Как настроить Защиту от эксплойтов в Windows 10

Exploit Guard- новая функция безопасности Защитника Windows, которая была впервые представлена Microsoft в Windows 10 Fall Creators Update.

Защита от эксплойтов представляет собой интегрированную версию инструмента Microsoft EMET (Enhanced Mitigation Experience Toolkit), поддержка которого завершится в середине 2018 года.

Защита от использования уязвимостей включена по умолчанию, если активен Защитник Windows. Эта функция является единственной функцией Exploit Guard, которая не требует включения защиты в режиме реального времени.

Данную функцию можно настроить в Центре безопасности Защитника Windows, с помощью групповых политик или команд PowerShell.

Центр безопасности Защитника Windows

Пользователи Windows 10 могут настроить защиту от эксплойтов в Центре безопасности Защитника Windows.

1. Используйте сочетание клавиша Windows + I для запуска приложения “Параметры”.
2. Перейдите в “Обновление и безопасность”, затем выберите пункт “Защитник Windows”.
3. Нажмите кнопку Открыть Центр безопасности Защитника Windows.
4. Выберите панель “Управление приложениями и браузером”.
5. На открывшейся странице выберите ссылку Параметры защиту от эксплойтов.

Все настройки разделены на две категории: Системные параметры и Параметры программ.

На вкладке Системные параметры выводится список всех доступных механизмов защиту с их статусом. В Windows 10 Fall Creators Update доступны следующие защиты:

• Защита потока управления (CFG) - вкл. по умолчанию.
• Предотвращение выполнения данных (DEP) - вкл. по умолчанию.
• Принудительное случайное распределение для образов (обязательный ASLR) - выкл. по умолчанию.
• Случайное распределение выделения памяти (низкий ASLR) - вкл. по умолчанию.
• Проверить цепочки исключений (SEHOP) - вкл. по умолчанию.
• Проверка целостности кучи - вкл. по умолчанию.

Параметры программ дают вам возможность настраивать защиту для отдельных программ и приложений. Данная опция работает аналогично функции исключений в Microsoft EMET для определенных программ. Данная возможность будет особо полезной, если программа ошибочно работает, когда включены определенные защитные модули.

По умолчанию несколько программ добавлены в исключения, в частности svchost.exe, spools.exe, runtimebroker.exe, iexplore.exe и другие основные программы Windows. Обратите внимание, что вы можете переопределить эти исключения, выбрав файлы и нажав кнопку “Редактировать”.

Нажмите ссылку “Добавление программы для индивидуальной настройки”, чтобы добавить приложение в список исключений.

Вы можете установить отдельный статус всех поддерживаемых защит для каждой программы, которую вы добавили в настройках программы. Помимо переопределения системного параметра по умолчанию и принудительного его включения или отключения, существует также возможность установить параметр только для аудита. В последнем случае будет происходить запись событий, которые происходили, если бы статус защиты был включен, в системный журнал Windows.

В списке “Параметры программ” перечислены дополнительные параметры защиты, которые невозможно настроить под системными параметрами, поскольку они настроены для работы только на уровне приложения.

Среди них:

• Защита от произвольного кода (ACG)
• Блокировка образов низкой целостности
• Блокировка удаленных образов
• Блокировка ненадежных шрифтов
• Защита целостности кода
• Отключение точек расширения
• Отключение вызовов системы Win32k
• Не разрешать дочерние процессы
• Фильтрация адресов экспорта (EAF)
• Фильтрация адресов импорта (IAF)
• Имитация выполнения (SimExec)
• Проверка вызовов API (CallerCheck)
• Проверка использования дескриптора
• Проверка целостности зависимостей образа
• Проверка целостности стека (StackPivot)

PowerShell

Вы можете использовать командную строку PowerShell для установки, удаления или изменения списка мер. Доступны следующие команды:

Чтобы просмотреть все защитные меры указанного процесса: Get-ProcessMitigation -Name processName.exe

Чтобы установить защитную меру: Set-ProcessMitigation - <область действия> <исполняемый файл приложения> - <действие> <мера или параметр>, <мера или параметр>, <мера или параметр>

Область действия: -System или -Name <имя приложения>.

Действие: либо -Enable или -Disable.

Мера: название защитной меры. Обратитесь к таблице на сайте Microsoft, чтобы посмотреть список доступных мер. Вы можете отделить несколько мер запятой.

Примеры:

• Set-Processmitigation -System -Enable DEP
• Set-Processmitigation -Name test.exe -Remove -Disable DEP
• Set-ProcessMitigation -Name processName.exe -Enable EnableExportAddressFilterPlus -EAFModules dllName1.dll, dllName2.dll

Импорт и экспорт конфигураций

Конфигурации можно импортировать и экспортировать. Данные операции можно сделать на странице “Параметров защиты эксплойтов” в Центре безопасности Защитника Windows, а также с помощью PowerShell или редактора групповых политик.

Кроме того, конфигурации EMET можно преобразовать для последующего импорта.

Использование настроек защиты от эксплойтов

Вы можете экспортировать конфигурации в приложении “Центр безопасности Защитника Windows”, но не импортировать их. Экспорт добавляет все меры уровня системы и уровня приложения.

Нажмите ссылку “Параметры экспорта” и выберите местоположение для файла .XML с настройками.

Использование PowerShell для экспорта файла конфигурации

1. Откройте Powershell с правами администратора устройства.
2. Запустите команду: Get-ProcessMitigation -RegistryConfigFilePath filename.xml

Измените путь и filename.xml, указав требуемое местоположение и название файла.

Использование PowerShell для импорта файла конфигурации

1. Откройте Powershell с правами администратора устройства.
2. Запустите команду: Set-ProcessMitigation -PolicyFilePath filename.xml

Использование групповых политик для установки файла конфигурации

Вы можете установить файлы конфигураций с помощью редактора групповых политик:

1. Нажмите клавишу Windows, введите gpedit.msc и выберите объект, предлагаемый службой поиска Windows.
2. Перейдите в Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Exploit Guard в Защитнике Windows > Защита от эксплойтов.
3. Выберите политику “Используйте общий набор параметров защиты от эксплойтов”.
4. Выберите опцию “Включено”.
5. Добавьте путь и имя файла конфигурации XML в поле “Параметры”.

Преобразование файла EMET

1. Откройте Powershell с правами администратора устройства.
2. Запустите команду: ConvertTo-ProcessMitigationPolicy -EMETFilePath emetFile.xml -OutputFilePath filename.xml

Измените emetFile.xml на путь и расположение файла конфигурации EMET.

Измените путь и filename.xml, указав требуемое местоположение и название файла.