Konfigurasikan perlindungan Eksploitasi Windows Defender di Windows 10

• Kategori: Windows

Coba Instrumen Kami Untuk Menghilangkan Masalah

Pilih Sistem Operasi Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Pilih Program Proyeksi (Opsional) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Jelaskan Masalah Anda

Dapatkan Jawaban

Kirimkan Saya Melalui Email Tunjukkan Di Situs

Perlindungan eksploitasi adalah fitur keamanan baru dari Windows Defender yang diperkenalkan Microsoft di Pembaruan Musim Gugur Pencipta sistem operasi.

Exploit Guard adalah sekumpulan fitur yang mencakup perlindungan eksploitasi, serangan pengurangan permukaan , perlindungan jaringan, dan akses folder terkontrol .

Perlindungan eksploitasi paling baik digambarkan sebagai versi terintegrasi dari Microsoft EMET - Exploit Mitigation Experience Toolkit - alat keamanan yang digunakan perusahaan akan pensiun pada pertengahan 2018 .

Microsoft sebelumnya mengklaim bahwa perusahaan itu menggunakan sistem operasi Windows 10 akan membuat menjalankan EMET bersama Windows tidak diperlukan ; setidaknya satu peneliti membantah klaim Microsoft.

Perlindungan Eksploitasi Windows Defender

Perlindungan eksploitasi diaktifkan secara default jika Windows Defender diaktifkan. Fitur tersebut adalah satu-satunya fitur Penjaga Eksploitasi yang tidak memerlukan pengaktifan perlindungan waktu nyata di Windows Defender.

Fitur ini dapat dikonfigurasi di aplikasi Windows Defender Security Center, melalui perintah PowerShell, atau sebagai kebijakan.

Konfigurasi di aplikasi Windows Defender Security Center

Anda dapat mengkonfigurasi perlindungan eksploit di aplikasi Pusat Keamanan Windows Defender.

1. Gunakan Windows-I untuk membuka aplikasi Pengaturan.
2. Arahkan ke Update & Security> Windows Defender.
3. Pilih Buka Pusat Keamanan Windows Defender.
4. Pilih App & kontrol browser yang terdaftar sebagai link sidebar di jendela baru yang terbuka.
5. Temukan entri perlindungan eksploitasi di halaman, dan klik pengaturan perlindungan eksploitasi.

Pengaturan dibagi menjadi Pengaturan Sistem dan Pengaturan Program.

Pengaturan sistem mencantumkan mekanisme perlindungan yang tersedia dan statusnya. Berikut ini tersedia di Windows 10 Fall Creators Update:

• Control Flow Guard (CFG) - aktif secara default.
• Pencegahan Eksekusi Data (DEP) - aktif secara default.
• Paksa pengacakan untuk gambar (Wajib ASLR) - dinonaktifkan secara default.
• Acak alokasi memori (Bottom-up ASLR) --di secara default.
• Validasi rantai pengecualian (SEHOP) - aktif secara default.
• Validasi integritas heap - aktif secara default.

Anda dapat mengubah status opsi apa pun menjadi 'aktif secara default', 'nonaktif secara default', atau 'gunakan default'.

Pengaturan program memberi Anda opsi untuk menyesuaikan perlindungan untuk program dan aplikasi individual. Ini bekerja sama dengan cara Anda menambahkan pengecualian di Microsoft EMET untuk program tertentu; baik jika program berperilaku tidak baik saat modul pelindung tertentu diaktifkan.

Beberapa program memiliki pengecualian secara default. Ini termasuk svchost.exe, spools.exe, runtimebroker.exe, iexplore.exe, dan program Windows inti lainnya. Perhatikan bahwa Anda dapat menimpa pengecualian ini dengan memilih file dan mengklik edit.

Klik 'tambahkan program untuk menyesuaikan' untuk menambahkan program dengan nama atau jalur file yang tepat ke daftar pengecualian.

Anda dapat mengatur status dari semua perlindungan yang didukung secara individual untuk setiap program yang telah Anda tambahkan di bawah pengaturan program. Selain menimpa default sistem, dan memaksanya menjadi satu atau menonaktifkan, ada juga opsi untuk menyetelnya ke 'hanya audit'. Yang terakhir merekam peristiwa yang akan dipicu jika status perlindungan akan diaktifkan, tetapi hanya akan merekam peristiwa ke log peristiwa Windows.

Pengaturan Program mencantumkan opsi perlindungan tambahan yang tidak dapat Anda konfigurasikan di bawah pengaturan sistem karena mereka dikonfigurasi untuk dijalankan pada tingkat aplikasi saja.

Ini adalah:

• Penjaga kode arbitrer (ACG)
• Gambar berintegritas rendah
• Blokir gambar jarak jauh
• Blokir font yang tidak tepercaya
• Penjaga integritas kode
• Nonaktifkan titik ekstensi
• Nonaktifkan panggilan sistem Win32
• Jangan izinkan proses anak
• Ekspor pemfilteran alamat (EAF)
• Impor pemfilteran alamat (IAF)
• Simulasikan eksekusi (SimExec)
• Validasi permintaan API (CallerCheck)
• Validasi penggunaan tuas
• Validasi integrasi ketergantungan gambar
• Validasi integritas tumpukan (StackPivot)

Mengonfigurasi perlindungan eksploitasi menggunakan PowerShell

Anda dapat menggunakan PowerShell untuk mengatur, menghapus atau membuat daftar mitigasi. Perintah berikut tersedia:

Untuk mencantumkan semua mitigasi dari proses tertentu: Get-ProcessMitigation -Nama processName.exe

Untuk mengatur mitigasi: Set-ProcessMitigation - - ,,

• Cakupan: bisa -Sistem atau -Nama.
• Tindakan: bisa -Enable atau -Disable.
• Mitigasi: nama Mitigasi. Lihat tabel berikut. Anda dapat memisahkan mitigasi dengan koma.

Contoh:

• Set-Processmitigation -System -Aktifkan DEP
• Set-Processmitigation -Nama test.exe -Hapus -Menonaktifkan DEP
• Set-ProcessMitigation -Nama prosesName.exe -Aktifkan EnableExportAddressFilterPlus -EAFModules dllName1.dll, dllName2.dll

Mitigasi	Berlaku untuk	Cmdlet PowerShell	Cmdlet mode audit
Pelindung aliran kontrol (CFG)	Tingkat sistem dan aplikasi	CFG, StrictCFG, SuppressExports	Audit tidak tersedia
Pencegahan Eksekusi Data (DEP)	Tingkat sistem dan aplikasi	DEP, EmulateAtlThunks	Audit tidak tersedia
Paksa pengacakan untuk gambar (Wajib ASLR)	Tingkat sistem dan aplikasi	ForceRelocate	Audit tidak tersedia
Mengacak alokasi memori (Bottom-Up ASLR)	Tingkat sistem dan aplikasi	BottomUp, HighEntropy	Audit tidak tersedia
Validasi rantai pengecualian (SEHOP)	Tingkat sistem dan aplikasi	SEHOP, SEHOPTelemetri	Audit tidak tersedia
Validasi integritas heap	Tingkat sistem dan aplikasi	TerminateOnHeapError	Audit tidak tersedia
Penjaga kode arbitrer (ACG)	Hanya tingkat aplikasi	DynamicCode	AuditDynamicCode
Blokir gambar berintegritas rendah	Hanya tingkat aplikasi	BlockLowLabel	AuditImageLoad
Blokir gambar jarak jauh	Hanya tingkat aplikasi	BlockRemoteImages	Audit tidak tersedia
Blokir font yang tidak tepercaya	Hanya tingkat aplikasi	DisableNonSystemFonts	AuditFont, FontAuditOnly
Penjaga integritas kode	Hanya tingkat aplikasi	BlockNonMicrosoftSigned, AllowStoreSigned	AuditMicrosoftSigned, AuditStoreSigned
Nonaktifkan titik ekstensi	Hanya tingkat aplikasi	ExtensionPoint	Audit tidak tersedia
Nonaktifkan panggilan sistem Win32k	Hanya tingkat aplikasi	DisableWin32kSystemCalls	AuditSystemCall
Jangan izinkan proses anak	Hanya tingkat aplikasi	DisallowChildProcessCreation	AuditChildProcess
Ekspor pemfilteran alamat (EAF)	Hanya tingkat aplikasi	EnableExportAddressFilterPlus, EnableExportAddressFilter [satu]	Audit tidak tersedia
Impor pemfilteran alamat (IAF)	Hanya tingkat aplikasi	EnableImportAddressFilter	Audit tidak tersedia
Simulasikan eksekusi (SimExec)	Hanya tingkat aplikasi	EnableRopSimExec	Audit tidak tersedia
Validasi permintaan API (CallerCheck)	Hanya tingkat aplikasi	EnableRopCallerCheck	Audit tidak tersedia
Validasi penggunaan tuas	Hanya tingkat aplikasi	StrictHandle	Audit tidak tersedia
Validasi integritas ketergantungan gambar	Hanya tingkat aplikasi	EnforceModuleDepencySigning	Audit tidak tersedia
Validasi integritas tumpukan (StackPivot)	Hanya tingkat aplikasi	EnableRopStackPivot	Audit tidak tersedia

Mengimpor dan mengekspor konfigurasi

Konfigurasi dapat diimpor dan diekspor. Anda dapat melakukannya menggunakan pengaturan perlindungan eksploitasi Windows Defender di Pusat Keamanan Pertahanan Windows, dengan menggunakan PowerShell, dengan menggunakan kebijakan.

Konfigurasi EMET selanjutnya dapat diubah sehingga dapat diimpor.

Menggunakan pengaturan perlindungan Eksploitasi

Anda dapat mengekspor konfigurasi di aplikasi pengaturan, tetapi tidak dapat mengimpornya. Mengekspor menambahkan semua mitigasi tingkat sistem dan tingkat aplikasi.

Cukup klik tautan 'pengaturan ekspor' di bawah perlindungan eksploitasi untuk melakukannya.

Menggunakan PowerShell untuk mengekspor file konfigurasi

1. Buka prompt Powershell yang ditinggikan.
2. Dapatkan-ProcessMitigation -RegistryConfigFilePath namafile.xml

Edit namafile.xml sehingga mencerminkan lokasi penyimpanan dan nama file.

Menggunakan PowerShell untuk mengimpor file konfigurasi

1. Buka prompt Powershell yang ditinggikan.
2. Jalankan perintah berikut: Set-ProcessMitigation -PolicyFilePath filename.xml

Edit namafile.xml sehingga mengarah ke lokasi dan nama file dari file XML konfigurasi.

Menggunakan Kebijakan Grup untuk menginstal file konfigurasi

Anda dapat menginstal file konfigurasi menggunakan kebijakan.

1. Ketuk tombol Windows, ketik gpedit.msc, dan tekan tombol Enter untuk memulai Editor Kebijakan Grup.
2. Arahkan ke Konfigurasi komputer> Template administratif> Komponen Windows> Penjaga Eksploitasi Pembela Windows> Perlindungan eksploitasi.
3. Klik dua kali pada 'Use a command set of exploit protection settings'.
4. Setel kebijakan ke aktif.
5. Tambahkan jalur dan nama file dari file XML konfigurasi di bidang opsi.

Mengonversi file EMET

1. Buka prompt PowerShell yang ditinggikan seperti dijelaskan di atas.
2. Jalankan perintah ConvertTo-ProcessMitigationPolicy -EMETFilePath emetFile.xml -OutputFilePath filename.xml

Ubah emetFile.xml ke jalur dan lokasi file konfigurasi EMET.

Ubah nama file.xml ke jalur dan lokasi yang Anda inginkan untuk menyimpan file konfigurasi yang dikonversi.

Sumber daya

• Evaluasi perlindungan Eksploitasi
• Aktifkan perlindungan Eksploitasi
• Sesuaikan perlindungan Eksploitasi
• Impor, ekspor, dan terapkan konfigurasi perlindungan Eksploitasi