Переопределение параметров устранения рисков процесса для применения политик безопасности, связанных с приложениями

• Применяется к:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Windows включает настраиваемые групповой политикой "Параметры устранения рисков процесса", которые добавляют расширенные средства защиты от атак на основе памяти, то есть атак, когда вредоносные программы управляют памятью для получения контроля над системой. Например, вредоносная программа может попытаться использовать переполнение буфера для внедрения вредоносного исполняемого кода в память, но параметры устранения рисков процесса могут препятствовать выполнению вредоносного кода.

Важно.

Мы рекомендуем попробовать эти способы устранения рисков в лаборатории тестирования перед развертыванием в организации, чтобы определить, мешают ли они работе с необходимыми приложениями вашей организации.

Параметры групповая политика в этом разделе связаны с тремя типами устранения рисков процесса. Все три типа включены по умолчанию для 64-разрядных приложений, но с помощью параметров групповая политика, описанных в этом разделе, можно настроить дополнительные средства защиты. Ниже приведены типы мер по устранению рисков процессов.

• Защита от выполнения данных (DEP) — это функция защиты памяти на уровне системы, которая позволяет операционной системе отмечать одну или несколько страниц памяти как неисполняемые, предотвращая выполнение кода из этой области памяти, чтобы предотвратить использование переполнения буфера. Данное средство позволяет предотвратить запуск кода на страницах данных, таких как используемая по умолчанию куча, стеки и пулы памяти. Дополнительные сведения см. в разделе Защита от выполнения данных.
• Структурированная защита от перезаписи обработки исключений (SEHOP) предназначена для блокировки эксплойтов, использующих метод перезаписи структурированного обработчика исключений (SEH). Так как этот механизм защиты предоставляется во время выполнения, он помогает защитить приложения независимо от того, были ли они скомпилированы с помощью последних улучшений. Дополнительные сведения см. в разделе Защита от перезаписи для обработки структурированных исключений.
• Рандомизация макета адресного пространства (ASLR) загружает библиотеки DLL в случайные адреса памяти во время загрузки для устранения вредоносных программ, предназначенных для атак на определенные расположения памяти, где ожидается загрузка определенных библиотек DLL. Дополнительные сведения см. в статье Рандомизация макета адресного пространства. Чтобы найти дополнительные защиты ASLR в таблице ниже, найдите IMAGES или ASLR.

В следующей процедуре описывается использование групповая политика для переопределения отдельных параметров защиты от процесса.

Изменение параметров устранения рисков процесса

1. Откройте редактор групповая политика и перейдите к параметру Административные шаблоны\System\Mitigation Options\Process Mitigation Options (Параметры устранения рисков).

   

2. Щелкните Включено, а затем в области Параметры нажмите кнопку Показать , чтобы открыть поле Показать содержимое , в котором вы сможете добавить приложения и соответствующие значения битового флага, как показано в разделах Настройка битового поля и Примеры этой статьи.

   Важно.

   Для каждого приложения, которое вы хотите включить, необходимо включить следующее:

   • Имя значения. Имя файла приложения, включая расширение. Например, iexplore.exe.
   • Значение. Битовое поле с рядом битовых флагов в определенных позициях. Битам можно задать значение 0 (если параметр принудительно отключен), 1 (если параметр принудительно включен) или ? (если параметр сохраняет предыдущее, существующее значение). Задание битовых флагов в позициях, не указанных здесь, ничего кроме ? может привести к неопределенному поведению.

   

Задание битового поля

Ниже представлено визуальное представление расположений битовых флагов для различных параметров защиты от процесса:

Где битовые флаги считываются справа налево и определяются как:

Flag	Расположение бита	Параметр	Сведения
A	0	PROCESS_CREATION_MITIGATION_POLICY_DEP_ENABLE (0x00000001)	Включает предотвращение выполнения данных (DEP) для дочерних процессов.
B	1	PROCESS_CREATION_MITIGATION_POLICY_DEP_ATL_THUNK_ENABLE (0x00000002)	Включает эмуляцию thunk DEP-ATL для дочерних процессов. Эмуляция thunk DEP-ATL позволяет системе перехватывать ошибки, не являющиеся исполняемыми (NX) из слоя thunk библиотеки активных шаблонов (ATL), а затем эмулировать и обрабатывать инструкции, чтобы процесс можно было продолжать выполнять.
C	2	PROCESS_CREATION_MITIGATION_POLICY_SEHOP_ENABLE (0x00000004)	Включает защиту от перезаписи структурированного обработчика исключений (SEHOP) для дочерних процессов. SEHOP помогает блокировать эксплойты, использующие метод перезаписи структурированного обработчика исключений (SEH).
D	8	PROCESS_CREATION_MITIGATION_POLICY_FORCE_RELOCATE_IMAGES_ALWAYS_ON (0x00000100)	Использует параметр force Address Space Layout Randomization (ASLR), чтобы действовать так, как будто во время загрузки произошло столкновение базы образов, принудительно переместив образы, которые не совместимы с динамической базой. Изображения без базового раздела перемещения не загружаются, если требуется перемещение.
E	15	PROCESS_CREATION_MITIGATION_POLICY_BOTTOM_UP_ASLR_ALWAYS_ON (0x00010000)	Включает политику рандомизации снизу вверх, которая включает параметры рандомизации стека и приводит к использованию случайного расположения в качестве наименьшего адреса пользователя.
F	16	PROCESS_CREATION_MITIGATION_POLICY_BOTTOM_UP_ASLR_ALWAYS_OFF (0x00020000)	Отключает политику рандомизации снизу вверх, которая включает параметры рандомизации стека и приводит к использованию случайного расположения в качестве наименьшего адреса пользователя.

Пример

Если вы хотите включить параметры PROCESS_CREATION_MITIGATION_POLICY_DEP_ENABLE и PROCESS_CREATION_MITIGATION_POLICY_FORCE_RELOCATE_IMAGES_ALWAYS_ON , отключить параметр PROCESS_CREATION_MITIGATION_POLICY_BOTTOM_UP_ASLR_ALWAYS_OFF и оставить все остальные значения в качестве значений по умолчанию, введите значение ???????????????0???????1???????1.