在Windows 10中配置Windows Defender漏洞利用保护

类别: 视窗

尝试消除问题的工具

选择操作系统选择一个投影程序（可选）

描述您的问题

漏洞利用保护是Microsoft在操作系统的Fall Creators Update中引入的Windows Defender的新安全功能。

攻击防护是一组功能，包括漏洞利用保护，减少攻击面，网络保护和受控的文件夹访问。

最好将漏洞利用保护描述为Microsoft EMET的集成版本-漏洞利用体验工具包-该公司的安全工具将于2018年年中退休。

微软此前声称该公司的Windows 10操作系统无需在Windows上运行EMET ;至少有一位研究人员反驳了微软的说法。

Windows Defender漏洞利用保护

如果启用了Windows Defender，则默认情况下会启用漏洞利用保护。该功能是唯一一个不需要在Windows Defender中启用实时保护的Exploit Guard功能。

可以通过PowerShell命令在Windows Defender安全中心应用程序中配置该功能，也可以将其配置为策略。

Windows Defender安全中心应用程序中的配置

exploit protection windows defender

您可以在Windows Defender安全中心应用程序中配置漏洞利用保护。

使用Windows-I打开“设置”应用程序。
导航到“更新和安全性”>“ Windows Defender”。
选择“打开Windows Defender安全中心”。
在打开的新窗口中，选择列为边栏链接的应用程序和浏览器控件。
在页面上找到漏洞利用保护条目，然后单击漏洞利用保护设置。

设置分为系统设置和程序设置。

系统设置列出了可用的保护机制及其状态。 Windows 10 Fall Creators Update中提供了以下内容：

Control Flow Guard（CFG）-默认情况下处于启用状态。
数据执行保护（DEP）-默认情况下处于启用状态。
强制图像随机化（强制性ASLR）-默认情况下处于关闭状态。
随机分配内存分配（Bottom-up ASLR）-默认情况下处于启用状态。
验证异常链（SEHOP）-默认情况下处于启用状态。
验证堆完整性-默认情况下处于启用状态。

您可以将任何选项的状态更改为“默认情况下为开”，“默认情况下为关”或“使用默认情况”。

程序设置使您可以选择针对单个程序和应用程序自定义保护。这类似于您可以在Microsoft EMET中为特定程序添加例外的方式。如果在启用某些保护模块时程序异常，则很好。

默认情况下，很多程序都有例外。这包括svchost.exe，spools.exe，runtimebroker.exe，iexplore.exe和其他核心Windows程序。请注意，您可以通过选择文件并单击“编辑”来覆盖这些例外。

program settings exploit protection

单击“添加程序以自定义”以按名称或确切的文件路径将程序添加到例外列表。

您可以为在程序设置下添加的每个程序分别设置所有受支持保护的状态。除了覆盖系统默认值并将其强制为一个或一个，还可以选择将其设置为“仅审核”。后者记录了如果启用保护状态就可以触发的事件，但是只会将事件记录到Windows事件日志中。

程序设置列出了无法在系统设置下配置的其他保护选项，因为它们被配置为仅在应用程序级别上运行。

这些是：

任意代码保护（ACG）
吹低完整性图像
阻止远程图像
阻止不受信任的字体
代码完整性保护
禁用扩展点
禁用Win32系统调用
不允许子进程
导出地址过滤（EAF）
导入地址过滤（IAF）
模拟执行（SimExec）
验证API调用（CallerCheck）
验证句柄用法
验证图像依赖项集成
验证堆栈完整性（StackPivot）

使用PowerShell配置漏洞利用保护

您可以使用PowerShell来设置，删除或列出缓解措施。可以使用以下命令：

列出指定进程的所有缓解措施：Get-ProcessMitigation -Name processName.exe

设置缓解措施：Set-ProcessMitigation--，，

范围：-System或-Name。
行动：是-启用或-禁用。
缓解措施：缓解措施的名称。请参考下表。您可以用逗号分隔缓解措施。

例子：

Set-Processmitigation -System -Enable DEP
Set-Processmitigation-名称test.exe-删除-禁用DEP
Set-ProcessMitigation-名称processName.exe-启用EnableExportAddressFilterPlus -EAFModules dllName1.dll，dllName2.dll

减轻	适用于	PowerShell cmdlet	审核模式cmdlet
控制流量保护器（CFG）	系统和应用程序级别	CFG，严格CFG，禁止导出	审核不可用
数据执行保护（DEP）	系统和应用程序级别	DEP，EmulateAtlThunks	审核不可用
强制图像随机化（强制性ASLR）	系统和应用程序级别	强制搬迁	审核不可用
随机分配内存（自下而上的ASLR）	系统和应用程序级别	自下而上，高熵	审核不可用
验证异常链（SEHOP）	系统和应用程序级别	SEHOP，SEHOPT遥测	审核不可用
验证堆完整性	系统和应用程序级别	TerminateOnHeapError	审核不可用
任意代码保护（ACG）	仅应用程序级别	动态代码	AuditDynamicCode
阻止低完整性图像	仅应用程序级别	块低标签	AuditImageLoad
阻止远程图像	仅应用程序级别	BlockRemoteImages	审核不可用
阻止不受信任的字体	仅应用程序级别	禁用非系统字体	AuditFont，FontAuditOnly
代码完整性保护	仅应用程序级别	BlockNonMicrosoftSigned，AllowStoreSigned	AuditMicrosoftSigned，AuditStoreSigned
禁用扩展点	仅应用程序级别	扩展点	审核不可用
禁用Win32k系统调用	仅应用程序级别	禁用Win32kSystemCalls	AuditSystemCall
不允许子进程	仅应用程序级别	DisallowChildProcessCreation	AuditChildProcess
导出地址过滤（EAF）	仅应用程序级别	EnableExportAddressFilterPlus，EnableExportAddressFilter [之一]	审核不可用
导入地址过滤（IAF）	仅应用程序级别	EnableImportAddressFilter	审核不可用
模拟执行（SimExec）	仅应用程序级别	EnableRopSimExec	审核不可用
验证API调用（CallerCheck）	仅应用程序级别	EnableRopCallerCheck	审核不可用
验证句柄用法	仅应用程序级别	严格处理	审核不可用
验证图像依赖关系的完整性	仅应用程序级别	EnforceModuleDepencySigning	审核不可用
验证堆栈完整性（StackPivot）	仅应用程序级别	EnableRopStackPivot	审核不可用

导入和导出配置

可以导入和导出配置。您可以使用Windows Defender安全中心中的Windows Defender漏洞利用保护设置，通过PowerShell，通过使用策略来执行此操作。

此外，可以转换EMET配置，以便将其导入。

使用漏洞利用保护设置

您可以在设置应用程序中导出配置，但不能导入它们。导出会添加所有系统级别和应用程序级别的缓解措施。

只需单击漏洞利用保护下的“导出设置”链接即可。

使用PowerShell导出配置文件

打开提升的Powershell提示。
Get-ProcessMitigation -RegistryConfigFilePath filename.xml

编辑filename.xml，以使其反映保存位置和文件名。

使用PowerShell导入配置文件

打开提升的Powershell提示。
运行以下命令：Set-ProcessMitigation -PolicyFilePath filename.xml

编辑filename.xml，使其指向配置XML文件的位置和文件名。

使用组策略安装配置文件

use common set exploit protection

您可以使用策略安装配置文件。

点击Windows键，键入gpedit.msc，然后按Enter键以启动组策略编辑器。
导航到“计算机配置”>“管理模板”>“ Windows组件”>“ Windows Defender漏洞利用防护”>“漏洞利用防护”。
双击“使用漏洞利用保护设置命令集”。
将策略设置为启用。
在选项字段中添加配置XML文件的路径和文件名。

转换EMET文件

如上所述，打开提升的PowerShell提示。
运行命令ConvertTo-ProcessMitigationPolicy -EMETFilePath emetFile.xml -OutputFilePath filename.xml

将emetFile.xml更改为EMET配置文件的路径和位置。

将filename.xml更改为要将转换后的配置文件保存到的路径和位置。