Требуется защита от эксплойтов Windows 10

Обновлено: 21.11.2024

Защита от эксплойтов помогает защитить устройства от вредоносных программ, использующих эксплойты для распространения и заражения других устройств. Смягчение может применяться как к операционной системе, так и к отдельному приложению. Многие функции, входившие в состав Enhanced Mitigation Experience Toolkit (EMET), включены в защиту от эксплойтов. (Поддержка EMET закончилась.)

В ходе аудита вы можете увидеть, как работает устранение угроз для определенных приложений в тестовой среде. Здесь показано, что произошло бы, если бы вы включили защиту от эксплойтов в рабочей среде. Таким образом, вы можете убедиться, что защита от эксплойтов не оказывает негативного влияния на ваши бизнес-приложения, и увидеть, какие подозрительные или вредоносные события происходят.

Включить защиту от эксплойтов для тестирования

Вы можете установить меры по снижению риска в тестовом режиме для определенных программ с помощью приложения Windows Security или Windows PowerShell.

Приложение безопасности Windows

Откройте приложение "Безопасность Windows". Щелкните значок щита на панели задач или выполните поиск в меню "Пуск" по запросу "Безопасность Windows".

Выберите плитку управления приложением и браузером (или значок приложения в левой строке меню), а затем выберите Защита от эксплойтов.

Перейдите в настройки программы и выберите приложение, к которому вы хотите применить защиту:

  1. Если приложение, которое вы хотите настроить, уже есть в списке, выберите его, а затем нажмите "Изменить".
  2. Если приложения нет в списке вверху списка, выберите Добавить программу для настройки. Затем выберите способ добавления приложения.
    • Используйте «Добавить по имени программы», чтобы применить меры по снижению риска ко всем запущенным процессам с таким именем. Укажите файл с расширением. Вы можете ввести полный путь, чтобы ограничить защиту только приложением с таким именем в этом месте.
    • Используйте Выбрать точный путь к файлу, чтобы использовать стандартное окно выбора файлов Windows Explorer для поиска и выбора нужного файла.

Выбрав приложение, вы увидите список всех мер по снижению риска, которые можно применить. Выбор «Аудит» применит смягчение только в режиме аудита. Вы будете уведомлены, если вам потребуется перезапустить процесс, приложение или Windows.

Повторите эту процедуру для всех приложений и средств защиты, которые вы хотите настроить. Нажмите «Применить», когда закончите настройку конфигурации.

PowerShell

Чтобы установить для мер безопасности на уровне приложения режим аудита, используйте Set-ProcessMitigation с командлетом режима аудита.

Настройте каждое средство защиты в следующем формате:

  • :
    • -Имя, указывающее, что меры по снижению риска должны быть применены к конкретному приложению. Укажите исполняемый файл приложения после этого флага.
    • -Enable для включения смягчения
      • –Отключить, чтобы отключить меры по смягчению последствий.
      • Командлет для смягчения последствий, как указано в следующей таблице. Каждое средство защиты отделяется запятой.

      Например, чтобы включить защиту от произвольного кода (ACG) в режиме аудита для приложения с именем testing.exe, выполните следующую команду:

      Вы можете отключить режим аудита, заменив -Enable на -Disable .

      Просмотр событий аудита защиты от эксплойтов

      Чтобы просмотреть, какие приложения могли быть заблокированы, откройте средство просмотра событий и отфильтруйте следующие события в журнале мер безопасности.

      Защита от эксплойтов автоматически применяет множество методов защиты от эксплойтов к процессам и приложениям операционной системы. Защита от эксплойтов поддерживается, начиная с Windows 10 версии 1709, Windows 11 и Windows Server версии 1803.

      Защита от эксплойтов лучше всего работает с Defender for Endpoint, который предоставляет подробные отчеты о событиях и блокировках защиты от эксплойтов в рамках обычных сценариев расследования предупреждений.

      Вы можете включить защиту от эксплойтов на отдельном устройстве, а затем использовать групповую политику для одновременного распространения XML-файла на несколько устройств.

      Когда на устройстве будет найдено средство устранения, в Центре уведомлений отобразится уведомление. Вы можете настроить уведомление с информацией о вашей компании и контактной информацией. Вы также можете включить правила по отдельности, чтобы настроить методы, которые отслеживает функция.

      Вы также можете использовать режим аудита, чтобы оценить, как защита от эксплойтов повлияет на вашу организацию, если она будет включена.

      Многие функции расширенного набора инструментов для устранения угроз (EMET) включены в защиту от эксплойтов. Фактически, вы можете преобразовать и импортировать существующие профили конфигурации EMET в защиту от эксплойтов. Дополнительные сведения см. в разделе Импорт, экспорт и развертывание конфигураций защиты от эксплойтов.

      Если вы в настоящее время используете EMET, знайте, что поддержка EMET подошла к концу 31 июля 2018 г. Рассмотрите возможность замены EMET защитой от эксплойтов в Windows 10.

      Некоторые технологии снижения безопасности могут иметь проблемы совместимости с некоторыми приложениями.Вы должны протестировать защиту от эксплойтов во всех сценариях целевого использования, используя режим аудита, прежде чем развертывать конфигурацию в производственной среде или в остальной части вашей сети.

      Просмотр событий защиты от эксплойтов в Центре безопасности Microsoft

      Defender for Endpoint предоставляет подробные отчеты о событиях и блокировках в рамках своих сценариев расследования предупреждений.

      Вы можете запросить у Защитника данные конечной точки с помощью расширенного поиска. Если вы используете режим аудита, вы можете использовать расширенный поиск, чтобы увидеть, как настройки защиты от эксплойтов могут повлиять на вашу среду.

      Вот пример запроса:

      Просмотр событий защиты от эксплойтов в средстве просмотра событий Windows

      Вы можете просмотреть журнал событий Windows, чтобы увидеть события, которые создаются, когда защита от эксплойтов блокирует (или проверяет) приложение:

      < td style="выравнивание текста: по левому краю;" >Принудительное применение ROP SimExec
      Поставщик/источник Идентификатор события Описание
      Меры безопасности 1 Аудит ACG
      Метигации безопасности 2 Принудительное применение ACG
      Снижения безопасности 3 Запретить аудит дочерних процессов
      Метигации безопасности 4 Не разрешать блокировку дочерних процессов
      Метигации безопасности 5 Блокировать низкую целостность аудит изображений
      Снижения безопасности 6 Заблокировать блокировка изображений с низкой целостностью
      Снижения безопасности 7< /td> Блокировать аудит удаленных изображений
      Метигации безопасности 8 Блокировка удаленных изображений
      Метигации безопасности 9 Отключить win32k аудит системных вызовов
      Снижения безопасности 10 Отключить блокировку системных вызовов win32k
      Метигации безопасности 11 Аудит защиты целостности кода
      Средства безопасности 12 Блок защиты целостности кода
      Метигации безопасности 13 Аудит EAF
      Безопасность-Смягчение 14 Принудительный EAF
      Метигации безопасности 15 EAF+ аудит
      Снижения безопасности 16 Принудительное применение EAF+
      Метигации безопасности 17 Аудит IAF
      Метигации безопасности 18 Принудительное применение IAF
      Безопасность -Смягчения 19 Аудит ROP StackPivot
      Снижения безопасности 20 Применение ROP StackPivot
      Снижения безопасности 21 Аудит ROP CallerCheck
      Метигации безопасности 22 принудительная проверка ROP CallerCheck
      Снижение безопасности 23 Аудит ROP SimExec
      Снижения безопасности 24
      WER-диагностика 5< /td> Блок CFG
      Win32K 260 Ненадежный шрифт

      Сравнение средств защиты

      Средства устранения, доступные в EMET, изначально включены в Windows 10 (начиная с версии 1709), Windows 11 и Windows Server (начиная с версии 1803) в разделе Защита от эксплойтов.

      В таблице в этом разделе указана доступность и поддержка встроенных средств защиты от эксплойтов и EMET.

      < /tr>
      Смягчение последствий Доступно с защитой от эксплойтов Доступно в EMET
      Защита от произвольного кода (ACG ) Да Да
      Как "Проверка защиты памяти"
      Блокировать удаленные изображения Да Да
      Как "Проверка загрузки библиотеки"
      Блокировать ненадежные шрифты Да Да
      Предотвращение выполнения данных (DEP) Да Да< /td>
      Фильтрация адресов экспорта (EAF) Да Да
      Принудительная рандомизация изображений (обязательный ASLR) Да Да
      Снижение безопасности NullPage Да
      По умолчанию включено в Windows 10 и Windows 11
      Дополнительную информацию см. в разделе Снижение угроз с помощью функций безопасности Windows 10
      Да
      Случайное распределение памяти (ASLR снизу вверх) Да Да
      Имитация выполнения (SimExec) Да Да
      Подтвердить вызов API (CallerCheck) Да Да
      Проверить цепочки исключений (SEHOP) Да Да
      Проверка целостности стека (StackPivot) Да Да
      Доверие сертификата (настраиваемое закрепление сертификата) Windows 10 и Windows 11 обеспечивают закрепление корпоративных сертификатов Да
      Распределение Heap spray Неэффективен против новых эксплойтов на основе браузера; более новые средства защиты обеспечивают лучшую защиту
      дополнительную информацию см. в разделе Устранение угроз с помощью функций безопасности Windows 10
      Да
      Блокировать изображения с низкой целостностью Да Нет
      Защита целостности кода Да Нет
      Отключить точки расширения Да Нет
      Отключить системные вызовы Win32k Да Нет
      Не разрешать дочерние процессы Да Нет
      Фильтрация адресов импорта (IAF) Да Нет
      Подтвердить использование дескриптора Да Нет
      Проверить целостность кучи Да Нет
      Проверить целостность зависимостей изображения Да< /td> Нет

      Расширенные средства защиты от ROP, доступные в EMET, заменены ACG в Windows 10 и Windows 11, в которых другие дополнительные параметры EMET включены по умолчанию в рамках включения средств защиты от ROP для процесса. Дополнительные сведения о том, как Windows 10 использует существующую технологию EMET, см. в разделе Устранение угроз с помощью функций безопасности Windows 10.

      Защита от эксплойтов автоматически применяет ряд методов предотвращения эксплойтов как к процессам операционной системы, так и к отдельным приложениям.

      Настройте эти параметры с помощью приложения "Безопасность Windows" на отдельном устройстве. Затем экспортируйте конфигурацию в виде XML-файла, чтобы ее можно было развернуть на других устройствах. Используйте групповую политику для одновременного распространения XML-файла на несколько устройств.Вы также можете настроить меры по снижению риска с помощью PowerShell.

      В этой статье перечислены все средства защиты от эксплойтов. В нем указано, можно ли применить средство защиты в масштабах всей системы или к отдельным приложениям, а также краткое описание того, как оно работает.

      В нем также описывается, как включить или настроить меры по снижению риска с помощью Windows Security, PowerShell и поставщиков услуг настройки (CSP) для управления мобильными устройствами (MDM). Это первый шаг в создании конфигурации, которую вы можете развернуть в своей сети. Следующий шаг включает создание, экспорт, импорт и развертывание конфигурации на нескольких устройствах.

      Некоторые технологии снижения безопасности могут иметь проблемы совместимости с некоторыми приложениями. Вы должны протестировать защиту от эксплойтов во всех сценариях целевого использования, используя режим аудита, прежде чем развертывать конфигурацию в производственной среде или в остальной части вашей сети.

      Средства защиты от эксплойтов

      Все средства защиты можно настроить для отдельных приложений. Некоторые меры также можно применять на уровне операционной системы.

      Вы можете включить или выключить каждое из мер по снижению риска или установить его значение по умолчанию. Некоторые средства защиты имеют дополнительные параметры, указанные в описании в таблице.

      Значения по умолчанию всегда указываются в скобках в параметре Использовать по умолчанию для каждого средства защиты. В следующем примере по умолчанию для предотвращения выполнения данных установлено значение «Вкл».

      Использовать конфигурацию по умолчанию для каждого из параметров смягчения последствий указывает на нашу рекомендацию по базовому уровню защиты для повседневного использования домашними пользователями. Корпоративные развертывания должны учитывать защиту, необходимую для их индивидуальных потребностей, и, возможно, потребуется изменить конфигурацию по умолчанию.

      Чтобы узнать о связанных командлетах PowerShell для каждого средства устранения, см. справочную таблицу PowerShell внизу этой статьи.

      td> < tr> < /tr>
      Смягчение Описание Можно применить к Доступен режим аудита
      Защита потока управления (CFG) Обеспечивает целостность потока управления для непрямых вызовов. Опционально может подавлять экспорт и использовать строгую CFG. Системный уровень и уровень приложения Нет
      Предотвращение выполнения данных (DEP)< /td> Предотвращает выполнение кода из страниц памяти, предназначенных только для данных, таких как куча и стеки. Настраивается только для 32-разрядных (x86) приложений, постоянно включена для всех других архитектур. При желании можно включить эмуляцию ATL-преобразователя. Уровень системы и приложения Нет
      Принудительная рандомизация изображений (обязательный ASLR)< /td> Принудительно перемещает образы, не скомпилированные с /DYNAMICBASE. Возможен сбой при загрузке изображений, у которых нет информации о перемещении. Системный уровень и уровень приложения Нет
      Случайное распределение памяти (ASLR снизу вверх) Рандомизирует места для выделения виртуальной памяти. Он включает в себя кучи системной структуры, стеки, TEB и PEB. При желании можно использовать более широкую дисперсию рандомизации для 64-битных процессов. Системный уровень и уровень приложения Нет
      Проверка цепочек исключений (SEHOP) Обеспечивает целостность цепочки исключений во время отправки исключений. Настраивается только для 32-разрядных (x86) приложений. Уровень системы и приложения Нет
      Проверить целостность кучиЗавершает процесс при обнаружении повреждения кучи. Системный уровень и уровень приложения Нет
      Произвольный код guard (ACG) Предотвращает внедрение исполняемого кода, не связанного с изображением, и предотвращает изменение кодовых страниц. При желании можно разрешить отказ от потока и разрешить удаленный переход на более раннюю версию (настраивается только с помощью PowerShell). Только на уровне приложения Да
      Блокировать изображения с низкой целостностью Предотвращает загрузку изображений, помеченных как низкая целостность. Только на уровне приложения Да
      Блокировать удаленные изображения Предотвращает загрузку изображений с удаленных устройств. Только на уровне приложения Нет
      Блокировать ненадежные шрифты Предотвращает загрузку любых шрифтов на основе GDI, не установленных в каталоге системных шрифтов, особенно шрифтов из Интернета. Только на уровне приложений Да
      Защита целостности кода Ограничивает загрузку изображений, подписанных Microsoft, WHQL или выше. При желании можно разрешить подписанные изображения Microsoft Store. Только на уровне приложения Да
      Отключить точки расширения Отключает различные механизмы расширения, позволяющие внедрять DLL во все процессы, такие как библиотеки DLL AppInit, перехватчики окон и поставщики услуг Winsock. Только на уровне приложения Нет
      Отключить системные вызовы Win32k Запрещает приложению использовать таблицу системных вызовов Win32k. Только на уровне приложения Да
      Не разрешать дочерние процессы Запрещает приложению создавать дочерние процессы. Только на уровне приложения Да
      Фильтрация адресов экспорта (EAF) Обнаруживает опасные операции, выполняемые решается вредоносным кодом. Может дополнительно проверять доступ модулей, обычно используемых эксплойтами. Только на уровне приложения Да
      Импорт фильтрации адресов (IAF) Обнаруживает опасные операции, разрешаемые вредоносным кодом. Только на уровне приложения Да
      Имитация выполнение (SimExec) Гарантирует, что вызовы к конфиденциальным API возвращаются законным вызывающим сторонам. Настраивается только для 32-разрядных (x86) приложений. Несовместимо с ACG. Только на уровне приложения Да
      Подтвердить вызов API (CallerCheck) Гарантирует, что конфиденциальные API вызываются законными вызывающими объектами. Настраивается только для 32-разрядных (x86) приложений. Несовместимо с ACG Только на уровне приложения Да
      Проверка использования дескриптора Вызывает исключение для любых недопустимых ссылок на дескрипторы. Только на уровне приложения Нет
      Проверить целостность зависимостей изображения Принудительно подписывает код для загрузки зависимостей образа Windows. Только на уровне приложения Нет
      Проверка целостности стека (StackPivot ) Гарантирует, что стек не был перенаправлен для конфиденциальных API. Несовместимо с ACG. Только на уровне приложения Да

      Если вы добавите приложение в раздел настроек программы и настроите там отдельные параметры устранения угроз, они будут учитываться выше, чем конфигурация для тех же средств устранения угроз, которые указаны в разделе настроек системы. Следующая матрица и примеры помогают проиллюстрировать, как работают значения по умолчанию:

      Пример 1

      Микаэль настраивает Предотвращение выполнения данных (DEP) в разделе «Настройки системы» на «Выкл.» по умолчанию.

      Затем Микаэль добавляет приложение test.exe в раздел настроек программы. В параметрах этого приложения в разделе «Предотвращение выполнения данных» (DEP) он включает параметр «Переопределить системные настройки» и устанавливает переключатель в положение «Вкл.». В разделе настроек программы нет других приложений.

      В результате DEP будет включен только для test.exe. Во всех остальных приложениях DEP применяться не будет.

      Пример 2

      Джози настраивает Предотвращение выполнения данных (DEP) в разделе «Настройки системы» на «Выкл.» по умолчанию.

      Затем Джози добавляет приложение test.exe в раздел настроек программы. В параметрах этого приложения в разделе «Предотвращение выполнения данных» (DEP) она включает параметр «Переопределить системные настройки» и устанавливает переключатель в положение «Вкл.».

      Джози также добавляет приложение miles.exe в раздел настроек программы и устанавливает для параметра Controlflow Guard (CFG) значение Вкл. Она не включает параметр «Переопределить системные настройки» для DEP или любых других мер для этого приложения.

      В результате DEP будет включен для test.exe. DEP не будет включен для любого другого приложения, включая miles.exe. CFG будет включен для miles.exe.

      Если вы обнаружили какие-либо проблемы в этой статье, вы можете сообщить о них непосредственно партнеру Windows Server/Windows Client или воспользоваться номерами службы технической поддержки Microsoft для вашей страны.

      Настройте средства защиты на уровне системы с помощью приложения для обеспечения безопасности Windows

      Откройте приложение "Безопасность Windows", щелкнув значок щита на панели задач или выполнив поиск в меню "Пуск" по запросу "Безопасность Windows".

      Выберите плитку управления приложением и браузером (или значок приложения в левой строке меню), а затем выберите Защита от эксплойтов.

      • Включено по умолчанию – средство защиты включено для приложений, для которых это средство защиты не установлено в разделе настроек программы для конкретного приложения.
      • Отключено по умолчанию. Средство устранения последствий отключено для приложений, для которых это средство не установлено в разделе настроек программы для конкретного приложения.
      • Использовать по умолчанию — смягчение может быть включено или отключено в зависимости от конфигурации по умолчанию, настроенной при установке Windows 10 или Windows 11; значение по умолчанию (Вкл. или Выкл.) всегда указывается рядом с меткой Использовать по умолчанию для каждого средства защиты.

      При изменении некоторых настроек может появиться окно контроля учетных записей. Введите учетные данные администратора, чтобы применить настройку.

      Для изменения некоторых настроек может потребоваться перезагрузка.

      Повторите это для всех средств защиты на уровне системы, которые вы хотите настроить.

      Перейдите в раздел настроек программы и выберите приложение, к которому вы хотите применить меры:

      1. Если приложение, которое вы хотите настроить, уже есть в списке, выберите его, а затем нажмите "Изменить".
      2. Если приложения нет в списке, в верхней части списка выберите Добавить программу для настройки, а затем выберите способ добавления приложения:
        • Используйте «Добавить по имени программы», чтобы применить меры по снижению риска ко всем запущенным процессам с таким именем. Вы должны указать файл с расширением.Вы можете ввести полный путь, чтобы ограничить защиту только приложением с таким именем в этом месте.
        • Используйте Выбрать точный путь к файлу, чтобы использовать стандартное окно выбора файлов Windows Explorer для поиска и выбора нужного файла.

      Выбрав приложение, вы увидите список всех мер по снижению риска, которые можно применить. Чтобы включить смягчение, установите флажок, а затем переместите ползунок в положение «Вкл.». Выберите любые дополнительные параметры. Выбор «Аудит» применит смягчение только в режиме аудита. Вы будете уведомлены, если вам потребуется перезапустить процесс или приложение или перезапустить Windows.

      Повторите эти шаги для всех приложений и средств защиты, которые вы хотите настроить. Нажмите «Применить», когда закончите настройку конфигурации.

      Теперь вы можете экспортировать эти настройки в виде XML-файла или продолжить настройку мер по снижению риска для конкретных приложений.

      Экспорт конфигурации в виде XML-файла позволяет копировать конфигурацию с одного устройства на другие устройства.

      Справочник по PowerShell

      Для настройки защиты от эксплойтов можно использовать приложение "Безопасность Windows" или использовать командлеты PowerShell.

      Параметры конфигурации, которые были изменены последними, всегда будут применяться независимо от того, используете ли вы PowerShell или систему безопасности Windows. Это означает, что если вы используете приложение для настройки средства устранения, а затем используете PowerShell для настройки того же средства устранения, приложение обновится, чтобы показать изменения, внесенные вами с помощью PowerShell. Если бы вы затем использовали приложение, чтобы снова изменить средство снижения риска, это изменение было бы применимо.

      Любые изменения, развернутые на устройстве с помощью групповой политики, переопределяют локальную конфигурацию. При настройке исходной конфигурации используйте устройство, к которому не будет применена конфигурация групповой политики, чтобы ваши изменения не были переопределены.

      Вы можете использовать команды PowerShell Get или Set с командлетом ProcessMitigation . При использовании Get будет указан текущий статус конфигурации всех средств защиты, которые были включены на устройстве. Добавьте командлет -Name и исполняемый файл приложения, чтобы увидеть меры защиты только для этого приложения:

      Ненастроенные средства защиты на уровне системы будут иметь статус НЕУСТАНОВЛЕНО .

      Для настроек системного уровня NOTSET указывает, что для этого средства защиты были применены настройки по умолчанию.

      Для настроек на уровне приложения НЕУСТАНОВЛЕНО означает, что будут применены настройки уровня системы для смягчения последствий.

      Настройки по умолчанию для каждого средства защиты на уровне системы можно увидеть в разделе "Безопасность Windows".

      Используйте Set для настройки каждого средства защиты в следующем формате:

      • :
        • -Имя, указывающее, что меры по снижению риска должны быть применены к конкретному приложению. Укажите исполняемый файл приложения после этого флага.
        • -Система, указывающая, что меры по смягчению должны применяться на системном уровне.
        • -Включите, чтобы включить меры по смягчению последствий.
        • –Отключить, чтобы отключить меры по смягчению последствий.
        • Командлет смягчения последствий, как определено в таблице командлетов смягчения ниже, вместе с любыми подпараметрами (обведенными пробелами). Каждое средство защиты отделяется запятой.

        Например, чтобы включить защиту от выполнения данных (DEP) с помощью эмуляции ATL-преобразователя и для исполняемого файла с именем testing.exe в папке C:\Apps\LOB\tests< /em>, и чтобы этот исполняемый файл не создавал дочерние процессы, вы должны использовать следующую команду:

        Разделяйте каждый вариант защиты запятыми.

        Если вы хотите применить DEP на системном уровне, используйте следующую команду:

        Чтобы отключить меры, вы можете заменить -Enable на -Disable . Однако для мер на уровне приложения это приведет к отключению средства устранения только для этого приложения.

        Если вам нужно восстановить системные настройки по умолчанию, необходимо также включить командлет -Remove, как в следующем примере:

        Вы также можете установить режим аудита для некоторых мер по снижению риска. Вместо использования командлета PowerShell для устранения проблемы используйте командлет режима аудита, как указано в приведенной ниже таблице командлетов устранения.

        Например, чтобы включить Arbitrary Code Guard (ACG) в режиме аудита для testing.exe, использовавшегося ранее, вы должны использовать следующую команду:

        Вы можете отключить режим аудита, используя ту же команду, но заменив -Enable на -Disable .

        Справочная таблица PowerShell

        В этой таблице перечислены командлеты PowerShell (и связанный с ними командлет режима аудита), которые можно использовать для настройки каждого средства защиты.

        < /th> < td>Блокировать образы с низкой целостностью td> < td>AuditChildProcess
        Смягчение последствий Применяется к командлетам PowerShell Командлет режима аудита
        Защита потока управления (CFG) Уровень системы и приложения CFG, StrictCFG, SuppressExports Аудит недоступно
        Предотвращение выполнения данных (DEP) Система и уровень приложений DEP, EmulateAtlThunks Аудит недоступен
        Принудительная рандомизация изображений (обязательный ASLR) Системный уровень и уровень приложения ForceRelocateImages Аудит недоступен
        Случайное распределение памяти (ASLR снизу вверх) Системный уровень и уровень приложения Снизу вверх, HighEntropy Аудит недоступен
        Проверка цепочек исключений (SEHOP) Уровень системы и приложения SEHOP, SEHOPTelemetry Аудит недоступен
        Проверить целостность кучи Уровень системы и приложения TerminateOnError Аудит недоступен
        Защита от произвольного кода (ACG) Только на уровне приложения DynamicCode AuditDynamicCode
        Только на уровне приложения BlockLowLabel AuditImageLoad
        Блокировать удаленные образы Только на уровне приложения Блокировать удаленные изображения Аудит недоступен
        Блокировать ненадежные шрифты Только на уровне приложения Отключить несистемные шрифты AuditFont, FontAuditOnly
        Защита целостности кода Приложение только на уровне BlockNonMicrosoftSigned, AllowStoreSigned AuditMicrosoftSigned, AuditStoreSigned
        Отключить точки расширения Уровень приложения только ExtensionPoint Аудит недоступен
        Отключить системные вызовы Win32k Только на уровне приложенияDisableWin32kSystemCalls AuditSystemCall
        Не разрешать дочерние процессы Только на уровне приложения Запретить создание дочернего процесса
        Фильтрация адресов экспорта (EAF) Только на уровне приложения EnableExportAddressFilterPlus, EnableExportAddressFilter [1] Аудит недоступен[2]
        Импорт фильтрации адресов (IAF) Только на уровне приложения EnableImportAddressFilter< /td> Аудит недоступен[2]
        Моделирование выполнения (SimExec) Только на уровне приложения EnableRopSimExec Аудит недоступен[2]
        Проверить вызов API (CallerCheck) Только на уровне приложения EnableRopCallerCheck Аудит недоступен[2]
        Проверить использование дескриптора Только на уровне приложения StrictHandle Аудит недоступен
        Проверить целостность зависимостей образа Только на уровне приложения EnforceModuleDepencySigning Аудит недоступен
        Проверка целостности стека (StackPivot) Только на уровне приложения EnableRopStackPivot Аудит не доступно[2]

        [1]: используйте следующий формат, чтобы включить модули EAF для dll для процесса:

        [2]: аудит этого средства устранения недоступен с помощью командлетов PowerShell.

        Настроить уведомление

        Дополнительные сведения о настройке уведомлений, когда правило срабатывает и блокирует приложение или файл, см. в разделе Безопасность Windows.

        Вы можете настроить и развернуть политики Configuration Manager, которые управляют всеми четырьмя компонентами Exploit Guard в Защитнике Windows. Эти компоненты включают:

        • Уменьшение поверхности атаки
        • Контролируемый доступ к папкам
        • Защита от эксплойтов
        • Защита сети

        Данные о соответствии для развертывания политики Exploit Guard доступны в консоли Configuration Manager.

        Диспетчер конфигураций не включает эту дополнительную функцию по умолчанию. Вы должны включить эту функцию перед ее использованием. Дополнительные сведения см. в разделе Включение дополнительных функций из обновлений.

        Предпосылки

        Управляемые устройства должны работать под управлением Windows 10 1709 или более поздней версии; минимальная сборка Windows Server — версия 1809 или более поздняя. В зависимости от настроенных компонентов и правил также должны быть выполнены следующие требования:

        < td>На устройствах должна быть включена постоянная защита Microsoft Defender для конечной точки.
        Компонент Exploit Guard Дополнительные предпосылки
        Уменьшение поверхности атаки На устройствах должна быть включена постоянная защита Microsoft Defender для конечной точки.
        Контролируемый доступ к папкам На устройствах должен быть всегда установлен Microsoft Defender для конечной точки включена защита -on.
        Защита от эксплойтов Нет
        Защита сети

        Создайте политику защиты от эксплойтов

        В консоли Configuration Manager выберите Активы и соответствие > Endpoint Protection, а затем щелкните Exploit Guard в Защитнике Windows.

        На вкладке "Главная" в группе "Создать" нажмите "Создать политику эксплойтов".

        На странице "Общие" мастера создания элемента конфигурации укажите имя и необязательное описание элемента конфигурации.

        Далее выберите компоненты Exploit Guard, которыми вы хотите управлять с помощью этой политики. Для каждого выбранного компонента можно настроить дополнительные сведения.

          Настройте угрозу Office, угрозы сценариев и угрозы электронной почты, которые вы хотите заблокировать или проверить. Вы также можете исключить определенные файлы или папки из этого правила. Настройте блокировку или аудит, а затем добавьте приложения, которые могут обходить эту политику. Вы также можете указать дополнительные папки, которые не защищены по умолчанию. Укажите XML-файл, содержащий параметры для устранения эксплойтов системных процессов и приложений. Вы можете экспортировать эти параметры из приложения Центра безопасности Защитника Windows на устройстве с Windows 10 или более поздней версии. Настройте защиту сети на блокировку или аудит доступа к подозрительным доменам.

        Завершите работу мастера, чтобы создать политику, которую впоследствии можно развернуть на устройствах.

        Файл XML для защиты от эксплойтов следует хранить в безопасности при передаче между компьютерами. Файл следует удалить после импорта или хранить в безопасном месте.

        Развертывание политики Exploit Guard

        После создания политик Exploit Guard используйте мастер развертывания политики Exploit Guard для их развертывания. Для этого откройте консоль Configuration Manager, выберите Активы и соответствие > Endpoint Protection, а затем щелкните Развернуть политику защиты от эксплойтов.

        После развертывания политики Exploit Guard, такой как сокращение направлений атак или контролируемый доступ к папкам, настройки Exploit Guard не будут удалены с клиентов, если вы удалите развертывание. Удаление не поддерживается записывается в клиентском журнале ExploitGuardHandler.log, если вы удаляете клиентское развертывание Exploit Guard. Следующий сценарий PowerShell можно запустить в контексте SYSTEM, чтобы удалить эти настройки:

        Параметры политики Exploit Guard в Защитнике Windows

        Политики и параметры уменьшения поверхности атаки

        Сокращение зоны атаки может уменьшить поверхность атаки ваших приложений с помощью интеллектуальных правил, которые останавливают векторы, используемые Office, скриптами и вредоносными программами на основе почты. Узнайте больше о сокращении направлений атаки и используемых для этого идентификаторах событий.

        Файлы и папки, которые следует исключить из правил сокращения направлений атаки. Нажмите «Установить» и укажите любые файлы или папки, которые необходимо исключить.

        Угрозы по электронной почте:

        • Блокировать исполняемый контент из почтового клиента и веб-почты.
          • Не настроено
          • Заблокировать
          • Аудит

          Офисные угрозы:

          • Запретите приложению Office создавать дочерние процессы.
            • Не настроено
            • Заблокировать
            • Аудит
            • Не настроено
            • Заблокировать
            • Аудит
            • Не настроено
            • Заблокировать
            • Аудит
            • Не настроено
            • Заблокировать
            • Аудит

            Скриптовые угрозы:

            • Блокировать JavaScript или VBScript от запуска загруженного исполняемого содержимого.
              • Не настроено
              • Заблокировать
              • Аудит
              • Не настроено
              • Заблокировать
              • Аудит

              Угрозы программ-вымогателей: (начиная с Configuration Manager версии 1802)

              • Используйте расширенную защиту от программ-вымогателей.
                • Не настроено
                • Заблокировать
                • Аудит

                Угрозы операционной системе: (начиная с Configuration Manager версии 1802)

                • Блокировка кражи учетных данных из подсистемы локального центра безопасности Windows.
                  • Не настроено
                  • Заблокировать
                  • Аудит
                  • Не настроено
                  • Заблокировать
                  • Аудит

                  Угрозы внешних устройств: (начиная с Configuration Manager версии 1802)

                  • Блокировать ненадежные и неподписанные процессы, запускаемые с USB-накопителя.
                    • Не настроено
                    • Заблокировать
                    • Аудит

                    Политики и параметры контролируемого доступа к папкам

                    Помогает защитить файлы в ключевых системных папках от изменений, внесенных вредоносными и подозрительными приложениями, в том числе программами-вымогателями, шифрующими файлы. Дополнительные сведения см. в разделе Контролируемый доступ к папке и используемые им идентификаторы событий.

                    • Настроить контролируемый доступ к папке:
                      • Заблокировать
                      • Блокировать только сектора диска (начиная с Configuration Manager версии 1802)
                        • Разрешает включить контролируемый доступ к папкам только для загрузочных секторов и не включает защиту определенных папок или папок, защищенных по умолчанию.
                        • Разрешает включить контролируемый доступ к папкам только для загрузочных секторов и не включает защиту определенных папок или папок, защищенных по умолчанию.

                        Политики защиты от эксплойтов

                        Применяет методы защиты от эксплойтов к процессам операционной системы и приложениям, которые использует ваша организация. Эти параметры можно экспортировать из приложения Центра безопасности Защитника Windows на устройствах с Windows 10 или более поздней версии. Дополнительные сведения см. в разделе Защита от эксплойтов.

                        Защита от эксплойтов XML: нажмите «Обзор» и укажите XML-файл для импорта.

                        Файл XML для защиты от эксплойтов следует хранить в безопасности при передаче между компьютерами. Файл следует удалить после импорта или хранить в безопасном месте.

                        Политика защиты сети

                        Помогает свести к минимуму поверхность атаки на устройства из-за интернет-атак. Служба ограничивает доступ к подозрительным доменам, на которых могут размещаться фишинговые схемы, эксплойты и вредоносный контент. Дополнительные сведения см. в разделе Защита сети.

                        Читайте также: