查看: 9713|回复: 4
收起左侧

[一般话题] 微软关于 "Windows Defender Exploit Protection"的官方文档。

[复制链接]
ELOHIM
发表于 2017-10-19 16:08:18 | 显示全部楼层 |阅读模式
本帖最后由 ELOHIM 于 2017-10-19 16:10 编辑

https://docs.microsoft.com/zh-cn ... ction-exploit-guard
上面这个链接是 1709 Windows Defender Exploit Protection 的说明文档。
里面涵盖大量配置说明和名词解释。
如果对于安全有高标准,可以尝试在充分测试通过以后
通过 Powershell 导入导出配置文件并且部署到其他计算机上。

功能强大,文档冗长、枯燥,看前来杯 82 年咖啡压压惊不错。
———————————————
使用 Windows Defender 攻击防护 保护设备不被攻击。
———————————————
该视图筛选到仅显示与 Exploit Protection 有关的以下事件:
提供程序/源
事件 ID
描述
安全缓解
1
ACG 审核
安全缓解
2
ACG 强制
安全缓解
3
不允许子进程审核
安全缓解
4
不允许子进程阻止
安全缓解
5
阻止低完整性图像审核
安全缓解
6
阻止低完整性图像阻止
安全缓解
7
阻止远程图像审核
安全缓解
8
阻止远程图像阻止
安全缓解
9
禁用 win32k 系统调用审核
安全缓解
10
禁用 win32k 系统调用阻止
安全缓解
11
代码完整性防护审核
安全缓解
12
代码完整性防护阻止
安全缓解
13
EAF 审核
安全缓解
14
EAF 强制
安全缓解
15
EAF+ 审核
安全缓解
16
EAF+ 强制
安全缓解
17
IAF 审核
安全缓解
18
IAF 强制
安全缓解
19
ROP StackPivot 审核
安全缓解
20
ROP StackPivot 强制
安全缓解
21
ROP CallerCheck 审核
安全缓解
22
ROP CallerCheck 强制
安全缓解
23
ROP SimExec 审核
安全缓解
24
ROP SimExec 强制
WER-诊断
5
CFG 阻止
Win32K
260
不受信任的字体

————————————————————————————————

PowerShell 参考表下表列出了可用于配置每个缓解的 PowerShell cmdlet(以及关联的审核模式 cmdlet)。

缓解适用范围PowerShell cmdlet审核模式 cmdlet
控制流保护 (CFG)系统和应用级别CFG、StrictCFG、SuppressExports审核不可用
数据执行保护 (DEP)系统和应用级别DEP, EmulateAtlThunks审核不可用
强制图像随机化(强制 ASLR)系统和应用级别ForceRelocate审核不可用
随机内存分配(由下而上 ASLR)系统和应用级别BottomUp, HighEntropy审核不可用
验证异常链 (SEHOP)系统和应用级别SEHOP, SEHOPTelemetry审核不可用
验证堆完整性系统和应用级别TerminateOnHeapError审核不可用
任意代码防护 (ACG)仅应用级别DynamicCodeAuditDynamicCode
阻止低完整性图像仅应用级别BlockLowLabelAuditImageLoad
阻止远程图像仅应用级别BlockRemoteImages审核不可用
阻止不受信任的字体仅应用级别DisableNonSystemFontsAuditFont, FontAuditOnly
代码完整性防护仅应用级别BlockNonMicrosoftSigned, AllowStoreSignedAuditMicrosoftSigned, AuditStoreSigned
禁用扩展点仅应用级别ExtensionPoint审核不可用
禁用 Win32k 系统调用仅应用级别DisableWin32kSystemCallsAuditSystemCall
不允许子进程仅应用级别DisallowChildProcessCreationAuditChildProcess
导出地址筛选 (EAF)仅应用级别EnableExportAddressFilterPlus,   EnableExportAddressFilter  [1]审核不可用
导入地址筛选 (IAF)仅应用级别EnableImportAddressFilter审核不可用
模拟执行 (SimExec)仅应用级别EnableRopSimExec审核不可用
验证 API 调用 (CallerCheck)仅应用级别EnableRopCallerCheck审核不可用
验证处理使用情况仅应用级别StrictHandle审核不可用
验证映像依赖项完整性仅应用级别EnforceModuleDepencySigning审核不可用
验证堆栈完整性 (StackPivot)仅应用级别EnableRopStackPivot审核不可用

————————————————————————————————

使用 PowerShell 导出配置文件
  • 在“开始”菜单中键入 powershell,右键单击 Windows PowerShell,并单击以管理员身份运行
  • 输入以下 cmdlet:
    PowerShell
  • [mw_shl_code=shell,true]Get-ProcessMitigation -RegistryConfigFilePath filename.xml[/mw_shl_code]
将 filename 更改为所选的任何名称或位置。
重要
使用组策略部署配置时,将使用该配置的所有计算机必须都能够访问该配置文件。 请确保将文件放在共享位置。

————————————————————————————————
使用 PowerShell 导入配置文件
  • 在“开始”菜单中键入 powershell,右键单击 Windows PowerShell,并单击以管理员身份运行
  • 输入以下 cmdlet:
    PowerShell
  • [mw_shl_code=shell,true]Set-ProcessMitigation -RegistryConfigFilePath filename.xml[/mw_shl_code]
将 filename 更改到 Exploit Protection XML 文件的位置和名称。
重要
确保导入专为 Exploit Protection 创建的配置文件。 无法直接导入 EMET 配置文件,必须先将其转换。
————————————————————————————————

将 EMET 配置文件转换为 Exploit Protection 配置文件可以将现有 EMET 配置文件转换为 Exploit Protection 使用的新格式。 如果你想要将 EMET 配置导入到 Windows 10 中的 Exploit Protection,则必须执行此操作。
只能在 PowerShell 中进行此转换。
  • 在“开始”菜单中键入 powershell,右键单击 Windows PowerShell,并单击以管理员身份运行
  • 输入以下 cmdlet:
    PowerShell
  • [mw_shl_code=shell,true]ConvertTo-ProcessMitigationPolicy -EMETFilePath emetFile.xml -OutputFilePath filename.xml[/mw_shl_code]
将 emetFile 更改到 EMET 配置文件的名称和位置,并将 filename 更改到你想要使用的任一位置和文件名。
————————————————————————————————

你对自己的系统安全有信心吗?        
那个说我是传教士的人怎么还没来?
这样配置好以后,是不是可以玩双击了?
还有那个受保护的文件夹功能,可以防止勒索吗?

你们的 高级安全 Windows Defender 防火墙策略分享一份可好…………


EnZhSTReLniKoVa
发表于 2017-10-19 21:28:30 来自手机 | 显示全部楼层
使用说明书,好不好玩
ELOHIM
 楼主| 发表于 2017-10-19 21:29:32 | 显示全部楼层
君陌潇 发表于 2017-10-19 21:28
使用说明书,好不好玩


私信你了,帮帮我啊。。。

看的头疼。。。。。
wudimeisuowei
发表于 2017-10-20 16:32:25 | 显示全部楼层
这个完全看不懂的说,小白还是默认设置了。。
GreenCodes
发表于 2017-10-20 17:39:21 | 显示全部楼层
君陌潇 发表于 2017-10-19 21:28
使用说明书,好不好玩

还是配置VBS要紧,组策略改了设置,然而不知道怎么配置策略
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-27 14:49 , Processed in 0.127552 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表