Định cấu hình bảo vệ Khai thác Windows Defender trong Windows 10

• Thể LoạI: Các Cửa Sổ

Hãy Thử Công Cụ CủA Chúng Tôi Để LoạI Bỏ Các VấN Đề

ChọN Hệ ĐiềU Hành Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro ChọN MộT Chương Trình ChiếU (Tùy ChọN) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Hãy Miêu Tả VấN Đề CủA BạN

NhậN Câu Trả LờI

GửI Cho Tôi Qua Email HiểN Thị Trên Trang Web

Bảo vệ khai thác là một tính năng bảo mật mới của Windows Defender mà Microsoft đã giới thiệu trong Bản cập nhật Fall Creators của hệ điều hành này.

Khai thác bảo vệ là một tập hợp các tính năng bao gồm bảo vệ khai thác, giảm bề mặt tấn công , bảo vệ mạng và quyền truy cập thư mục được kiểm soát .

Bảo vệ khai thác tốt nhất có thể được mô tả như là một phiên bản tích hợp của EMET của Microsoft - Bộ công cụ Trải nghiệm Giảm nhẹ Khai thác - công cụ bảo mật mà công ty sẽ nghỉ hưu vào giữa năm 2018 .

Microsoft đã tuyên bố trước đây rằng hệ điều hành Windows 10 của công ty sẽ làm cho việc chạy EMET cùng với Windows không cần thiết ; Tuy nhiên, ít nhất một nhà nghiên cứu đã bác bỏ tuyên bố của Microsoft.

Bảo vệ Khai thác Windows Defender

Bảo vệ khai thác được bật theo mặc định nếu Bộ bảo vệ Windows được bật. Tính năng này là tính năng Exploit Guard duy nhất không yêu cầu bật tính năng bảo vệ theo thời gian thực trong Windows Defender.

Tính năng này có thể được định cấu hình trong ứng dụng Trung tâm Bảo mật của Bộ bảo vệ Windows, thông qua các lệnh PowerShell hoặc dưới dạng các chính sách.

Cấu hình trong ứng dụng Trung tâm bảo mật của Bộ bảo vệ Windows

Bạn có thể định cấu hình bảo vệ khai thác trong ứng dụng Trung tâm Bảo mật của Bộ bảo vệ Windows.

1. Sử dụng Windows-I để mở ứng dụng Cài đặt.
2. Điều hướng đến Cập nhật & Bảo mật> Bộ bảo vệ Windows.
3. Chọn Mở Trung tâm Bảo mật của Bộ bảo vệ Windows.
4. Chọn Điều khiển ứng dụng & trình duyệt được liệt kê dưới dạng liên kết thanh bên trong cửa sổ mới mở ra.
5. Tìm mục nhập bảo vệ khai thác trên trang và nhấp vào cài đặt bảo vệ khai thác.

Cài đặt được chia thành Cài đặt hệ thống và Cài đặt chương trình.

Cài đặt hệ thống liệt kê các cơ chế bảo vệ có sẵn và trạng thái của chúng. Các tính năng sau có sẵn trong Bản cập nhật Windows 10 Fall Creators:

• Control Flow Guard (CFG) - được bật theo mặc định.
• Ngăn chặn thực thi dữ liệu (DEP) - được bật theo mặc định.
• Buộc ngẫu nhiên hóa hình ảnh (ASLR bắt buộc) - tắt theo mặc định.
• Phân bổ bộ nhớ ngẫu nhiên (ASLR từ dưới lên) - theo mặc định.
• Xác thực chuỗi ngoại lệ (SEHOP) - được bật theo mặc định.
• Xác thực tính toàn vẹn của heap - được bật theo mặc định.

Bạn có thể thay đổi trạng thái của bất kỳ tùy chọn nào thành 'bật theo mặc định', 'tắt theo mặc định' hoặc 'sử dụng mặc định'.

Cài đặt chương trình cung cấp cho bạn các tùy chọn để tùy chỉnh bảo vệ cho các chương trình và ứng dụng riêng lẻ. Điều này hoạt động tương tự như cách bạn có thể thêm ngoại lệ trong Microsoft EMET cho các chương trình cụ thể; tốt nếu một chương trình hoạt động sai khi một số mô-đun bảo vệ được bật.

Khá nhiều chương trình có ngoại lệ theo mặc định. Điều này bao gồm svchost.exe, spools.exe, runtimebroker.exe, iexplore.exe và các chương trình Windows cốt lõi khác. Lưu ý rằng bạn có thể ghi đè các ngoại lệ này bằng cách chọn tệp và nhấp vào chỉnh sửa.

Nhấp vào 'thêm chương trình để tùy chỉnh' để thêm chương trình theo tên hoặc đường dẫn tệp chính xác vào danh sách các trường hợp ngoại lệ.

Bạn có thể đặt trạng thái của tất cả các biện pháp bảo vệ được hỗ trợ riêng cho từng chương trình mà bạn đã thêm trong cài đặt chương trình. Bên cạnh việc ghi đè mặc định của hệ thống và buộc nó thành một hoặc tắt, cũng có một tùy chọn để đặt nó thành 'chỉ kiểm tra'. Phần sau ghi lại các sự kiện sẽ kích hoạt nếu trạng thái bảo vệ được bật, nhưng sẽ chỉ ghi sự kiện vào nhật ký sự kiện Windows.

Cài đặt chương trình liệt kê các tùy chọn bảo vệ bổ sung mà bạn không thể định cấu hình trong cài đặt hệ thống vì chúng chỉ được định cấu hình để chạy ở cấp ứng dụng.

Đó là:

• Bảo vệ mã tùy ý (ACG)
• Thổi hình ảnh có tính toàn vẹn thấp
• Chặn hình ảnh từ xa
• Chặn phông chữ không đáng tin cậy
• Bảo vệ toàn vẹn mã
• Vô hiệu hóa điểm mở rộng
• Tắt cuộc gọi hệ thống Win32
• Không cho phép các quy trình con
• Lọc địa chỉ xuất (EAF)
• Nhập địa chỉ lọc (IAF)
• Mô phỏng thực thi (SimExec)
• Xác thực lệnh gọi API (CallerCheck)
• Xác thực việc sử dụng tay cầm
• Xác thực tích hợp phụ thuộc hình ảnh
• Xác thực tính toàn vẹn của ngăn xếp (StackPivot)

Định cấu hình bảo vệ khai thác bằng PowerShell

Bạn có thể sử dụng PowerShell để đặt, loại bỏ hoặc liệt kê các biện pháp giảm nhẹ. Các lệnh sau có sẵn:

Để liệt kê tất cả các giảm thiểu của quy trình được chỉ định: Get-ProcessMitigation -Name processName.exe

Để thiết lập các biện pháp giảm nhẹ: Set-ProcessMitigation - - ,,

• Phạm vi: là -Hệ thống hoặc -Tên.
• Hành động: là-Bật hoặc-Tắt.
• Mitigation: tên của Giảm nhẹ. Tham khảo bảng sau. Bạn có thể phân tách các giảm nhẹ bằng dấu phẩy.

Ví dụ:

• Set-Processmitigation -System -Enable DEP
• Set-Processmitigation -Tên test.exe -Remove-Tắt DEP
• Set-ProcessMitigation -Name processName.exe -Enable EnableExportAddressFilterPlus -EAFModules dllName1.dll, dllName2.dll

Giảm nhẹ	Áp dụng cho	Lệnh ghép ngắn PowerShell	Lệnh ghép ngắn chế độ kiểm tra
Kiểm soát lưu lượng bảo vệ (CFG)	Hệ thống và cấp ứng dụng	CFG, nghiêm ngặtCFG, SuppressExports	Kiểm tra không có sẵn
Ngăn chặn thực thi dữ liệu (DEP)	Hệ thống và cấp ứng dụng	DEP, EmulateAtlThunks	Kiểm tra không có sẵn
Buộc ngẫu nhiên hóa hình ảnh (ASLR bắt buộc)	Hệ thống và cấp ứng dụng	ForceRelocate	Kiểm tra không có sẵn
Phân bổ bộ nhớ ngẫu nhiên (ASLR từ dưới lên)	Hệ thống và cấp ứng dụng	BottomUp, HighEntropy	Kiểm tra không có sẵn
Xác thực chuỗi ngoại lệ (SEHOP)	Hệ thống và cấp ứng dụng	SEHOP, SEHOPTelemetry	Kiểm tra không có sẵn
Xác thực tính toàn vẹn của đống	Hệ thống và cấp ứng dụng	TerminaOnHeapError	Kiểm tra không có sẵn
Bảo vệ mã tùy ý (ACG)	Chỉ cấp ứng dụng	Mã động	AuditDynamicCode
Chặn hình ảnh có tính toàn vẹn thấp	Chỉ cấp ứng dụng	BlockLowLabel	AuditImageLoad
Chặn hình ảnh từ xa	Chỉ cấp ứng dụng	BlockRemoteImages	Kiểm tra không có sẵn
Chặn phông chữ không đáng tin cậy	Chỉ cấp ứng dụng	DisableNonSystemFonts	AuditFont, FontAuditOnly
Bảo vệ toàn vẹn mã	Chỉ cấp ứng dụng	BlockNonMicrosoftSigned, AllowStoreSigned	AuditMicrosoftSigned, AuditStoreSigned
Vô hiệu hóa điểm mở rộng	Chỉ cấp ứng dụng	ExtensionPoint	Kiểm tra không có sẵn
Tắt lệnh gọi hệ thống Win32k	Chỉ cấp ứng dụng	DisableWin32kSystemCalls	AuditSystemCall
Không cho phép các quy trình con	Chỉ cấp ứng dụng	DisallowChildProcessCreation	AuditChildProcess
Lọc địa chỉ xuất (EAF)	Chỉ cấp ứng dụng	EnableExportAddressFilterPlus, EnableExportAddressFilter [một]	Kiểm tra không có sẵn
Nhập địa chỉ lọc (IAF)	Chỉ cấp ứng dụng	EnableImportAddressFilter	Kiểm tra không có sẵn
Mô phỏng thực thi (SimExec)	Chỉ cấp ứng dụng	EnableRopSimExec	Kiểm tra không có sẵn
Xác thực lệnh gọi API (CallerCheck)	Chỉ cấp ứng dụng	EnableRopCallerCheck	Kiểm tra không có sẵn
Xác thực việc sử dụng tay cầm	Chỉ cấp ứng dụng	Nghiêm ngặt	Kiểm tra không có sẵn
Xác thực tính toàn vẹn của phụ thuộc hình ảnh	Chỉ cấp ứng dụng	EnforceModuleDepencySigns	Kiểm tra không có sẵn
Xác thực tính toàn vẹn của ngăn xếp (StackPivot)	Chỉ cấp ứng dụng	EnableRopStackPivot	Kiểm tra không có sẵn

Nhập và xuất cấu hình

Các cấu hình có thể được nhập và xuất. Bạn có thể làm như vậy bằng cách sử dụng cài đặt bảo vệ khai thác Windows Defender trong Trung tâm bảo mật của Bộ bảo vệ Windows, bằng cách sử dụng PowerShell, bằng cách sử dụng các chính sách.

Ngoài ra, các cấu hình EMET có thể được chuyển đổi để có thể nhập chúng.

Sử dụng cài đặt bảo vệ Khai thác

Bạn có thể xuất cấu hình trong ứng dụng cài đặt, nhưng không thể nhập chúng. Xuất thêm tất cả các giảm thiểu cấp hệ thống và cấp ứng dụng.

Chỉ cần nhấp vào liên kết 'cài đặt xuất' dưới chế độ bảo vệ khai thác để làm như vậy.

Sử dụng PowerShell để xuất tệp cấu hình

1. Mở lời nhắc Powershell nâng cao.
2. Get-ProcessMitigation -RegistryConfigFilePath filename.xml

Chỉnh sửa tên tệp.xml để nó phản ánh vị trí lưu và tên tệp.

Sử dụng PowerShell để nhập tệp cấu hình

1. Mở lời nhắc Powershell nâng cao.
2. Chạy lệnh sau: Set-ProcessMitigation -PolicyFilePath filename.xml

Chỉnh sửa filename.xml để nó trỏ đến vị trí và tên tệp của tệp XML cấu hình.

Sử dụng Chính sách Nhóm để cài đặt tệp cấu hình

Bạn có thể cài đặt các tệp cấu hình bằng các chính sách.

1. Nhấn vào phím Windows, nhập gpedit.msc và nhấn phím Enter để khởi động Trình chỉnh sửa chính sách nhóm.
2. Điều hướng đến Cấu hình máy tính> Mẫu quản trị> Thành phần Windows> Bộ bảo vệ khai thác Windows> Bảo vệ khai thác.
3. Nhấp đúp vào 'Sử dụng bộ lệnh cài đặt bảo vệ khai thác'.
4. Đặt chính sách thành bật.
5. Thêm đường dẫn và tên tệp của tệp XML cấu hình trong trường tùy chọn.

Chuyển đổi tệp EMET

1. Mở lời nhắc PowerShell nâng cao như được mô tả ở trên.
2. Chạy lệnh ConvertTo-ProcessMitigationPolicy -EMETFilePath emetFile.xml -OutputFilePath filename.xml

Thay đổi emetFile.xml thành đường dẫn và vị trí của tệp cấu hình EMET.

Thay đổi filename.xml thành đường dẫn và vị trí mà bạn muốn lưu tệp cấu hình đã chuyển đổi.

Tài nguyên

• Đánh giá bảo vệ khai thác
• Bật tính năng bảo vệ Khai thác
• Tùy chỉnh bảo vệ Khai thác
• Nhập, xuất và triển khai các cấu hình bảo vệ Khai thác