导入、导出和部署 Exploit Protection 配置
适用于:
希望体验 Defender for Endpoint? 注册免费试用版。
Exploit Protection 有助于保护设备免受使用漏洞进行传播和感染的恶意软件的侵害。 它包含许多可在操作系统级别或单个应用级别应用的缓解措施。
使用 Windows 安全应用或 PowerShell 创建一组缓解措施(称为配置)。 然后,可以将此配置导出为 XML 文件,并将其与网络上的多个设备共享。 然后,它们都具有相同的缓解设置集。
创建和导出配置文件
导出配置文件之前,需要确保具有正确的设置。 首先,在单个专用设备上配置 Exploit Protection。 有关配置缓解措施的详细信息,请参阅 自定义 Exploit Protection。
将 Exploit Protection 配置为所需状态(包括系统级和应用级缓解措施)后,可以使用 Windows 安全应用或 PowerShell 导出文件。
使用 Windows 安全应用导出配置文件
通过选择任务栏中的防护图标打开 Windows 安全应用。 或在开始菜单中搜索“Windows 安全”。
选择“应用和浏览器控制”磁贴(或左侧菜单栏上的应用图标),然后选择“Exploit Protection 设置”:
在 Exploit protection 部分的底部,选择“导出设置”。 选择要在其中保存配置的 XML 文件的位置和名称。
重要
如果要使用默认配置,请使用设置“默认启用”,而不是“使用默认值(开)”以正确导出 XML 文件上的设置。
注意
导出设置时,将保存应用级和系统级缓解措施的所有设置。 这意味着无需从“系统设置”和“程序设置”部分导出文件(任何一个部分都将导出所有设置)。
使用 PowerShell 导出配置文件
在“开始”菜单中键入“PowerShell”,右键单击“Windows PowerShell”,并选择“以管理员身份运行”。
输入以下 cmdlet:
Get-ProcessMitigation -RegistryConfigFilePath filename.xml将
filename更改为所选的任何名称或位置。命令示例:
Get-ProcessMitigation -RegistryConfigFilePath C:\ExploitConfigfile.xml
重要
使用组策略部署配置时,将使用该配置的所有设备都必须能够访问配置文件。 确保将文件放置在共享位置。
导入配置文件
可以导入之前创建的 Exploit Protection 配置文件。 只能使用 PowerShell 导入配置文件。
导入后,设置将立即应用,并且可以在 Windows 安全应用中查看。
使用 PowerShell 导入配置文件
在“开始”菜单中键入“PowerShell”,右键单击“Windows PowerShell”,并选择“以管理员身份运行”。
输入以下 cmdlet:
Set-ProcessMitigation -PolicyFilePath filename.xml将
filename更改为 Exploit Protection XML 文件的位置和名称。命令示例:
Set-ProcessMitigation -PolicyFilePath C:\ExploitConfigfile.xml
重要
确保导入专为 Exploit Protection 创建的配置文件。
管理或部署配置
可以使用组策略将已创建的配置部署到网络中的多个设备。
重要
使用组策略部署配置时,将使用该配置的所有设备都必须能够访问配置 XML 文件。 确保将文件放置在共享位置。
使用组策略分发配置
在组策略管理设备上,打开“组策略管理控制台”,依次右键单击要配置的组策略对象和“编辑”。
在 策略管理编辑器中, 计算机配置 并选择 管理模板。
将树展开到 Windows 组件>Microsoft Defender Exploit Guard>Exploit Protection。
双击“使用一组常见的 Exploit Protection 设置”并将选项设置为“已启用”。
在“选项:”部分中,输入要使用的 Exploit Protection 配置文件的位置和文件名,如以下示例所示:
C:\MitigationSettings\Config.XML\\Server\Share\Config.xmlhttps://localhost:8080/Config.xmlC:\ExploitConfigfile.xml
选择“确定”,并 像平时一样部署更新的 GPO。
另请参阅
提示
想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender for Endpoint技术社区。