Bescherming tegen misbruik aanpassenCustomize exploit protection

Van toepassing op:Applies to:

Wilt u Defender voor Eindpunt ervaren?Want to experience Defender for Endpoint? Meld u aan voor een gratis proefabonnement.Sign up for a free trial.

Gebruiksbeveiliging past automatisch een aantal technieken voor het beperken van exploits toe op zowel de processen van het besturingssysteem als op afzonderlijke apps.Exploit protection automatically applies a number of exploit mitigation techniques on both the operating system processes and on individual apps.

Configureer deze instellingen met de Windows-beveiliging app op een afzonderlijk apparaat.Configure these settings using the Windows Security app on an individual device. Exporteer vervolgens de configuratie als een XML-bestand, zodat u deze kunt implementeren op andere apparaten.Then, export the configuration as an XML file so you can deploy to other devices. Gebruik Groepsbeleid om het XML-bestand te distribueren naar meerdere apparaten tegelijk.Use Group Policy to distribute the XML file to multiple devices at once. U kunt de risico's ook configureren met PowerShell.You can also configure the mitigations with PowerShell.

In dit artikel vindt u een overzicht van alle risico's die beschikbaar zijn voor de bescherming van exploits.This article lists each of the mitigations available in exploit protection. Hiermee wordt aangegeven of de beperking kan worden toegepast op het hele systeem of op afzonderlijke apps, en wordt een korte beschrijving gegeven van hoe de beperking werkt.It indicates whether the mitigation can be applied system-wide or to individual apps, and provides a brief description of how the mitigation works.

Er wordt ook beschreven hoe u de beperking kunt in- of configureren met Windows-beveiliging, PowerShell en MDM-configuratieserviceproviders (MDM).It also describes how to enable or configure the mitigations using Windows Security, PowerShell, and mobile device management (MDM) configuration service providers (CSPs). Dit is de eerste stap in het maken van een configuratie die u in uw netwerk kunt implementeren.This is the first step in creating a configuration that you can deploy across your network. De volgende stap bestaat uit het genereren, exporteren, importerenen implementeren van de configuratie op meerdere apparaten.The next step involves generating, exporting, importing, and deploying the configuration to multiple devices.

Waarschuwing

Sommige beveiligingsbeperkingstechnologieën kunnen compatibiliteitsproblemen hebben met sommige toepassingen.Some security mitigation technologies may have compatibility issues with some applications. U moet exploitbeveiliging testen in alle scenario's voor doelgebruik door de auditmodus te gebruiken voordat u de configuratie implementeert in een productieomgeving of de rest van uw netwerk.You should test exploit protection in all target use scenarios by using audit mode before deploying the configuration across a production environment or the rest of your network.

Beschermingsbeperkende maatregelen benuttenExploit protection mitigations

Alle mitigaties kunnen worden geconfigureerd voor afzonderlijke apps.All mitigations can be configured for individual apps. Sommige risico's kunnen ook worden toegepast op het besturingssysteemniveau.Some mitigations can also be applied at the operating system level.

U kunt elk van de beperkingswaarden instellen in, uit of op de standaardwaarde.You can set each of the mitigations on, off, or to their default value. Sommige risico's hebben extra opties die worden aangegeven in de beschrijving in de tabel.Some mitigations have additional options that are indicated in the description in the table.

Standaardwaarden worden altijd tussen haakjes opgegeven bij de optie Standaard gebruiken voor elke beperking.Default values are always specified in brackets at the Use default option for each mitigation. In het volgende voorbeeld is de standaardinstelling voor preventie van gegevensuitvoering 'Aan'.In the following example, the default for Data Execution Prevention is "On".

De standaardconfiguratie gebruiken voor elk van de instellingen voor risicobeperking geeft onze aanbeveling aan voor een basisniveau van beveiliging voor dagelijks gebruik voor thuisgebruikers.The Use default configuration for each of the mitigation settings indicates our recommendation for a base level of protection for everyday usage for home users. Ondernemingsimplementaties moeten rekening houden met de beveiliging die nodig is voor hun individuele behoeften en moeten mogelijk de configuratie wijzigen buiten de standaardinstellingen.Enterprise deployments should consider the protection required for their individual needs and may need to modify configuration away from the defaults.

Zie de PowerShell-verwijzingstabel onder aan dit artikel voor de bijbehorende PowerShell-cmdlets voor elke beperking.For the associated PowerShell cmdlets for each mitigation, see the PowerShell reference table at the bottom of this article.

BeperkingMitigation OmschrijvingDescription Kan worden toegepast opCan be applied to Auditmodus beschikbaarAudit mode available
Control Flow Guard (CFG)Control flow guard (CFG) Zorgt voor de integriteit van de besturingsstroom voor indirecte oproepen.Ensures control flow integrity for indirect calls. U kunt exporten desgewenst onderdrukken en strikt CFG gebruiken.Can optionally suppress exports and use strict CFG. Systeem- en app-niveauSystem and app-level NeeNo
Preventie van gegevensuitvoering (DEP)Data Execution Prevention (DEP) Hiermee voorkomt u dat code wordt uitgevoerd op geheugenpagina's met alleen gegevens, zoals de stapel en de stapels.Prevents code from being run from data-only memory pages such as the heap and stacks. Alleen configureerbaar voor 32-bits (x86)-apps, die permanent zijn ingeschakeld voor alle andere architecturen.Only configurable for 32-bit (x86) apps, permanently enabled for all other architectures. Kan optioneel ATL-thunk-emulatie inschakelen.Can optionally enable ATL thunk emulation. Systeem- en app-niveauSystem and app-level NeeNo
Randomisatie forceer voor afbeeldingen (Verplichte ASLR)Force randomization for images (Mandatory ASLR) Met geweld verplaatst u afbeeldingen die niet zijn gecompileerd met /DYNAMICBASE.Forcibly relocates images not compiled with /DYNAMICBASE. Kan desgewenst mislukken bij het laden van afbeeldingen die geen bedrijfsverplaatsingsgegevens bevatten.Can optionally fail loading images that don't have relocation information. Systeem- en app-niveauSystem and app-level NeeNo
Geheugentoewijzingen willekeurig toewijzen (Bottom-Up ASLR)Randomize memory allocations (Bottom-Up ASLR) Willekeurig locaties voor virtuele geheugentoewijzingen.Randomizes locations for virtual memory allocations. Het omvat systeemstructuurhopen, stapels, TEB's en PEBs.It includes system structure heaps, stacks, TEBs, and PEBs. U kunt desgewenst een bredere variantie van randomisatie gebruiken voor 64-bits processen.Can optionally use a wider randomization variance for 64-bit processes. Systeem- en app-niveauSystem and app-level NeeNo
Uitzonderingsketens (SEHOP) validerenValidate exception chains (SEHOP) Zorgt voor de integriteit van een uitzonderingsketen tijdens het verzenden van uitzonderingen.Ensures the integrity of an exception chain during exception dispatch. Alleen configureerbaar voor 32-bits (x86)-toepassingen.Only configurable for 32-bit (x86) applications. Systeem- en app-niveauSystem and app-level NeeNo
Integriteit van de stapel validerenValidate heap integrity Beëindigt een proces wanneer er enorm veel beschadiging wordt gedetecteerd.Terminates a process when heap corruption is detected. Systeem- en app-niveauSystem and app-level NeeNo
Willekeurige code guard (ACG)Arbitrary code guard (ACG) Voorkomt de introductie van niet-afbeeldingsgebackde uitvoerbare code en voorkomt dat codepagina's worden gewijzigd.Prevents the introduction of non-image-backed executable code and prevents code pages from being modified. Kan desgewenst threadopt-out toestaan en externe downgrade toestaan (alleen configureerbaar met PowerShell).Can optionally allow thread opt-out and allow remote downgrade (configurable only with PowerShell). Alleen app-niveauApp-level only JaYes
Afbeeldingen met een lage integriteit blokkerenBlock low integrity images Hiermee voorkomt u het laden van afbeeldingen die zijn gemarkeerd met Lage integriteit.Prevents the loading of images marked with Low Integrity. Alleen app-niveauApp-level only JaYes
Externe afbeeldingen blokkerenBlock remote images Hiermee voorkomt u dat afbeeldingen van externe apparaten worden geladen.Prevents loading of images from remote devices. Alleen app-niveauApp-level only NeeNo
Niet-vertrouwde lettertypen blokkerenBlock untrusted fonts Hiermee voorkomt u dat op GDI gebaseerde lettertypen worden geladen die niet zijn geïnstalleerd in de systeemlettertypenmap, met name lettertypen op het web.Prevents loading any GDI-based fonts not installed in the system fonts directory, notably fonts from the web. Alleen app-niveauApp-level only JaYes
CodeintegriteitswachtCode integrity guard Hiermee wordt het laden van afbeeldingen die zijn ondertekend door Microsoft, WHQL of hoger, beperkt.Restricts loading of images signed by Microsoft, WHQL, or higher. U kunt desgewenst Microsoft Store ondertekende afbeeldingen toestaan.Can optionally allow Microsoft Store signed images. Alleen app-niveauApp-level only JaYes
Uitbreidingspunten uitschakelenDisable extension points Hiermee schakelt u diverse extensibility-mechanismen uit waarmee DLL-injectie in alle processen mogelijk is, zoals AppInit-DLL's, vensterhaken en Winsock-serviceproviders.Disables various extensibility mechanisms that allow DLL injection into all processes, such as AppInit DLLs, window hooks, and Winsock service providers. Alleen app-niveauApp-level only NeeNo
Win32k-systeemoproepen uitschakelenDisable Win32k system calls Hiermee voorkomt u dat een app de win32k-systeemoproeptabel gebruikt.Prevents an app from using the Win32k system call table. Alleen app-niveauApp-level only JaYes
Onderliggende processen niet toestaanDon't allow child processes Voorkomt dat een app onderliggende processen maakt.Prevents an app from creating child processes. Alleen app-niveauApp-level only JaYes
Adresfilters exporteren (EAF)Export address filtering (EAF) Detecteert gevaarlijke bewerkingen die worden opgelost met schadelijke code.Detects dangerous operations being resolved by malicious code. Kan desgewenst de toegang valideren door modules die veel worden gebruikt door exploits.Can optionally validate access by modules commonly used by exploits. Alleen app-niveauApp-level only JaYes
Adresfilters importeren (IAF)Import address filtering (IAF) Detecteert gevaarlijke bewerkingen die worden opgelost met schadelijke code.Detects dangerous operations being resolved by malicious code. Alleen app-niveauApp-level only JaYes
Uitvoering simuleren (SimExec)Simulate execution (SimExec) Zorgt ervoor dat oproepen naar gevoelige API's terugkeren naar legitieme bebellen.Ensures that calls to sensitive APIs return to legitimate callers. Alleen configureerbaar voor 32-bits (x86)-toepassingen.Only configurable for 32-bit (x86) applications. Niet compatibel met ACG.Not compatible with ACG. Alleen app-niveauApp-level only JaYes
API-aanroep valideren (bellercontrole)Validate API invocation (CallerCheck) Zorgt ervoor dat gevoelige API's worden aangeroepen door legitieme beroepers.Ensures that sensitive APIs are invoked by legitimate callers. Alleen configureerbaar voor 32-bits (x86)-toepassingen.Only configurable for 32-bit (x86) applications. Niet compatibel met ACGNot compatible with ACG Alleen app-niveauApp-level only JaYes
Gebruik van greep validerenValidate handle usage Hierdoor wordt een uitzondering opgeheven voor ongeldige greepverwijzingen.Causes an exception to be raised on any invalid handle references. Alleen app-niveauApp-level only NeeNo
Afhankelijkheidsintegriteit van afbeeldingen validerenValidate image dependency integrity Dwingt code ondertekenen af voor het Windows het laden van afbeeldingen.Enforces code signing for Windows image dependency loading. Alleen app-niveauApp-level only NeeNo
StackIntegriteit valideren (StackPivot)Validate stack integrity (StackPivot) Zorgt ervoor dat de stapel niet is omgeleid voor gevoelige API's.Ensures that the stack hasn't been redirected for sensitive APIs. Niet compatibel met ACG.Not compatible with ACG. Alleen app-niveauApp-level only JaYes

Belangrijk

Als u een app toevoegt aan de sectie Programma-instellingen en daar afzonderlijke instellingen voor beperking configureert, worden deze boven de configuratie geëerd voor dezelfde beperking die is opgegeven in de sectie Systeeminstellingen.If you add an app to the Program settings section and configure individual mitigation settings there, they will be honored above the configuration for the same mitigations specified in the System settings section. De volgende matrix en voorbeelden geven aan hoe standaardinstellingen werken:The following matrix and examples help to illustrate how defaults work:

Ingeschakeld in programma-instellingenEnabled in Program settings Ingeschakeld in systeeminstellingenEnabled in System settings GedragBehavior
JaYes NeeNo Zoals gedefinieerd in programma-instellingenAs defined in Program settings
JaYes JaYes Zoals gedefinieerd in programma-instellingenAs defined in Program settings
NeeNo JaYes Zoals gedefinieerd in systeeminstellingenAs defined in System settings
NeeNo JaYes Standaard zoals gedefinieerd in de standaardoptie GebruikenDefault as defined in Use default option
  • Voorbeeld 1Example 1

    Mikael configureert Preventie van gegevensuitvoering (DEP) in de sectie Systeeminstellingen om standaard uit te zijn.Mikael configures Data Execution Prevention (DEP) in the System settings section to be Off by default.

    Mikael voegt vervolgens de app-test.exe toe aan de sectie Programma-instellingen.Mikael then adds the app test.exe to the Program settings section. In de opties voor die app, onder Preventie van gegevensuitvoering (DEP), schakelt hij de optie Systeeminstellingen overschrijven in en stelt hij de schakeloptie in op Aan.In the options for that app, under Data Execution Prevention (DEP), he enables the Override system settings option and sets the switch to On. Er worden geen andere apps weergegeven in de sectie Programma-instellingen.There are no other apps listed in the Program settings section.

    Het resultaat is dat DEP alleen wordt ingeschakeld voor test.exe.The result will be that DEP only will be enabled for test.exe. Voor alle andere apps is DEP niet toegepast.All other apps will not have DEP applied.

  • Voorbeeld 2Example 2

    Josie configureert preventie van gegevensuitvoering (DEP) in de sectie Systeeminstellingen om standaard uit te zijn.Josie configures Data Execution Prevention (DEP) in the System settings section to be Off by default.

    Vervolgens voegt Josie de app-test.exe toe aan de sectie Programma-instellingen.Josie then adds the app test.exe to the Program settings section. In de opties voor die app, onder Preventie van gegevensuitvoering (DEP), schakelt ze de optie Systeeminstellingen overschrijven in en stelt ze de overschakeling in op Aan.In the options for that app, under Data Execution Prevention (DEP), she enables the Override system settings option and sets the switch to On.

    Josie voegt ook de app-miles.exetoe aan de sectie Programma-instellingen en configureert Control Flow Guard (CFG) in aan. Josie also adds the app miles.exe to the Program settings section and configures Control flow guard (CFG) to On. De optie Systeeminstellingen overschrijven voor DEP of andere risico's voor die app wordt niet ingeschakeld.She doesn't enable the Override system settings option for DEP or any other mitigations for that app.

    Het resultaat is dat DEP wordt ingeschakeld voor test.exe.The result will be that DEP will be enabled for test.exe. DEP is niet ingeschakeld voor een andere app, inclusiefmiles.exe.DEP will not be enabled for any other app, including miles.exe. CFG wordt ingeschakeld voor miles.exe.CFG will be enabled for miles.exe.

Notitie

Als u problemen hebt gevonden in dit artikel, kunt u dit rechtstreeks melden bij een Windows Server/Windows Client-partner of de technische ondersteuningsnummers van Microsoft voor uw land gebruiken.If you have found any issues in this article, you can report it directly to a Windows Server/Windows Client partner or use the Microsoft technical support numbers for your country.

Beperking op systeemniveau configureren met de Windows-beveiliging appConfigure system-level mitigations with the Windows Security app

  1. Open de Windows-beveiliging app door het schildpictogram in de taakbalk te selecteren of door te zoeken in het startmenu voor Defender.Open the Windows Security app by selecting the shield icon in the task bar or searching the start menu for Defender.

  2. Selecteer de tegel App & browserbesturingselement (of het app-pictogram op de linkermenubalk) en selecteer vervolgens Beveiliging van exploit.Select the App & browser control tile (or the app icon on the left menu bar) and then select Exploit protection.

  3. Zoek onder de sectie Systeeminstellingen de beperking die u wilt configureren en selecteer een van de volgende opties.Under the System settings section, find the mitigation you want to configure and select one of the following. Apps die niet afzonderlijk zijn geconfigureerd in de sectie Programma-instellingen, gebruiken de instellingen die hier zijn geconfigureerd:Apps that aren't configured individually in the Program settings section will use the settings configured here:

    • Standaard ingeschakeld: de beperking is ingeschakeld voor apps die deze beperking niet hebben ingesteld in de app-specifieke sectie Programma-instellingenOn by default - The mitigation is enabled for apps that don't have this mitigation set in the app-specific Program settings section
    • Standaard uitgeschakeld: de beperking is uitgeschakeld voor apps die deze beperking niet hebben ingesteld in de app-specifieke sectie Programma-instellingenOff by default - The mitigation is disabled for apps that don't have this mitigation set in the app-specific Program settings section
    • Standaard gebruiken: de beperking is ingeschakeld of uitgeschakeld, afhankelijk van de standaardconfiguratie die is ingesteld door Windows 10 installatie; de standaardwaarde (Aan of Uit) wordt altijd opgegeven naast het standaardlabel Gebruiken voor elke beperkingUse default - The mitigation is either enabled or disabled, depending on the default configuration that is set up by Windows 10 installation; the default value (On or Off) is always specified next to the Use default label for each mitigation

    Notitie

    Mogelijk ziet u een venster Gebruikersaccountbeheer wanneer u bepaalde instellingen verandert.You may see a User Account Control window when changing some settings. Voer beheerdersreferenties in om de instelling toe te passen.Enter administrator credentials to apply the setting.

    Als u bepaalde instellingen wilt wijzigen, moet u mogelijk opnieuw beginnen.Changing some settings may require a restart.

  4. Herhaal dit voor alle mitigaties op systeemniveau die u wilt configureren.Repeat this for all the system-level mitigations you want to configure.

  5. Ga naar de sectie Programma-instellingen en kies de app op wie u beperking wilt toepassen:Go to the Program settings section and choose the app you want to apply mitigations to:

    1. Als de app die u wilt configureren al wordt weergegeven, selecteert u deze en selecteert u Vervolgens BewerkenIf the app you want to configure is already listed, select it and then select Edit
    2. Als de app niet wordt weergegeven, selecteert u boven aan de lijst Programma toevoegen om aan te passen en kiest u vervolgens hoe u de app wilt toevoegen:If the app isn't listed, at the top of the list select Add program to customize and then choose how you want to add the app:
      • Gebruik Toevoegen op programmanaam om de beperking te laten toepassen op een lopend proces met die naam.Use Add by program name to have the mitigation applied to any running process with that name. U moet een bestand opgeven met een extensie.You must specify a file with an extension. U kunt een volledig pad invoeren om de beperking te beperken tot alleen de app met die naam op die locatie.You can enter a full path to limit the mitigation to only the app with that name in that location.
      • Gebruik Het exacte bestandspad kiezen om een standaardvenster Windows Verkenner te gebruiken om het juiste bestand te zoeken en te selecteren.Use Choose exact file path to use a standard Windows Explorer file picker window to find and select the file you want.
  6. Nadat u de app hebt geselecteerd, ziet u een lijst met alle risico's die kunnen worden toegepast.After selecting the app, you'll see a list of all the mitigations that can be applied. Als u de beperking wilt inschakelen, selecteert u het selectievakje en wijzigt u de schuifregelaar in Aan.To enable the mitigation, select the check box and then change the slider to On. Selecteer eventuele extra opties.Select any additional options. Als u Audit kiest, wordt de beperking alleen toegepast in de auditmodus.Choosing Audit will apply the mitigation in audit mode only. U krijgt een melding als u het proces of de app opnieuw wilt starten of als u de app opnieuw wilt Windows.You will be notified if you need to restart the process or app, or if you need to restart Windows.

  7. Herhaal deze stappen voor alle apps en mitigaties die u wilt configureren.Repeat these steps for all the apps and mitigations you want to configure. Selecteer Toepassen wanneer u klaar bent met het instellen van de configuratie.Select Apply when you're done setting up your configuration.

U kunt deze instellingen nu exporteren als een XML-bestand of doorgaan met het configureren van app-specifieke mitigaties.You can now export these settings as an XML file or continue on to configure app-specific mitigations.

Als u de configuratie exporteert als een XML-bestand, kunt u de configuratie van het ene apparaat naar andere apparaten kopiëren.Exporting the configuration as an XML file allows you to copy the configuration from one device onto other devices.

PowerShell-verwijzingPowerShell reference

U kunt de app Windows-beveiliging gebruiken om exploitbeveiliging te configureren of u kunt PowerShell-cmdlets gebruiken.You can use the Windows Security app to configure Exploit protection, or you can use PowerShell cmdlets.

De configuratie-instellingen die het laatst zijn gewijzigd, worden altijd toegepast, ongeacht of u PowerShell of Windows-beveiliging.The configuration settings that were most recently modified will always be applied - regardless of whether you use PowerShell or Windows Security. Dit betekent dat als u de app gebruikt om een beperking te configureren en vervolgens PowerShell gebruikt om dezelfde beperking te configureren, de app wordt bijgewerkt om de wijzigingen weer te geven die u met PowerShell hebt aangebracht.This means that if you use the app to configure a mitigation, then use PowerShell to configure the same mitigation, the app will update to show the changes you made with PowerShell. Als u vervolgens de app zou gebruiken om de beperking opnieuw te wijzigen, zou deze wijziging van toepassing zijn.If you were to then use the app to change the mitigation again, that change would apply.

Belangrijk

Wijzigingen die via groepsbeleid op een apparaat worden geïmplementeerd, worden over de lokale configuratie heen geplaatst.Any changes that are deployed to a device through Group Policy will override the local configuration. Wanneer u een eerste configuratie instelt, gebruikt u een apparaat waarop geen groepsbeleidsconfiguratie is toegepast om ervoor te zorgen dat uw wijzigingen niet worden overgenomen.When setting up an initial configuration, use a device that will not have a Group Policy configuration applied to ensure your changes aren't overridden.

U kunt het werkwoord PowerShell Get of Set met de cmdlet ProcessMitigation gebruiken.You can use the PowerShell verb Get or Set with the cmdlet ProcessMitigation. Met behulp van wordt de huidige configuratiestatus weergegeven van eventuele risico's die zijn ingeschakeld op het apparaat: voeg de cmdlet en app exe toe om mitigaties voor alleen die Get -Name app te zien:Using Get will list the current configuration status of any mitigations that have been enabled on the device - add the -Name cmdlet and app exe to see mitigations for just that app:

Get-ProcessMitigation -Name processName.exe

Belangrijk

Risicobeperking op systeemniveau die niet is geconfigureerd, geeft een status van NOTSET .System-level mitigations that have not been configured will show a status of NOTSET.

Voor instellingen op systeemniveau geeft u aan dat de standaardinstelling voor die beperking NOTSET is toegepast.For system-level settings, NOTSET indicates the default setting for that mitigation has been applied.

Voor instellingen op app-niveau geeft u aan dat de instelling op systeemniveau voor de beperking NOTSET wordt toegepast.For app-level settings, NOTSET indicates the system-level setting for the mitigation will be applied.

De standaardinstelling voor elke beperking op systeemniveau is zichtbaar in de Windows-beveiliging.The default setting for each system-level mitigation can be seen in the Windows Security.

Gebruik Set deze indeling om elke beperking in de volgende indeling te configureren:Use Set to configure each mitigation in the following format:

Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>

Waarbij:Where:

  • <Scope>:<Scope>:
    • -Name om aan te geven welke risico's moeten worden toegepast op een specifieke app.-Name to indicate the mitigations should be applied to a specific app. Geef de uitvoerbare app op na deze vlag.Specify the app's executable after this flag.
    • -System om aan te geven dat de beperking moet worden toegepast op systeemniveau-System to indicate the mitigation should be applied at the system level
  • <Action>:<Action>:
    • -Enable om de beperking in te stellen-Enable to enable the mitigation
    • -Disable om de beperking uit te schakelen-Disable to disable the mitigation
  • <Mitigation>:<Mitigation>:
    • De mitigatie cmdlet zoals gedefinieerd in de onderstaande cmdlets voor risicobeperking, samen met eventuele suboptions (omgeven door spaties).The mitigation's cmdlet as defined in the mitigation cmdlets table below, along with any suboptions (surrounded with spaces). Elke beperking wordt gescheiden met een komma.Each mitigation is separated with a comma.

Als u bijvoorbeeld de preventie van preventie van gegevensuitvoering (DEP) wilt inschakelen met ATL-thunk-emulatie en voor een uitvoerbare testing.exein de map C:\Apps\LOB\tests, en om te voorkomen dat die uitvoerbare uitvoerbare onderliggende processen maakt, gebruikt u de volgende opdracht:For example, to enable the Data Execution Prevention (DEP) mitigation with ATL thunk emulation and for an executable called testing.exe in the folder C:\Apps\LOB\tests, and to prevent that executable from creating child processes, you'd use the following command:

Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable DEP, EmulateAtlThunks, DisallowChildProcessCreation

Belangrijk

Scheid elke optie voor risicobeperking met komma's.Separate each mitigation option with commas.

Als u DEP op systeemniveau wilt toepassen, gebruikt u de volgende opdracht:If you wanted to apply DEP at the system level, you'd use the following command:

Set-Processmitigation -System -Enable DEP

Als u beperking wilt uitschakelen, kunt u deze -Enable vervangen door -Disable .To disable mitigations, you can replace -Enable with -Disable. Voor risicobeperking op app-niveau wordt de beperking echter alleen uitgeschakeld voor die app.However, for app-level mitigations, this will force the mitigation to be disabled only for that app.

Als u de beperking wilt herstellen naar de standaardinstelling van het systeem, moet u ook de -Remove cmdlet opnemen, evenals in het volgende voorbeeld:If you need to restore the mitigation back to the system default, you need to include the -Remove cmdlet as well, as in the following example:

Set-Processmitigation -Name test.exe -Remove -Disable DEP

U kunt ook bepaalde risico's instellen op de auditmodus.You can also set some mitigations to audit mode. In plaats van de PowerShell-cmdlet te gebruiken voor de beperking, gebruikt u de cmdlet Auditmodus zoals is opgegeven in de onderstaande tabel mitigatie cmdlets.Instead of using the PowerShell cmdlet for the mitigation, use the Audit mode cmdlet as specified in the mitigation cmdlets table below.

Als u bijvoorbeeld Arbitrair Code Guard (ACG) wilt inschakelen in de auditmodus voor detesting.exeeerder gebruikt, gebruikt u de volgende opdracht:For example, to enable Arbitrary Code Guard (ACG) in audit mode for the testing.exe used previously, you'd use the following command:

Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable AuditDynamicCode

U kunt de auditmodus uitschakelen met dezelfde opdracht, maar vervangen door -Enable -Disable .You can disable audit mode by using the same command but replacing -Enable with -Disable.

PowerShell-referentietabelPowerShell reference table

Deze tabel bevat de PowerShell-cmdlets (en de bijbehorende cmdlet auditmodus) die kunnen worden gebruikt om elke beperking te configureren.This table lists the PowerShell cmdlets (and associated audit mode cmdlet) that can be used to configure each mitigation.

BeperkingMitigation Van toepassing opApplies to PowerShell-cmdletsPowerShell cmdlets Cmdlet auditmodusAudit mode cmdlet
Control Flow Guard (CFG)Control flow guard (CFG) Systeem- en app-niveauSystem and app-level CFG, StrictCFG, SuppressExportsCFG, StrictCFG, SuppressExports Audit is niet beschikbaarAudit not available
Preventie van gegevensuitvoering (DEP)Data Execution Prevention (DEP) Systeem- en app-niveauSystem and app-level DEP, EmulateAtlThunksDEP, EmulateAtlThunks Audit is niet beschikbaarAudit not available
Randomisatie forceer voor afbeeldingen (Verplichte ASLR)Force randomization for images (Mandatory ASLR) Systeem- en app-niveauSystem and app-level ForceRelocateImagesForceRelocateImages Audit is niet beschikbaarAudit not available
Geheugentoewijzingen willekeurig toewijzen (Bottom-Up ASLR)Randomize memory allocations (Bottom-Up ASLR) Systeem- en app-niveauSystem and app-level BottomUp, HighEntropyBottomUp, HighEntropy Audit is niet beschikbaarAudit not available
Uitzonderingsketens (SEHOP) validerenValidate exception chains (SEHOP) Systeem- en app-niveauSystem and app-level SEHOP, SEHOPTelemetrySEHOP, SEHOPTelemetry Audit is niet beschikbaarAudit not available
Integriteit van de stapel validerenValidate heap integrity Systeem- en app-niveauSystem and app-level TerminateOnErrorTerminateOnError Audit is niet beschikbaarAudit not available
Willekeurige code guard (ACG)Arbitrary code guard (ACG) Alleen app-niveauApp-level only DynamicCodeDynamicCode AuditDynamicCodeAuditDynamicCode
Afbeeldingen met een lage integriteit blokkerenBlock low integrity images Alleen app-niveauApp-level only BlockLowLabelBlockLowLabel AuditImageLoadAuditImageLoad
Externe afbeeldingen blokkerenBlock remote images Alleen app-niveauApp-level only BlockRemoteImagesBlockRemoteImages Audit is niet beschikbaarAudit not available
Niet-vertrouwde lettertypen blokkerenBlock untrusted fonts Alleen app-niveauApp-level only DisableNonSystemFontsDisableNonSystemFonts AuditFont, FontAuditOnlyAuditFont, FontAuditOnly
CodeintegriteitswachtCode integrity guard Alleen app-niveauApp-level only BlockNonMicrosoftSigned, AllowStoreSignedBlockNonMicrosoftSigned, AllowStoreSigned AuditMicrosoftSigned, AuditStoreSignedAuditMicrosoftSigned, AuditStoreSigned
Uitbreidingspunten uitschakelenDisable extension points Alleen app-niveauApp-level only ExtensionPointExtensionPoint Audit is niet beschikbaarAudit not available
Win32k-systeemoproepen uitschakelenDisable Win32k system calls Alleen app-niveauApp-level only DisableWin32kSystemCallsDisableWin32kSystemCalls AuditSystemCallAuditSystemCall
Onderliggende processen niet toestaanDo not allow child processes Alleen app-niveauApp-level only DisallowChildProcessCreationDisallowChildProcessCreation AuditChildProcessAuditChildProcess
Adresfilters exporteren (EAF)Export address filtering (EAF) Alleen app-niveauApp-level only EnableExportAddressFilterPlus, EnableExportAddressFilter [ 1 ] EnableExportAddressFilterPlus, EnableExportAddressFilter [1] Audit niet beschikbaar [ 2 ] Audit not available[2]
Adresfilters importeren (IAF)Import address filtering (IAF) Alleen app-niveauApp-level only EnableImportAddressFilterEnableImportAddressFilter Audit niet beschikbaar [ 2 ] Audit not available[2]
Uitvoering simuleren (SimExec)Simulate execution (SimExec) Alleen app-niveauApp-level only EnableRopSimExecEnableRopSimExec Audit niet beschikbaar [ 2 ] Audit not available[2]
API-aanroep valideren (bellercontrole)Validate API invocation (CallerCheck) Alleen app-niveauApp-level only EnableRopCallerCheckEnableRopCallerCheck Audit niet beschikbaar [ 2 ] Audit not available[2]
Gebruik van greep validerenValidate handle usage Alleen app-niveauApp-level only StrictHandleStrictHandle Audit is niet beschikbaarAudit not available
Afhankelijkheidsintegriteit van afbeeldingen validerenValidate image dependency integrity Alleen app-niveauApp-level only EnforceModuleDepencySigningEnforceModuleDepencySigning Audit is niet beschikbaarAudit not available
StackIntegriteit valideren (StackPivot)Validate stack integrity (StackPivot) Alleen app-niveauApp-level only EnableRopStackPivotEnableRopStackPivot Audit niet beschikbaar [ 2 ] Audit not available[2]

[ 1 ] : Gebruik de volgende indeling om EAF-modules voor dlls in te stellen voor een proces:[1]: Use the following format to enable EAF modules for dlls for a process:

Set-ProcessMitigation -Name processName.exe -Enable EnableExportAddressFilterPlus -EAFModules dllName1.dll,dllName2.dll

[ 2 ] : Controle voor deze beperking is niet beschikbaar via PowerShell-cmdlets.[2]: Audit for this mitigation is not available via PowerShell cmdlets.

De melding aanpassenCustomize the notification

Zie voor meer informatie over het aanpassen van de melding wanneer een regel wordt geactiveerd en een app of bestand blokkeert, Windows-beveiliging.For more information about customizing the notification when a rule is triggered and blocks an app or file, see Windows Security.

Zie ook:See also: