Как настроить Защиту от эксплойтов в Windows 10

Exploit Guard- новая функция безопасности Защитника Windows, которая была впервые представлена Microsoft в Windows 10 Fall Creators Update.

Защита от эксплойтов представляет собой интегрированную версию инструмента Microsoft EMET (Enhanced Mitigation Experience Toolkit), поддержка которого завершится в середине 2018 года.

Защита от использования уязвимостей включена по умолчанию, если активен Защитник Windows. Эта функция является единственной функцией Exploit Guard, которая не требует включения защиты в режиме реального времени.

Данную функцию можно настроить в Центре безопасности Защитника Windows, с помощью групповых политик или команд PowerShell.

Центр безопасности Защитника Windows

Пользователи Windows 10 могут настроить защиту от эксплойтов в Центре безопасности Защитника Windows.

1. Используйте сочетание клавиша Windows + I для запуска приложения “Параметры”.
2. Перейдите в “Обновление и безопасность”, затем выберите пункт “Защитник Windows”.
3. Нажмите кнопку Открыть Центр безопасности Защитника Windows.
4. Выберите панель “Управление приложениями и браузером”.
5. На открывшейся странице выберите ссылку Параметры защиту от эксплойтов.

Все настройки разделены на две категории: Системные параметры и Параметры программ.

На вкладке Системные параметры выводится список всех доступных механизмов защиту с их статусом. В Windows 10 Fall Creators Update доступны следующие защиты:

• Защита потока управления (CFG) — вкл. по умолчанию.
• Предотвращение выполнения данных (DEP) — вкл. по умолчанию.
• Принудительное случайное распределение для образов (обязательный ASLR) — выкл. по умолчанию.
• Случайное распределение выделения памяти (низкий ASLR) — вкл. по умолчанию.
• Проверить цепочки исключений (SEHOP) — вкл. по умолчанию.
• Проверка целостности кучи — вкл. по умолчанию.

Параметры программ дают вам возможность настраивать защиту для отдельных программ и приложений. Данная опция работает аналогично функции исключений в Microsoft EMET для определенных программ. Данная возможность будет особо полезной, если программа ошибочно работает, когда включены определенные защитные модули.

По умолчанию несколько программ добавлены в исключения, в частности svchost.exe, spools.exe, runtimebroker.exe, iexplore.exe и другие основные программы Windows. Обратите внимание, что вы можете переопределить эти исключения, выбрав файлы и нажав кнопку “Редактировать”.

Нажмите ссылку “Добавление программы для индивидуальной настройки”, чтобы добавить приложение в список исключений.

Вы можете установить отдельный статус всех поддерживаемых защит для каждой программы, которую вы добавили в настройках программы. Помимо переопределения системного параметра по умолчанию и принудительного его включения или отключения, существует также возможность установить параметр только для аудита. В последнем случае будет происходить запись событий, которые происходили, если бы статус защиты был включен, в системный журнал Windows.

В списке “Параметры программ” перечислены дополнительные параметры защиты, которые невозможно настроить под системными параметрами, поскольку они настроены для работы только на уровне приложения.

• Защита от произвольного кода (ACG)
• Блокировка образов низкой целостности
• Блокировка удаленных образов
• Блокировка ненадежных шрифтов
• Защита целостности кода
• Отключение точек расширения
• Отключение вызовов системы Win32k
• Не разрешать дочерние процессы
• Фильтрация адресов экспорта (EAF)
• Фильтрация адресов импорта (IAF)
• Имитация выполнения (SimExec)
• Проверка вызовов API (CallerCheck)
• Проверка использования дескриптора
• Проверка целостности зависимостей образа
• Проверка целостности стека (StackPivot)

PowerShell

Вы можете использовать командную строку PowerShell для установки, удаления или изменения списка мер. Доступны следующие команды:

Чтобы просмотреть все защитные меры указанного процесса: Get-ProcessMitigation -Name processName.exe

Чтобы установить защитную меру: Set-ProcessMitigation — — , ,

Область действия: -System или -Name .

Действие: либо -Enable или -Disable .

Мера: название защитной меры. Обратитесь к таблице на сайте Microsoft, чтобы посмотреть список доступных мер. Вы можете отделить несколько мер запятой.

• Set-Processmitigation -System -Enable DEP
• Set-Processmitigation -Name test.exe -Remove -Disable DEP
• Set-ProcessMitigation -Name processName.exe -Enable EnableExportAddressFilterPlus -EAFModules dllName1.dll, dllName2.dll

Импорт и экспорт конфигураций

Конфигурации можно импортировать и экспортировать. Данные операции можно сделать на странице “Параметров защиты эксплойтов” в Центре безопасности Защитника Windows, а также с помощью PowerShell или редактора групповых политик.

Кроме того, конфигурации EMET можно преобразовать для последующего импорта.

Использование настроек защиты от эксплойтов

Вы можете экспортировать конфигурации в приложении “Центр безопасности Защитника Windows”, но не импортировать их. Экспорт добавляет все меры уровня системы и уровня приложения.

Нажмите ссылку “Параметры экспорта” и выберите местоположение для файла .XML с настройками.

Использование PowerShell для экспорта файла конфигурации

1. Откройте Powershell с правами администратора устройства.
2. Запустите команду: Get-ProcessMitigation -RegistryConfigFilePath filename.xml

Измените путь и filename.xml, указав требуемое местоположение и название файла.

Использование PowerShell для импорта файла конфигурации

1. Откройте Powershell с правами администратора устройства.
2. Запустите команду: Set-ProcessMitigation -PolicyFilePath filename.xml

Использование групповых политик для установки файла конфигурации

Вы можете установить файлы конфигураций с помощью редактора групповых политик:

Защита от эксплойтов (Exploit Guard) в Защитнике Windows 10

Защита от эксплойтов (Exploit Guard) — эта новая функция в Windows Defender в Windows 10 1709, которая представляет собой объединенную и более улучшенную версию инструмента EMET от Microsoft. Exploit Guard предназначен для защиты компьютера от эксплоитов, и заражения вашей системы вредоносными программами. Специально активировать Защиту от эксплойтов не нужно, это происходит автоматически, но только при включенном защитнике Windows.

Изменить параметры Exploit Guard по умолчанию можно в Центре безопасности Защитника Windows.

Получить к нему доступ можно через меню Пуск или Параметры (Windows + I). Настройки будут производиться именно через Центр Безопасности, а не Параметры Защитника. Учитывайте это при использовании быстрого поиска.

В появившемся окне перейдите в меню «Управление приложениями и браузером».

Пролистайте страницу в самый низ и выберите «Параметры защиты от эксплойтов».

Всего есть две основные категории для изменения конфигураций на компьютере. Рассмотрим каждую из них более подробно.

Системные параметры

Здесь отображается список доступных пользователю механизмов защиты Windows. Рядом указывается статус — включено, отключено. Доступны:

1. CFG. Защита потока управления и обеспечение его целостности для совершения непрямых вызовов (включена по умолчанию).
2. SEHOP. Проверка цепочек исключений и обеспечение ее целостность во время отправки.
3. DEP. Предотвращение выполнения данных (включена по умолчанию).
4. Обязательный ASLR. Принудительное случайное распределение для образов, которые не соответствуют /DYNAMICBASE (выключена по умолчанию).
5. Низкий ASLR. Случайное распределение выделения памяти. (включена по умолчанию).
6. Проверка целостности кучи. В случае нахождения повреждений, процесс автоматически завершается. (включена по умолчанию).

Пользователь может отключить их независимо друг от друга.

Параметры программ

В этом разделе можно отдельно редактировать дополнительные настройки защиты для каждого исполняемого файла, добавлять их в список исключений. Если ПО конфликтует при каком-либо активированном в системных параметрах модуле, то его можно отключить. При этом настройки других программ останутся прежними.

Опция работает по тому же принципу, что и исключения в инструменте EMET от Microsoft. По умолчанию здесь уже находятся некоторые штатные программы Windows.

Добавить новый исполняемый файл в список можно здесь же, нажав на кнопку «Добавление программы для индивидуальной настройки». Для этого укажите название программы или точный путь к ней. После этого он отобразится в списке.

Пользователь может редактировать параметры для каждой отдельной программы. Для этого выберите ее из списка, и кликните «Редактировать», после чего принудительно выключите/ включите нужную опцию. По желанию программу можно удалить из списка исключений.

Для редактирования доступны только те параметры, которые невозможно настроить через категорию «Системные». Для некоторых опций доступно значение «Аудит». После его активации Windows будет записывать события в системный журнал, что удобно для дальнейшего анализа.

Импорт и экспорт настроек

Экспортировать текущие настройки Exploit Guard можно через Центр безопасности Защитника Windows. Для этого достаточно нажать на соответствующую кнопку и сохранить файл в формате XML.

Экспортировать настройки можно и через командную строку Windows PowerShell. Для этого есть команда:

Get-ProcessMitigation -RegistryConfigFilePath C:\Users\Alex\Desktop\Settings.xml

Для импорта необходимо заменить командлет Get на Set и по аналогии с примером указать название и путь к файлу.

Установить уже существующий XML файл с настройками можно через редактор локальных групповых политик gpedit.msc:

1. В левой части экрана перейдите в ветку редактора Конфигурация компьютера —> Административные шаблоны —> Компоненты Windows —> Exploit Guard в Защитнике Windows —> Защита от эксплойтов. Откройте политику Используйте общий набор параметров защиты от эксплойтов.
2. Измените значение на «Включено», а в появившемся поле укажите путь или URL- адрес к существующему XML файлу с конфигурацией.

Сохраните внесенные изменения нажав на «Применить». Настройки вступят в силу немедленно, поэтому перезагружать ПК не обязательно.

Настройка Exploit Guard с помощью PowerShell

Для редактирования списка модулей защиты можно использовать командную строку Windows PowerShell.

Здесь доступные следующие команды:

1. Get-ProcessMitigation -Name iexplore.exe — получить список всех защитных мер для выбранного процесса. В данном примере это iexplore.exe, вы можете указать любой другой. Вместо имени программы, можно указать точный путь.
2. Состояние NOTSET (не установлено) для категории системных параметров означает, что выставлены значения по умолчанию, для категории программ здесь следует вписать параметр, к которому будут присвоены меры защиты.
3. —Set с добавочной командой ProcessMitigation используется для редактирования каждого отдельного значения. Чтобы активировать SEHOP для конкретного исполняемого файла (в нашем примере test.exe) по адресу C:\Users\Alex\Desktop\test.exe, используйте команду в PowerShell: Set-ProcessMitigation -Name C:\Users\Alex\Desktop\test.exe -Enable SEHOP
4. Чтобы применить эту меру для всех файлов, а не для конкретной программы, используйте команду: Set-Processmitigation -System -Enable SEHOP
5. -Enable — включить, —Disable — отключить.
6. Командлет —Remove используется для восстановления настроек по умолчанию и указывается сразу после —Name.
7. -Enable или —DisableAuditDynamicCode — активировать или выключить аудит.

При вводе команд учитывайте, что каждый отдельный параметр меры должен отделяться запятой. Посмотреть их список вы можете здесь же, в PowerShell. Они отобразятся после ввода команды Get-ProcessMitigation -Name имя_процесса.exe .

Защита устройств от эксплойтов Protect devices from exploits

Область применения: Applies to:

Защита от эксплойтов автоматически применяет ряд методов защиты от эксплойтов к процессам и приложениям операционной системы. Exploit protection automatically applies a number of exploit mitigation techniques to operating system processes and apps. Защита от эксплойтов поддерживается начиная с Windows 10 версии 1709 и Windows Server версии 1803. Exploit protection is supported beginning with Windows 10, version 1709 and Windows Server, version 1803.

Вы можете посетить веб-сайт Testground Защитника Windows по ссылке demo.wd.microsoft.com, чтобы проверить, работает ли функция, и узнать, как она работает. You can visit the Windows Defender Testground website at demo.wd.microsoft.com to confirm the feature is working and see how it works.

Защита от эксплойтов лучше всего работает с Defender для конечной точки, который предоставляет подробные отчеты о событиях и блоках защиты от эксплойтов в рамках обычных сценариев исследования оповещений. Exploit protection works best with Defender for Endpoint — which gives you detailed reporting into exploit protection events and blocks as part of the usual alert investigation scenarios.

Можно включить защиту от эксплойтов на отдельном устройстве, а затем использовать групповую политику для распространения XML-файла на несколько устройств одновременно. You can enable exploit protection on an individual device, and then use Group Policy to distribute the XML file to multiple devices at once.

Когда на устройстве применяется устранение рисков, в Центре уведомлений отображается уведомление. When a mitigation is encountered on the device, a notification will be displayed from the Action Center. Вы можете настроить уведомление, указав сведения о вашей организации и контактные данные. You can customize the notification with your company details and contact information. Вы также можете включить правила по отдельности, чтобы настроить, какие методы отслеживает функция. You can also enable the rules individually to customize what techniques the feature monitors.

Вы также можете использовать режим аудита, чтобы оценить, как защита от эксплойтов повлияет на вашу организацию, если она будет включена. You can also use audit mode to evaluate how exploit protection would impact your organization if it were enabled.

Многие функции в EMET включены в защиту от эксплойтов. Many of the features in the Enhanced Mitigation Experience Toolkit (EMET) are included in exploit protection. Фактически вы можете преобразовать и импортировать существующие профили конфигурации EMET в защиту от эксплойтов. In fact, you can convert and import existing your EMET configuration profiles into exploit protection. Дополнительные сведения см. в разделе Импорт, экспорт и развертывание конфигураций защиты от эксплойтов To learn more, see Import, export, and deploy exploit protection configurations.

Если вы используете EMET, следует помнить, что поддержка EMET была прекращена 31 июля 2018 года. If you are currently using EMET you should be aware that EMET reached end of support on July 31, 2018. Рассмотрите возможность замены EMET на защиту от эксплойтов в Windows 10. Consider replacing EMET with exploit protection in Windows 10.

Некоторые технологии защиты безопасности могут иметь проблемы совместимости с некоторыми приложениями. Some security mitigation technologies may have compatibility issues with some applications. Необходимо проверить защиту от эксплойтов во всех сценариях целевого использования с помощью режима аудита перед развертыванием конфигурации в производственной среде или в остальной части сети. You should test exploit protection in all target use scenarios by using audit mode before deploying the configuration across a production environment or the rest of your network.

Просмотр событий защиты от эксплойтов в Центре Microsoft Security Review exploit protection events in the Microsoft Security Center

Defender для конечной точки предоставляет подробные отчеты о событиях и блоках в рамках сценариев исследования оповещений. Defender for Endpoint provides detailed reporting into events and blocks as part of its alert investigation scenarios.

Вы можете запрашивать данные Defender для конечной точки с помощью Расширенной охоты на угрозы. You can query Defender for Endpoint data by using Advanced hunting. Если вы используете режим аудита, вы можете использовать расширенную охоту на угрозы, чтобы узнать, как параметры защиты от эксплойтов могут повлиять на вашу среду. If you’re using audit mode, you can use advanced hunting to see how exploit protection settings could affect your environment.

Вот пример запроса: Here is an example query:

Просмотр событий защиты от эксплойтов в средстве просмотра событий Windows Review exploit protection events in Windows Event Viewer

Вы можете просмотреть журнал событий Windows, чтобы просмотреть события, созданные при блокировке (или аудите) защиты от эксплойтов приложения: You can review the Windows event log to see events that are created when exploit protection blocks (or audits) an app:

Поставщик/источник Provider/source	Идентификатор события Event ID	Описание Description
Безопасность — Устранение рисков Security-Mitigations	1 1	Аудит ACG ACG audit
Безопасность — Устранение рисков Security-Mitigations	2 2	Принудительное выполнение ACG ACG enforce
Безопасность — Устранение рисков Security-Mitigations	3 3	Не разрешать аудит для дочерних процессов Do not allow child processes audit
Безопасность — Устранение рисков Security-Mitigations	4 4	Не разрешать блокировку дочерних процессов Do not allow child processes block
Безопасность — Устранение рисков Security-Mitigations	5 5	Блокировать аудит изображений с низкой целостностью Block low integrity images audit
Безопасность — Устранение рисков Security-Mitigations	6 6	Блокировать блок изображений с низкой целостностью Block low integrity images block
Безопасность — Устранение рисков Security-Mitigations	7 7	Блокировать аудит удаленных изображений Block remote images audit
Безопасность — Устранение рисков Security-Mitigations	8 8	Блокировать блок удаленных изображений Block remote images block
Безопасность — Устранение рисков Security-Mitigations	9 9	Отключить аудит системных вызовов Win32k Disable win32k system calls audit
Безопасность — Устранение рисков Security-Mitigations	10 10	Отключить блокировку системных вызовов win32k Disable win32k system calls block
Безопасность — Устранение рисков Security-Mitigations	11 11	Аудит защиты целостности кода Code integrity guard audit
Безопасность — Устранение рисков Security-Mitigations	12 12	Блок защиты целостности кода Code integrity guard block
Безопасность — Устранение рисков Security-Mitigations	13 13	Аудит EAF EAF audit
Безопасность — Устранение рисков Security-Mitigations	14 14	Принудительное выполнение EAF EAF enforce
Безопасность — Устранение рисков Security-Mitigations	15 15	EAF + аудит EAF+ audit
Безопасность — Устранение рисков Security-Mitigations	16 16	EAF+ принудительное выполнение EAF+ enforce
Безопасность — Устранение рисков Security-Mitigations	17 17	Аудит IAF IAF audit
Безопасность — Устранение рисков Security-Mitigations	18 18	Принудительное выполнение IAF IAF enforce
Безопасность — Устранение рисков Security-Mitigations	19 19	Аудит ROP StackPivot ROP StackPivot audit
Безопасность — Устранение рисков Security-Mitigations	20 20	Принудительное выполнение ROP StackPivot ROP StackPivot enforce
Безопасность — Устранение рисков Security-Mitigations	21 21	Аудит ROP CallerCheck ROP CallerCheck audit
Безопасность — Устранение рисков Security-Mitigations	22 22	Принудительное выполнение ROP CallerCheck ROP CallerCheck enforce
Безопасность — Устранение рисков Security-Mitigations	23 23	Аудит ROP SimExec ROP SimExec audit
Безопасность — Устранение рисков Security-Mitigations	24 24	Принудительное выполнение ROP SimExec ROP SimExec enforce
WER — Диагностика WER-Diagnostics	5 5	Блок CFG CFG Block
Win32K Win32K	260 260	Ненадежный шрифт Untrusted Font

Сравнение устранения рисков Mitigation comparison

Средства защиты, доступные в EMET, включены в Windows 10 (начиная с версии 1709) и Windows Server (начиная с версии 1803) в разделе Защита от эксплойтов. The mitigations available in EMET are included natively in Windows 10 (starting with version 1709) and Windows Server (starting with version 1803), under Exploit protection.

В таблице этого раздела указаны доступность и поддержка встроенных средств защиты EMET и защиты от эксплойтов. The table in this section indicates the availability and support of native mitigations between EMET and exploit protection.

Устранение рисков Mitigation	Доступно в рамках защиты от эксплойтов Available under exploit protection	Доступно в EMET Available in EMET
Механизм Arbitrary code guard (ACG) Arbitrary code guard (ACG)	да yes	да yes Как «Проверка защиты памяти» As «Memory Protection Check»
Блокировать удаленные изображения Block remote images	да yes	да yes Как «Загрузка проверки библиотеки» As «Load Library Check»
Блокировка ненадежные шрифты Block untrusted fonts	да yes	да yes
Предотвращение выполнения данных (DEP) Data Execution Prevention (DEP)	да yes	да yes
Фильтрация адресов экспорта (EAF) Export address filtering (EAF)	да yes	да yes
Принудительный случайный выбор изображений (обязательный ASLR) Force randomization for images (Mandatory ASLR)	да yes	да yes
Устранение рисков безопасности NullPage NullPage Security Mitigation	да yes Изначально включено в Windows 10 Included natively in Windows 10 Дополнительные сведения см. в статье Устранение угроз с помощью функций безопасности Windows 10 See Mitigate threats by using Windows 10 security features for more information	да yes
Случайные выделения памяти (ASLR снизу вверх) Randomize memory allocations (Bottom-Up ASLR)	да yes	да yes
Имитация выполнения (SimExec) Simulate execution (SimExec)	да yes	да yes
Проверка вызова API (CallerCheck) Validate API invocation (CallerCheck)	да yes	да yes
Проверка цепочек исключений (SEHOP) Validate exception chains (SEHOP)	да yes	да yes
Проверка целостности стека (StackPivot) Validate stack integrity (StackPivot)	да yes	да yes
Сертификат доверия (настраиваемое закрепление сертификата) Certificate trust (configurable certificate pinning)	Windows 10 обеспечивает закрепление корпоративных сертификатов Windows 10 provides enterprise certificate pinning	да yes
Выделение распыления кучи Heap spray allocation	Неэффективно в отношении новых браузерных эксплойтов; новые меры защиты обеспечивают лучшую защиту Ineffective against newer browser-based exploits; newer mitigations provide better protection Дополнительные сведения см. в статье Устранение угроз с помощью функций безопасности Windows 10 See Mitigate threats by using Windows 10 security features for more information	да yes
Блокировать изображений с низкой целостностью Block low integrity images	да yes	нет no
Защита целостности кода Code integrity guard	да yes	нет no
Отключить точки расширения Disable extension points	да yes	нет no
Отключить системные вызовы Win32k Disable Win32k system calls	да yes	нет no
Не разрешать дочерние процессы Do not allow child processes	да yes	нет no
Фильтрация адресов импорта (IAF) Import address filtering (IAF)	да yes	нет no
Проверка использования дескриптора Validate handle usage	да yes	нет no
Проверка целостности кучи Validate heap integrity	да yes	нет no
Проверка целостности зависимостей изображения Validate image dependency integrity	да yes	нет no

Расширенные средства защиты от ROP, доступные в EMET, заменены ACG в Windows 10. Другие дополнительные параметры EMET включены по умолчанию в рамках включения мер защиты от ROP для процесса. The Advanced ROP mitigations that are available in EMET are superseded by ACG in Windows 10, which other EMET advanced settings are enabled by default, as part of enabling the anti-ROP mitigations for a process. Дополнительные сведения об использовании в Windows 10 существующей технологии EMET см. в разделе Устранение рисков с помощью функций безопасности Windows 10. See the Mitigation threats by using Windows 10 security features for more information on how Windows 10 employs existing EMET technology.