Exploit protection windows 10 как найти

Как настроить Защиту от эксплойтов в Windows 10

Exploit Guard- новая функция безопасности Защитника Windows, которая была впервые представлена Microsoft в Windows 10 Fall Creators Update.

Защита от эксплойтов представляет собой интегрированную версию инструмента Microsoft EMET (Enhanced Mitigation Experience Toolkit), поддержка которого завершится в середине 2018 года.

Защита от использования уязвимостей включена по умолчанию, если активен Защитник Windows. Эта функция является единственной функцией Exploit Guard, которая не требует включения защиты в режиме реального времени.

Данную функцию можно настроить в Центре безопасности Защитника Windows, с помощью групповых политик или команд PowerShell.

Центр безопасности Защитника Windows

Пользователи Windows 10 могут настроить защиту от эксплойтов в Центре безопасности Защитника Windows.

Все настройки разделены на две категории: Системные параметры и Параметры программ.

На вкладке Системные параметры выводится список всех доступных механизмов защиту с их статусом. В Windows 10 Fall Creators Update доступны следующие защиты:

Параметры программ дают вам возможность настраивать защиту для отдельных программ и приложений. Данная опция работает аналогично функции исключений в Microsoft EMET для определенных программ. Данная возможность будет особо полезной, если программа ошибочно работает, когда включены определенные защитные модули.

По умолчанию несколько программ добавлены в исключения, в частности svchost.exe, spools.exe, runtimebroker.exe, iexplore.exe и другие основные программы Windows. Обратите внимание, что вы можете переопределить эти исключения, выбрав файлы и нажав кнопку “Редактировать”.

Нажмите ссылку “Добавление программы для индивидуальной настройки”, чтобы добавить приложение в список исключений.

Вы можете установить отдельный статус всех поддерживаемых защит для каждой программы, которую вы добавили в настройках программы. Помимо переопределения системного параметра по умолчанию и принудительного его включения или отключения, существует также возможность установить параметр только для аудита. В последнем случае будет происходить запись событий, которые происходили, если бы статус защиты был включен, в системный журнал Windows.

В списке “Параметры программ” перечислены дополнительные параметры защиты, которые невозможно настроить под системными параметрами, поскольку они настроены для работы только на уровне приложения.

PowerShell

Вы можете использовать командную строку PowerShell для установки, удаления или изменения списка мер. Доступны следующие команды:

Мера: название защитной меры. Обратитесь к таблице на сайте Microsoft, чтобы посмотреть список доступных мер. Вы можете отделить несколько мер запятой.

Импорт и экспорт конфигураций

Конфигурации можно импортировать и экспортировать. Данные операции можно сделать на странице “Параметров защиты эксплойтов” в Центре безопасности Защитника Windows, а также с помощью PowerShell или редактора групповых политик.

Кроме того, конфигурации EMET можно преобразовать для последующего импорта.

Использование настроек защиты от эксплойтов

Вы можете экспортировать конфигурации в приложении “Центр безопасности Защитника Windows”, но не импортировать их. Экспорт добавляет все меры уровня системы и уровня приложения.

Использование PowerShell для экспорта файла конфигурации

Измените путь и filename.xml, указав требуемое местоположение и название файла.

Использование PowerShell для импорта файла конфигурации

Использование групповых политик для установки файла конфигурации

Вы можете установить файлы конфигураций с помощью редактора групповых политик:

Источник

Оценка защиты от эксплойтов

Область применения:

Защита от эксплойтов помогает защитить устройства от вредоносных программ, которые используют эксплойты для распространения и заражения других устройств. Смягчение последствий может применяться либо к операционной системе, либо к отдельному приложению. Многие функции, которые были частью расширенной системы набор средств (EMET), включены в защиту эксплойтов. (EmET достигла своего конца поддержки.)

В аудите вы можете увидеть, как смягчение работает для определенных приложений в тестовой среде. Это показывает, что произошло бы, если бы вы включили защиту от эксплойтов в производственной среде. Таким образом можно убедиться, что защита от эксплойтов не оказывает негативного влияния на ваши бизнес-приложения, и увидеть, какие подозрительные или вредоносные события происходят.

Вы также можете посетить веб-сайт тестового поля Защитника Майкрософт в demo.wd.microsoft.com, чтобы узнать, как работает защита от эксплойтов.

Включить защиту эксплойтов для тестирования

Вы можете установить меры по смягчению последствий в режиме тестирования для определенных программ с помощью Безопасность Windows приложения или Windows PowerShell.

Безопасность Windows приложение

Откройте приложение «Безопасность Windows». Выберите значок щита в панели задач или выберите меню пусков для Defender.

Выберите плитку управления & браузера (или значок приложения в левой панели меню), а затем выберите защиту exploit.

Перейдите к настройкам программы и выберите приложение, к которое необходимо применить защиту:

После выбора приложения вы увидите список всех смягчающих последствий, которые можно применить. Выбор аудита будет применяться только в режиме аудита. Вы будете уведомлены, если вам потребуется перезапустить процесс, приложение или Windows.

Повторите эту процедуру для всех приложений и смягчения последствий, которые необходимо настроить. Выберите Применить, когда вы закончили настройку конфигурации.

PowerShell

Чтобы настроить режим аудита на уровне приложений, используйте Set-ProcessMitigation с помощью комлета режима аудита.

Настройте каждое смягчение в следующем формате:

Например, чтобы включить произвольный код Guard (ACG) в режиме аудита для приложения с именем testing.exe, запустите следующую команду:

Просмотр событий аудита защиты от эксплойтов

Чтобы просмотреть, какие приложения были заблокированы, откройте viewer событий и фильтр для следующих событий в Security-Mitigations журнале.

Источник

Enable exploit protection

Applies to:

Want to experience Defender for Endpoint? Sign up for a free trial.

Exploit protection helps protect against malware that uses exploits to infect devices and spread. Exploit protection consists of many mitigations that can be applied to either the operating system or individual apps.

Many features from the Enhanced Mitigation Experience Toolkit (EMET) are included in exploit protection.

You can enable each mitigation separately by using any of these methods:

Exploit protection is configured by default in Windows 10. You can set each mitigation to on, off, or to its default value. Some mitigations have more options. You can export these settings as an XML file and deploy them to other devices.

You can also set mitigations to audit mode. Audit mode allows you to test how the mitigations would work (and review events) without impacting the normal use of the device.

Windows Security app

Open the Windows Security app by either selecting the shield icon in your task bar, or by searching the Start menu for Security.

Select the App & browser control tile (or the app icon on the left menu bar) and then select Exploit protection settings.

Go to Program settings and choose the app you want to apply mitigations to.

After selecting the app, you’ll see a list of all the mitigations that can be applied. Choosing Audit will apply the mitigation in audit mode only. You are notified if you need to restart the process or app, or if you need to restart Windows.

Repeat steps 3-4 for all the apps and mitigations you want to configure.

Under the System settings section, find the mitigation you want to configure and then specify one of the following settings. Apps that aren’t configured individually in the Program settings section use the settings that are configured here.

Repeat step 6 for all the system-level mitigations you want to configure. Select Apply when you’re done setting up your configuration.

If you add an app to the Program settings section and configure individual mitigation settings there, they will be honored above the configuration for the same mitigations specified in the System settings section. The following matrix and examples help to illustrate how defaults work:

Enabled in Program settings	Enabled in System settings	Behavior
Yes	No	As defined in Program settings
Yes	Yes	As defined in Program settings
No	Yes	As defined in System settings
No	Yes	Default as defined in Use default option

Example 1: Mikael configures Data Execution Prevention in system settings section to be off by default

Mikael adds the app test.exe to the Program settings section. In the options for that app, under Data Execution Prevention (DEP), Mikael enables the Override system settings option and sets the switch to On. There are no other apps listed in the Program settings section.

The result is that DEP is enabled only for test.exe. All other apps will not have DEP applied.

Example 2: Josie configures Data Execution Prevention in system settings to be off by default

Josie adds the app test.exe to the Program settings section. In the options for that app, under Data Execution Prevention (DEP), Josie enables the Override system settings option and sets the switch to On.

Josie also adds the app miles.exe to the Program settings section and configures Control flow guard (CFG) to On. Josie doesn’t enable the Override system settings option for DEP or any other mitigations for that app.

The result is that DEP is enabled for test.exe. DEP will not be enabled for any other app, including miles.exe. CFG will be enabled for miles.exe.

Open the Windows Security app by selecting the shield icon in the task bar or searching the start menu for Defender.

Select the App & browser control tile (or the app icon on the left menu bar) and then select Exploit protection.

Go to Program settings and choose the app you want to apply mitigations to.

After selecting the app, you’ll see a list of all the mitigations that can be applied. Choosing Audit will apply the mitigation in audit mode only. You will be notified if you need to restart the process or app, or if you need to restart Windows.

Repeat steps 3-4 for all the apps and mitigations you want to configure. Select Apply when you’re done setting up your configuration.

Intune

Sign in to the Azure portal and open Intune.

Go to Device configuration > Profiles > Create profile.

Name the profile, choose Windows 10 and later and Endpoint protection.

Select Configure > Windows Defender Exploit Guard > Exploit protection.

Upload an XML file with the exploit protection settings:

Select OK to save each open blade, and then choose Create.

Select the profile Assignments tab, assign the policy to All Users & All Devices, and then select Save.

Microsoft Endpoint Manager

In Microsoft Endpoint Manager, go to Endpoint Security > Attack surface reduction.

Select Create Policy > Platform, and for Profile, choose Exploit Protection. Then select Create.

Specify a name and a description, and then choose Next.

Choose Select XML File and browse to the location of the exploit protection XML file. Select the file, and then choose Next.

Configure Scope tags and Assignments if necessary.

Under Review + create, review your configuration settings, and then choose Create.

Microsoft Endpoint Configuration Manager

In Microsoft Endpoint Configuration Manager, go to Assets and Compliance > Endpoint Protection > Windows Defender Exploit Guard.

Select Home > Create Exploit Guard Policy.

Specify a name and a description, select Exploit protection, and then choose Next.

Browse to the location of the exploit protection XML file and select Next.

Review the settings, and then choose Next to create the policy.

After the policy is created, select Close.

Group Policy

On your Group Policy management device, open the Group Policy Management Console, right-click the Group Policy Object you want to configure and click Edit.

In the Group Policy Management Editor go to Computer configuration and select Administrative templates.

Expand the tree to Windows components > Windows Defender Exploit Guard > Exploit Protection > Use a common set of exploit protection settings.

Select Enabled and type the location of the XML file, and then choose OK.

PowerShell

Use Set to configure each mitigation in the following format:

For example, to enable the Data Execution Prevention (DEP) mitigation with ATL thunk emulation and for an executable called testing.exe in the folder C:AppsLOBtests, and to prevent that executable from creating child processes, you’d use the following command:

Separate each mitigation option with commas.

If you wanted to apply DEP at the system level, you’d use the following command:

[1]: Use the following format to enable EAF modules for DLLs for a process:

[2]: Audit for this mitigation is not available via PowerShell cmdlets.

Customize the notification

For information about customizing the notification when a rule is triggered and an app or file is blocked, see Windows Security.

Источник

Включить защиту от эксплойтов

Область применения:

Защита от эксплойтов помогает защититься от вредоносных программ, которые используют эксплойты для заражения устройств и распространения. Защита от эксплойтов состоит из множества смягчающих последствий, которые можно применить к операционной системе или отдельным приложениям.

В защиту эксплойтов включены многие функции из набор средств (EMET).

Каждое смягчение можно включить отдельно, используя любой из этих методов:

Защита от эксплойта настраивается по умолчанию в Windows 10. Вы можете настроить каждое смягчение, чтобы включить, отключить или значение по умолчанию. Некоторые меры по смягчению последствий имеют больше возможностей. Эти параметры можно экспортировать в качестве XML-файла и развертывать на других устройствах.

Вы также можете настроить смягчение последствий в режим аудита. Режим аудита позволяет проверить, как будут работать меры по смягчению последствий (и обзор событий), не влияя на нормальное использование устройства.

Безопасность Windows приложение

Откройте приложение Безопасность Windows, выбрав значок щита в панели задач или меню безопасности.

Выберите плитку управления & браузера (или значок приложения в левой панели меню), а затем выберите параметры защиты exploit.

Перейдите к настройкам программы и выберите приложение, к которое необходимо применить меры по смягчению последствий.

После выбора приложения вы увидите список всех смягчающих последствий, которые можно применить. Выбор аудита будет применяться только в режиме аудита. Вы уведомлены о необходимости перезапуска процесса или приложения или о необходимости перезапуска Windows.

Повторите действия 3-4 для всех приложений и смягчения последствий, которые необходимо настроить.

В разделе Параметры системы найдите решение, необходимое для настройки, а затем укажите один из следующих параметров. Приложения, которые не настроены отдельно в разделе Параметры программы, используют параметры, настроенные здесь.

Повторите шаг 6 для всех системных смягчений, которые необходимо настроить. Выберите Применить, когда вы закончили настройку конфигурации.

Если вы добавите приложение в раздел Параметры программы и настроите там отдельные параметры смягчения, они будут соблюдаться выше конфигурации для тех же смягчений, указанных в разделе Параметры системы. В следующей матрице и примерах показано, как работают по умолчанию:

Включено в параметрах программы	Включено в параметрах System	Поведение
Да	Нет	Как определено в параметрах программы
Да	Да	Как определено в параметрах программы
Нет	Да	Как определено в параметрах System
Нет	Да	По умолчанию, как определено в параметре Использование по умолчанию

Пример 1. Mikael настраивает предотвращение выполнения данных в разделе параметры системы, отключенной по умолчанию

Микаэль добавляет приложение test.exe в раздел Параметры программы. В параметрах для этого приложения в статье Предотвращение выполнения данных (DEP) Mikael включает параметр параметры системы Override и задает переключатель На. В разделе Параметры программы не указаны другие приложения.

В результате deP включен только для test.exe. Все другие приложения не будут применяться к DEP.

Пример 2. Josie настраивает предотвращение выполнения данных в параметрах системы, отключенных по умолчанию

Джози добавляет приложение test.exe в раздел Параметры программы. В параметрах для этого приложения в статье Предотвращение выполнения данных (DEP) Josie включает параметр параметры системы Override и задает переключатель На.

Джози также добавляет приложениеmiles.exe в раздел Параметры программы и настраивает службу управления потоком (CFG) в On. Josie не включает параметры системы Override для DEP или любые другие меры по смягчению последствий для этого приложения.

В результате deP включен для test.exe. DEP не будет включен для любого другого приложения, включая miles.exe. CFG будет включен для miles.exe.

Откройте приложение Безопасность Windows, выбрав значок щита в панели задач или нажав меню пусков для Defender.

Выберите плитку управления & браузера (или значок приложения в левой панели меню), а затем выберите защиту exploit.

Перейдите к настройкам программы и выберите приложение, к которое необходимо применить меры по смягчению последствий.

После выбора приложения вы увидите список всех смягчающих последствий, которые можно применить. Выбор аудита будет применяться только в режиме аудита. Вы будете уведомлены о необходимости перезапустить процесс или приложение или перезапустить Windows.

Повторите действия 3-4 для всех приложений и смягчения последствий, которые необходимо настроить. Выберите Применить, когда вы закончили настройку конфигурации.

Intune

Вопишитесь на портал Azure и откройте Intune.

Перейдите к профилям > конфигурации устройств > Создайте профиль.

Назови профиль, выберите Windows 10 и более поздний и конечную точки защиты.

Выберите Настройка Защитник Windows защита от > эксплойтов > guard.

Upload XML-файл с настройками защиты от эксплойтов:

Выберите ОК, чтобы сохранить каждое открытое лезвие, а затем выберите Создать.

Выберите вкладку Назначения профилей, назначьте политику всем пользователям & всем устройствам, а затем выберите Сохранить.

Microsoft Endpoint Manager

В Microsoft Endpoint Manager перейдите к уменьшению поверхности Endpoint Security > Attack.

Выберите создание > платформы политики, а для профиля выберите защиту от эксплойтов. Затем нажмите кнопку Создать.

Укажите имя и описание, а затем выберите Далее.

Выберите выберите XML-файл и просмотрите расположение XML-файла защиты от эксплойтов. Выберите файл, а затем выберите Далее.

Настройка тегов Области и назначений при необходимости.

В обзоре + создайте, просмотрите параметры конфигурации, а затем выберите Создать.

Microsoft Endpoint Configuration Manager

В Microsoft Endpoint Configuration Manager перейдите в службу Assets and Compliance > Endpoint Protection Защитник Windows > Exploit Guard.

Выберите > домашнее создание политики защиты от эксплойтов.

Укажите имя и описание, выберите защиту exploit и выберите Далее.

Просмотрите расположение XML-файла защиты от эксплойтов и выберите Далее.

Просмотрите параметры и выберите Далее, чтобы создать политику.

После создания политики выберите Close.

Групповая политика

На устройстве управления групповой политикой откройте консоль управления групповой политикой правойкнопкой мыши объект групповой политики, который необходимо настроить, и нажмите кнопку Изменить.

В редакторе управления групповой политикой перейдите к конфигурации компьютера и выберите административные шаблоны.

Расширь дерево до Windows компонентов Защитник Windows > exploit Guard Exploit > Protection Use > a common set of exploit protection settings.

Выберите включено и введите расположение XML-файла,а затем выберите ОК.

PowerShell

Используйте Set для настройки каждого смягчения в следующем формате:

Например, чтобы включить смягчение меры по предотвращению выполнения данных (DEP) с помощью эмуляции thunk ATL и для исполняемого под названием testing.exe в папке C:AppsLOBtests, а также предотвратить создание детских процессов, необходимо использовать следующую команду:

Разделите каждый вариант смягчения с запятой.

Если вы хотите применить DEP на уровне системы, вы используете следующую команду:

[ 1. ] Используйте следующий формат, чтобы включить модули EAF для DLLs для процесса:

[ 2. ] Аудит для этого смягчения не доступен с помощью cmdlets PowerShell.

Настройка уведомления

Сведения о настройке уведомления при запуске правила и блокировке приложения или файласм. в Безопасность Windows.

Источник

Не так давно мир увидел два крупнейшие кибератаки всех времен. Программы-вымогатели Petya и WannaCry погубил многие предприятиякак большие, так и малые, включая Национальную службу здравоохранения (NHS) Великобритании.

Программы-вымогатели — одна из самых неприятных растущих форм кибератак. Он блокирует доступ к компьютеру и его файлам и запрашивает денежную сумму, чтобы разблокировать их. Эти формы вредоносных программ легко распространяются.

Это может быть так же просто, как щелкнуть ссылку или открыть электронное письмо с троянским загрузчиком. Не говоря уже о том, что зараженный компьютер может распространять вредоносное ПО в подключенной сети.

Однако все надежды еще не потеряны. Microsoft включила Exploit Guard в Защитнике Windows в Windows 10 Fall Creators Update, который помогает предотвратить атаки программ-вымогателей на ваш компьютер.

Итак, без лишних слов, давайте посмотрим, что такое защита от программ-вымогателей в Windows 10 и как ее включить.

См. Также: Как удалить и предотвратить вредоносное ПО на вашем Mac

Программа-вымогатель шифрует ваши важные файлы и документы с помощью известного или пользовательского алгоритма RSA. Как упоминалось выше, они просят денежную сумму в обмен на ключ. Microsoft стремится пресечь проблему в зародыше, заблокировав доступ к файловым системам.

Эта функция, известная под названием «Контролируемый доступ к папкам», предотвращает несанкционированный доступ к общим папкам. Это означает, что приложения, скрипты, библиотеки DLL и исполняемые файлы не смогут получить доступ, если вы не дадите им явное разрешение.

Всякий раз, когда неавторизованное приложение пытается получить доступ к защищенным папкам, вы получаете уведомление через небольшое окно уведомлений.

Хорошей новостью является то, что процесс немного настраивается. Вы можете добавить собственный набор папок в список контролируемых папок или разрешить доверенным приложениям доступ к этим папкам.

См. Также: Как сделать компьютер с Windows 10 максимально безопасным

Как включить защиту от программ-вымогателей

Шаг 1: Дайте право прохода

Найдите Центр безопасности Защитника Windows в поле поиска и, когда приложение открыто, щелкните поле Защита от вирусов и угроз.

Оказавшись внутри, нажмите «Настройки защиты от вирусов и угроз». Прокрутите вниз, пока не увидите параметр «Контролируемый доступ к папке», и включите переключатель.

Узнать больше: 19 лучших советов и рекомендаций по Windows 10, которые вы должны знать

Шаг 2. Добавьте важные папки

Сделав это, нажмите на ссылку Защищенные папки. По умолчанию большинство общих папок, таких как «Рабочий стол», «Изображения» и «Документы», уже должны быть перечислены.

Однако при желании вы можете добавить папки, которые считаете важными.

Шаг 3. Добавьте доверенные приложения

Следующим шагом является добавление нескольких приложений в список доверенных приложений. Нажмите «Разрешить приложению через контролируемый доступ к папке» и добавьте исполняемый файл программы. Вот и все! Настройка завершена.

Имейте в виду, что этот процесс будет блокировать каждый несанкционированный доступ. Хотя Exploit Guard в Защитнике Windows поначалу немного усложняет работу, при правильном добавлении в белый список в конечном итоге все станет гладко.

Кроме того, его интеграция со сторонними антивирусными программами делает его еще лучше.

Настройка уведомлений Защитника Windows

Если вы находите уведомления Защитника Windows слишком раздражающими, мы рекомендуем настроить их через Центр активности.

Пользователь Android? Получите чистую панель уведомлений в Android с помощью Notification Hub

Бонусный трюк: блокируйте предложения и рекламу

Microsoft выбрала самое распространенное из всех мест для размещения рекламы и предложений — меню «Пуск» Windows. Хотя это действительно помогает вам открыть для себя некоторые удивительные продукты, в большинстве случаев это просто раздражает.

К счастью, создатели включили способ заблокировать их. Перейдите в «Настройки»> «Персонализация»> «Пуск» и отключите параметр «Иногда показывать предложения в меню «Пуск».

Более того, если вы хотите очистить меню «Пуск» от всех последних приложений или наиболее часто используемых приложений, это меню также позволяет вам сделать это. Круто, да?

Держите свой компьютер в безопасности

Хотя Exploit Guard в Защитнике Windows является эффективным способом борьбы с атаками вредоносных программ, всегда рекомендуется регулярно создавать резервные копии всех ваших важных данных. Надлежащее резервное копирование также выступает в качестве идеального плана на случай сбоя системы.

Кроме этого, применяются обычные правила — не нажимайте на какие-либо подозрительные электронные письма, какой бы привлекательной ни была тема. Кроме того, включите параметр отображения расширений файлов, чтобы вы могли видеть полное изображение файла до того, как нажмете кнопку.

Post Views: 39