Переопределение параметров устранения рисков процесса для применения политик безопасности, связанных с приложениями
Windows включает настраиваемые групповой политикой "Параметры устранения рисков процесса", которые добавляют расширенные средства защиты от атак на основе памяти, то есть атак, когда вредоносные программы управляют памятью для получения контроля над системой. Например, вредоносная программа может попытаться использовать переполнение буфера для внедрения вредоносного исполняемого кода в память, но параметры устранения рисков процесса могут препятствовать выполнению вредоносного кода.
Важно.
Мы рекомендуем попробовать эти способы устранения рисков в лаборатории тестирования перед развертыванием в организации, чтобы определить, мешают ли они работе с необходимыми приложениями вашей организации.
Параметры групповой политики в этой статье связаны с тремя типами мер по устранению рисков процесса. Все три типа включены по умолчанию для 64-разрядных приложений, но с помощью параметров групповой политики, описанных в этой статье, можно настроить дополнительные средства защиты. Ниже приведены типы мер по устранению рисков процессов.
- Защита от выполнения данных (DEP) — это функция защиты памяти на уровне системы, которая позволяет операционной системе помечать одну или несколько страниц памяти как неисключаемые, предотвращая выполнение кода из этой области памяти, чтобы предотвратить использование переполнения буфера. Данное средство позволяет предотвратить запуск кода на страницах данных, таких как используемая по умолчанию куча, стеки и пулы памяти. Дополнительные сведения см. в разделе Защита от выполнения данных.
- Структурированная защита от перезаписи обработки исключений (SEHOP) предназначена для блокировки эксплойтов, использующих метод перезаписи структурированного обработчика исключений (SEH). Так как этот механизм защиты предоставляется во время выполнения, он помогает защитить приложения независимо от того, компилируются ли они с помощью последних улучшений. Дополнительные сведения см. в разделе Защита от перезаписи для обработки структурированных исключений.
-
Рандомизация макета адресного пространства (ASLR) загружает библиотеки DLL в случайные адреса памяти во время загрузки для устранения вредоносных программ, предназначенных для атак на определенные расположения памяти, где ожидается загрузка определенных библиотек DLL. Дополнительные сведения см. в статье Рандомизация макета адресного пространства. Чтобы найти дополнительные защиты ASLR в таблице ниже, найдите
IMAGESилиASLR.
В следующей процедуре описывается использование групповой политики для переопределения отдельных параметров защиты от процесса .
Изменение параметров устранения рисков процесса
Откройте редактор групповой политики и перейдите к параметру Административные шаблоны\Система\Параметры устранения рисков\Параметры обработки.
Выберите Включено, а затем в области Параметры выберите Показать , чтобы открыть поле Показать содержимое , в котором можно добавить приложения и соответствующие значения битовых флагов, как показано в разделах Настройка битового поля и Примеры этой статьи.
Важно.
Для каждого приложения, которое вы хотите включить, необходимо включить следующее:
- Имя значения. Имя файла приложения, включая расширение. Например,
iexplore.exe. - Значение. Битовое поле с рядом битовых флагов в определенных позициях. Битам можно задать значение
0(если параметр принудительно отключен),1(если параметр принудительно включен) или?(если параметр сохраняет предыдущее, существующее значение). Задание битовых флагов в позициях, не указанных здесь, ничего кроме?может привести к неопределенному поведению.
- Имя значения. Имя файла приложения, включая расширение. Например,
Задание битового поля
Ниже представлено визуальное представление расположений битовых флагов для различных параметров защиты от процесса:
Где битовые флаги считываются справа налево и определяются как:
| Flag | Расположение бита | Параметр | Сведения |
|---|---|---|---|
| A | 0 | PROCESS_CREATION_MITIGATION_POLICY_DEP_ENABLE (0x00000001) |
Включает предотвращение выполнения данных (DEP) для дочерних процессов. |
| B | 1 | PROCESS_CREATION_MITIGATION_POLICY_DEP_ATL_THUNK_ENABLE (0x00000002) |
Включает эмуляцию thunk DEP-ATL для дочерних процессов. Эмуляция thunk DEP-ATL позволяет системе перехватывать неисправимые (NX) ошибки, возникающие из слоя активной библиотеки шаблонов (ATL), а затем эмулировать и обрабатывать инструкции, чтобы процесс продолжал выполняться. |
| C | 2 | PROCESS_CREATION_MITIGATION_POLICY_SEHOP_ENABLE (0x00000004) |
Включает защиту от перезаписи структурированного обработчика исключений (SEHOP) для дочерних процессов. SEHOP помогает блокировать эксплойты, использующие метод перезаписи структурированного обработчика исключений (SEH). |
| D | 8 | PROCESS_CREATION_MITIGATION_POLICY_FORCE_RELOCATE_IMAGES_ALWAYS_ON (0x00000100) |
Использует параметр force Address Space Layout Randomization (ASLR), чтобы действовать так, как будто во время загрузки произошло столкновение базы образов, принудительно переместив образы, которые не совместимы с динамической базой. Изображения без раздела базового перемещения не загружаются, если требуется перемещение. |
| E | 15 | PROCESS_CREATION_MITIGATION_POLICY_BOTTOM_UP_ASLR_ALWAYS_ON (0x00010000) |
Включает политику рандомизации снизу вверх, которая включает параметры рандомизации стека и приводит к использованию случайного расположения в качестве наименьшего адреса пользователя. |
| F | 16 | PROCESS_CREATION_MITIGATION_POLICY_BOTTOM_UP_ASLR_ALWAYS_OFF (0x00020000) |
Отключает политику рандомизации снизу вверх, которая включает параметры рандомизации стека и приводит к использованию случайного расположения в качестве наименьшего адреса пользователя. |
Пример
Если вы хотите включить параметры PROCESS_CREATION_MITIGATION_POLICY_DEP_ENABLE и PROCESS_CREATION_MITIGATION_POLICY_FORCE_RELOCATE_IMAGES_ALWAYS_ON , отключить параметр PROCESS_CREATION_MITIGATION_POLICY_BOTTOM_UP_ASLR_ALWAYS_OFF и оставить все остальные значения в качестве значений по умолчанию, введите значение ???????????????0???????1???????1.