قم بتكوين حماية Windows Defender Exploit في Windows 10
- فئة: شبابيك
الحماية من الاستغلال هي ميزة أمان جديدة لبرنامج Windows Defender قدمتها Microsoft في تحديث Fall Creators الخاص بنظام التشغيل.
استغلال الحرس هي مجموعة من الميزات التي تتضمن الحماية من الاستغلال ، هجوم الحد من السطح وحماية الشبكة و التحكم في الوصول إلى المجلد .
أفضل وصف للحماية من الاستغلال هو إصدار متكامل من Microsoft's EMET - Exploit Mitigation Experience Toolkit - أداة أمان تستخدمها الشركة سيتقاعد في منتصف عام 2018 .
ادعت Microsoft سابقًا أن نظام التشغيل Windows 10 الخاص بالشركة سيجعل تشغيل EMET جنبًا إلى جنب مع Windows غير ضروري ؛ ومع ذلك ، دحض باحث واحد على الأقل ادعاء شركة مايكروسوفت.
حماية Windows Defender Exploit
يتم تمكين الحماية من الاستغلال افتراضيًا إذا تم تمكين Windows Defender. الميزة هي ميزة Exploit Guard الوحيدة التي لا تتطلب تمكين الحماية في الوقت الحقيقي في Windows Defender.
يمكن تكوين الميزة في تطبيق Windows Defender Security Center ، عبر أوامر PowerShell ، أو كسياسات.
التكوين في تطبيق Windows Defender Security Center
يمكنك تكوين الحماية من الاستغلال في تطبيق Windows Defender Security Center.
- استخدم Windows-I لفتح تطبيق الإعدادات.
- انتقل إلى التحديث والأمان> Windows Defender.
- حدد فتح مركز أمان Windows Defender.
- حدد عنصر التحكم في التطبيق والمتصفح المدرج كرابط شريط جانبي في النافذة الجديدة التي تفتح.
- حدد موقع إدخال الحماية من الاستغلال في الصفحة ، وانقر فوق إعدادات الحماية من الاستغلال.
يتم تقسيم الإعدادات إلى إعدادات النظام وإعدادات البرنامج.
تسرد إعدادات النظام آليات الحماية المتاحة وحالتها. يتوفر ما يلي في تحديث Windows 10 Fall Creators:
- Control Flow Guard (CFG) - قيد التشغيل افتراضيًا.
- منع تنفيذ البيانات (DEP) - قيد التشغيل افتراضيًا.
- فرض التوزيع العشوائي للصور (ASLR إلزامي) - إيقاف افتراضيًا.
- قم بترتيب تخصيصات الذاكرة عشوائيًا (من أسفل إلى أعلى ASLR) افتراضيًا.
- التحقق من صحة سلاسل الاستثناء (SEHOP) - قيد التشغيل افتراضيًا.
- تحقق من سلامة الكومة - بشكل افتراضي.
يمكنك تغيير حالة أي خيار إلى 'تشغيل افتراضيًا' أو 'إيقاف التشغيل افتراضيًا' أو 'استخدام افتراضي'.
تمنحك إعدادات البرنامج خيارات لتخصيص الحماية للبرامج والتطبيقات الفردية. يعمل هذا بشكل مشابه لكيفية إضافة استثناءات في Microsoft EMET لبرامج معينة ؛ جيد إذا أسيء البرنامج التصرف عند تمكين وحدات حماية معينة.
عدد غير قليل من البرامج لديها استثناءات بشكل افتراضي. يتضمن ذلك svchost.exe و spools.exe و runtimebroker.exe و iexplore.exe وبرامج Windows الأساسية الأخرى. لاحظ أنه يمكنك تجاوز هذه الاستثناءات عن طريق تحديد الملفات والنقر فوق تحرير.
انقر فوق 'إضافة برنامج للتخصيص' لإضافة برنامج بالاسم أو مسار الملف الدقيق إلى قائمة الاستثناءات.
يمكنك تعيين حالة جميع وسائل الحماية المدعومة بشكل فردي لكل برنامج قمت بإضافته ضمن إعدادات البرنامج. إلى جانب تجاوز النظام الافتراضي وإجباره على واحد أو إيقاف تشغيله ، هناك أيضًا خيار لتعيينه على 'التدقيق فقط'. يسجل الأخير الأحداث التي كان من الممكن إطلاقها إذا كانت حالة الحماية تعمل ، ولكنها ستسجل الحدث فقط في سجل أحداث Windows.
تسرد إعدادات البرنامج خيارات الحماية الإضافية التي لا يمكنك تكوينها ضمن إعدادات النظام لأنها مهيأة للتشغيل على مستوى التطبيق فقط.
هؤلاء هم:
- حارس الكود التعسفي (ACG)
- تفجير الصور منخفضة التكامل
- حظر الصور البعيدة
- حظر الخطوط غير الموثوق بها
- كود حارس النزاهة
- تعطيل نقاط الامتداد
- تعطيل مكالمات نظام Win32
- لا تسمح العمليات الفرعية
- تصفية عنوان التصدير (EAF)
- تصفية عنوان الاستيراد (IAF)
- محاكاة التنفيذ (SimExec)
- التحقق من صحة استدعاء API (CallerCheck)
- تحقق من صحة استخدام المقبض
- تحقق من صحة تكامل تبعية الصورة
- التحقق من سلامة المكدس (StackPivot)
تكوين الحماية من الاستغلال باستخدام PowerShell
يمكنك استخدام PowerShell لتعيين عوامل التخفيف أو إزالتها أو سردها. الأوامر التالية متوفرة:
لسرد كافة عوامل تخفيف العملية المحددة: Get-ProcessMitigation -Name processName.exe
لتعيين عوامل التخفيف: Set-ProcessMitigation - - ،،
- النطاق: إما -System أو -Name.
- الإجراء: إما -Enable أو -Disable.
- التخفيف: اسم التخفيف. راجع الجدول التالي. يمكنك فصل عوامل التخفيف بفاصلة.
أمثلة:
- تعيين-معالجة-نظام-تمكين DEP
- تعيين - معالجة - اسم test.exe - إزالة - تعطيل DEP
- Set-ProcessMitigation -Name processName.exe - تمكين EnableExportAddressFilterPlus -EAFModules dllName1.dll، dllName2.dll
| تخفيف | ينطبق على | أوامر cmdlets لـ PowerShell | وضع التدوين cmdlet |
|---|---|---|---|
| حارس تدفق التحكم (CFG) | على مستوى النظام والتطبيق | CFG ، StrictCFG ، SuppressExports | التدقيق غير متوفر |
| منع تنفيذ البيانات (DEP) | على مستوى النظام والتطبيق | DEP ، EmulateAtlThunks | التدقيق غير متوفر |
| فرض التوزيع العشوائي للصور (ASLR إلزامي) | على مستوى النظام والتطبيق | القوة | التدقيق غير متوفر |
| ترتيب مخصصات الذاكرة عشوائيًا (من أسفل إلى أعلى ASLR) | على مستوى النظام والتطبيق | أسفل ، ارتفاع الانتروب | التدقيق غير متوفر |
| التحقق من صحة سلاسل الاستثناء (SEHOP) | على مستوى النظام والتطبيق | SEHOP ، SEHOPTelemetry | التدقيق غير متوفر |
| تحقق من سلامة الكومة | على مستوى النظام والتطبيق | TerminateOnHeapError | التدقيق غير متوفر |
| حارس الكود التعسفي (ACG) | على مستوى التطبيق فقط | DynamicCode | AuditDynamicCode |
| منع الصور منخفضة التكامل | على مستوى التطبيق فقط | BlockLowLabel | AuditImageLoad |
| حظر الصور البعيدة | على مستوى التطبيق فقط | BlockRemoteImages | التدقيق غير متوفر |
| حظر الخطوط غير الموثوق بها | على مستوى التطبيق فقط | DisableNonSystemFonts | AuditFont ، FontAuditOnly |
| كود حارس النزاهة | على مستوى التطبيق فقط | BlockNonMicrosoftSigned ، AllowStoreSigned | AuditMicrosoftSigned ، AuditStoreSigned |
| تعطيل نقاط الامتداد | على مستوى التطبيق فقط | إكستينشنبوينت | التدقيق غير متوفر |
| تعطيل مكالمات نظام Win32k | على مستوى التطبيق فقط | DisableWin32kSystemCalls | AuditSystemCall |
| لا تسمح العمليات الفرعية | على مستوى التطبيق فقط | DisallowChildProcessCreation | تدوين عملية الطفل |
| تصفية عنوان التصدير (EAF) | على مستوى التطبيق فقط | EnableExportAddressFilterPlus ، EnableExportAddressFilter [واحد] | التدقيق غير متوفر |
| تصفية عنوان الاستيراد (IAF) | على مستوى التطبيق فقط | EnableImportAddressFilter | التدقيق غير متوفر |
| محاكاة التنفيذ (SimExec) | على مستوى التطبيق فقط | EnableRopSimExec | التدقيق غير متوفر |
| التحقق من صحة استدعاء API (CallerCheck) | على مستوى التطبيق فقط | EnableRopCallerCheck | التدقيق غير متوفر |
| تحقق من صحة استخدام المقبض | على مستوى التطبيق فقط | StrictHandle | التدقيق غير متوفر |
| تحقق من سلامة تبعية الصورة | على مستوى التطبيق فقط | EnforceModuleDepencySigning | التدقيق غير متوفر |
| التحقق من سلامة المكدس (StackPivot) | على مستوى التطبيق فقط | EnableRopStackPivot | التدقيق غير متوفر |
استيراد وتصدير التكوينات
يمكن استيراد التكوينات وتصديرها. يمكنك القيام بذلك باستخدام إعدادات الحماية من استغلال Windows Defender في مركز أمان Windows Defender ، باستخدام PowerShell ، باستخدام السياسات.
علاوة على ذلك ، يمكن تحويل تكوينات EMET بحيث يمكن استيرادها.
استخدام إعدادات الحماية من الاستغلال
يمكنك تصدير التكوينات في تطبيق الإعدادات ، لكن لا يمكنك استيرادها. يضيف التصدير كل عوامل التخفيف على مستوى النظام والتطبيق.
ما عليك سوى النقر على رابط 'إعدادات التصدير' تحت الحماية من الاستغلال للقيام بذلك.
استخدام PowerShell لتصدير ملف التكوين
- افتح موجه Powershell مرتفعًا.
- Get-ProcessMitigation -RegistryConfigFilePath filename.xml
قم بتحرير filename.xml بحيث يعكس مكان الحفظ واسم الملف.
استخدام PowerShell لاستيراد ملف التكوين
- افتح موجه Powershell مرتفعًا.
- قم بتشغيل الأمر التالي: Set-ProcessMitigation -PolicyFilePath filename.xml
قم بتحرير filename.xml بحيث يشير إلى مكان واسم ملف ملف XML للتوصيف.
استخدام نهج المجموعة لتثبيت ملف التكوين
يمكنك تثبيت ملفات التكوين باستخدام السياسات.
- اضغط على مفتاح Windows ، واكتب gpedit.msc ، واضغط على مفتاح Enter لبدء محرر نهج المجموعة.
- انتقل إلى تكوين الكمبيوتر> القوالب الإدارية> مكونات Windows> Windows Defender Exploit Guard> حماية الاستغلال.
- انقر نقرًا مزدوجًا فوق 'استخدام مجموعة أوامر لإعدادات الحماية من الاستغلال'.
- اضبط السياسة على تمكين.
- أضف مسار واسم ملف XML للتوصيف في مجال الخيارات.
تحويل ملف EMET
- افتح موجه PowerShell مرتفعًا كما هو موضح أعلاه.
- قم بتشغيل الأمر ConvertTo-ProcessMitigationPolicy -EMETFilePath emetFile.xml -OutputFilePath filename.xml
قم بتغيير emetFile.xml إلى مسار وموقع ملف تكوين EMET.
قم بتغيير filename.xml إلى المسار والموقع الذي تريد حفظ ملف التكوين المحول فيه.