विंडोज 10 में विंडोज डिफेंडर शोषण सुरक्षा को कॉन्फ़िगर करें
- श्रेणी: खिड़कियाँ
शोषण से बचाव विंडोज डिफेंडर की एक नई सुरक्षा विशेषता है जिसे माइक्रोसॉफ्ट ने ऑपरेटिंग सिस्टम के फॉल क्रिएटर्स अपडेट में पेश किया था।
शोषण करने वाला पहरा सुविधाओं का एक सेट है जिसमें शोषण सुरक्षा शामिल है, हमले की सतह में कमी , नेटवर्क सुरक्षा, और नियंत्रित फ़ोल्डर का उपयोग ।
शोषण सुरक्षा को Microsoft के EMET के एक एकीकृत संस्करण के रूप में वर्णित किया जा सकता है - शोषण शमन अनुभव टूलकिट - सुरक्षा उपकरण जो कंपनी 2018 के मध्य में सेवानिवृत्त होगा ।
Microsoft ने पहले दावा किया था कि कंपनी का विंडोज 10 ऑपरेटिंग सिस्टम Windows अनावश्यक के साथ EMET चल रहा होगा ; कम से कम एक शोधकर्ता ने Microsoft के दावे का खंडन किया।
विंडोज डिफेंडर शोषण सुरक्षा
यदि विंडोज डिफेंडर सक्षम है तो शोषण सुरक्षा डिफ़ॉल्ट रूप से सक्षम है। यह सुविधा एकमात्र एक्सप्लॉइट गार्ड सुविधा है जिसके लिए विंडोज डिफेंडर में वास्तविक समय की सुरक्षा सक्षम होना आवश्यक नहीं है।
सुविधा को PowerShell आदेशों के माध्यम से, या नीतियों के रूप में Windows Defender Security Center एप्लिकेशन में कॉन्फ़िगर किया जा सकता है।
विंडोज डिफेंडर सुरक्षा केंद्र ऐप में कॉन्फ़िगरेशन
आप Windows सुरक्षा सुरक्षा केंद्र अनुप्रयोग में शोषण सुरक्षा को कॉन्फ़िगर कर सकते हैं।
- सेटिंग्स एप्लिकेशन को खोलने के लिए Windows-I का उपयोग करें।
- अद्यतन और सुरक्षा> विंडोज डिफेंडर पर नेविगेट करें।
- ओपन विंडोज डिफेंडर सुरक्षा केंद्र का चयन करें।
- खुलने वाली नई विंडो में एक साइडबार लिंक के रूप में सूचीबद्ध ऐप और ब्राउज़र नियंत्रण का चयन करें।
- पृष्ठ पर शोषण सुरक्षा प्रविष्टि का पता लगाएँ, और शोषण सुरक्षा सेटिंग्स पर क्लिक करें।
सेटिंग्स को सिस्टम सेटिंग्स और प्रोग्राम सेटिंग्स में विभाजित किया गया है।
सिस्टम सेटिंग्स उपलब्ध सुरक्षा तंत्र और उनकी स्थिति को सूचीबद्ध करती हैं। विंडोज 10 फॉल क्रिएटर्स अपडेट में निम्नलिखित उपलब्ध हैं:
- नियंत्रण प्रवाह गार्ड (सीएफजी) - डिफ़ॉल्ट रूप से।
- डेटा निष्पादन रोकथाम (DEP) - डिफ़ॉल्ट रूप से।
- छवियों के लिए यादृच्छिककरण (अनिवार्य ASLR) - डिफ़ॉल्ट रूप से बंद।
- स्मृति आवंटन को रैंडमाइज़ करें (बॉटम-अप ASLR) - डिफ़ॉल्ट रूप से।
- डिफ़ॉल्ट रूप से अपवाद श्रृंखलाओं (SEHOP) को सत्यापित करें।
- डिफ़ॉल्ट रूप से - ढेर ढेर अखंडता।
आप किसी भी विकल्प की स्थिति को 'डिफ़ॉल्ट रूप से', 'डिफ़ॉल्ट रूप से बंद' या 'डिफ़ॉल्ट का उपयोग करें' में बदल सकते हैं।
कार्यक्रम सेटिंग्स आपको व्यक्तिगत कार्यक्रमों और अनुप्रयोगों के लिए सुरक्षा को अनुकूलित करने के लिए विकल्प देती हैं। यह इसी तरह काम करता है कि आप विशेष कार्यक्रमों के लिए Microsoft EMET में अपवाद कैसे जोड़ सकते हैं; यदि कुछ सुरक्षात्मक मॉड्यूल सक्षम होने पर कोई प्रोग्राम गलत व्यवहार करता है तो अच्छा है।
कुछ प्रोग्रामों में डिफ़ॉल्ट रूप से कुछ अपवाद होते हैं। इसमें svchost.exe, spools..exe, runtimebroker.exe, iexplore.exe और अन्य मुख्य विंडोज प्रोग्राम शामिल हैं। ध्यान दें कि आप फ़ाइलों को चुनकर और संपादन पर क्लिक करके इन अपवादों को ओवरराइड कर सकते हैं।
अपवादों की सूची में नाम या सटीक फ़ाइल पथ द्वारा एक कार्यक्रम जोड़ने के लिए 'प्रोग्राम को अनुकूलित करने के लिए जोड़ें' पर क्लिक करें।
आप प्रोग्राम सेटिंग्स के तहत जोड़े गए प्रत्येक प्रोग्राम के लिए व्यक्तिगत रूप से सभी समर्थित सुरक्षा की स्थिति निर्धारित कर सकते हैं। सिस्टम डिफ़ॉल्ट को ओवरराइड करने और उसे एक या बंद करने के लिए मजबूर करने के अलावा, इसे 'केवल ऑडिट' करने के लिए सेट करने का विकल्प भी है। यदि सुरक्षा की स्थिति चालू होती, तो बाद के रिकॉर्ड की घटनाओं को निकाल दिया जाता, लेकिन केवल Windows ईवेंट लॉग में ईवेंट रिकॉर्ड करेगा।
प्रोग्राम सेटिंग्स अतिरिक्त सुरक्षा विकल्पों को सूचीबद्ध करती हैं जिन्हें आप सिस्टम सेटिंग्स के तहत कॉन्फ़िगर नहीं कर सकते क्योंकि वे केवल एप्लिकेशन स्तर पर चलाने के लिए कॉन्फ़िगर किए गए हैं।
य़े हैं:
- मनमाना कोड गार्ड (ACG)
- कम अखंडता छवियों को उड़ाने
- दूरस्थ छवियों को ब्लॉक करें
- अविश्वासित फोंट को ब्लॉक करें
- कोड अखंडता गार्ड
- एक्सटेंशन पॉइंट अक्षम करें
- Win32 सिस्टम कॉल अक्षम करें
- बाल प्रक्रियाओं की अनुमति न दें
- निर्यात पता फ़िल्टरिंग (EAF)
- आयात पता फ़िल्टरिंग (IAF)
- अनुकरण अनुकरण (SimExec)
- मान्य API आमंत्रण (कॉलरचेक)
- संभाल उपयोग को मान्य करें
- मान्य छवि निर्भरता एकीकरण
- वैधता अखंडता (StackPivot)
PowerShell का उपयोग करके शोषण सुरक्षा को कॉन्फ़िगर करना
आप शमन को सेट, हटाने या सूचीबद्ध करने के लिए PowerShell का उपयोग कर सकते हैं। निम्नलिखित आदेश उपलब्ध हैं:
निर्दिष्ट प्रक्रिया के सभी शमन को सूचीबद्ध करने के लिए: Get-ProcessMitigation -Name processName.exe
शमन सेट करने के लिए: सेट-प्रक्रियाकरण - - ,,
- स्कोप: या तो सिस्टम या नाम है।
- क्रिया: या तो -Enable या -Disable है।
- शमन: शमन का नाम। निम्न तालिका से परामर्श करें। आप अल्पविराम द्वारा अलग-अलग शमन कर सकते हैं।
उदाहरण:
- सेट-प्रक्रिया-प्रणाली -Enable DEP
- सेट-प्रक्रिया -नाम का परीक्षण करें
- सेट-प्रोसेसमिटेशन -नाम प्रोसेसनाम
| शमन | प्र लागू होता है | PowerShell cmdlets | ऑडिट मोड cmdlet |
|---|---|---|---|
| नियंत्रण प्रवाह गार्ड (CFG) | सिस्टम और ऐप-स्तर | CFG, StrictCFG, SuppressExports | ऑडिट उपलब्ध नहीं है |
| डेटा निष्पादन रोकथाम (DEP) | सिस्टम और ऐप-स्तर | DEP, EmulateAtlThunks | ऑडिट उपलब्ध नहीं है |
| छवियों के लिए बल यादृच्छिककरण (अनिवार्य ASLR) | सिस्टम और ऐप-स्तर | ForceRelocate | ऑडिट उपलब्ध नहीं है |
| स्मृति आवंटन को रैंडमाइज़ करें (नीचे-ऊपर ASLR) | सिस्टम और ऐप-स्तर | बॉटमअप, हाईएंट्रोपी | ऑडिट उपलब्ध नहीं है |
| अपवाद श्रृंखलाएं (SEHOP) | सिस्टम और ऐप-स्तर | SEHOP, SEHOPTelemetry | ऑडिट उपलब्ध नहीं है |
| निष्ठापूर्वक ढेर अखंडता | सिस्टम और ऐप-स्तर | TerminateOnHeapError | ऑडिट उपलब्ध नहीं है |
| मनमाना कोड गार्ड (ACG) | केवल ऐप-स्तर | DynamicCode | AuditDynamicCode |
| कम अखंडता छवियों को ब्लॉक करें | केवल ऐप-स्तर | BlockLowLabel | AuditImageLoad |
| दूरस्थ छवियों को ब्लॉक करें | केवल ऐप-स्तर | BlockRemoteImages | ऑडिट उपलब्ध नहीं है |
| अविश्वासित फोंट को ब्लॉक करें | केवल ऐप-स्तर | DisableNonSystemFonts | ऑडिटफॉन्ट, FontAuditOnly |
| कोड अखंडता गार्ड | केवल ऐप-स्तर | BlockNonMicrosoftSign, AllowStoreSigned | AuditMicrosoftSign, AuditStoreSigned |
| एक्सटेंशन पॉइंट अक्षम करें | केवल ऐप-स्तर | ExtensionPoint | ऑडिट उपलब्ध नहीं है |
| Win32k सिस्टम कॉल अक्षम करें | केवल ऐप-स्तर | DisableWin32kSystemCalls | AuditSystemCall |
| बाल प्रक्रियाओं की अनुमति न दें | केवल ऐप-स्तर | DisallowChildProcessCreation | AuditChildProcess |
| निर्यात पता फ़िल्टरिंग (EAF) | केवल ऐप-स्तर | EnableExportAddressFilterPlus, EnableExportAddressFilter [एक] | ऑडिट उपलब्ध नहीं है |
| आयात पता फ़िल्टरिंग (IAF) | केवल ऐप-स्तर | EnableImportAddressFilter | ऑडिट उपलब्ध नहीं है |
| अनुकरण अनुकरण (SimExec) | केवल ऐप-स्तर | EnableRopSimExec | ऑडिट उपलब्ध नहीं है |
| मान्य API आमंत्रण (कॉलरचेक) | केवल ऐप-स्तर | EnableRopCallerCheck | ऑडिट उपलब्ध नहीं है |
| संभाल उपयोग को मान्य करें | केवल ऐप-स्तर | StrictHandle | ऑडिट उपलब्ध नहीं है |
| मान्य छवि निर्भरता अखंडता | केवल ऐप-स्तर | EnforceModuleDepencySigning | ऑडिट उपलब्ध नहीं है |
| वैधता अखंडता (StackPivot) | केवल ऐप-स्तर | EnableRopStackPivot | ऑडिट उपलब्ध नहीं है |
आयात और निर्यात विन्यास
कॉन्फ़िगरेशन आयात और निर्यात किया जा सकता है। आप Windows डिफ़ेंडर सुरक्षा सेटिंग्स का उपयोग करके Windows Defender Security Center में, PowerShell का उपयोग करके, नीतियों का उपयोग करके कर सकते हैं।
EMET कॉन्फ़िगरेशन को और अधिक परिवर्तित किया जा सकता है ताकि उन्हें आयात किया जा सके।
एक्सप्लॉइट सुरक्षा सेटिंग्स का उपयोग करना
आप सेटिंग एप्लिकेशन में कॉन्फ़िगरेशन निर्यात कर सकते हैं, लेकिन उन्हें आयात नहीं कर सकते। निर्यात सभी सिस्टम स्तर और ऐप स्तर के समिश्रण को जोड़ता है।
ऐसा करने के लिए बस शोषण सुरक्षा के तहत 'निर्यात सेटिंग' लिंक पर क्लिक करें।
कॉन्फ़िगरेशन फ़ाइल निर्यात करने के लिए PowerShell का उपयोग करना
- एक उन्नत Powershell शीघ्र खोलें।
- Get-ProcessMitigation -RegistryConfigFilePath फ़ाइल नाम। Xml
Filename.xml को संपादित करें ताकि यह सेव लोकेशन और फाइलनेम को दर्शाए।
कॉन्फ़िगरेशन फ़ाइल आयात करने के लिए PowerShell का उपयोग करना
- एक उन्नत Powershell शीघ्र खोलें।
- निम्न आदेश चलाएँ: सेट-प्रोसेसमाइटी-पॉलीसिफ़ाइलफ़ाइल फ़ाइल नाम। Xml
Filename.xml को संपादित करें ताकि यह कॉन्फ़िगरेशन XML फ़ाइल के स्थान और फ़ाइल नाम को इंगित करे।
कॉन्फ़िगरेशन फ़ाइल को स्थापित करने के लिए समूह नीति का उपयोग करना
आप नीतियों का उपयोग करके कॉन्फ़िगरेशन फ़ाइलों को स्थापित कर सकते हैं।
- Windows- कुंजी पर टैप करें, gpedit.msc टाइप करें, और समूह नीति संपादक को शुरू करने के लिए Enter-कुंजी दबाएं।
- कंप्यूटर कॉन्फ़िगरेशन> प्रशासनिक टेम्पलेट> विंडोज घटकों> विंडोज डिफेंडर शोषण गार्ड> शोषण सुरक्षा पर नेविगेट करें।
- 'शोषण सुरक्षा सेटिंग्स के एक कमांड सेट का उपयोग करें' पर डबल-क्लिक करें।
- सक्षम करने के लिए नीति सेट करें।
- विकल्प फ़ील्ड में कॉन्फ़िगरेशन XML फ़ाइल का पथ और फ़ाइल नाम जोड़ें।
EMET फ़ाइल परिवर्तित करना
- जैसा कि ऊपर बताया गया है, एक उन्नत पॉवरशेल प्रॉम्प्ट खोलें।
- कमांड ConvertTo-ProcessMitigationPolicy -EMETFilePath emetFile.xml -OutputFilePath फ़ाइल नाम। Xml चलाएँ
EMET कॉन्फ़िगरेशन फ़ाइल के पथ और स्थान पर emetFile.xml बदलें।
परिवर्तित नाम और फ़ाइल को सहेजे जाने के लिए इच्छित कॉन्फ़िगरेशन फ़ाइल को पथ और स्थान पर बदलें।