Windows 10'da Windows Defender Exploit korumasını yapılandırın

Sorunları Ortadan Kaldırmak Için Enstrümanımızı Deneyin

Exploit koruması, Microsoft'un işletim sisteminin Fall Creators Update'inde sunduğu yeni bir Windows Defender güvenlik özelliğidir.

Exploit Guard istismar korumasını içeren bir dizi özelliktir, saldırı yüzeyi azaltma , ağ koruması ve kontrollü klasör erişimi .

Exploit koruması, en iyi şekilde Microsoft'un EMET - Exploit Mitigation Experience Toolkit'in entegre bir sürümü olarak tanımlanabilir - şirketin 2018 ortasında emekli olacak .

Microsoft, daha önce şirketin Windows 10 işletim sisteminin Windows ile birlikte EMET çalıştırmayı gereksiz kılar ; en az bir araştırmacı Microsoft'un iddiasını yalanladı.

Windows Defender Exploit koruması

Windows Defender etkinse, açıktan yararlanma koruması varsayılan olarak etkindir. Bu özellik, Windows Defender'da gerçek zamanlı korumanın etkinleştirilmesini gerektirmeyen tek Exploit Guard özelliğidir.

Özellik, Windows Defender Güvenlik Merkezi uygulamasında, PowerShell komutları aracılığıyla veya ilkeler olarak yapılandırılabilir.

Windows Defender Güvenlik Merkezi uygulamasında yapılandırma

exploit protection windows defender

Kötüye kullanım korumasını Windows Defender Güvenlik Merkezi uygulamasında yapılandırabilirsiniz.

  1. Ayarlar uygulamasını açmak için Windows-I'i kullanın.
  2. Güncelleme ve Güvenlik> Windows Defender'a gidin.
  3. Windows Defender Güvenlik Merkezini Aç'ı seçin.
  4. Açılan yeni pencerede kenar çubuğu bağlantısı olarak listelenen Uygulama ve tarayıcı kontrolünü seçin.
  5. Sayfadaki istismar koruması girişini bulun ve yararlanma koruma ayarlarına tıklayın.

Ayarlar, Sistem Ayarları ve Program Ayarları olarak ikiye ayrılır.

Sistem ayarları, mevcut koruma mekanizmalarını ve durumlarını listeler. Aşağıdakiler Windows 10 Fall Creators Güncellemesinde mevcuttur:

  • Kontrol Akışı Koruması (CFG) - varsayılan olarak açıktır.
  • Veri Yürütme Engellemesi (DEP) - varsayılan olarak açıktır.
  • Görüntüler için randomizasyonu zorla (Zorunlu ASLR) - varsayılan olarak kapalı.
  • Bellek ayırmalarını rastgele hale getirin (Aşağıdan yukarıya ASLR) - varsayılan olarak açık.
  • İstisna zincirlerini (SEHOP) doğrula - varsayılan olarak açıktır.
  • Yığın bütünlüğünü doğrulayın - varsayılan olarak açık.

Herhangi bir seçeneğin durumunu 'varsayılan olarak açık', 'varsayılan olarak kapalı' veya 'varsayılanı kullan' olarak değiştirebilirsiniz.

Program ayarları, ayrı programlar ve uygulamalar için korumayı özelleştirme seçenekleri sunar. Bu, belirli programlar için Microsoft EMET'e özel durumlar ekleyebilmenize benzer şekilde çalışır; bir program belirli koruyucu modüller etkinleştirildiğinde hatalı davranırsa iyidir.

Pek çok programın varsayılan olarak istisnaları vardır. Buna svchost.exe, spools.exe, runtimebroker.exe, iexplore.exe ve diğer çekirdek Windows programları dahildir. Dosyaları seçip düzenle seçeneğine tıklayarak bu istisnaları geçersiz kılabileceğinizi unutmayın.

program settings exploit protection

İstisnalar listesine ada veya tam dosya yoluna göre bir program eklemek için 'özelleştirmek için program ekle'yi tıklayın.

Program ayarları altında eklediğiniz her program için desteklenen tüm korumaların durumunu ayrı ayrı ayarlayabilirsiniz. Sistem varsayılanını geçersiz kılmanın ve bunu bir ya da kapatmaya zorlamanın yanı sıra, onu 'yalnızca denetim' olarak ayarlama seçeneği de vardır. İkincisi, korumanın durumu açık olsaydı tetiklenecek olayları kaydeder, ancak yalnızca olayı Windows olay günlüğüne kaydeder.

Program Ayarları, yalnızca uygulama düzeyinde çalışmak üzere yapılandırıldıkları için sistem ayarları altında yapılandıramayacağınız ek koruma seçeneklerini listeler.

Bunlar:

  • Keyfi kod koruması (ACG)
  • Düşük bütünlüklü görüntüleri üfleyin
  • Uzak resimleri engelle
  • Güvenilmeyen yazı tiplerini engelleyin
  • Kod bütünlüğü koruması
  • Uzatma noktalarını devre dışı bırakın
  • Win32 sistem çağrılarını devre dışı bırakın
  • Alt işlemlere izin verme
  • İhracat adresi filtreleme (EAF)
  • Adres filtrelemeyi içe aktar (IAF)
  • Yürütme simülasyonu (SimExec)
  • API çağrısını doğrulama (CallerCheck)
  • Tanıtıcı kullanımını doğrulayın
  • Görüntü bağımlılığı entegrasyonunu doğrulayın
  • Yığın bütünlüğünü doğrulayın (StackPivot)

PowerShell kullanarak istismar korumasını yapılandırma

Azaltmaları ayarlamak, kaldırmak veya listelemek için PowerShell'i kullanabilirsiniz. Aşağıdaki komutlar mevcuttur:

Belirtilen işlemin tüm azaltıcı etkenlerini listelemek için: Get-ProcessMitigation -Name processName.exe

Azaltmaları ayarlamak için: Set-ProcessMitigation - - ,,

  • Kapsam: -Sistem veya -Adı.
  • Eylem: -Enable veya -Disable'dır.
  • Azaltma: Azaltmanın adı. Aşağıdaki tabloya bakın. Azaltmaları virgülle ayırabilirsiniz.

Örnekler:

  • Set-Processmitigation -Sistem - DEP'yi Etkinleştir
  • Set-Processmitigation -Name test.exe -Kaldır -Devre dışı bırak DEP
  • Set-ProcessMitigation -Name processName.exe -EnableExportAddressFilterPlus -EAFModules dllName1.dll, dllName2.dll
hafifletmeİçin geçerlidirPowerShell cmdlet'leriDenetim modu cmdlet'i
Kontrol akış koruyucusu (CFG)Sistem ve uygulama düzeyiCFG, StrictCFG, SuppressExportsDenetim mevcut değil
Veri Yürütme Engellemesi (DEP)Sistem ve uygulama düzeyiDEP, EmulateAtlThunksDenetim mevcut değil
Görüntüler için randomizasyonu zorla (Zorunlu ASLR)Sistem ve uygulama düzeyiForceRelocateDenetim mevcut değil
Bellek ayırmalarını rastgele hale getirin (Aşağıdan Yukarı ASLR)Sistem ve uygulama düzeyiBottomUp, HighEntropyDenetim mevcut değil
İstisna zincirlerini doğrulayın (SEHOP)Sistem ve uygulama düzeyiSEHOP, SEHOP TelemetriDenetim mevcut değil
Yığın bütünlüğünü doğrulayınSistem ve uygulama düzeyiTerminateOnHeapErrorDenetim mevcut değil
Keyfi kod koruması (ACG)Yalnızca uygulama düzeyindeDynamicCodeAuditDynamicCode
Düşük bütünlüklü görüntüleri engelleyinYalnızca uygulama düzeyindeBlockLowLabelAuditImageLoad
Uzak resimleri engelleYalnızca uygulama düzeyindeBlockRemoteImagesDenetim mevcut değil
Güvenilmeyen yazı tiplerini engelleyinYalnızca uygulama düzeyindeDisableNonSystemFontsAuditFont, FontAuditOnly
Kod bütünlüğü korumasıYalnızca uygulama düzeyindeBlockNonMicrosoftSigned, AllowStoreSignedAuditMicrosoftSigned, AuditStoreSigned
Uzatma noktalarını devre dışı bırakınYalnızca uygulama düzeyindeExtensionPointDenetim mevcut değil
Win32k sistem çağrılarını devre dışı bırakınYalnızca uygulama düzeyindeDisableWin32kSystemCallsAuditSystemCall
Alt işlemlere izin vermeYalnızca uygulama düzeyindeDisallowChildProcessCreationAuditChildProcess
İhracat adresi filtreleme (EAF)Yalnızca uygulama düzeyindeEnableExportAddressFilterPlus, EnableExportAddressFilter [bir] Denetim mevcut değil
Adres filtrelemeyi içe aktar (IAF)Yalnızca uygulama düzeyindeEnableImportAddressFilterDenetim mevcut değil
Yürütme simülasyonu (SimExec)Yalnızca uygulama düzeyindeEnableRopSimExecDenetim mevcut değil
API çağrısını doğrulama (CallerCheck)Yalnızca uygulama düzeyindeEnableRopCallerCheckDenetim mevcut değil
Tanıtıcı kullanımını doğrulayınYalnızca uygulama düzeyindeStrictHandleDenetim mevcut değil
Görüntü bağımlılık bütünlüğünü doğrulayınYalnızca uygulama düzeyindeEnforceModuleDepencySigningDenetim mevcut değil
Yığın bütünlüğünü doğrulayın (StackPivot)Yalnızca uygulama düzeyindeEnableRopStackPivotDenetim mevcut değil

Konfigürasyonları içe ve dışa aktarma

Konfigürasyonlar içe veya dışa aktarılabilir. Bunu, ilkeleri kullanarak, PowerShell'i kullanarak Windows Defender Güvenlik Merkezi'ndeki Windows Defender istismar koruma ayarlarını kullanarak yapabilirsiniz.

EMET konfigürasyonları ayrıca içe aktarılabilecek şekilde dönüştürülebilir.

Exploit koruma ayarlarını kullanma

Konfigürasyonları ayarlar uygulamasında dışa aktarabilir, ancak içe aktaramazsınız. Dışa aktarma, tüm sistem düzeyinde ve uygulama düzeyinde azaltıcı etkenleri ekler.

Bunu yapmak için yararlanma koruması altındaki 'ayarları dışa aktar' bağlantısını tıklamanız yeterlidir.

Bir yapılandırma dosyasını dışa aktarmak için PowerShell'i kullanma

  1. Yükseltilmiş bir Powershell istemi açın.
  2. Get-ProcessMitigation -RegistryConfigFilePath dosyaadı.xml

Dosyaadı.xml dosyasını kaydetme konumunu ve dosya adını yansıtacak şekilde düzenleyin.

Bir yapılandırma dosyasını içe aktarmak için PowerShell'i kullanma

  1. Yükseltilmiş bir Powershell istemi açın.
  2. Aşağıdaki komutu çalıştırın: Set-ProcessMitigation -PolicyFilePath filename.xml

Filename.xml dosyasını, yapılandırma XML dosyasının konumunu ve dosya adını gösterecek şekilde düzenleyin.

Bir yapılandırma dosyası yüklemek için Grup İlkesini kullanma

use common set exploit protection

Yapılandırma dosyalarını ilkeleri kullanarak yükleyebilirsiniz.

  1. Windows tuşuna dokunun, gpedit.msc yazın ve Grup İlkesi Düzenleyicisini başlatmak için Enter tuşuna basın.
  2. Bilgisayar yapılandırması> Yönetim şablonları> Windows bileşenleri> Windows Defender Exploit Guard> Exploit koruması'na gidin.
  3. 'Açıklardan yararlanma koruma ayarlarının bir komut seti kullan' üzerine çift tıklayın.
  4. Politikayı etkinleştirin.
  5. Yapılandırma XML dosyasının yolunu ve dosya adını seçenekler alanına ekleyin.

EMET dosyasını dönüştürme

  1. Yukarıda açıklandığı gibi yükseltilmiş bir PowerShell istemi açın.
  2. ConvertTo-ProcessMitigationPolicy -EMETFilePath emetFile.xml -OutputFilePath filename.xml komutunu çalıştırın.

EmetFile.xml dosyasını EMET yapılandırma dosyasının yolu ve konumuna değiştirin.

Filename.xml dosyasını, dönüştürülen yapılandırma dosyasının kaydedilmesini istediğiniz yol ve konuma değiştirin.

kaynaklar