替代进程缓解选项，有助于强制实施与应用相关的安全策略

• 适用于:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Windows 包括组策略可配置的“进程缓解选项”，可添加针对基于内存的攻击的高级保护，即恶意软件操纵内存以获取系统控制权的攻击。 例如，恶意软件可能会尝试使用缓冲区溢出将恶意可执行代码注入内存，但进程缓解选项可以阻止恶意代码的运行。

重要提示

建议在部署到组织之前在测试实验室中尝试这些缓解措施，以确定它们是否干扰了组织所需的应用。

本文中的组策略设置与三种类型的过程缓解相关。 64 位应用程序默认启用这三种类型，但通过使用本文中所述的组策略设置，可以配置更多保护。 流程缓解的类型包括：

• 数据执行防护 (DEP) 是一项系统级内存保护功能，使操作系统能够将一页或多页内存标记为不可执行，从而防止从该内存区域运行代码，以帮助防止缓冲区溢出。 DEP 有助于防止从内存页面（例如，默认堆、堆叠和内存池）中运行代码。 有关详细信息，请参阅 数据执行防护。
• 结构化异常处理覆盖保护 (SEHOP) 旨在阻止使用结构化异常处理程序 (SEH) 覆盖技术的攻击。 由于此保护机制是在运行时提供的，因此无论应用是否使用最新改进进行编译，都有助于保护应用。 有关详细信息，请参阅 结构化异常处理覆盖保护。
• 地址空间布局随机化 (ASLR) 在启动时将 DLL 加载到随机内存地址中，以缓解旨在攻击特定内存位置（预计加载特定 DLL）的恶意软件。 有关详细信息，请参阅 地址空间布局随机化。 若要在下表中找到更多 ASLR 保护，请查找 IMAGES 或 ASLR。

以下过程介绍如何使用组策略替代单个 进程缓解选项 设置。

修改进程缓解选项

1. 打开组策略编辑器，转到 “管理模板\系统\缓解选项\流程缓解选项” 设置。

   

2. 选择 “已启用”，然后在 “选项” 区域中选择“ 显示 ”以打开“ 显示内容 ”框，可在其中添加应用和相应的位标志值，如本文的 “设置位字段 ”和 “示例” 部分所示。

   重要提示

   对于要包含的每个应用，必须包括：

   • 值名称。 应用文件名，包括扩展名。 例如，iexplore.exe。
   • 值。 具有一系列特定位置的位标志的位字段。 位可以设置为 0 () 强制关闭设置， 1 (在) 上强制设置，或 ? (设置保留以前的现有值) 。 将此处未指定的位置中的位标志设置为除其他任何位置之外 ? 可能会导致未定义的行为。

   

设置位字段

下面是各种进程缓解选项设置的位标志位置的可视化表示形式：

其中，位标志从右到左读取，并定义为：

旗帜	位位置	设置	详细信息
A	0	PROCESS_CREATION_MITIGATION_POLICY_DEP_ENABLE (0x00000001)	为子进程启用数据执行防护 (DEP) 。
B	1	PROCESS_CREATION_MITIGATION_POLICY_DEP_ATL_THUNK_ENABLE (0x00000002)	为子进程启用 DEP-ATL thunk 仿真。 DEP-ATL thunk 仿真使系统可以截获来自活动模板库 (ATL) thunk 层的不可执行 (NX) 错误，然后模拟并处理指令，以便进程可以继续运行。
C	2	PROCESS_CREATION_MITIGATION_POLICY_SEHOP_ENABLE (0x00000004)	为子进程启用结构化异常处理程序覆盖保护 (SEHOP) 。 SEHOP 有助于阻止使用结构化异常处理程序 (SEH) 覆盖技术的攻击。
D	8	PROCESS_CREATION_MITIGATION_POLICY_FORCE_RELOCATE_IMAGES_ALWAYS_ON (0x00000100)	使用强制地址空间布局随机化 (ASLR) 设置，就像在加载时发生映像基础冲突一样，强制重排与动态基础不兼容的图像基。 如果需要重定位，则不会加载没有基本重定位部分的图像。
E	15	PROCESS_CREATION_MITIGATION_POLICY_BOTTOM_UP_ASLR_ALWAYS_ON (0x00010000)	启用自下而上随机化策略，其中包括堆栈随机化选项，并导致随机位置用作最低用户地址。
F	16	PROCESS_CREATION_MITIGATION_POLICY_BOTTOM_UP_ASLR_ALWAYS_OFF (0x00020000)	关闭自下而上随机化策略，该策略包括堆栈随机化选项，并导致随机位置用作最低用户地址。

示例

如果要打开 PROCESS_CREATION_MITIGATION_POLICY_DEP_ENABLE 和 PROCESS_CREATION_MITIGATION_POLICY_FORCE_RELOCATE_IMAGES_ALWAYS_ON 设置，请关闭 PROCESS_CREATION_MITIGATION_POLICY_BOTTOM_UP_ASLR_ALWAYS_OFF 设置，并将其他所有内容保留为默认值，则需要键入值 ???????????????0???????1???????1。