10组策略缓解选项下的“进程缓解”如何设置？

ELOHIM

此安全功能提供了替代单个进程 MitigationOptions 设置的方法。此功能可用于强制实施多个特定于应用程序的安全策略。应用程序名称将指定为值名称，包括扩展名。值将指定为在特定位置上有一系列标志的位字段。位可设置为0 (将设置强制关闭)、1 (将设置强制启用) 或 ? (在进行 GPO 评估前设置保留其现有值)。已识别的位位置包括:

         PROCESS_CREATION_MITIGATION_POLICY_DEP_ENABLE (0x00000001)
         为子进程启用数据执行保护(DEP)

         PROCESS_CREATION_MITIGATION_POLICY_DEP_ATL_THUNK_ENABLE (0x00000002)
         为子进程启用 DEP-ATL 形式转换模拟。DEP-ATL 形式转换模拟使系统可以拦截源自活动模板库(ATL)形式转换层的 NX 故障。

        PROCESS_CREATION_MITIGATION_POLICY_SEHOP_ENABLE (0x00000004)
         为子进程启用结构化异常处理程序覆盖保护(SEHOP)。SEHOP 阻止使用结构化异常处理程序(SEH)覆盖技术的攻击。

        PROCESS_CREATION_MITIGATION_POLICY_FORCE_RELOCATE_IMAGES_ALWAYS_ON (0x00000100)
         强制性地址空间布局随机化(ASLR)策略强行将与动态基不兼容的映像重定基，其操作就像在加载时发生了映像基冲突。如果需要重定位，将不会加载没有基重定位部分的映像。

        PROCESS_CREATION_MITIGATION_POLICY_BOTTOM_UP_ASLR_ALWAYS_ON (0x00010000)
         PROCESS_CREATION_MITIGATION_POLICY_BOTTOM_UP_ASLR_ALWAYS_OFF (0x00020000)
         自下而上的随机化策略(包括堆栈随机选项)使随机位置可用作最低用户地址。

        例如，若要启用 PROCESS_CREATION_MITIGATION_POLICY_DEP_ENABLE 和 PROCESS_CREATION_MITIGATION_POLICY_FORCE_RELOCATE_IMAGES_ALWAYS_ON，请禁用 PROCESS_CREATION_MITIGATION_POLICY_BOTTOM_UP_ASLR_ALWAYS_OFF；若要将所有其他选项保留为其默认值，请指定以下值:
         ???????????????0???????1???????1

         将此处未指定的标志设置为 ? 以外的任何值将导致行为不确定。

这个功能怎么设置啊。。。

帮助页：https://technet.microsoft.com/zh ... d-security-policies

看不懂。。。    

峪飞鹰

如文章Setting the bit field部分说的那样设置。红框就是对应的设置位，如果你要指定1，就是打开，指定0就是关闭，需要设置的就在对应位置（如A代表PROCESS_CREATION_MITIGATION_POLICY_DEP_ENABLE）写0或者1，不需要的全部问号替代，让系统自己设置。

AstoryMan

楼上发了 。         

ELOHIM

峪飞鹰 发表于 2016-10-30 10:09
如文章Setting the bit field部分说的那样设置。红框就是对应的设置位，如果你要指定1，就是打开，指定0就 ...

谢谢飞鹰！

那么，EMET带有这个功能吗？？

同策略下还有一个字体缓解，EMET和系统 都有，如果系统开启了，那EMET就不提示了。

ELOHIM

AstoryMan 发表于 2016-10-30 11:10
楼上发了 。

谢谢。。

峪飞鹰

ELOHIM 发表于 2016-10-30 19:59
谢谢飞鹰！

那么，EMET带有这个功能吗？？

组策略应该优先于emet，两者都设置我觉得应该以组策略为准。但是我没测试过，所以可能说得不准。

ELOHIM

峪飞鹰 发表于 2016-10-31 22:28
组策略应该优先于emet，两者都设置我觉得应该以组策略为准。但是我没测试过，所以可能说得不准。

谢谢。
私信你了一个问题，帮我看看。

T.Yoshiyuki

1511就只能看1503裝逼