Configurare la protezione dagli exploit di Windows Defender in Windows 10

• Categoria: Finestre

Prova Il Nostro Strumento Per Eliminare I Problemi

Seleziona Il Sistema Operativo Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Scegli Un Programma Di Proiezione (Facoltativamente) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Descrivi Il Tuo Problema

Ottieni Una Risposta

Inviami Via E -Mail Mostra Sul Sito

La protezione dagli exploit è una nuova funzionalità di sicurezza di Windows Defender che Microsoft ha introdotto nel Fall Creators Update del sistema operativo.

Exploit Guard è un insieme di funzionalità che include la protezione dagli exploit, riduzione della superficie di attacco , protezione della rete e accesso controllato alle cartelle .

La protezione dagli exploit può essere meglio descritta come una versione integrata di EMET di Microsoft - Exploit Mitigation Experience Toolkit - strumento di sicurezza che l'azienda andrà in pensione a metà del 2018 .

Microsoft ha affermato in precedenza che il sistema operativo Windows 10 dell'azienda renderebbe superfluo eseguire EMET insieme a Windows ; almeno un ricercatore ha tuttavia confutato l'affermazione di Microsoft.

Protezione dagli exploit di Windows Defender

La protezione dagli exploit è abilitata per impostazione predefinita se Windows Defender è abilitato. La funzionalità è l'unica funzionalità Exploit Guard che non richiede che la protezione in tempo reale sia abilitata in Windows Defender.

La funzionalità può essere configurata nell'applicazione Windows Defender Security Center, tramite i comandi di PowerShell o come criteri.

Configurazione nell'app Windows Defender Security Center

È possibile configurare la protezione dagli exploit nell'applicazione Windows Defender Security Center.

1. Usa Windows-I per aprire l'applicazione Impostazioni.
2. Passa ad Aggiornamento e sicurezza> Windows Defender.
3. Seleziona Apri Windows Defender Security Center.
4. Seleziona Controllo app e browser elencato come collegamento della barra laterale nella nuova finestra che si apre.
5. Individua la voce di protezione dagli exploit nella pagina e fai clic sulle impostazioni di protezione dagli exploit.

Le impostazioni sono suddivise in Impostazioni di sistema e Impostazioni del programma.

Le impostazioni di sistema elencano i meccanismi di protezione disponibili e il loro stato. I seguenti sono disponibili in Windows 10 Fall Creators Update:

• Control Flow Guard (CFG): attivato per impostazione predefinita.
• Data Execution Prevention (DEP): attiva per impostazione predefinita.
• Forza la randomizzazione delle immagini (ASLR obbligatorio): disattivata per impostazione predefinita.
• Randomizza le allocazioni di memoria (ASLR bottom-up): attiva per impostazione predefinita.
• Convalida catene di eccezioni (SEHOP): attivata per impostazione predefinita.
• Convalida l'integrità dell'heap: attivata per impostazione predefinita.

È possibile modificare lo stato di qualsiasi opzione in 'attivato per impostazione predefinita', 'disattivato per impostazione predefinita' o 'usa predefinito'.

Le impostazioni del programma offrono opzioni per personalizzare la protezione per singoli programmi e applicazioni. Funziona in modo simile a come potresti aggiungere eccezioni in Microsoft EMET per programmi particolari; buono se un programma si comporta male quando sono abilitati determinati moduli di protezione.

Alcuni programmi hanno eccezioni per impostazione predefinita. Ciò include svchost.exe, spools.exe, runtimebroker.exe, iexplore.exe e altri programmi Windows di base. Nota che puoi ignorare queste eccezioni selezionando i file e facendo clic su modifica.

Fare clic su 'aggiungi programma da personalizzare' per aggiungere un programma in base al nome o al percorso esatto del file all'elenco delle eccezioni.

È possibile impostare lo stato di tutte le protezioni supportate individualmente per ogni programma aggiunto nelle impostazioni del programma. Oltre a sovrascrivere l'impostazione predefinita del sistema e forzarlo su uno o su off, c'è anche un'opzione per impostarlo su 'solo controllo'. Quest'ultimo registra gli eventi che si sarebbero attivati ​​se lo stato della protezione fosse stato attivo, ma registrerà solo l'evento nel registro eventi di Windows.

Impostazioni programma elenca le opzioni di protezione aggiuntive che non è possibile configurare nelle impostazioni di sistema perché sono configurate per essere eseguite solo a livello di applicazione.

Questi sono:

• Protezione del codice arbitrario (ACG)
• Soffia immagini a bassa integrità
• Blocca le immagini remote
• Blocca i caratteri non attendibili
• Protezione dell'integrità del codice
• Disabilita i punti di estensione
• Disabilita le chiamate di sistema Win32
• Non consentire processi figlio
• Esporta filtro indirizzi (EAF)
• Importa filtro indirizzi (IAF)
• Simula l'esecuzione (SimExec)
• Convalida il richiamo dell'API (CallerCheck)
• Convalida l'utilizzo dell'handle
• Convalida l'integrazione delle dipendenze dell'immagine
• Convalida l'integrità dello stack (StackPivot)

Configurazione della protezione dagli exploit tramite PowerShell

È possibile utilizzare PowerShell per impostare, rimuovere o elencare le mitigazioni. Sono disponibili i seguenti comandi:

Per elencare tutte le mitigazioni del processo specificato: Get-ProcessMitigation -Name processName.exe

Per impostare le mitigazioni: Set-ProcessMitigation - - ,,

• Ambito: è -System o -Name.
• Azione: è -Enable o -Disable.
• Mitigazione: il nome della mitigazione. Consultare la tabella seguente. Puoi separare le mitigazioni con una virgola.

Esempi:

• Set-Processmitigation -System -Enable DEP
• Set-Processmitigation -Name test.exe -Rimuovi -Disabilita DEP
• Set-ProcessMitigation -Name processName.exe -Enable EnableExportAddressFilterPlus -EAFModules dllName1.dll, dllName2.dll

attenuazione	Si applica a	Cmdlet di PowerShell	Cmdlet della modalità di controllo
Controllo del flusso di protezione (CFG)	A livello di sistema e di app	CFG, StrictCFG, SuppressExports	Audit non disponibile
Data Execution Prevention (DEP)	A livello di sistema e di app	DEP, EmulateAtlThunks	Audit non disponibile
Forza la randomizzazione delle immagini (ASLR obbligatorio)	A livello di sistema e di app	ForceRelocate	Audit non disponibile
Randomizza allocazioni di memoria (ASLR bottom-up)	A livello di sistema e di app	BottomUp, HighEntropy	Audit non disponibile
Convalida catene di eccezioni (SEHOP)	A livello di sistema e di app	SEHOP, SEHOPTelemetria	Audit non disponibile
Convalida l'integrità dell'heap	A livello di sistema e di app	TerminateOnHeapError	Audit non disponibile
Protezione del codice arbitrario (ACG)	Solo a livello di app	DynamicCode	AuditDynamicCode
Blocca immagini a bassa integrità	Solo a livello di app	BlockLowLabel	AuditImageLoad
Blocca le immagini remote	Solo a livello di app	BlockRemoteImages	Audit non disponibile
Blocca i caratteri non attendibili	Solo a livello di app	DisableNonSystemFonts	AuditFont, FontAuditOnly
Protezione dell'integrità del codice	Solo a livello di app	BlockNonMicrosoftSigned, AllowStoreSigned	AuditMicrosoftSigned, AuditStoreSigned
Disabilita i punti di estensione	Solo a livello di app	ExtensionPoint	Audit non disponibile
Disabilita le chiamate di sistema Win32k	Solo a livello di app	DisableWin32kSystemCalls	AuditSystemCall
Non consentire processi figlio	Solo a livello di app	DisallowChildProcessCreation	AuditChildProcess
Esporta filtro indirizzi (EAF)	Solo a livello di app	EnableExportAddressFilterPlus, EnableExportAddressFilter [uno]	Audit non disponibile
Importa filtro indirizzi (IAF)	Solo a livello di app	EnableImportAddressFilter	Audit non disponibile
Simula l'esecuzione (SimExec)	Solo a livello di app	EnableRopSimExec	Audit non disponibile
Convalida il richiamo dell'API (CallerCheck)	Solo a livello di app	EnableRopCallerCheck	Audit non disponibile
Convalida l'utilizzo dell'handle	Solo a livello di app	StrictHandle	Audit non disponibile
Convalida l'integrità della dipendenza dell'immagine	Solo a livello di app	EnforceModuleDepencySigning	Audit non disponibile
Convalida l'integrità dello stack (StackPivot)	Solo a livello di app	EnableRopStackPivot	Audit non disponibile

Importazione ed esportazione di configurazioni

Le configurazioni possono essere importate ed esportate. Puoi farlo usando le impostazioni di protezione dagli exploit di Windows Defender nel Centro sicurezza di Windows Defender, usando PowerShell, usando i criteri.

Le configurazioni EMET possono inoltre essere convertite in modo da poter essere importate.

Utilizzo delle impostazioni di protezione dagli exploit

È possibile esportare le configurazioni nell'applicazione delle impostazioni, ma non importarle. L'esportazione aggiunge tutte le mitigazioni a livello di sistema e di app.

Per farlo, fai clic sul link 'Impostazioni di esportazione' sotto Protezione dagli exploit.

Utilizzo di PowerShell per esportare un file di configurazione

1. Apri un prompt di Powershell con privilegi elevati.
2. Get-ProcessMitigation -RegistryConfigFilePath nomefile.xml

Modifica nomefile.xml in modo che rifletta la posizione di salvataggio e il nome file.

Utilizzo di PowerShell per importare un file di configurazione

1. Apri un prompt di Powershell con privilegi elevati.
2. Eseguire il comando seguente: Set-ProcessMitigation -PolicyFilePath filename.xml

Modificare filename.xml in modo che punti alla posizione e al nome file del file XML di configurazione.

Utilizzo di Criteri di gruppo per installare un file di configurazione

È possibile installare i file di configurazione utilizzando i criteri.

1. Toccare il tasto Windows, digitare gpedit.msc e premere il tasto Invio per avviare l'Editor criteri di gruppo.
2. Passa a Configurazione computer> Modelli amministrativi> Componenti di Windows> Windows Defender Exploit Guard> Protezione dagli exploit.
3. Fare doppio clic su 'Usa un set di comandi di impostazioni di protezione dagli exploit'.
4. Imposta il criterio su abilitato.
5. Aggiungere il percorso e il nome del file XML di configurazione nel campo delle opzioni.

Conversione di un file EMET

1. Apri un prompt di PowerShell con privilegi elevati come descritto sopra.
2. Eseguire il comando ConvertTo-ProcessMitigationPolicy -EMETFilePath emetFile.xml -OutputFilePath filename.xml

Modificare emetFile.xml nel percorso e nella posizione del file di configurazione EMET.

Modificare filename.xml nel percorso e nella posizione in cui si desidera salvare il file di configurazione convertito.

risorse

• Valuta la protezione dagli exploit
• Abilita la protezione dagli exploit
• Personalizza la protezione dagli exploit
• Importa, esporta e distribuisci configurazioni di protezione dagli exploit