Richtlinien-CSP – ExploitGuard

Artikel
15.02.2025

ExploitProtectionSettings

Bereich	Editionen	Geeignetes Betriebssystem
✅ Gerät ❌ Benutzer	✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, Version 1709 [10.0.16299] und höher

Device

./Device/Vendor/MSFT/Policy/Config/ExploitGuard/ExploitProtectionSettings

Ermöglicht es dem IT-Administrator, eine Konfiguration, die die gewünschten System- und Anwendungsminderungsoptionen darstellt, an alle Geräte im organization zu pushen. Die Konfiguration wird durch einen XML-Code dargestellt. Weitere Informationen zum Exploit-Schutz finden Sie unter Aktivieren des Exploit-Schutzes auf Geräten und Importieren, Exportieren und Bereitstellen von Exploit-Schutzkonfigurationen. Die Systemeinstellungen erfordern einen Neustart; Für die Anwendungseinstellungen ist kein Neustart erforderlich.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname	Eigenschaftenwert
Format	`chr` (Zeichenfolge)
Zugriffstyp	Hinzufügen, Löschen, Abrufen, Ersetzen

Gruppenrichtlinienzuordnung:

Name	Wert
Name	ExploitProtection_Name
Anzeigename	Verwenden eines gemeinsamen Satzes von Exploit-Schutzeinstellungen
Elementname	Geben Sie den Speicherort (lokaler Pfad, UNC-Pfad oder URL) der XML-Konfigurationsdatei für die Risikominderungseinstellungen ein.
Pfad	Computerkonfiguration
Pfad	Windows-Komponenten > Microsoft Defender Exploit Guard > Exploit Protection
Registrierungsschlüsselname	Software\Policies\Microsoft\Windows Defender ExploitGuard\Exploit Protection
ADMX-Dateiname	ExploitGuard.admx

Beispiel:

XML

<?xml version="1.0" encoding="utf-8"?>
<SyncML xmlns="SYNCML:SYNCML1.1">
  <SyncBody>
    <Replace>
      <CmdID>$CmdId$</CmdID>
      <Item>
        <Meta>
          <Format>chr</Format>
          <Type>text/plain</Type>
       </Meta>
        <Target>
          <LocURI>./Vendor/MSFT/Policy/Config/ExploitGuard/ExploitProtectionSettings</LocURI>
        </Target>
        <Data><![CDATA[<?xml version="1.0" encoding="UTF-8"?><MitigationPolicy><SystemConfig><SEHOP Audit="true" /></SystemConfig><AppConfig Executable="iexplore.exe"><ImageLoad AuditImageLoad="true" /><Payload AuditEnableExportAddressFilter="true"AuditEnableExportAddressFilterPlus="true"AuditEnableImportAddressFilter="true"AuditEnableRopStackPivot="true"AuditEnableRopCallerCheck="true"AuditEnableRopSimExec="true"/></AppConfig><AppConfig Executable="wordpad.exe"><DynamicCode Audit="true" /><SignedBinaries Audit="true" AuditStoreSigned="false" /><ImageLoad AuditImageLoad="true"  /><ChildProcess  Audit="true" /><Payload AuditEnableExportAddressFilter="true"AuditEnableExportAddressFilterPlus="true"AuditEnableImportAddressFilter="true"AuditEnableRopStackPivot="true"AuditEnableRopCallerCheck="true"AuditEnableRopSimExec="true"/></AppConfig><AppConfig Executable="notepad.exe"><DynamicCode Audit="true" /><SignedBinaries Audit="true" AuditStoreSigned="false" /><ImageLoad AuditImageLoad="true" /><ChildProcess Audit="true" /><Payload AuditEnableExportAddressFilter="true"AuditEnableExportAddressFilterPlus="true"AuditEnableImportAddressFilter="true"AuditEnableRopStackPivot="true"AuditEnableRopCallerCheck="true"AuditEnableRopSimExec="true"/></AppConfig><AppConfig Executable="outlook.exe"><Payload AuditEnableExportAddressFilter="true"AuditEnableExportAddressFilterPlus="true"AuditEnableImportAddressFilter="true"AuditEnableRopStackPivot="true"AuditEnableRopCallerCheck="true"AuditEnableRopSimExec="true"/></AppConfig><AppConfig Executable="winword.exe"><Payload AuditEnableExportAddressFilter="true"AuditEnableExportAddressFilterPlus="true"AuditEnableImportAddressFilter="true"AuditEnableRopStackPivot="true"AuditEnableRopCallerCheck="true"AuditEnableRopSimExec="true"/></AppConfig><AppConfig Executable="excel.exe"><Payload AuditEnableExportAddressFilter="true"AuditEnableExportAddressFilterPlus="true"AuditEnableImportAddressFilter="true"AuditEnableRopStackPivot="true"AuditEnableRopCallerCheck="true"AuditEnableRopSimExec="true"/></AppConfig><AppConfig Executable="powerpnt.exe"><Payload AuditEnableExportAddressFilter="true"AuditEnableExportAddressFilterPlus="true"AuditEnableImportAddressFilter="true"AuditEnableRopStackPivot="true"AuditEnableRopCallerCheck="true"AuditEnableRopSimExec="true"/></AppConfig><AppConfig Executable="AcroRd32.exe"><Payload AuditEnableExportAddressFilter="true"AuditEnableExportAddressFilterPlus="true"AuditEnableImportAddressFilter="true"AuditEnableRopStackPivot="true"AuditEnableRopCallerCheck="true"AuditEnableRopSimExec="true"/></AppConfig><AppConfig Executable="Acrobat.exe"><Payload AuditEnableExportAddressFilter="true"AuditEnableExportAddressFilterPlus="true"AuditEnableImportAddressFilter="true"AuditEnableRopStackPivot="true"AuditEnableRopCallerCheck="true"AuditEnableRopSimExec="true"/></AppConfig><AppConfig Executable="fltldr.exe"><DynamicCode Audit="true" /><ImageLoad AuditImageLoad="true" /><ChildProcess Audit="true" /><Payload AuditEnableExportAddressFilter="true"AuditEnableExportAddressFilterPlus="true"AuditEnableImportAddressFilter="true"AuditEnableRopStackPivot="true"AuditEnableRopCallerCheck="true"AuditEnableRopSimExec="true"/></AppConfig><AppConfig Executable="RuntimeBroker.exe"><ImageLoad AuditImageLoad="true" /><Payload AuditEnableExportAddressFilter="true"AuditEnableExportAddressFilterPlus="true"AuditEnableImportAddressFilter="true"AuditEnableRopStackPivot="true"AuditEnableRopCallerCheck="true"AuditEnableRopSimExec="true"/></AppConfig><AppConfig Executable="SearchIndexer.exe"><DynamicCode Audit="true" /><SignedBinaries Audit="true" AuditStoreSigned="false" /><Payload AuditEnableExportAddressFilter="true"AuditEnableExportAddressFilterPlus="true"AuditEnableImportAddressFilter="true"AuditEnableRopStackPivot="true"AuditEnableRopCallerCheck="true"AuditEnableRopSimExec="true"/></AppConfig><AppConfig Executable="java.exe"><Payload AuditEnableExportAddressFilter="true"AuditEnableExportAddressFilterPlus="true"AuditEnableImportAddressFilter="true"AuditEnableRopStackPivot="true"AuditEnableRopCallerCheck="true"AuditEnableRopSimExec="true"/></AppConfig><AppConfig Executable="javaws.exe"><Payload AuditEnableExportAddressFilter="true"AuditEnableExportAddressFilterPlus="true"AuditEnableImportAddressFilter="true"AuditEnableRopStackPivot="true"AuditEnableRopCallerCheck="true"AuditEnableRopSimExec="true"/></AppConfig><AppConfig Executable="javaw.exe"><Payload AuditEnableExportAddressFilter="true"AuditEnableExportAddressFilterPlus="true"AuditEnableImportAddressFilter="true"AuditEnableRopStackPivot="true"AuditEnableRopCallerCheck="true"AuditEnableRopSimExec="true"/></AppConfig><AppConfig Executable="EpSelfhostV1.exe"><DynamicCode Audit="true" /><ImageLoad AuditImageLoad="true" /><ChildProcess Audit="true" /><Payload AuditEnableExportAddressFilter="true"AuditEnableExportAddressFilterPlus="true"AuditEnableImportAddressFilter="true"AuditEnableRopStackPivot="true"AuditEnableRopCallerCheck="true"AuditEnableRopSimExec="true"/></AppConfig></MitigationPolicy>]]></Data>
      </Item>
    </Replace>
    <Final/>
  </SyncBody>
</SyncML>

Dienstanbieter für die Richtlinienkonfiguration

Zusätzliche Ressourcen

Dokumentation

Anwenden von Gegenmaßnahmen, um Angriffe über Sicherheitsrisiken zu vermeiden - Microsoft Defender for Endpoint

Schützen Sie Geräte mit Windows 10 oder Windows 11 vor Sicherheitsrisiken (Exploits). Windows bietet erweiterte Sicherheitsfunktionen, die auf den im Enhanced Mitigation Experience Toolkit (EMET) verfügbaren Einstellungen aufbauen und diese verstärken.
Importieren, Exportieren und Bereitstellen von Konfigurationen für Exploit-Schutz - Microsoft Defender for Endpoint

Verwenden Sie eine Gruppenrichtlinie, um Konfigurationen zur Risikominderung bereitzustellen.
Windows Defender Exploit Guard-Richtlinie - Configuration Manager

Erstellen Sie eine Windows Defender Exploit Guard-Richtlinie, und stellen Sie sie auf Windows 10 oder höheren Geräten bereit, die von Configuration Manager verwaltet werden.
Aktivieren des Exploit-Schutzes zur Minderung von Angriffsrisiken - Microsoft Defender for Endpoint

Erfahren Sie hier, wie Sie den Exploit-Schutz in Windows aktivieren. Der Exploit-Schutz trägt zum Schutz Ihres Geräts vor Schadsoftware bei.
Demo der Funktionsweise des Exploit-Schutzes - Microsoft Defender for Endpoint

Erfahren Sie, wie der Exploit-Schutz verdächtiges Verhalten in bestimmten Apps verhindern kann.
Fehlerbehebung bei Exploit-Schutzmaßnahmen - Microsoft Defender for Endpoint

Erfahren Sie, wie Sie mit unerwünschten Entschärfungen in Windows-Sicherheit umgehen, einschließlich eines Prozesses zum Entfernen aller Risikominderungen und zum Importieren einer Baselinekonfigurationsdatei.
Anpassen des Exploit-Schutzes - Microsoft Defender for Endpoint

Sie können bestimmte Risikominderungen, die vom Exploit-Schutz verwendet werden, mithilfe der Windows-Sicherheit-App oder PowerShell aktivieren oder deaktivieren. Sie können auch Risikominderungen überwachen und Konfigurationen exportieren.

Training

Modul

MD-102 1: Bereitstellen des Schutzes von Gerätedaten - Training

Dieses Modul beschreibt, wie Sie Intune verwenden können, um WIP-Richtlinien zu erstellen und zu verwalten, die diesen Schutz verwalten. Das Modul behandelt auch die Implementierung von BitLocker und Encrypting File System.

Zertifizierung

Microsoft 365 Certified: Endpoint Administrator Associate - Certifications

Planen Sie eine Endpunktbereitstellungsstrategie und führen diese mithilfe von wesentlichen Elemente moderner Verwaltung, Co-Management-Ansätzen und Microsoft Intune-Integration aus.

Freigeben über

Richtlinien-CSP – ExploitGuard

ExploitProtectionSettings

Feedback

Zusätzliche Ressourcen

Freigeben über

Richtlinien-CSP – ExploitGuard

ExploitProtectionSettings

Verwandte Artikel

Feedback

Zusätzliche Ressourcen