Windows 10'da Windows Defender Exploit korumasını yapılandırın
- Kategori: Pencereler
Exploit koruması, Microsoft'un işletim sisteminin Fall Creators Update'inde sunduğu yeni bir Windows Defender güvenlik özelliğidir.
Exploit Guard istismar korumasını içeren bir dizi özelliktir, saldırı yüzeyi azaltma , ağ koruması ve kontrollü klasör erişimi .
Exploit koruması, en iyi şekilde Microsoft'un EMET - Exploit Mitigation Experience Toolkit'in entegre bir sürümü olarak tanımlanabilir - şirketin 2018 ortasında emekli olacak .
Microsoft, daha önce şirketin Windows 10 işletim sisteminin Windows ile birlikte EMET çalıştırmayı gereksiz kılar ; en az bir araştırmacı Microsoft'un iddiasını yalanladı.
Windows Defender Exploit koruması
Windows Defender etkinse, açıktan yararlanma koruması varsayılan olarak etkindir. Bu özellik, Windows Defender'da gerçek zamanlı korumanın etkinleştirilmesini gerektirmeyen tek Exploit Guard özelliğidir.
Özellik, Windows Defender Güvenlik Merkezi uygulamasında, PowerShell komutları aracılığıyla veya ilkeler olarak yapılandırılabilir.
Windows Defender Güvenlik Merkezi uygulamasında yapılandırma
Kötüye kullanım korumasını Windows Defender Güvenlik Merkezi uygulamasında yapılandırabilirsiniz.
- Ayarlar uygulamasını açmak için Windows-I'i kullanın.
- Güncelleme ve Güvenlik> Windows Defender'a gidin.
- Windows Defender Güvenlik Merkezini Aç'ı seçin.
- Açılan yeni pencerede kenar çubuğu bağlantısı olarak listelenen Uygulama ve tarayıcı kontrolünü seçin.
- Sayfadaki istismar koruması girişini bulun ve yararlanma koruma ayarlarına tıklayın.
Ayarlar, Sistem Ayarları ve Program Ayarları olarak ikiye ayrılır.
Sistem ayarları, mevcut koruma mekanizmalarını ve durumlarını listeler. Aşağıdakiler Windows 10 Fall Creators Güncellemesinde mevcuttur:
- Kontrol Akışı Koruması (CFG) - varsayılan olarak açıktır.
- Veri Yürütme Engellemesi (DEP) - varsayılan olarak açıktır.
- Görüntüler için randomizasyonu zorla (Zorunlu ASLR) - varsayılan olarak kapalı.
- Bellek ayırmalarını rastgele hale getirin (Aşağıdan yukarıya ASLR) - varsayılan olarak açık.
- İstisna zincirlerini (SEHOP) doğrula - varsayılan olarak açıktır.
- Yığın bütünlüğünü doğrulayın - varsayılan olarak açık.
Herhangi bir seçeneğin durumunu 'varsayılan olarak açık', 'varsayılan olarak kapalı' veya 'varsayılanı kullan' olarak değiştirebilirsiniz.
Program ayarları, ayrı programlar ve uygulamalar için korumayı özelleştirme seçenekleri sunar. Bu, belirli programlar için Microsoft EMET'e özel durumlar ekleyebilmenize benzer şekilde çalışır; bir program belirli koruyucu modüller etkinleştirildiğinde hatalı davranırsa iyidir.
Pek çok programın varsayılan olarak istisnaları vardır. Buna svchost.exe, spools.exe, runtimebroker.exe, iexplore.exe ve diğer çekirdek Windows programları dahildir. Dosyaları seçip düzenle seçeneğine tıklayarak bu istisnaları geçersiz kılabileceğinizi unutmayın.
İstisnalar listesine ada veya tam dosya yoluna göre bir program eklemek için 'özelleştirmek için program ekle'yi tıklayın.
Program ayarları altında eklediğiniz her program için desteklenen tüm korumaların durumunu ayrı ayrı ayarlayabilirsiniz. Sistem varsayılanını geçersiz kılmanın ve bunu bir ya da kapatmaya zorlamanın yanı sıra, onu 'yalnızca denetim' olarak ayarlama seçeneği de vardır. İkincisi, korumanın durumu açık olsaydı tetiklenecek olayları kaydeder, ancak yalnızca olayı Windows olay günlüğüne kaydeder.
Program Ayarları, yalnızca uygulama düzeyinde çalışmak üzere yapılandırıldıkları için sistem ayarları altında yapılandıramayacağınız ek koruma seçeneklerini listeler.
Bunlar:
- Keyfi kod koruması (ACG)
- Düşük bütünlüklü görüntüleri üfleyin
- Uzak resimleri engelle
- Güvenilmeyen yazı tiplerini engelleyin
- Kod bütünlüğü koruması
- Uzatma noktalarını devre dışı bırakın
- Win32 sistem çağrılarını devre dışı bırakın
- Alt işlemlere izin verme
- İhracat adresi filtreleme (EAF)
- Adres filtrelemeyi içe aktar (IAF)
- Yürütme simülasyonu (SimExec)
- API çağrısını doğrulama (CallerCheck)
- Tanıtıcı kullanımını doğrulayın
- Görüntü bağımlılığı entegrasyonunu doğrulayın
- Yığın bütünlüğünü doğrulayın (StackPivot)
PowerShell kullanarak istismar korumasını yapılandırma
Azaltmaları ayarlamak, kaldırmak veya listelemek için PowerShell'i kullanabilirsiniz. Aşağıdaki komutlar mevcuttur:
Belirtilen işlemin tüm azaltıcı etkenlerini listelemek için: Get-ProcessMitigation -Name processName.exe
Azaltmaları ayarlamak için: Set-ProcessMitigation - - ,,
- Kapsam: -Sistem veya -Adı.
- Eylem: -Enable veya -Disable'dır.
- Azaltma: Azaltmanın adı. Aşağıdaki tabloya bakın. Azaltmaları virgülle ayırabilirsiniz.
Örnekler:
- Set-Processmitigation -Sistem - DEP'yi Etkinleştir
- Set-Processmitigation -Name test.exe -Kaldır -Devre dışı bırak DEP
- Set-ProcessMitigation -Name processName.exe -EnableExportAddressFilterPlus -EAFModules dllName1.dll, dllName2.dll
hafifletme | İçin geçerlidir | PowerShell cmdlet'leri | Denetim modu cmdlet'i |
---|---|---|---|
Kontrol akış koruyucusu (CFG) | Sistem ve uygulama düzeyi | CFG, StrictCFG, SuppressExports | Denetim mevcut değil |
Veri Yürütme Engellemesi (DEP) | Sistem ve uygulama düzeyi | DEP, EmulateAtlThunks | Denetim mevcut değil |
Görüntüler için randomizasyonu zorla (Zorunlu ASLR) | Sistem ve uygulama düzeyi | ForceRelocate | Denetim mevcut değil |
Bellek ayırmalarını rastgele hale getirin (Aşağıdan Yukarı ASLR) | Sistem ve uygulama düzeyi | BottomUp, HighEntropy | Denetim mevcut değil |
İstisna zincirlerini doğrulayın (SEHOP) | Sistem ve uygulama düzeyi | SEHOP, SEHOP Telemetri | Denetim mevcut değil |
Yığın bütünlüğünü doğrulayın | Sistem ve uygulama düzeyi | TerminateOnHeapError | Denetim mevcut değil |
Keyfi kod koruması (ACG) | Yalnızca uygulama düzeyinde | DynamicCode | AuditDynamicCode |
Düşük bütünlüklü görüntüleri engelleyin | Yalnızca uygulama düzeyinde | BlockLowLabel | AuditImageLoad |
Uzak resimleri engelle | Yalnızca uygulama düzeyinde | BlockRemoteImages | Denetim mevcut değil |
Güvenilmeyen yazı tiplerini engelleyin | Yalnızca uygulama düzeyinde | DisableNonSystemFonts | AuditFont, FontAuditOnly |
Kod bütünlüğü koruması | Yalnızca uygulama düzeyinde | BlockNonMicrosoftSigned, AllowStoreSigned | AuditMicrosoftSigned, AuditStoreSigned |
Uzatma noktalarını devre dışı bırakın | Yalnızca uygulama düzeyinde | ExtensionPoint | Denetim mevcut değil |
Win32k sistem çağrılarını devre dışı bırakın | Yalnızca uygulama düzeyinde | DisableWin32kSystemCalls | AuditSystemCall |
Alt işlemlere izin verme | Yalnızca uygulama düzeyinde | DisallowChildProcessCreation | AuditChildProcess |
İhracat adresi filtreleme (EAF) | Yalnızca uygulama düzeyinde | EnableExportAddressFilterPlus, EnableExportAddressFilter [bir] | Denetim mevcut değil |
Adres filtrelemeyi içe aktar (IAF) | Yalnızca uygulama düzeyinde | EnableImportAddressFilter | Denetim mevcut değil |
Yürütme simülasyonu (SimExec) | Yalnızca uygulama düzeyinde | EnableRopSimExec | Denetim mevcut değil |
API çağrısını doğrulama (CallerCheck) | Yalnızca uygulama düzeyinde | EnableRopCallerCheck | Denetim mevcut değil |
Tanıtıcı kullanımını doğrulayın | Yalnızca uygulama düzeyinde | StrictHandle | Denetim mevcut değil |
Görüntü bağımlılık bütünlüğünü doğrulayın | Yalnızca uygulama düzeyinde | EnforceModuleDepencySigning | Denetim mevcut değil |
Yığın bütünlüğünü doğrulayın (StackPivot) | Yalnızca uygulama düzeyinde | EnableRopStackPivot | Denetim mevcut değil |
Konfigürasyonları içe ve dışa aktarma
Konfigürasyonlar içe veya dışa aktarılabilir. Bunu, ilkeleri kullanarak, PowerShell'i kullanarak Windows Defender Güvenlik Merkezi'ndeki Windows Defender istismar koruma ayarlarını kullanarak yapabilirsiniz.
EMET konfigürasyonları ayrıca içe aktarılabilecek şekilde dönüştürülebilir.
Exploit koruma ayarlarını kullanma
Konfigürasyonları ayarlar uygulamasında dışa aktarabilir, ancak içe aktaramazsınız. Dışa aktarma, tüm sistem düzeyinde ve uygulama düzeyinde azaltıcı etkenleri ekler.
Bunu yapmak için yararlanma koruması altındaki 'ayarları dışa aktar' bağlantısını tıklamanız yeterlidir.
Bir yapılandırma dosyasını dışa aktarmak için PowerShell'i kullanma
- Yükseltilmiş bir Powershell istemi açın.
- Get-ProcessMitigation -RegistryConfigFilePath dosyaadı.xml
Dosyaadı.xml dosyasını kaydetme konumunu ve dosya adını yansıtacak şekilde düzenleyin.
Bir yapılandırma dosyasını içe aktarmak için PowerShell'i kullanma
- Yükseltilmiş bir Powershell istemi açın.
- Aşağıdaki komutu çalıştırın: Set-ProcessMitigation -PolicyFilePath filename.xml
Filename.xml dosyasını, yapılandırma XML dosyasının konumunu ve dosya adını gösterecek şekilde düzenleyin.
Bir yapılandırma dosyası yüklemek için Grup İlkesini kullanma
Yapılandırma dosyalarını ilkeleri kullanarak yükleyebilirsiniz.
- Windows tuşuna dokunun, gpedit.msc yazın ve Grup İlkesi Düzenleyicisini başlatmak için Enter tuşuna basın.
- Bilgisayar yapılandırması> Yönetim şablonları> Windows bileşenleri> Windows Defender Exploit Guard> Exploit koruması'na gidin.
- 'Açıklardan yararlanma koruma ayarlarının bir komut seti kullan' üzerine çift tıklayın.
- Politikayı etkinleştirin.
- Yapılandırma XML dosyasının yolunu ve dosya adını seçenekler alanına ekleyin.
EMET dosyasını dönüştürme
- Yukarıda açıklandığı gibi yükseltilmiş bir PowerShell istemi açın.
- ConvertTo-ProcessMitigationPolicy -EMETFilePath emetFile.xml -OutputFilePath filename.xml komutunu çalıştırın.
EmetFile.xml dosyasını EMET yapılandırma dosyasının yolu ve konumuna değiştirin.
Filename.xml dosyasını, dönüştürülen yapılandırma dosyasının kaydedilmesini istediğiniz yol ve konuma değiştirin.