- Как настроить Защиту от эксплойтов в Windows 10
- Центр безопасности Защитника Windows
- PowerShell
- Импорт и экспорт конфигураций
- Использование настроек защиты от эксплойтов
- Использование PowerShell для экспорта файла конфигурации
- Использование PowerShell для импорта файла конфигурации
- Использование групповых политик для установки файла конфигурации
- Включить защиту эксплойтов Enable exploit protection
- Приложение Безопасности Windows Windows Security app
- Пример 1. Mikael настраивает предотвращение выполнения данных в разделе параметры системы, отключенной по умолчанию Example 1: Mikael configures Data Execution Prevention in system settings section to be off by default
- Пример 2. Josie настраивает предотвращение выполнения данных в параметрах системы, отключенных по умолчанию Example 2: Josie configures Data Execution Prevention in system settings to be off by default
- Intune Intune
- MDM MDM
- Менеджер конечных точек Майкрософт Microsoft Endpoint Manager
- Microsoft Endpoint Configuration Manager Microsoft Endpoint Configuration Manager
- Групповая политика Group Policy
- PowerShell PowerShell
- Настройка уведомления Customize the notification
Как настроить Защиту от эксплойтов в Windows 10
Exploit Guard- новая функция безопасности Защитника Windows, которая была впервые представлена Microsoft в Windows 10 Fall Creators Update.
Защита от эксплойтов представляет собой интегрированную версию инструмента Microsoft EMET (Enhanced Mitigation Experience Toolkit), поддержка которого завершится в середине 2018 года.
Защита от использования уязвимостей включена по умолчанию, если активен Защитник Windows. Эта функция является единственной функцией Exploit Guard, которая не требует включения защиты в режиме реального времени.
Данную функцию можно настроить в Центре безопасности Защитника Windows, с помощью групповых политик или команд PowerShell.
Центр безопасности Защитника Windows
Пользователи Windows 10 могут настроить защиту от эксплойтов в Центре безопасности Защитника Windows.
- Используйте сочетание клавиша Windows + I для запуска приложения “Параметры”.
- Перейдите в “Обновление и безопасность”, затем выберите пункт “Защитник Windows”.
- Нажмите кнопку Открыть Центр безопасности Защитника Windows.
- Выберите панель “Управление приложениями и браузером”.
- На открывшейся странице выберите ссылку Параметры защиту от эксплойтов.
Все настройки разделены на две категории: Системные параметры и Параметры программ.
На вкладке Системные параметры выводится список всех доступных механизмов защиту с их статусом. В Windows 10 Fall Creators Update доступны следующие защиты:
- Защита потока управления (CFG) — вкл. по умолчанию.
- Предотвращение выполнения данных (DEP) — вкл. по умолчанию.
- Принудительное случайное распределение для образов (обязательный ASLR) — выкл. по умолчанию.
- Случайное распределение выделения памяти (низкий ASLR) — вкл. по умолчанию.
- Проверить цепочки исключений (SEHOP) — вкл. по умолчанию.
- Проверка целостности кучи — вкл. по умолчанию.
Параметры программ дают вам возможность настраивать защиту для отдельных программ и приложений. Данная опция работает аналогично функции исключений в Microsoft EMET для определенных программ. Данная возможность будет особо полезной, если программа ошибочно работает, когда включены определенные защитные модули.
По умолчанию несколько программ добавлены в исключения, в частности svchost.exe, spools.exe, runtimebroker.exe, iexplore.exe и другие основные программы Windows. Обратите внимание, что вы можете переопределить эти исключения, выбрав файлы и нажав кнопку “Редактировать”.
Нажмите ссылку “Добавление программы для индивидуальной настройки”, чтобы добавить приложение в список исключений.
Вы можете установить отдельный статус всех поддерживаемых защит для каждой программы, которую вы добавили в настройках программы. Помимо переопределения системного параметра по умолчанию и принудительного его включения или отключения, существует также возможность установить параметр только для аудита. В последнем случае будет происходить запись событий, которые происходили, если бы статус защиты был включен, в системный журнал Windows.
В списке “Параметры программ” перечислены дополнительные параметры защиты, которые невозможно настроить под системными параметрами, поскольку они настроены для работы только на уровне приложения.
- Защита от произвольного кода (ACG)
- Блокировка образов низкой целостности
- Блокировка удаленных образов
- Блокировка ненадежных шрифтов
- Защита целостности кода
- Отключение точек расширения
- Отключение вызовов системы Win32k
- Не разрешать дочерние процессы
- Фильтрация адресов экспорта (EAF)
- Фильтрация адресов импорта (IAF)
- Имитация выполнения (SimExec)
- Проверка вызовов API (CallerCheck)
- Проверка использования дескриптора
- Проверка целостности зависимостей образа
- Проверка целостности стека (StackPivot)
PowerShell
Вы можете использовать командную строку PowerShell для установки, удаления или изменения списка мер. Доступны следующие команды:
Чтобы просмотреть все защитные меры указанного процесса: Get-ProcessMitigation -Name processName.exe
Чтобы установить защитную меру: Set-ProcessMitigation — — , ,
Область действия: -System или -Name .
Действие: либо -Enable или -Disable .
Мера: название защитной меры. Обратитесь к таблице на сайте Microsoft, чтобы посмотреть список доступных мер. Вы можете отделить несколько мер запятой.
- Set-Processmitigation -System -Enable DEP
- Set-Processmitigation -Name test.exe -Remove -Disable DEP
- Set-ProcessMitigation -Name processName.exe -Enable EnableExportAddressFilterPlus -EAFModules dllName1.dll, dllName2.dll
Импорт и экспорт конфигураций
Конфигурации можно импортировать и экспортировать. Данные операции можно сделать на странице “Параметров защиты эксплойтов” в Центре безопасности Защитника Windows, а также с помощью PowerShell или редактора групповых политик.
Кроме того, конфигурации EMET можно преобразовать для последующего импорта.
Использование настроек защиты от эксплойтов
Вы можете экспортировать конфигурации в приложении “Центр безопасности Защитника Windows”, но не импортировать их. Экспорт добавляет все меры уровня системы и уровня приложения.
Нажмите ссылку “Параметры экспорта” и выберите местоположение для файла .XML с настройками.
Использование PowerShell для экспорта файла конфигурации
- Откройте Powershell с правами администратора устройства.
- Запустите команду: Get-ProcessMitigation -RegistryConfigFilePath filename.xml
Измените путь и filename.xml, указав требуемое местоположение и название файла.
Использование PowerShell для импорта файла конфигурации
- Откройте Powershell с правами администратора устройства.
- Запустите команду: Set-ProcessMitigation -PolicyFilePath filename.xml
Использование групповых политик для установки файла конфигурации
Вы можете установить файлы конфигураций с помощью редактора групповых политик:
Включить защиту эксплойтов Enable exploit protection
Область применения: Applies to:
Хотите испытать Defender для конечной точки? Want to experience Defender for Endpoint? Зарегистрився для бесплатной пробной. Sign up for a free trial.
Защита от эксплойтов помогает защититься от вредоносных программ, которые используют эксплойты для заражения устройств и распространения. Exploit protection helps protect against malware that uses exploits to infect devices and spread. Защита от эксплойтов состоит из ряда смягчающих последствий, которые можно применить к операционной системе или отдельным приложениям. Exploit protection consists of a number of mitigations that can be applied to either the operating system or individual apps.
.NET 2.0 не совместима с некоторыми возможностями защиты от эксплойтов, в частности, фильтрацией адресов экспорта (EAF) и фильтрацией адресов импорта (IAF). .NET 2.0 is not compatible with some exploit protection capabilities, specifically, Export Address Filtering (EAF) and Import Address Filtering (IAF). Если вы включили .NET 2.0, использование EAF и IAF не поддерживается. If you have enabled .NET 2.0, usage of EAF and IAF are not supported.
В защиту эксплойтов включены многие функции набор средств (EMET). Many features from the Enhanced Mitigation Experience Toolkit (EMET) are included in exploit protection.
Каждое смягчение можно включить отдельно, используя любой из этих методов: You can enable each mitigation separately by using any of these methods:
Защита от эксплойта настраивается по умолчанию в Windows 10. Exploit protection is configured by default in Windows 10. Вы можете настроить каждое смягчение, чтобы включить, отключить или значение по умолчанию. You can set each mitigation to on, off, or to its default value. Некоторые меры по смягчению последствий имеют дополнительные параметры. Some mitigations have additional options.
Эти параметры можно экспортировать в качестве XML-файла и развертывать на других устройствах. You can export these settings as an XML file and deploy them to other devices.
Вы также можете настроить смягчение последствий в режим аудита. You can also set mitigations to audit mode. Режим аудита позволяет проверить, как будут работать меры по смягчению последствий (и обзор событий), не влияя на нормальное использование устройства. Audit mode allows you to test how the mitigations would work (and review events) without impacting the normal use of the device.
Приложение Безопасности Windows Windows Security app
Откройте приложение Windows Security, выбрав значок щита в панели задач или нажав меню пусков для безопасности. Open the Windows Security app by selecting the shield icon in the task bar or by searching the start menu for Security.
Выберите плитку управления & браузера (или значок приложения в левой панели меню), а затем выберите параметры защиты exploit. Select the App & browser control tile (or the app icon on the left menu bar) and then select Exploit protection settings.
Перейдите к настройкам программы и выберите приложение, к которое необходимо применить меры по смягчению последствий. Go to Program settings and choose the app you want to apply mitigations to.
- Если приложение, которое нужно настроить, уже перечислены, выберите его и выберите Изменить. If the app you want to configure is already listed, select it, and then select Edit.
- Если приложение не включено в список, в верхней части списка выберите программу Добавить для настройки, а затем выберите, как вы хотите добавить приложение. If the app is not listed, at the top of the list select Add program to customize and then choose how you want to add the app.
- Используйте Add по имени программы, чтобы смягчение было применено к любому запущенного процесса с этим именем. Use Add by program name to have the mitigation applied to any running process with that name. Необходимо указать файл с расширением. You must specify a file with an extension. Вы можете ввести полный путь, чтобы ограничить смягчение только приложение с этим именем в этом расположении. You can enter a full path to limit the mitigation to only the app with that name in that location.
- Выберите точный путь к файлу, чтобы использовать стандартное окно выбора файлов Windows Explorer для поиска и выбора нужного файла. Use Choose exact file path to use a standard Windows Explorer file picker window to find and select the file you want.
После выбора приложения вы увидите список всех смягчающих последствий, которые можно применить. After selecting the app, you’ll see a list of all the mitigations that can be applied. Выбор аудита будет применяться только в режиме аудита. Choosing Audit will apply the mitigation in audit mode only. Вы будете уведомлены о необходимости перезапуска процесса или приложения или о необходимости перезапуска Windows. You are notified if you need to restart the process or app, or if you need to restart Windows.
Повторите действия 3-4 для всех приложений и смягчения последствий, которые необходимо настроить. Repeat steps 3-4 for all the apps and mitigations you want to configure.
В разделе Параметры системы найдите решение, необходимое для настройки, а затем укажите один из следующих параметров. Under the System settings section, find the mitigation you want to configure and then specify one of the following settings. Приложения, которые не настроены отдельно в разделе Параметры программы, используют параметры, настроенные здесь. Apps that aren’t configured individually in the Program settings section use the settings that are configured here.
- По умолчанию: смягчение включено для приложений, которые не имеют этого набора смягчения в разделе параметры программы для определенных приложений.On by default: The mitigation is enabled for apps that don’t have this mitigation set in the app-specific Program settings section
- Отключение по умолчанию: смягчение отключено для приложений, у них нет этого набора смягчения в разделе параметры программы для определенных приложений.Off by default: The mitigation is disabled for apps that don’t have this mitigation set in the app-specific Program settings section
- Использование по умолчанию: смягчение может быть включено или отключено в зависимости от конфигурации по умолчанию, настроенной установкой Windows 10; значение по умолчанию (On or Off) всегда указывается рядом со меткой Использование по умолчанию для каждого смягчения Use default: The mitigation is either enabled or disabled, depending on the default configuration that is set up by Windows 10 installation; the default value (On or Off) is always specified next to the Use default label for each mitigation
Повторите шаг 6 для всех системных смягчений, которые необходимо настроить. Repeat step 6 for all the system-level mitigations you want to configure. Выберите Применить, когда вы закончили настройку конфигурации. Select Apply when you’re done setting up your configuration.
Если вы добавите приложение в раздел Параметры программы и настроите там отдельные параметры смягчения, они будут соблюдаться выше конфигурации для тех же смягчений, указанных в разделе Параметры системы. If you add an app to the Program settings section and configure individual mitigation settings there, they will be honored above the configuration for the same mitigations specified in the System settings section. В следующей матрице и примерах показано, как работают по умолчанию: The following matrix and examples help to illustrate how defaults work:
| Включено в параметрах программы Enabled in Program settings | Включено в параметрах System Enabled in System settings | Поведение Behavior |
|---|---|---|
 | | Как определено в параметрах программы As defined in Program settings |
| | Как определено в параметрах программы As defined in Program settings |
| | Как определено в параметрах System As defined in System settings |
| | По умолчанию, как определено в параметре Использование по умолчанию Default as defined in Use default option |
Пример 1. Mikael настраивает предотвращение выполнения данных в разделе параметры системы, отключенной по умолчанию Example 1: Mikael configures Data Execution Prevention in system settings section to be off by default
Микаэль добавляет приложение test.exe в раздел Параметры программы. Mikael adds the app test.exe to the Program settings section. В параметрах для этого приложения в статье Предотвращение выполнения данных (DEP) Mikael включает параметр параметры системы Override и задает переключатель На. In the options for that app, under Data Execution Prevention (DEP), Mikael enables the Override system settings option and sets the switch to On. В разделе Параметры программы не указаны другие приложения. There are no other apps listed in the Program settings section.
В результате deP включен только для test.exe. The result is that DEP is enabled only for test.exe. Все другие приложения не будут применяться к DEP. All other apps will not have DEP applied.
Пример 2. Josie настраивает предотвращение выполнения данных в параметрах системы, отключенных по умолчанию Example 2: Josie configures Data Execution Prevention in system settings to be off by default
Джози добавляет приложение test.exe в раздел Параметры программы. Josie adds the app test.exe to the Program settings section. В параметрах для этого приложения в статье Предотвращение выполнения данных (DEP) Josie включает параметр параметры системы Override и задает переключатель На. In the options for that app, under Data Execution Prevention (DEP), Josie enables the Override system settings option and sets the switch to On.
Джози также добавляет приложениеmiles.exe в раздел Параметры программы и настраивает службу управления потоком (CFG) в On. Josie also adds the app miles.exe to the Program settings section and configures Control flow guard (CFG) to On. Josie не включает параметры системы Override для DEP или любые другие меры по смягчению последствий для этого приложения. Josie doesn’t enable the Override system settings option for DEP or any other mitigations for that app.
В результате deP включен для test.exe. The result is that DEP is enabled for test.exe. DEP не будет включен для любого другого приложения, включая miles.exe. DEP will not be enabled for any other app, including miles.exe. CFG будет включен для miles.exe. CFG will be enabled for miles.exe.
Откройте приложение Windows Security, выбрав значок щита в панели задач или нажав меню пусковых пусков для Defender. Open the Windows Security app by selecting the shield icon in the task bar or searching the start menu for Defender.
Выберите плитку управления & браузера (или значок приложения в левой панели меню), а затем выберите защиту exploit. Select the App & browser control tile (or the app icon on the left menu bar) and then select Exploit protection.
Перейдите к настройкам программы и выберите приложение, к которое необходимо применить меры по смягчению последствий. Go to Program settings and choose the app you want to apply mitigations to.
- Если приложение, которое нужно настроить, уже перечислены, выберите его и выберите Изменить. If the app you want to configure is already listed, select it, and then select Edit.
- Если приложение не включено в список, в верхней части списка выберите программу Добавить для настройки, а затем выберите, как вы хотите добавить приложение. If the app is not listed, at the top of the list select Add program to customize and then choose how you want to add the app.
- Используйте Add по имени программы, чтобы смягчение было применено к любому запущенного процесса с этим именем. Use Add by program name to have the mitigation applied to any running process with that name. Необходимо указать файл с расширением. You must specify a file with an extension. Вы можете ввести полный путь, чтобы ограничить смягчение только приложение с этим именем в этом расположении. You can enter a full path to limit the mitigation to only the app with that name in that location.
- Выберите точный путь к файлу, чтобы использовать стандартное окно выбора файлов Windows Explorer для поиска и выбора нужного файла. Use Choose exact file path to use a standard Windows Explorer file picker window to find and select the file you want.
После выбора приложения вы увидите список всех смягчающих последствий, которые можно применить. After selecting the app, you’ll see a list of all the mitigations that can be applied. Выбор аудита будет применяться только в режиме аудита. Choosing Audit will apply the mitigation in audit mode only. Вы будете уведомлены о необходимости перезапустить процесс или приложение или перезапустить Windows. You will be notified if you need to restart the process or app, or if you need to restart Windows.
Повторите действия 3-4 для всех приложений и смягчения последствий, которые необходимо настроить. Repeat steps 3-4 for all the apps and mitigations you want to configure. Выберите Применить, когда вы закончили настройку конфигурации. Select Apply when you’re done setting up your configuration.
Intune Intune
Вопишитесь на портал Azure и откройте Intune. Sign in to the Azure portal and open Intune.
Перейдите к профилям > конфигурации устройств > Создайте профиль. Go to Device configuration > Profiles > Create profile.
Назови профиль, выберите Windows 10 и более поздний и endpoint protection. Name the profile, choose Windows 10 and later and Endpoint protection.
Выберите Настройка Защитник Windows защита от > эксплойтов > guard. Select Configure > Windows Defender Exploit Guard > Exploit protection.
Загрузите XML-файл с настройками защиты от эксплойтов: Upload an XML file with the exploit protection settings:
Выберите ОК, чтобы сохранить каждое открытое лезвие, а затем выберите Создать. Select OK to save each open blade, and then choose Create.
Выберите вкладку Назначения профилей, назначьте политику всем пользователям & всем устройствам, а затем выберите Сохранить. Select the profile Assignments tab, assign the policy to All Users & All Devices, and then select Save.
MDM MDM
Используйте поставщик услуг конфигурации ./Vendor/MSFT/Policy/Config/ExploitGuard/ExploitProtectionSettings (CSP), чтобы включить или отключить смягчение последствий защиты от эксплуатации или использовать режим аудита. Use the ./Vendor/MSFT/Policy/Config/ExploitGuard/ExploitProtectionSettings configuration service provider (CSP) to enable or disable exploit protection mitigations or to use audit mode.
Менеджер конечных точек Майкрософт Microsoft Endpoint Manager
В Microsoft Endpoint Manager перейдите к уменьшению поверхности endpoint > Security Attack. In Microsoft Endpoint Manager, go to Endpoint Security > Attack surface reduction.
Выберите создание > платформы политики, а для профиля выберите защиту от эксплойтов. Select Create Policy > Platform, and for Profile, choose Exploit Protection. Затем нажмите кнопку Создать. Then select Create.
Укажите имя и описание, а затем выберите Далее. Specify a name and a description, and then choose Next.
Выберите XML-файл и просмотрите расположение XML-файла защиты от эксплойтов. Select Select XML File and browse to the location of the exploit protection XML file. Выберите файл, а затем выберите Далее. Select the file, and then choose Next.
Настройка тегов Области и назначений при необходимости. Configure Scope tags and Assignments if necessary.
В обзоре + создайте, просмотрите конфигурацию и выберите Создать. Under Review + create, review the configuration and then choose Create.
Microsoft Endpoint Configuration Manager Microsoft Endpoint Configuration Manager
В Microsoft Endpoint Configuration Manager перейдите в службу Assets and > Compliance Endpoint Protection Защитник Windows Exploit > Guard. In Microsoft Endpoint Configuration Manager, go to Assets and Compliance > Endpoint Protection > Windows Defender Exploit Guard.
Выберите > домашнее создание политики защиты от эксплойтов. Select Home > Create Exploit Guard Policy.
Укажите имя и описание, выберите защиту exploit и выберите Далее. Specify a name and a description, select Exploit protection, and then choose Next.
Просмотрите расположение XML-файла защиты от эксплойтов и выберите Далее. Browse to the location of the exploit protection XML file and select Next.
Просмотрите параметры и выберите Далее, чтобы создать политику. Review the settings, and then choose Next to create the policy.
После создания политики выберите Close. After the policy is created, select Close.
Групповая политика Group Policy
На устройстве управления групповой политикой откройте консоль управления групповой политикой правойкнопкой мыши объект групповой политики, который необходимо настроить, и нажмите кнопку Изменить. On your Group Policy management device, open the Group Policy Management Console, right-click the Group Policy Object you want to configure and click Edit.
В редакторе управления групповой политикой перейдите к конфигурации компьютера и выберите административные шаблоны. In the Group Policy Management Editor go to Computer configuration and select Administrative templates.
Расширь дерево до компонентов Windows Защитник Windows защита от эксплойтов > Exploit > Guard Use a common set of exploit protection > settings. Expand the tree to Windows components > Windows Defender Exploit Guard > Exploit Protection > Use a common set of exploit protection settings.
Выберите включено и введите расположение XML-файла,а затем выберите ОК. Select Enabled and type the location of the XML file, and then choose OK.
PowerShell PowerShell
Вы можете использовать глагол PowerShell Get или Set с помощью ProcessMitigation команды. You can use the PowerShell verb Get or Set with the cmdlet ProcessMitigation . Использование будет перечислять текущее состояние конфигурации любых смягчений, которые были включены на устройстве — добавьте Get cmdlet и exe приложения, чтобы увидеть смягчения только для -Name этого приложения: Using Get will list the current configuration status of any mitigations that have been enabled on the device — add the -Name cmdlet and app exe to see mitigations for just that app:
Не настроенные на системном уровне меры по смягчению последствий будут показывать состояние NOTSET . System-level mitigations that have not been configured will show a status of NOTSET .
- Для параметров системного уровня указывается параметр по умолчанию для этого NOTSET смягчения. For system-level settings, NOTSET indicates the default setting for that mitigation has been applied.
- Для параметров уровня приложения указывается, что параметр системного уровня для смягчения будет NOTSET применен. For app-level settings, NOTSET indicates the system-level setting for the mitigation will be applied. Параметр по умолчанию для каждого смягчения на уровне системы можно увидеть в Windows Security. The default setting for each system-level mitigation can be seen in the Windows Security.
Используйте Set для настройки каждого смягчения в следующем формате: Use Set to configure each mitigation in the following format:
- : :
- -Name чтобы указать, какие меры по смягчению последствий должны применяться к определенному приложению. -Name to indicate the mitigations should be applied to a specific app. Укажите исполняемое приложение после этого флага. Specify the app’s executable after this flag.
- -System чтобы указать, что смягчение должно применяться на уровне системы -System to indicate the mitigation should be applied at the system level
- -Name чтобы указать, какие меры по смягчению последствий должны применяться к определенному приложению. -Name to indicate the mitigations should be applied to a specific app. Укажите исполняемое приложение после этого флага. Specify the app’s executable after this flag.
- : :
- -Enable чтобы включить смягчение -Enable to enable the mitigation
- -Disable отключение смягчения -Disable to disable the mitigation
- : :
- Комлет смягчения наряду с любыми подопциями (в окружении пробелов). The mitigation’s cmdlet along with any suboptions (surrounded with spaces). Каждое смягчение разделено запятой. Each mitigation is separated with a comma.
Например, чтобы включить смягчение меры по предотвращению выполнения данных (DEP) с помощью эмуляции thunk ATL и для исполняемого под названием testing.exe в папке C:\Apps\LOB\tests, а также предотвратить создание детских процессов, необходимо использовать следующую команду: For example, to enable the Data Execution Prevention (DEP) mitigation with ATL thunk emulation and for an executable called testing.exe in the folder C:\Apps\LOB\tests, and to prevent that executable from creating child processes, you’d use the following command:
Разделите каждый вариант смягчения с запятой. Separate each mitigation option with commas.
Если вы хотите применить DEP на уровне системы, вы используете следующую команду: If you wanted to apply DEP at the system level, you’d use the following command:
Чтобы отключить смягчение последствий, можно -Enable заменить -Disable . To disable mitigations, you can replace -Enable with -Disable . Однако для смягчения последствий на уровне приложений это заставит отключить смягчение только для этого приложения. However, for app-level mitigations, this will force the mitigation to be disabled only for that app.
Если требуется восстановить смягчение до системного по умолчанию, необходимо также включить этот список, как в -Remove следующем примере: If you need to restore the mitigation back to the system default, you need to include the -Remove cmdlet as well, as in the following example:
В этой таблице перечислены отдельные меры по смягчению последствий (и аудиты при наличии), которые будут использоваться с параметрами -Enable или -Disable параметрами cmdlet. This table lists the individual Mitigations (and Audits, when available) to be used with the -Enable or -Disable cmdlet parameters.
| Тип смягчения Mitigation type | Область применения Applies to | Ключевое слово параметра cmdlet mitigation Mitigation cmdlet parameter keyword | Параметр cmdlet режима аудита Audit mode cmdlet parameter |
|---|---|---|---|
| Диспетчерская система потока (CFG) Control flow guard (CFG) | Системный и app-level System and app-level | CFG , StrictCFG , SuppressExports CFG , StrictCFG , SuppressExports | Аудит не доступен Audit not available |
| Предотвращение выполнения данных (DEP) Data Execution Prevention (DEP) | Системный и app-level System and app-level | DEP , EmulateAtlThunks DEP , EmulateAtlThunks | Аудит не доступен Audit not available |
| Force randomization for images (Mandatory ASLR) Force randomization for images (Mandatory ASLR) | Системный и app-level System and app-level | ForceRelocateImages | Аудит не доступен Audit not available |
| Рандомизация распределений памяти (Снизу вверх ASLR) Randomize memory allocations (Bottom-Up ASLR) | Системный и app-level System and app-level | BottomUp , HighEntropy BottomUp , HighEntropy | Аудит не доступен Audit not available |
| Проверка цепочек исключений (SEHOP) Validate exception chains (SEHOP) | Системный и app-level System and app-level | SEHOP , SEHOPTelemetry SEHOP , SEHOPTelemetry | Аудит не доступен Audit not available |
| Проверка целостности кучи Validate heap integrity | Системный и app-level System and app-level | TerminateOnError | Аудит не доступен Audit not available |
| Произвольный охранник кода (ACG) Arbitrary code guard (ACG) | Только на уровне приложений App-level only | DynamicCode | AuditDynamicCode |
| Блокировка изображений с низкой целостностью Block low integrity images | Только на уровне приложений App-level only | BlockLowLabel | AuditImageLoad |
| Блокировка удаленных изображений Block remote images | Только на уровне приложений App-level only | BlockRemoteImages | Аудит не доступен Audit not available |
| Блокировка ненарушимого шрифта Block untrusted fonts | Только на уровне приложений App-level only | DisableNonSystemFonts | AuditFont , FontAuditOnly AuditFont , FontAuditOnly |
| Охрана целостности кода Code integrity guard | Только на уровне приложений App-level only | BlockNonMicrosoftSigned , AllowStoreSigned BlockNonMicrosoftSigned , AllowStoreSigned | AuditMicrosoftSigned, AuditStoreSigned AuditMicrosoftSigned, AuditStoreSigned |
| Отключение точек расширения Disable extension points | Только на уровне приложений App-level only | ExtensionPoint | Аудит не доступен Audit not available |
| Отключение вызовов системы Win32k Disable Win32k system calls | Только на уровне приложений App-level only | DisableWin32kSystemCalls | AuditSystemCall |
| Не разрешайте детские процессы Do not allow child processes | Только на уровне приложений App-level only | DisallowChildProcessCreation | AuditChildProcess |
| Фильтрация адресов экспорта (EAF) Export address filtering (EAF) | Только на уровне приложений App-level only | EnableExportAddressFilterPlus , EnableExportAddressFilter [ 1 ] EnableExportAddressFilterPlus , EnableExportAddressFilter [1] | Аудит не доступен [ 2 ] Audit not available[2] |
| Фильтрация адресов импорта (IAF) Import address filtering (IAF) | Только на уровне приложений App-level only | EnableImportAddressFilter | Аудит не доступен [ 2 ] Audit not available[2] |
| Имитация выполнения (SimExec) Simulate execution (SimExec) | Только на уровне приложений App-level only | EnableRopSimExec | Аудит не доступен [ 2 ] Audit not available[2] |
| Проверка вызова API (CallerCheck) Validate API invocation (CallerCheck) | Только на уровне приложений App-level only | EnableRopCallerCheck | Аудит не доступен [ 2 ] Audit not available[2] |
| Проверка использования ручки Validate handle usage | Только на уровне приложений App-level only | StrictHandle | Аудит не доступен Audit not available |
| Проверка целостности зависимостей изображений Validate image dependency integrity | Только на уровне приложений App-level only | EnforceModuleDepencySigning | Аудит не доступен Audit not available |
| Проверка целостности стека (StackPivot) Validate stack integrity (StackPivot) | Только на уровне приложений App-level only | EnableRopStackPivot | Аудит не доступен [ 2 ] Audit not available[2] |
[ 1. ] Используйте следующий формат, чтобы включить модули EAF для DLLs для процесса: [1]: Use the following format to enable EAF modules for DLLs for a process:
[ 2. ] Аудит для этого смягчения не доступен с помощью cmdlets PowerShell. [2]: Audit for this mitigation is not available via PowerShell cmdlets.
Настройка уведомления Customize the notification
Дополнительные сведения о настройке уведомления при запуске правила и блокировке приложения или файла см. в статье Windows Security. See the Windows Security article for more information about customizing the notification when a rule is triggered and blocks an app or file.
