на вызов конфиденциальных API;
    • SimExec — имитация выполнения. Проверяет перед реальным исполнением кода, кому вернутся вызовы конфиденциальных API.

    В этой статье рассказывается о том, как работает защита от эксплойтов, как на уровне политики, так и на отдельном уровне для устранения проблем, которые помогут вам успешно создавать и применять политики защиты от эксплойтов.

    Как применяются меры по снижению риска

    Для каждого приложения применяются меры защиты от эксплойтов.

    Настройка защиты задается с помощью записи в реестре для каждой программы, для которой настраивается защита. Эти параметры хранятся в записи реестра MitigationOptions для каждой программы (HKEY_LOCAL_MACHINE \ программное обеспечение \ Microsoft \ Windows NT \ CurrentVersion \ параметры выполнения файлов изображений \ ImageFileName \ MitigationOptions). Они вступают в силу после перезапуска программы и остаются в силе до тех пор, пока вы не измените их, а затем снова запустите программу.

    Параметры выполнения файла изображения. позволяет указать имя или путь к файлу, а не номер версии, архитектуру и другие отличия. Будьте внимательны к снижению уровня опасности для приложений с уникальными именами или путями, применяя их только к устройствам, на которых была протестирована эта версия и архитектура приложения. Если вы настраиваете меры для защиты от эксплойтов с помощью XML-файла конфигурации либо посредством оболочки PowerShell, групповой политики или MDM при обработке этого XML-файла конфигурации, для вас будут настроены индивидуальные параметры реестра.

    Если политика распространения XML-файла больше не применяется, параметры, развернутые этим XML-файлом конфигурации, не будут автоматически удалены. Чтобы удалить параметры защиты от эксплойтов, экспортируйте конфигурацию XML с чистого устройства с Windows 10 и разместите этот новый XML-файл. Кроме того, корпорация Майкрософт предоставляет XML-файл как часть базовых показателей безопасности Windows для сброса параметров защиты от эксплойтов.

    Чтобы сбросить параметры защиты от эксплойтов с помощью PowerShell, вы можете использовать следующую команду:

    PowerShell

    Ниже приведена EP-reset.xml, распространяемая с базовыми планами безопасности Windows:

    Центр безопасности Защитника Windows

    Пользователи Windows 10 могут настроить защиту от эксплойтов в Центре безопасности Защитника Windows.

    1. Используйте сочетание клавиша Windows + I для запуска приложения “Параметры”.
    2. Перейдите в “Обновление и безопасность”, затем выберите пункт “Защитник Windows”.
    3. Нажмите кнопку Открыть Центр безопасности Защитника Windows.
    4. Выберите панель “Управление приложениями и браузером”.
    5. На открывшейся странице выберите ссылку Параметры защиту от эксплойтов.

    Все настройки разделены на две категории: Системные параметры и Параметры программ.

    Параметры программ

    В этом разделе можно отдельно редактировать дополнительные настройки защиты для каждого исполняемого файла, добавлять их в список исключений. Если ПО конфликтует при каком-либо активированном в системных параметрах модуле, то его можно отключить. При этом настройки других программ останутся прежними.

    Опция работает по тому же принципу, что и исключения в инструменте EMET от Microsoft. По умолчанию здесь уже находятся некоторые штатные программы Windows.

    Добавить новый исполняемый файл в список можно здесь же, нажав на кнопку «Добавление программы для индивидуальной настройки». Для этого укажите название программы или точный путь к ней. После этого он отобразится в списке.

    Пользователь может редактировать параметры для каждой отдельной программы. Для этого выберите ее из списка, и кликните «Редактировать», после чего принудительно выключите/ включите нужную опцию. По желанию программу можно удалить из списка исключений.

    Для редактирования доступны только те параметры, которые невозможно настроить через категорию «Системные». Для некоторых опций доступно значение «Аудит». После его активации Windows будет записывать события в системный журнал, что удобно для дальнейшего анализа.

    Импорт и экспорт настроек

    Экспортировать текущие настройки Exploit Guard можно через Центр безопасности Защитника Windows. Для этого достаточно нажать на соответствующую кнопку и сохранить файл в формате XML.

    Экспортировать настройки можно и через командную строку Windows PowerShell. Для этого есть команда:

    Get-ProcessMitigation -RegistryConfigFilePath C:\Users\Alex\Desktop\Settings.xml

    Для импорта необходимо заменить командлет Get на Set и по аналогии с примером указать название и путь к файлу.

    Установить уже существующий XML файл с настройками можно через редактор локальных групповых политик gpedit.msc:

    1. В левой части экрана перейдите в ветку редактора Конфигурация компьютера —> Административные шаблоны —> Компоненты Windows —> Exploit Guard в Защитнике Windows —> Защита от эксплойтов. Откройте политику Используйте общий набор параметров защиты от эксплойтов.
    2. Измените значение на «Включено», а в появившемся поле укажите путь или URL- адрес к существующему XML файлу с конфигурацией.

    Сохраните внесенные изменения нажав на «Применить». Настройки вступят в силу немедленно, поэтому перезагружать ПК не обязательно.

    Защитник Windows не обязательно должен быть запущен, чтобы эта функция была активной. Защита от эксплойтов уже включена на вашем компьютере, а меры по ее снижению установлены по умолчанию. Но вы можете настроить параметры в соответствии со своей организацией, а затем развернуть их в своей сети.

    Произвольная защита кода

    Произвольная программа проверки кода помогает защититься от злоумышленника, загрузив код своего выбора в память с помощью уязвимости системы безопасности и выполняя этот код.

    Произвольная система защиты кода защищает приложение от выполнения динамически создаваемого кода (например, не загружаемого exe-файла или библиотеки DLL). При работе с произвольным кодом программа блокирует память как исполняемый объект. Если приложение пытается выделить память, мы проверяйте флаги защиты. (Память может выделяться с помощью флагов чтения, записи и (или) выполнения.) Если распределение пытается включить флаг » выполнение «, выделение памяти завершается сбоем и возвращает код ошибки (STATUS_DYNAMIC_CODE_BLOCKED). Аналогичным образом, если приложение пытается изменить флаги защиты памяти , которая уже была выделена, и включает флаг «защита выполнения «, то изменение разрешения завершается сбоем и возвращает код ошибки (STATUS_DYNAMIC_CODE_BLOCKED).

    Предотвращая установку флага EXECUTE , функция предотвращения выполнения данных в Windows 10 может защититься от указателя инструкций, установленного на эту память, и запуска кода.

    Произвольная защита кода предотвращает выделение памяти в качестве исполняемого файла, что представляет проблемы совместимости с подходами, такими как JIT-компиляторы. Например, большинство современных браузеров будут компилировать JavaScript в машинный код, чтобы оптимизировать производительность. Для того чтобы обеспечить это снижение риска, для перемещения JIT-компиляции за пределы защищенного процесса нужно будет переопределять архитектуру. Другие приложения, макет которых динамически создают код на основе сценариев или других промежуточных языках, будут считаться несовместимостью с этим снижением.

    Параметры конфигурации

    Разрешить поток отказ — вы можете настроить его, чтобы позволить отдельному потоку отказаться от этой защиты. Разработчику необходимо написать приложение с уведомлением о том, что это снижение риска, и вызвало функцию SetThreadInformation API, для параметра ThreadInformation которого задано значение ThreadDynamicCodePolicy , чтобы разрешить выполнение динамического кода в этом потоке.

    Блокировка образов низкой целостности

    Блокировать образы с низким энергопотреблением предотвращает загрузку файлов, которые не являются надежными, обычно из-за того, что они загружены из Интернета из браузера, подключенного к изолированному браузеру.

    Это может блокировать загрузку изображений, если на изображении есть запись управления доступом (ACE), которая предоставляет доступ к процессам с низким IL и не имеет метки доверия ACE. Он реализуется диспетчером памяти, который блокирует отображение файла в память. Если приложение пытается сопоставить изображение с низким уровнем целостности, оно вызывает ошибку STATUS_ACCESS_DENIED.

    Блокировать образы с низким энергопотреблением не позволит приложению загружать файлы, загруженные из Интернета. Если для рабочего процесса приложения требуется загрузка загруженных изображений, необходимо убедиться, что они скачаны из процесса с более высоким уровнем доверия или явно переразметки, чтобы применить это снижение.

    Блокировка удаленных образов

    Блокировать удаленные образы не позволит приложению загружать файлы, размещенные на удаленном устройстве, например в общем ресурсе UNC. Это помогает защититься от загрузки двоичных файлов в память, которая находится на внешнем устройстве, управляемом злоумышленником.

    Если изображение установлено на удаленном устройстве, то это будет блокировать загрузку изображений. Он реализуется диспетчером памяти, который блокирует отображение файла в память. Если приложение пытается сопоставить удаленный файл, оно вызывает ошибку STATUS_ACCESS_DENIED.

    Блокировать удаленные образы не позволит приложению загружать изображения с удаленных устройств. Если ваше приложение загружает файлы или подключаемые модули с удаленных устройств, оно не будет совместимо с этим снижением. Вы можете включить это снижение в режиме аудита для измерения возможных последствий совместимости для приложения.

    Блокировка ненадежных шрифтов

    Блокировать ненадежные шрифты — это снижение риска возникновения изъяна при анализе шрифта, который начинается с того, чтобы злоумышленник смог запустить код на устройстве. Для обработки GDI будут загружены только шрифты, установленные в каталог Windows\Fonts.

    Это уменьшается в GDI, что проверяет расположение файла. Если файл не находится в каталоге «системные шрифты», он не будет загружен для синтаксического анализа, и этот вызов завершится сбоем.

    Обратите внимание, что это также относится к встроенным средствам устранения уязвимости в Windows 10 1607 и более поздних версий, которые проводят разбор шрифта из ядра и в контейнер приложения пользовательского режима. Любые возможности, основанные на синтаксическом анализе шрифта, выполняются в изолированных и изолированных контекстах, что значительно сокращает риск.

    Чаще всего шрифты, находящиеся за пределами каталога «системные шрифты», используются в веб-шрифтах. Современные браузеры, например Microsoft EDGE, используют DirectWrite вместо GDI и не затронуты. Однако устаревшие браузеры, например Internet Explorer 11 (и режим IE в новом Microsoft EDGE), могут быть затронуты, особенно в приложениях Office 365, в которых для отображения пользовательского интерфейса используются глифы шрифтов.

    Защита целостности кода

    Защита целостности кода гарантирует, что все двоичные файлы, загруженные в процесс, снабжены цифровой подписью Microsoft. К ним относятся подписи WHQL (лаборатории по контролю качества оборудования для Windows), позволяющие использовать в процессе драйверы, утвержденные WHQL.

    Это происходит с помощью диспетчера памяти, который блокирует сопоставление двоичного кода и памяти. При попытке загрузить двоичный файл, не подписанный корпорацией Майкрософт, диспетчер памяти будет возвращать STATUS_INVALID_IMAGE_HASH об ошибке. Заблокируя на уровне диспетчера памяти, это предотвращает появление обеих двоичных файлов, которые были загружены процессом и двоичными файлами, вставленными в процесс.

    В частности, это блокирует любой двоичный файл, который не подписан корпорацией Майкрософт. Таким образом, она будет несовместима с большинством программных продуктов третьих лиц, если это программное обеспечение не будет распространяться (и имеет цифровую подпись) Microsoft Store, а также выбран параметр для разрешения загрузки изображений, подписанных Microsoft Store.

    Кроме того, разрешите загрузку изображений, подписанных Microsoft Store — приложения, распространяемые из Microsoft Store, будут иметь цифровую подпись в Microsoft Store и добавить такую конфигурацию, которая позволит приложению загрузить такие двоичные файлы, которые прошли процесс сертификации магазина.

    Только аудит . Вы можете включить это снижение в режиме аудита для измерения возможных последствий совместимости для приложения. События аудита можно затем просмотреть в средстве просмотра событий или с помощью расширенного Поиск в Microsoft Defender ATP.

    Предотвращение выполнения данных (DEP)

    Предотвращение выполнения данных (DEP) блокирует память, которая была явно не выделена как исполняемая. Это помогает защититься от злоумышленника, в ходе которого в процесс вставляется вредоносный код, например переполнение буфера, после чего выполняется этот код.

    При попытке установить указатель инструкции на адрес памяти, не помеченный как исполняемый, процессор вызовет исключение (нарушение общей защиты), что приводит к сбою приложения.

    По умолчанию для всех исполняемых файлов x64, ARM и ARM-64 включена функция DEP, и ее невозможно отключить. Так как приложение никогда не выполнялось без функции предотвращения выполнения данных, обычно подразумевается совместимость.

    Для всех двоичных файлов x86 (32-разрядная версия) по умолчанию будет включена функция DEP, но ее можно отключить для каждого процесса. Некоторые старые устаревшие приложения, обычно разработанные до Windows XP с пакетом обновления 2 (SP2), могут быть несовместимы с функцией предотвращения выполнения данных. Обычно это приложения, которые динамически создают код (например, JIT-компиляция) или ссылки на более старые библиотеки (например, в более ранних версиях ATL), которые динамически создают код.

    Включить эмуляцию ПРЕОБРАЗОВАТЕЛЯ ATL — этот параметр конфигурации отключает эмуляцию преобразователя ATL. Библиотека шаблонов ActiveX разработана таким образом, чтобы быть как можно более маленькой и быстрой. Для уменьшения размера двоичного файла используется технология, называемая преобразователь. Преобразование обычно используется для взаимодействия между 32-битным и 16-разрядными приложениями, но в этой статье нет 16-разрядных компонентов для ATL. Вместо того, чтобы оптимизировать для двоичного размера, в библиотеке ATL будет храниться машинный код в памяти, который не выровнен по словам (создание двоичного файла меньше), а затем вызывать этот код напрямую. Компоненты ATL, скомпилированные в Visual Studio 7,1 или более ранней версии (Visual Studio 2003), не выделяют эту память, так как эмуляция исполняемого преобразователя позволяет устранить эту проблему совместимости. Для приложений, имеющих двоичную модель расширения (например, Internet Explorer 11), часто требуется Эмуляция преобразователя ATL.

    Большая часть этих точек расширения относительно нечасто используется, поэтому влияние на совместимость обычно является небольшим, особенно на уровне отдельных приложений. Это может быть вызвано тем, что пользователи используют сторонние традиционные редакторы IME, которые не будут работать с защищенным приложением.

    Не пытайтесь слепо пытаться ограничить приложения, иначе вы вызовете похожие проблемы в вашей системе. Их будет трудно устранить, если вы не помните, что вы также изменили параметры.

    Если вы по-прежнему используете более старую версию Windows, например Windows 7, вы можете получить функции защиты от эксплойтов, установив Microsoft EMET или Malwarebytes. Но учтите, что поддержка Windows 7 уже прекращена.

    Источник статьи: http://rucore.net/zashhita-ot-eksplojtov-v-windows-10/

    Защита устройств от эксплойтов

    Область применения:

    Защита от эксплойтов автоматически применяет множество методов защиты от эксплойтов к процессам и приложениям операционной системы. Защита от эксплойтов поддерживается, начиная с Windows 10 версии 1709, в Windows 11 и Windows Server версии 1803.

    Защита от эксплойтов лучше всего работает с Defender для конечной точки, который предоставляет подробные отчеты о событиях и блоках защиты от эксплойтов в рамках обычных сценариев исследования оповещений.

    Можно включить защиту от эксплойтов на отдельном устройстве, а затем использовать групповую политику для распространения XML-файла на несколько устройств одновременно.

    Когда на устройстве обнаруживается устранение рисков, в Центре уведомлений отображается уведомление. Вы можете настроить уведомление, указав сведения о вашей организации и контактные данные. Вы также можете включить правила по отдельности, чтобы настроить, какие методы отслеживает функция.

    Вы также можете использовать режим аудита, чтобы оценить, как защита от эксплойтов повлияет на вашу организацию, если она будет включена.

    Многие функции в EMET включены в защиту от эксплойтов. Фактически вы можете преобразовать и импортировать существующие профили конфигурации EMET в защиту от эксплойтов. Дополнительные сведения см. в разделе Импорт, экспорт и развертывание конфигураций защиты от эксплойтов

    Если вы используете EMET, следует помнить, что поддержка EMET была прекращена 31 июля 2018 года. Рассмотрите возможность замены EMET на защиту от эксплойтов в Windows 10.

    Некоторые технологии защиты безопасности могут иметь проблемы совместимости с некоторыми приложениями. Необходимо проверить защиту от эксплойтов во всех сценариях целевого использования с помощью режима аудита перед развертыванием конфигурации в производственной среде или в остальной части сети.

    Просмотр событий защиты от эксплойтов на портале Microsoft 365 Defender

    Defender для конечной точки предоставляет подробные отчеты о событиях и блоках в рамках сценариев исследования оповещений.

    Вы можете запрашивать данные Defender для конечной точки с помощью Расширенной охоты на угрозы. Если вы используете режим аудита, вы можете использовать расширенную охоту на угрозы, чтобы узнать, как параметры защиты от эксплойтов могут повлиять на вашу среду.

    Просмотр событий защиты от эксплойтов в средстве просмотра событий Windows

    Вы можете просмотреть журнал событий Windows, чтобы просмотреть события, созданные при блокировке (или аудите) защиты от эксплойтов приложения:

    Поставщик/источник Идентификатор события Описание
    Безопасность — Устранение рисков 1 Аудит ACG
    Безопасность — Устранение рисков 2 Принудительное выполнение ACG
    Безопасность — Устранение рисков 3 Не разрешать аудит для дочерних процессов
    Безопасность — Устранение рисков 4 Не разрешать блокировку дочерних процессов
    Безопасность — Устранение рисков 5 Блокировать аудит изображений с низкой целостностью
    Безопасность — Устранение рисков 6 Блокировать блок изображений с низкой целостностью
    Безопасность — Устранение рисков 7 Блокировать аудит удаленных изображений
    Безопасность — Устранение рисков 8 Блокировать блок удаленных изображений
    Безопасность — Устранение рисков 9 Отключить аудит системных вызовов Win32k
    Безопасность — Устранение рисков 10 Отключить блокировку системных вызовов win32k
    Безопасность — Устранение рисков 11 Аудит защиты целостности кода
    Безопасность — Устранение рисков 12 Блок защиты целостности кода
    Безопасность — Устранение рисков 13 Аудит EAF
    Безопасность — Устранение рисков 14 Принудительное выполнение EAF
    Безопасность — Устранение рисков 15 EAF + аудит
    Безопасность — Устранение рисков 16 EAF+ принудительное выполнение
    Безопасность — Устранение рисков 17 Аудит IAF
    Безопасность — Устранение рисков 18 Принудительное выполнение IAF
    Безопасность — Устранение рисков 19 Аудит ROP StackPivot
    Безопасность — Устранение рисков 20 Принудительное выполнение ROP StackPivot
    Безопасность — Устранение рисков 21 Аудит ROP CallerCheck
    Безопасность — Устранение рисков 22 Принудительное выполнение ROP CallerCheck
    Безопасность — Устранение рисков 23 Аудит ROP SimExec
    Безопасность — Устранение рисков 24 Принудительное выполнение ROP SimExec
    WER — Диагностика 5 Блок CFG
    Win32K 260 Ненадежный шрифт

    Сравнение устранения рисков

    Средства защиты, доступные в EMET, включены в Windows 10 (начиная с версии 1709), в Windows 11 и Windows Server (начиная с версии 1803) в разделе Защита от эксплойтов.

    В таблице этого раздела указаны доступность и поддержка встроенных средств защиты EMET и защиты от эксплойтов.

    Устранение рисков Доступно в рамках защиты от эксплойтов Доступно в EMET
    Механизм Arbitrary code guard (ACG) Да Да
    Как «Проверка защиты памяти»
    Блокировать удаленные изображения Да Да
    Как «Загрузка проверки библиотеки»
    Блокировка ненадежные шрифты Да Да
    Предотвращение выполнения данных (DEP) Да Да
    Фильтрация адресов экспорта (EAF) Да Да
    Принудительный случайный выбор изображений (обязательный ASLR) Да Да
    Устранение рисков безопасности NullPage Да
    Изначально включено в Windows 10 и Windows 11
    Дополнительные сведения см. в статье «Устранение угроз с помощью Windows 10 безопасности».
    Да
    Случайные выделения памяти (ASLR снизу вверх) Да Да
    Имитация выполнения (SimExec) Да Да
    Проверка вызова API (CallerCheck) Да Да
    Проверка цепочек исключений (SEHOP) Да Да
    Проверка целостности стека (StackPivot) Да Да
    Сертификат доверия (настраиваемое закрепление сертификата) Windows 10 и Windows 11 обеспечивают закрепление корпоративных сертификатов Да
    Выделение распыления кучи Неэффективно в отношении новых браузерных эксплойтов; новые меры защиты обеспечивают лучшую защиту
    Дополнительные сведения см. в статье «Устранение угроз с помощью Windows 10 безопасности».
    Да
    Блокировать изображений с низкой целостностью Да Нет
    Защита целостности кода Да Нет
    Отключить точки расширения Да Нет
    Отключить системные вызовы Win32k Да Нет
    Не разрешать дочерние процессы Да Нет
    Фильтрация адресов импорта (IAF) Да Нет
    Проверка использования дескриптора Да Нет
    Проверка целостности кучи Да Нет
    Проверка целостности зависимостей изображения Да Нет

    Расширенные средства защиты от ROP, доступные в EMET, заменены ACG в Windows 10 и Windows 11. Другие дополнительные параметры EMET включены по умолчанию в рамках включения мер защиты от ROP для процесса. Дополнительные сведения об использовании в Windows 10 существующей технологии EMET см. в разделе Устранение рисков с помощью функций безопасности Windows 10.

    Источник статьи: http://learn.microsoft.com/ru-RU/microsoft-365/security/defender-endpoint/exploit-protection?view=o365-worldwide

    Добавить комментарий

    Ваш адрес email не будет опубликован. Обязательные поля помечены *