Partager via


SetProcessMitigationPolicy, fonction (processthreadsapi.h)

Définit une stratégie d’atténuation pour le processus d’appel. Les stratégies d’atténuation permettent à un processus de se renforcer contre différents types d’attaques.

Syntaxe

BOOL SetProcessMitigationPolicy(
  [in] PROCESS_MITIGATION_POLICY MitigationPolicy,
  [in] PVOID                     lpBuffer,
  [in] SIZE_T                    dwLength
);

Paramètres

[in] MitigationPolicy

Stratégie d’atténuation à appliquer. Ce paramètre peut prendre les valeurs suivantes.

Valeur Signification
ProcessDEPPolicy Stratégie de prévention de l’exécution des données (DEP) du processus.
Le paramètre lpBuffer pointe vers une structure PROCESS_MITIGATION_DEP_POLICY qui spécifie les indicateurs de stratégie DEP.
ProcessASLRPolicy Stratégie de randomisation de la disposition de l’espace d’adressage (ASLR) du processus.
Le paramètre lpBuffer pointe vers une structure PROCESS_MITIGATION_ASLR_POLICY qui spécifie les indicateurs de stratégie ASLR.
ProcessDynamicCodePolicy Stratégie de code dynamique du processus. Lorsqu’il est activé, le processus ne peut pas générer de code dynamique ni modifier le code exécutable existant.
Le paramètre lpBuffer pointe vers une structure PROCESS_MITIGATION_DYNAMIC_CODE_POLICY qui spécifie les indicateurs de stratégie de code dynamique.
ProcessStrictHandleCheckPolicy Le processus reçoit une erreur irrécupérable s’il manipule un handle qui n’est pas valide.
Le paramètre lpBuffer pointe vers une structure PROCESS_MITIGATION_STRICT_HANDLE_CHECK_POLICY qui spécifie le handle case activée indicateurs de stratégie.
ProcessSystemCallDisablePolicy Désactive la possibilité d’utiliser les fonctions NTUser/GDI au niveau de la couche la plus basse.
Le paramètre lpBuffer pointe vers une structure PROCESS_MITIGATION_SYSTEM_CALL_DISABLE_POLICY qui spécifie les indicateurs de stratégie de désactivation de l’appel système.
ProcessMitigationOptionsMask Retourne le masque des bits valides pour toutes les options d’atténuation sur le système. Une application peut définir de nombreuses options d’atténuation sans interroger le système d’exploitation pour les options d’atténuation en combinant le bit avec le masque pour exclure tous les bits non pris en charge à la fois.
Le paramètre lpBuffer pointe vers un vecteur de bits ULONG64 pour le masque, ou pour prendre en charge plus de 64 bits, un tableau à deux éléments de vecteurs ULONG64 bits.
ProcessExtensionPointDisablePolicy Le paramètre lpBuffer pointe vers une structure de PROCESS_MITIGATION_EXTENSION_POINT_DISABLE_POLICY qui spécifie les indicateurs de stratégie de désactivation du point d’extension.
ProcessControlFlowGuardPolicy Stratégie CFG (Control Flow Guard) du processus.
Le paramètre lpBuffer pointe vers une structure PROCESS_MITIGATION_CONTROL_FLOW_GUARD_POLICY qui spécifie les indicateurs de stratégie CFG.
ProcessSignaturePolicy Stratégie d’un processus qui peut limiter le chargement d’images aux images signées par Microsoft, par le Windows Store ou par Microsoft, le Windows Store et les laboratoires de qualité matérielle Windows (WHQL).
le paramètre he lpBuffer pointe vers une structure PROCESS_MITIGATION_BINARY_SIGNATURE_POLICY qui spécifie les indicateurs de stratégie de signature.
ProcessFontDisablePolicy Stratégie concernant le chargement des polices pour le processus. Lorsqu’il est activé, le processus ne peut pas charger les polices non système.
Le paramètre lpBuffer pointe vers une structure PROCESS_MITIGATION_FONT_DISABLE_POLICY qui spécifie les indicateurs de stratégie pour le chargement des polices.
ProcessImageLoadPolicy Stratégie concernant le chargement d’images pour le processus, qui détermine les types d’images exécutables autorisées à être mappées dans le processus. Lorsqu’elle est activée, les images ne peuvent pas être chargées à partir de certains emplacements, par exemple des appareils distants ou des fichiers dont l’étiquette est faible.
Le paramètre lpBuffer pointe vers une structure PROCESS_MITIGATION_IMAGE_LOAD_POLICY qui spécifie les indicateurs de stratégie pour le chargement d’images.
ProcessRedirectionTrustPolicy Stratégie RedirectionGuard d’un processus. Le paramètre lpBuffer pointe vers une structure PROCESS_MITIGATION_REDIRECTION_TRUST_POLICY qui spécifie le mode d’atténuation.
ProcessSideChannelIsolationPolicy Windows 10, version 1809 et versions ultérieures : stratégie concernant l’isolation des canaux latéraux pour le processus spécifié.
Le paramètre lpBuffer pointe vers une structure de PROCESS_MITIGATION_SIDE_CHANNEL_ISOLATION_POLICY qui spécifie les indicateurs de stratégie pour l’isolation du canal latéral.
ProcessUserShadowStackPolicy Windows 10, version 2004 et ultérieures : stratégie concernant la protection de la pile appliquée par le matériel en mode utilisateur pour le processus.
Le paramètre lpBuffer pointe vers une structure de PROCESS_MITIGATION_USER_SHADOW_STACK_POLICY qui spécifie les indicateurs de stratégie pour la protection de la pile appliquée par le matériel en mode utilisateur.

[in] lpBuffer

Si le paramètre MitigationPolicy est ProcessDEPPolicy, ce paramètre pointe vers une structure PROCESS_MITIGATION_DEP_POLICY qui spécifie les indicateurs de stratégie DEP.

Si le paramètre MitigationPolicy est ProcessASLRPolicy, ce paramètre pointe vers une structure PROCESS_MITIGATION_ASLR_POLICY qui spécifie les indicateurs de stratégie ASLR.

Si le paramètre MitigationPolicy est ProcessImageLoadPolicy, ce paramètre pointe vers une structure PROCESS_MITIGATION_IMAGE_LOAD_POLICY qui reçoit les indicateurs de stratégie pour le chargement d’images.

Si le paramètre MitigationPolicy est ProcessStrictHandleCheckPolicy, ce paramètre pointe vers une structure de PROCESS_MITIGATION_STRICT_HANDLE_CHECK_POLICY qui spécifie le handle case activée indicateurs de stratégie.

Si le paramètre MitigationPolicy est ProcessSystemCallDisablePolicy, ce paramètre pointe vers une structure de PROCESS_MITIGATION_SYSTEM_CALL_DISABLE_POLICY qui spécifie les indicateurs de stratégie de désactivation de l’appel système.

Si le paramètre MitigationPolicy est ProcessMitigationOptionsMask, ce paramètre pointe vers un vecteur de bits ULONG64 pour le masque, ou pour prendre en charge plus de 64 bits, un tableau à deux éléments de vecteurs ULONG64 bits.

Si le paramètre MitigationPolicy est ProcessExtensionPointDisablePolicy, ce paramètre pointe vers une structure PROCESS_MITIGATION_EXTENSION_POINT_DISABLE_POLICY qui spécifie les indicateurs de stratégie de désactivation du point d’extension.

Si le paramètre MitigationPolicy est ProcessControlFlowGuardPolicy, ce paramètre pointe vers une structure PROCESS_MITIGATION_CONTROL_FLOW_GUARD_POLICY qui spécifie les indicateurs de stratégie CFG.

Si le paramètre MitigationPolicy est ProcessSignaturePolicy, ce paramètre pointe vers une structure PROCESS_MITIGATION_BINARY_SIGNATURE_POLICY qui spécifie les indicateurs de stratégie de signature.

Si le paramètre MitigationPolicy est ProcessFontDisablePolicy, ce paramètre pointe vers une structure PROCESS_MITIGATION_FONT_DISABLE_POLICY qui spécifie les indicateurs de stratégie pour le chargement des polices.

Si le paramètre MitigationPolicy est ProcessImageLoadPolicy, ce paramètre pointe vers une structure PROCESS_MITIGATION_IMAGE_LOAD_POLICY qui spécifie les indicateurs de stratégie pour le chargement d’images.

Si le paramètre MitigationPolicy est ProcessRedirectionTrustPolicy, ce paramètre pointe vers une structure PROCESS_MITIGATION_REDIRECTION_TRUST_POLICY qui spécifie le mode d’atténuation.

Si le paramètre MitigationPolicy est ProcessUserShadowStackPolicy, ce paramètre pointe vers une structure de PROCESS_MITIGATION_USER_SHADOW_STACK_POLICY qui spécifie les indicateurs de stratégie pour la protection de la pile en mode utilisateur appliquée par le matériel.

[in] dwLength

Taille de lpBuffer, en octets.

Valeur retournée

Si la fonction réussit, elle retourne TRUE. Si la fonction échoue, elle retourne FALSE. Pour récupérer les valeurs d’erreur définies pour cette fonction, appelez GetLastError.

Remarques

La définition d’une stratégie d’atténuation pour un processus permet d’empêcher un attaquant d’exploiter les failles de sécurité. Utilisez la fonction SetProcessMitigationPolicy pour activer ou désactiver l’atténuation de la sécurité par programme.

Pour une efficacité maximale, les stratégies d’atténuation doivent être appliquées avant ou pendant l’initialisation du processus. Par exemple, la définition de la stratégie ASLR qui permet le déplacement forcé des images n’est efficace que si elle est appliquée avant que toutes les images d’un processus aient été chargées.

Les stratégies d’atténuation ASLR ne peuvent pas être rendues moins restrictives une fois qu’elles ont été appliquées.

Pour compiler une application qui utilise cette fonction, définissez _WIN32_WINNT >= 0x0602. Pour plus d’informations, consultez Utilisation des en-têtes Windows.

Configuration requise

Condition requise Valeur
Client minimal pris en charge Windows 8 [applications de bureau uniquement]
Serveur minimal pris en charge Windows Server 2012 [applications de bureau uniquement]
Plateforme cible Windows
En-tête processthreadsapi.h
Bibliothèque Kernel32.lib
DLL Kernel32.dll