Поделиться через

Включить защиту от эксплойтов

  • Статья

Область применения:

Совет

Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

Защита от эксплойтов позволяет защищаться от вредоносных программ, использующих эксплойты для заражения устройств и распространения. Защита от эксплойтов состоит из множества мер по устранению рисков, которые можно применять ко всей операционной системе или к отдельным приложениям.

Важно!

.NET 2.0 несовместим с некоторыми возможностями защиты от эксплойтов, в частности, с фильтрацией адресов экспорта (EAF) и фильтрацией адресов импорта (IAF). При включении .NET 2.0 использование EAF и IAF не будет поддерживаться.

Многие функции из набора средств EMET включены в защиту от эксплойтов.

Предварительные условия

В этом разделе содержатся рекомендации по успешному развертыванию защиты от эксплойтов.

Предупреждение

Если вы не тестируете и не используете безопасные методы развертывания, вы можете внести свой вклад в сбои производительности конечных пользователей.

Методики безопасного развертывания

Методики безопасного развертывания (SDP). Безопасные процессы и процедуры развертывания определяют, как безопасно вносить и развертывать изменения в рабочей нагрузке. Для реализации SDP необходимо думать о развертывании через призму управления рисками. Вы можете свести к минимуму риск сбоев производительности конечных пользователей в развертываниях и ограничить влияние проблемных развертываний на пользователей, реализовав SDP.

Начните с небольшого набора (например, от 10 до 50) устройств Windows и используйте его в качестве тестовой среды, чтобы увидеть, какие из 21 мер по устранению рисков несовместимы с защитой от эксплойтов. Удалите средства устранения рисков, несовместимые с приложением. Повторите действия с приложениями, на которые вы ориентируелись. После того как вы почувствуете, что политика готова к работе.

Начните с отправки сначала к пользовательскому приемочным тестам (UAT), состоящим из ИТ-администраторов, администраторов безопасности и сотрудников службы технической поддержки. Затем до 1%, 5%, 10%, 25%, 50%, 75% и, наконец, до 100% вашей среды.

Включение мер защиты от эксплойтов

Каждое из этих средств можно включить отдельно, используя любой из указанных способов.

Защита от эксплойтов настраивается по умолчанию в Windows 10 и Windows 11. Для каждой меры можно установить значение по умолчанию: "Вкл.", "Выкл." или "По умолчанию". Некоторые меры имеют больше параметров. Вы можете экспортировать эти параметры в формате XML-файла и развернуть их на других устройствах.

Вы также можете настроить для мер устранения рисков режим аудита. Режим аудита позволяет проверить эффективность мер (и просмотреть события), не влияя на обычное использование устройства.

Приложение "Безопасность Windows"

  1. Откройте приложение "Безопасность Windows", выбрав значок щита на панели задач или открыв меню "Пуск" и выбрав параметр Безопасность.

  2. Выберите плитку Управление приложениями и браузером (или значок приложения в левой панели меню), а затем выберите Параметры защиты от эксплойтов.

  3. Перейдите в Параметры программы и выберите приложение, к которому вы хотите применить меры.

    • Если приложение, которое вы хотите настроить, уже указано в списке, выберите его и нажмите Изменить.
    • Если приложение отсутствует в списке, в верхней части списка выберите Добавить программу для настройки , а затем выберите способ добавления приложения.
    • Используйте Добавить по имени программы, чтобы применить меры к любым запущенным процессам с таким именем. Укажите файл с расширением. Вы можете ввести полный путь, чтобы ограничить применение мер только приложением с таким именем в этом расположении.
    • Нажмите Выбрать точный путь файла, чтобы использовать стандартное окно выбора файлов проводника Windows Explorer для поиска и выбора нужного файла.

  4. После выбора приложения вы увидите список всех мер, которые можно применить. При выборе аудита применяется устранение рисков только в режиме аудита. Вы получите уведомление, если вам нужно перезапустить процесс или приложение, или если вам нужно перезапустить Windows.

  5. Повторите шаги 3–4 для всех приложений и мер, которые вы хотите настроить.

  6. В разделе Параметры системы найдите меры, которые необходимо настроить, и укажите один из следующих параметров. Приложения, которые не настроены индивидуально в разделе Параметры программы, используют параметры, настроенные здесь.

    • Включено по умолчанию: эта мера включена для приложений, для которых она не задана в разделе Параметры программы для конкретного приложения
    • Выключено по умолчанию: эта мера выключена для приложений, для которых она не задана в разделе Параметры программы для конкретного приложения
    • Использовать значение по умолчанию: эта мера включена или отключена в зависимости от конфигурации по умолчанию, настроенной при установке Windows 10 или Windows 11; значение по умолчанию (вкл. или выкл.) всегда указывается рядом с меткой Использовать по умолчанию для каждой меры

  7. Повторите шаг 6 для всех приложений и мер, которые вы хотите настроить. После настройки конфигурации выберите Применить.

Если добавить приложение в раздел Параметры программы и настроить там отдельные параметры защиты, они будут учитываться выше конфигурации для устранения рисков, указанных в разделе Параметры системы . В следующей матрице и примерах показано, как работают значения по умолчанию:

Включено в Параметрах программы Включено в Параметрах системы Поведение
Да Нет Как определено в Параметрах программы
Да Да Как определено в Параметрах программы
Нет Да Как определено в Параметрах системы
Нет Нет По умолчанию, как определено в параметре Использовать по умолчанию

Пример 1. Майкл настраивает для предотвращения выполнения данных в разделе параметров системы значение «Выключено по умолчанию».

Майкл добавляет приложение test.exe в раздел Параметры программы. В параметрах этого приложения для предотвращения выполнения данных (DEP) Майкл включает параметр Переопределение параметров системы и устанавливает переключатель на Включено. В разделе Параметры программы нет других приложений.

В результате предотвращение выполнения данных (DEP) включено только для test.exe Для всех остальных приложений не будет применяться DEP.

Пример 2. Джози настраивает для предотвращения выполнения данных в разделе параметров системы значение «Выключено по умолчанию».

Джози добавляет приложение test.exe в раздел Параметры программы. В параметрах этого приложения для предотвращения выполнения данных (DEP) Джози включает параметр Переопределение параметров системы и устанавливает переключатель на Включено.

Джози также добавляет приложение miles.exe в раздел Параметры программы и настраивает для Защиты потока управления (CFG) значение Включено. Джози не включает параметр Переопределение параметров системы для DEP или других мер для этого приложения.

В результате предотвращение выполнения данных (DEP) включено для test.exe. DEP не будет включен для любого другого приложения, включая miles.exe. Параметр CFG будет включен для miles.exe.

  1. Откройте приложение \"Безопасность Windows\", выбрав значок щита на панели задач или открыв меню "Пуск" и выбрав параметр Безопасность Windows.

  2. Выберите плитку Управление приложениями и браузером (или значок приложения в левой панели меню), а затем выберите Защита от эксплойтов.

  3. Перейдите в Параметры программы и выберите приложение, к которому вы хотите применить меры.

    • Если приложение, которое вы хотите настроить, уже указано в списке, выберите его и нажмите Изменить.
    • Если приложение отсутствует в списке, в верхней части списка выберите Добавить программу для настройки , а затем выберите способ добавления приложения.
      • Используйте Добавить по имени программы, чтобы применить меры к любым запущенным процессам с таким именем. Укажите файл с расширением. Вы можете ввести полный путь, чтобы ограничить применение мер только приложением с таким именем в этом расположении.
      • Нажмите Выбрать точный путь файла, чтобы использовать стандартное окно выбора файлов проводника Windows Explorer для поиска и выбора нужного файла.

  4. После выбора приложения вы увидите список всех мер, которые можно применить. При выборе аудита применяется устранение рисков только в режиме аудита. Вы получите уведомление, если вам нужно перезапустить процесс или приложение, или если вам нужно перезапустить Windows.

  5. Повторите шаги 3–4 для всех приложений и мер, которые вы хотите настроить. После настройки конфигурации выберите Применить.

Intune

  1. Войдите на портал Azure и откройте Intune.

  2. Перейдите в раздел Конфигурация устройства>Профили> конфигурацииСоздать профиль.

  3. Присвойте профильу имя, выберите Windows 10 и более поздних версий, выберите шаблоны для параметра Тип профиля и выберите Endpoint Protection под именем шаблона.

    Профиль создания защиты конечной точки

  4. Выберите Настроить>защиту от эксплойтов>в Защитнике Windows.

  5. Загрузите файл XML с параметрами защиты от эксплойтов:

    Параметр \

  6. Выберите OK, чтобы сохранить каждую открытую колонку, а затем нажмите Создать.

  7. Выберите вкладку Назначения профиля, назначьте политику всем пользователям и устройствам, а затем нажмите Сохранить.

MDM

Используйте поставщик услуг конфигурации (CSP) ./Vendor/MSFT/Policy/Config/ExploitGuard/ExploitProtectionSettings для включения или выключения мер защиты от эксплойтов или для применения режима аудита.

Microsoft Configuration Manager

Безопасность конечной точки

  1. В Microsoft Configuration Manager перейдите кразделу Сокращение зоны атак с безопасностью> конечных точек.

  2. Выберите Создатьплатформуполитики>, а в поле Профиль выберите Защита от эксплойтов. Затем нажмите кнопку Создать.

  3. Укажите имя и описание, а затем нажмите Далее.

  4. Нажмите Выбрать XML-файл и перейдите к расположению XML-файла защиты от эксплойтов. Выберите файл, а затем нажмите Далее.

  5. При необходимости настройте теги области и назначения.

  6. Во вкладке Проверка и создание просмотрите ваши параметры конфигурации и выберите Создать.

Ресурсы и соответствие требованиям

  1. В Microsoft Configuration Manager перейдите в раздел Активы и соответствие>Endpoint Protection>Exploit Guard в Защитнике Windows.

  2. Выберите HomeCreate Exploit Guard Policy (Создать> политику Exploit Guard).

  3. Укажите имя и описание, выберите параметр Защита от эксплойтов, а затем нажмите Далее.

  4. Перейдите к расположению XML-файла защиты от эксплойтов и нажмите Далее.

  5. Проверьте параметры и нажмите кнопку Далее, чтобы создать политику.

  6. После создания политики нажмите Закрыть.

Групповая политика

  1. На устройстве управления групповая политика откройте консоль управления групповая политика. Щелкните правой кнопкой мыши объект групповая политика, который требуется настроить, и выберите изменить.

  2. В редакторе управления групповыми политиками перейдите к конфигурации компьютера и выберите Административные шаблоны.

  3. Разверните дерево на компоненты WindowsExploit Guard > Защитаэксплойтов>> вЗащитнике WindowsИспользуйте общий набор параметров защиты от эксплойтов.

  4. Выберите Включено и введите расположение XML-файла, а затем нажмите ОК.

PowerShell

Вы можете использовать глагол PowerShell Get или Set командлет ProcessMitigation. С помощью Get выводит список текущего состояния конфигурации для всех мер по устранению рисков, включенных на устройстве. -Name Добавьте командлет и exe приложения, чтобы просмотреть способы устранения рисков только для этого приложения:

Get-ProcessMitigation -Name processName.exe

Важно!

Ненастроенные меры защиты на уровне системы будут показывать состояние NOTSET.

  • Для системных параметров NOTSET обозначает, что для этой меры защиты задано значение по умолчанию.
  • Для параметров на уровне приложения NOTSET обозначает, что для этой меры защиты будет задано значение на уровне системы. Параметр по умолчанию для каждой меры защиты на уровне системы можно увидеть в разделе \"Безопасность Windows\".

Используйте Set для настройки каждой меры в следующем формате:

Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>

Где:

  • <Область:>
    • -Name для указания мер, которые следует применить к определенному приложению. Укажите исполняемый файл приложения после того, как поставите этот флажок.
      • -System для указания мер, которые следует применить на уровне системы
  • <Действие>:
    • -Enable, чтобы включить меры
    • -Disable, чтобы отключить меры
  • <Устранение рисков>.
    • Командлет меры вместе с любыми подопциями (в окружении пробелов). Каждая мера отделена запятой.

Например, для включения предотвращения выполнения данных (DEP) с эмуляцией преобразователя ATL, а также для исполняемого файла с названием testing.exe в папке C:\Apps\LOB\tests и предотвращения создания этим исполняемым файлом дочерних процессов необходимо использовать следующую команду:

Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable DEP, EmulateAtlThunks, DisallowChildProcessCreation

Важно!

Отделяйте каждый параметр меры запятой.

Чтобы применить DEP на уровне системы, необходимо использовать следующую команду:

Set-Processmitigation -System -Enable DEP

Чтобы отключить меры, можно заменить -Enable на -Disable. Однако для мер на уровне приложения это действие приведет к отключению меры только для этого приложения.

Если необходимо восстановить меры по умолчанию, включите командлет -Remove, как показано в следующем примере:

Set-Processmitigation -Name test.exe -Remove -Disable DEP

В следующей таблице перечислены отдельные мерыаудиты, если применимо) для использования с параметрами командлета -Enable или -Disable.

Тип устранения рисков Сфера применения Ключевое слово параметра командлета для устранения рисков Параметр командлета для режима аудита
Защита потока управления (CFG) Уровень системы и уровень приложения CFG, StrictCFG, SuppressExports Аудит недоступен
Предотвращение выполнения данных (DEP) Уровень системы и уровень приложения DEP, EmulateAtlThunks Аудит недоступен
Принудительный случайный выбор изображений (обязательный ASLR) Уровень системы и уровень приложения ForceRelocateImages Аудит недоступен
Случайные выделения памяти (ASLR снизу вверх) Уровень системы и уровень приложения BottomUp, HighEntropy Аудит недоступен
Проверка цепочек исключений (SEHOP) Уровень системы и уровень приложения SEHOP, SEHOPTelemetry Аудит недоступен
Проверка целостности кучи Уровень системы и уровень приложения TerminateOnError Аудит недоступен
Механизм Arbitrary code guard (ACG) Только на уровне приложения DynamicCode AuditDynamicCode
Блокировать изображений с низкой целостностью Только на уровне приложения BlockLowLabel AuditImageLoad
Блокировать удаленные изображения Только на уровне приложения BlockRemoteImages Аудит недоступен
Блокировка ненадежные шрифты Только на уровне приложения DisableNonSystemFonts AuditFont, FontAuditOnly
Защита целостности кода Только на уровне приложения BlockNonMicrosoftSigned, AllowStoreSigned AuditMicrosoftSigned, AuditStoreSigned
Отключить точки расширения Только на уровне приложения ExtensionPoint Аудит недоступен
Отключить системные вызовы Win32k Только на уровне приложения DisableWin32kSystemCalls AuditSystemCall
Не разрешать дочерние процессы Только на уровне приложения DisallowChildProcessCreation AuditChildProcess
Фильтрация адресов экспорта (EAF) Только на уровне приложения EnableExportAddressFilterPlus, EnableExportAddressFilter[1] Аудит недоступен [2]
Фильтрация адресов импорта (IAF) Только на уровне приложения EnableImportAddressFilter Аудит недоступен [2]
Имитация выполнения (SimExec) Только на уровне приложения EnableRopSimExec Аудит недоступен [2]
Проверка вызова API (CallerCheck) Только на уровне приложения EnableRopCallerCheck Аудит недоступен [2]
Проверка использования дескриптора Только на уровне приложения StrictHandle Аудит недоступен
Проверка целостности зависимостей изображения Только на уровне приложения EnforceModuleDepencySigning Аудит недоступен
Проверка целостности стека (StackPivot) Только на уровне приложения EnableRopStackPivot Аудит недоступен [2]

[1]: Используйте следующий формат, чтобы включить модули EAF для библиотек DLL для процесса:

Set-ProcessMitigation -Name processName.exe -Enable EnableExportAddressFilterPlus -EAFModules dllName1.dll,dllName2.dll

[2]. Аудит для этой защиты недоступен с помощью командлетов PowerShell.

Настройка уведомлений

Дополнительные сведения о настройке уведомлений при срабатывании правила и блокировке приложения или файла см. в разделе Безопасность Windows.

Удаление мер защиты от эксплойтов

Сведения о сбросе (отмене или удалении) мер защиты от эксплойтов см. в справочнике по защите от эксплойтов.

См. также

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.