Außerkraftsetzen von Prozessminderungsoptionen zum Erzwingen von App-bezogenen Sicherheitsrichtlinien

Windows enthält gruppenrichtlinienkonfigurierbare "Prozessminderungsoptionen", die erweiterten Schutz vor speicherbasierten Angriffen hinzufügen, d. h. Angriffen, bei denen Schadsoftware den Speicher manipuliert, um die Kontrolle über ein System zu erlangen. Beispielsweise könnte Schadsoftware versuchen, Pufferüberläufe zu verwenden, um schädlichen ausführbaren Code in den Arbeitsspeicher einzufügen, aber Prozessminderungsoptionen können die Ausführung des schädlichen Codes verhindern.

Wichtig

Es wird empfohlen, diese Entschärfungen vor der Bereitstellung in Ihrer organization in einer Testumgebung auszuprobieren, um festzustellen, ob sie die erforderlichen Apps Ihrer organization beeinträchtigen.

Die Gruppenrichtlinie Einstellungen in diesem Thema beziehen sich auf drei Arten von Prozessminderungen. Alle drei Typen sind standardmäßig für 64-Bit-Anwendungen aktiviert, aber mithilfe der in diesem Thema beschriebenen Gruppenrichtlinie Einstellungen können Sie weitere Schutzmaßnahmen konfigurieren. Die Arten von Prozessminderungen sind:

  • Die Datenausführungsverhinderung (Data Execution Prevention, DEP) ist ein Speicherschutzfeature auf Systemebene, mit dem das Betriebssystem eine oder mehrere Seiten des Arbeitsspeichers als nicht ausführbar markieren kann, wodurch verhindert wird, dass Code aus dieser Speicherregion ausgeführt wird, um die Ausnutzung von Pufferüberläufen zu verhindern. DEP verhindert, dass Code von Datenseiten, wie z. B. dem Standard-Heap, Stapeln und anderen Arbeitsspeicher-Pools ausgeführt wird. Weitere Informationen finden Sie unter Datenausführungsverhinderung.
  • Der Strukturierte Ausnahmebehandlungs-Überschreibschutz (Structured Exception Handling Overwrite Protection, SEHOP) wurde entwickelt, um Exploits zu blockieren, die das Strukturierte Ausnahmehandler-Überschreibungsverfahren (SEH) verwenden. Da dieser Schutzmechanismus zur Laufzeit bereitgestellt wird, hilft er, Apps zu schützen, unabhängig davon, ob sie mit den neuesten Verbesserungen kompiliert wurden. Weitere Informationen finden Sie unter Structured Exception Handling Overwrite Protection.For more information, see Structured Exception Handling Overwrite Protection.
  • Die Randomisierung des Adressraumlayouts (Address Space Layout Randomization, ASLR) lädt DLLs zur Startzeit in zufällige Speicheradressen, um Schadsoftware abzuwehren, die für den Angriff auf bestimmte Speicherorte konzipiert ist, an denen bestimmte DLLs geladen werden sollen. Weitere Informationen finden Sie unter Zufällige Adressraumlayouts. Um weitere ASLR-Schutzfunktionen in der folgenden Tabelle zu finden, suchen Sie nach IMAGES oder ASLR.

Im folgenden Verfahren wird beschrieben, wie Sie Gruppenrichtlinie verwenden, um einzelne Einstellungen für Prozessminderungsoptionen außer Kraft zu setzen.

So ändern Sie Prozessminderungsoptionen

  1. Öffnen Sie ihren Gruppenrichtlinie-Editor, und wechseln Sie zur Einstellung Administrative Vorlagen\System\Entschärfungsoptionen\Prozessminderungsoptionen.

    Screenshot des Gruppenrichtlinie-Editors: Prozessminderungsoptionen mit aktivierter Einstellung und aktiver Schaltfläche

  2. Klicken Sie auf Aktiviert, und klicken Sie dann im Bereich Optionen auf Anzeigen , um das Feld Inhalt anzeigen zu öffnen, in dem Sie Ihre Apps und die entsprechenden Bitflagwerte hinzufügen können, wie in den Abschnitten Festlegen des Bitfelds und Beispiel dieses Themas gezeigt.

    Wichtig

    Für jede App, die Sie einschließen möchten, müssen Sie Folgendes einschließen:

    • Wertname. Der Name der App-Datei, einschließlich der Erweiterung. Beispiel: iexplore.exe.
    • Wert. Ein Bitfeld mit einer Reihe von Bitflags an bestimmten Positionen. Bits können auf 0 festgelegt werden (wobei die Einstellung erzwungen wird), 1 (wobei die Einstellung erzwungen wird) oder ? (wobei die Einstellung den vorherigen vorhandenen Wert beibehält). Das Festlegen von Bitflags an positionen, die hier nicht angegeben sind ? , kann zu einem nicht definierten Verhalten führen.

    Screenshot des Gruppenrichtlinie-Editors: Prozessminderungsoptionen mit Feld

Festlegen des Bitfelds

Hier ist eine visuelle Darstellung der Bitflagsspeicherorte für die verschiedenen Einstellungen für Prozessminderungsoptionen:

Visuelle Darstellung der Bitflagsspeicherorte für die Einstellungen für Prozessminderungsoptionen.

Dabei werden die Bitflags von rechts nach links gelesen und wie folgt definiert:

Flag Bitspeicherort Einstellung Details
A 0 PROCESS_CREATION_MITIGATION_POLICY_DEP_ENABLE (0x00000001) Aktiviert die Datenausführungsverhinderung (Data Execution Prevention, DEP) für untergeordnete Prozesse.
B 1 PROCESS_CREATION_MITIGATION_POLICY_DEP_ATL_THUNK_ENABLE (0x00000002) Aktiviert die DEP-ATL-Thunk-Emulation für untergeordnete Prozesse. Die DEP-ATL-Thunk-Emulation ermöglicht es dem System, nicht ausführbare Fehler (NX) abzufangen, die von der Thunkebene der aktiven Vorlagenbibliothek (Active Template Library, ATL) stammen, und dann die Anweisungen zu emulieren und zu behandeln, damit der Prozess weiter ausgeführt werden kann.
C 2 PROCESS_CREATION_MITIGATION_POLICY_SEHOP_ENABLE (0x00000004) Aktiviert den überschreibungsschutz (Structured Exception Handler Overwrite Protection, SEHOP) für untergeordnete Prozesse. SEHOP hilft dabei, Exploits zu blockieren, die den Strukturierten Ausnahmehandler (SEH) overwrite-Technik verwenden.
D 8 PROCESS_CREATION_MITIGATION_POLICY_FORCE_RELOCATE_IMAGES_ALWAYS_ON (0x00000100) Verwendet die Einstellung Force Address Space Layout Randomization (ASLR), um so zu tun, als ob zur Ladezeit eine Imagebasiskollision aufgetreten wäre, wobei Bilder, die nicht mit dynamischer Basis kompatibel sind, zwangsbasiert werden. Images ohne den Basisverlagerungsabschnitt werden nicht geladen, wenn Verlagerungen erforderlich sind.
E 15 PROCESS_CREATION_MITIGATION_POLICY_BOTTOM_UP_ASLR_ALWAYS_ON (0x00010000) Aktiviert die Bottom-up-Randomisierungsrichtlinie, die Zufällige Stapeloptionen enthält und bewirkt, dass ein zufälliger Ort als niedrigste Benutzeradresse verwendet wird.
F 16 PROCESS_CREATION_MITIGATION_POLICY_BOTTOM_UP_ASLR_ALWAYS_OFF (0x00020000) Deaktiviert die Bottom-up-Randomisierungsrichtlinie, die Zufällige Stapeloptionen enthält und bewirkt, dass ein zufälliger Ort als niedrigste Benutzeradresse verwendet wird.

Beispiel

Wenn Sie die PROCESS_CREATION_MITIGATION_POLICY_DEP_ENABLE - und PROCESS_CREATION_MITIGATION_POLICY_FORCE_RELOCATE_IMAGES_ALWAYS_ON-Einstellungen aktivieren, die einstellung PROCESS_CREATION_MITIGATION_POLICY_BOTTOM_UP_ASLR_ALWAYS_OFF deaktivieren und alles andere als Standardwerte übernehmen möchten, sollten Sie den Wert ???????????????0???????1???????1eingeben.