Anpassa exploateringsskyddCustomize exploit protection

Gäller för:Applies to:

Vill du använda Defender för Slutpunkt?Want to experience Defender for Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.Sign up for a free trial.

Sårbarhetsskyddet tillämpar automatiskt ett antal sårbarhetstekniker på både operativsystemets processer och på enskilda appar.Exploit protection automatically applies a number of exploit mitigation techniques on both the operating system processes and on individual apps.

Konfigurera de här inställningarna med hjälp Windows-säkerhet-appen på en enskild enhet.Configure these settings using the Windows Security app on an individual device. Exportera sedan konfigurationen som en XML-fil så att du kan distribuera till andra enheter.Then, export the configuration as an XML file so you can deploy to other devices. Använd grupprinciper för att distribuera XML-filen till flera enheter samtidigt.Use Group Policy to distribute the XML file to multiple devices at once. Du kan också konfigurera åtgärder med PowerShell.You can also configure the mitigations with PowerShell.

I den här artikeln finns en lista över de tillgängliga minskningarna av sårbarhetsskydd.This article lists each of the mitigations available in exploit protection. Den visar om minskningar kan tillämpas i hela systemet eller på enskilda program, och ger en kort beskrivning av hur minskningar fungerar.It indicates whether the mitigation can be applied system-wide or to individual apps, and provides a brief description of how the mitigation works.

Dessutom beskrivs hur du aktiverar eller konfigurerar åtgärder med hjälp Windows-säkerhet, PowerShell och MDM-konfigurationstjänstleverantörer (Mobile Device Management).It also describes how to enable or configure the mitigations using Windows Security, PowerShell, and mobile device management (MDM) configuration service providers (CSPs). Det här är det första steget när du skapar en konfiguration som du kan distribuera i nätverket.This is the first step in creating a configuration that you can deploy across your network. I nästa steg ingår att generera, exportera, importera och distribuera konfigurationen på flera enheter.The next step involves generating, exporting, importing, and deploying the configuration to multiple devices.

Varning

Vissa tekniker för säkerhetsbegränsningar kan ha kompatibilitetsproblem med vissa program.Some security mitigation technologies may have compatibility issues with some applications. Du bör testa sårbarhetsskydd i alla målanvändningsscenarier genom att använda granskningsläge innan du distribuerar konfigurationen i en produktionsmiljö eller i resten av nätverket.You should test exploit protection in all target use scenarios by using audit mode before deploying the configuration across a production environment or the rest of your network.

Minskningar av sårbarhetsskyddExploit protection mitigations

Alla åtgärder kan konfigureras för enskilda program.All mitigations can be configured for individual apps. Vissa minskningar kan också tillämpas på operativsystemsnivå.Some mitigations can also be applied at the operating system level.

Du kan ange åtgärder på, av eller på standardvärdet.You can set each of the mitigations on, off, or to their default value. Vissa åtgärder har ytterligare alternativ som anges i beskrivningen i tabellen.Some mitigations have additional options that are indicated in the description in the table.

Standardvärden anges alltid inom hakparenteser vid alternativet Använd standard för varje minskning.Default values are always specified in brackets at the Use default option for each mitigation. I följande exempel är standardinställningen för Dataexekveringsskydd "På".In the following example, the default for Data Execution Prevention is "On".

Standardkonfigurationen för var och en av minskningsinställningarna anger vår rekommendation om en basnivå för skydd för den dagliga användningen för hemanvändare.The Use default configuration for each of the mitigation settings indicates our recommendation for a base level of protection for everyday usage for home users. Företagsdistributioner bör överväga vilket skydd som krävs för deras behov och kan behöva ändra konfigurationen på annat sätt än standardinställningarna.Enterprise deployments should consider the protection required for their individual needs and may need to modify configuration away from the defaults.

Information om associerade PowerShell-cmdlets för varje minskning finns i PowerShell-referenstabellen längst ned i den här artikeln.For the associated PowerShell cmdlets for each mitigation, see the PowerShell reference table at the bottom of this article.

MinskningMitigation BeskrivningDescription Kan tillämpas påCan be applied to Granskningsläge tillgängligtAudit mode available
Kontrollflödesskydd (CFG)Control flow guard (CFG) Säkerställer kontrollflödesintegritet för indirekta samtal.Ensures control flow integrity for indirect calls. Kan, om du vill, dölja exporter och använda strikta CFG-regler.Can optionally suppress exports and use strict CFG. System- och appnivåSystem and app-level Bockmarkeringsnr
Dataexekveringsskydd (DEP)Data Execution Prevention (DEP) Förhindrar att koden körs från minnessidor som bara är data, till exempel högar och högar.Prevents code from being run from data-only memory pages such as the heap and stacks. Endast konfigurerbara för 32-bitars (x86) appar, permanent aktiverade för alla andra arkitekturer.Only configurable for 32-bit (x86) apps, permanently enabled for all other architectures. Kan även aktivera ATL-tunk-egulering.Can optionally enable ATL thunk emulation. System- och appnivåSystem and app-level Bockmarkeringsnr
Tvinga slumpmässiga bilder (obligatorisk ASLR)Force randomization for images (Mandatory ASLR) Flyttar bilder som inte sammanställs med /DYNAMICBASE.Forcibly relocates images not compiled with /DYNAMICBASE. Kan misslyckas med inläsningen av bilder som inte har information från ett företag.Can optionally fail loading images that don't have relocation information. System- och appnivåSystem and app-level Bockmarkeringsnr
Slumpmässiga minnestilldelningar (Nedifrån och upp ASLR)Randomize memory allocations (Bottom-Up ASLR) Slumpmässiga platser för virtuella minnestilldelningar.Randomizes locations for virtual memory allocations. Den innehåller systemstruktur-heaps, staplar, TEBs och PEBs.It includes system structure heaps, stacks, TEBs, and PEBs. Kan även använda en bredare slumpvariation för 64-bitarsprocesser.Can optionally use a wider randomization variance for 64-bit processes. System- och appnivåSystem and app-level Bockmarkeringsnr
Verifiera undantagskedjor (SEHOP)Validate exception chains (SEHOP) Säkerställer integriteten för en undantagskedja vid undantagssändning.Ensures the integrity of an exception chain during exception dispatch. Endast konfigurerbara för 32-bitarsprogram (x86).Only configurable for 32-bit (x86) applications. System- och appnivåSystem and app-level Bockmarkeringsnr
Verifiera heapintegritetValidate heap integrity Avbryter en process när skadade heap upptäcks.Terminates a process when heap corruption is detected. System- och appnivåSystem and app-level Bockmarkeringsnr
Godtyckligt kodskydd (ACG)Arbitrary code guard (ACG) Förhindrar introduktionen av körbar kod som inte är bildbackad och förhindrar att kodsidor ändras.Prevents the introduction of non-image-backed executable code and prevents code pages from being modified. Kan även tillåta avanmälning av tråd och tillåta fjärrnedgradering (kan endast konfigureras med PowerShell).Can optionally allow thread opt-out and allow remote downgrade (configurable only with PowerShell). Endast på programnivåApp-level only Bockmarkering ja
Blockera bilder med låg integritetBlock low integrity images Förhindrar inläsning av bilder markerade med låg integritet.Prevents the loading of images marked with Low Integrity. Endast på programnivåApp-level only Bockmarkering ja
Blockera fjärrbilderBlock remote images Förhindrar inläsning av bilder från fjärrenheter.Prevents loading of images from remote devices. Endast på programnivåApp-level only ! [Bock nej] (/security/defender-endpoint/images/svg/check-no![Check mark no](/security/defender-endpoint/images/svg/check-no
Blockera icke betrodda teckensnittBlock untrusted fonts Förhindrar inläsning av GDI-baserade teckensnitt som inte finns installerade i systemteckensnittskatalogen, vilket är den mest märkbara teckensnitten från webben.Prevents loading any GDI-based fonts not installed in the system fonts directory, notably fonts from the web. Endast på programnivåApp-level only !includeBockmarkering ja!includeCheck mark yes
KodintegritetsskyddCode integrity guard Begränsar inläsning av bilder signerade av Microsoft, WHQL eller senare.Restricts loading of images signed by Microsoft, WHQL, or higher. Kan även tillåta Microsoft Store signerade bilder.Can optionally allow Microsoft Store signed images. Endast på programnivåApp-level only Bockmarkering ja
Inaktivera förlängningspunkterDisable extension points Inaktiverar olika utökningsbarhetsmetoder som tillåter DLL-inlösning i alla processer, t.ex. AppInit-DLL-filer, fönster hooks och Winsock-tjänstleverantörer.Disables various extensibility mechanisms that allow DLL injection into all processes, such as AppInit DLLs, window hooks, and Winsock service providers. Endast på programnivåApp-level only Bockmarkeringsnr
Inaktivera Win32k-systemsamtalDisable Win32k system calls Förhindrar att en app använder Win32k-systemsamtalstabellen.Prevents an app from using the Win32k system call table. Endast på programnivåApp-level only Bockmarkering ja
Tillåt inte underordnade processerDon't allow child processes Förhindrar att en app skapar underordnade processer.Prevents an app from creating child processes. Endast på programnivåApp-level only Bockmarkering ja
Exportera adressfiltrering (EAF)Export address filtering (EAF) Identifierar skadlig åtgärd som löses med skadlig kod.Detects dangerous operations being resolved by malicious code. Kan validera åtkomst via moduler som ofta används av sårbarheter.Can optionally validate access by modules commonly used by exploits. Endast på programnivåApp-level only Bockmarkering ja
Importera adressfiltrering (IAF)Import address filtering (IAF) Identifierar skadlig åtgärd som löses med skadlig kod.Detects dangerous operations being resolved by malicious code. Endast på programnivåApp-level only Bockmarkering ja
Simulera körning (SimExec)Simulate execution (SimExec) Säkerställer att samtal till känsliga API:er återgår till legitima uppringare.Ensures that calls to sensitive APIs return to legitimate callers. Endast konfigurerbara för 32-bitarsprogram (x86).Only configurable for 32-bit (x86) applications. Inte kompatibelt med ACGNot compatible with ACG Endast på programnivåApp-level only Bockmarkering ja
Verifiera API-anrop (Anroparkontroll)Validate API invocation (CallerCheck) Säkerställer att känsliga API:er anropas av legitima uppringare.Ensures that sensitive APIs are invoked by legitimate callers. Endast konfigurerbara för 32-bitarsprogram (x86).Only configurable for 32-bit (x86) applications. Inte kompatibelt med ACGNot compatible with ACG Endast på programnivåApp-level only Bockmarkering ja
Verifiera användning av handtagValidate handle usage Skapar ett undantag för alla ogiltiga handtagsreferenser.Causes an exception to be raised on any invalid handle references. Endast på programnivåApp-level only Bockmarkeringsnr
Verifiera bildsambandsintegritetValidate image dependency integrity Framtvingar kodsignering för Windows bildsamband läses in.Enforces code signing for Windows image dependency loading. Endast på programnivåApp-level only Bockmarkeringsnr
Validera stack-integritet (StackPivot)Validate stack integrity (StackPivot) Säkerställer att högen inte har omdirigerats för känsliga API:er.Ensures that the stack hasn't been redirected for sensitive APIs. Inte kompatibelt med ACGNot compatible with ACG Endast på programnivåApp-level only Bockmarkering ja

Viktigt

Om du lägger till en app i avsnittet Programinställningar och konfigurerar enskilda åtgärder där så används de ovanför konfigurationen för samma åtgärder som anges i avsnittet Systeminställningar.If you add an app to the Program settings section and configure individual mitigation settings there, they will be honored above the configuration for the same mitigations specified in the System settings section. I följande matris och exempel kan du illustrera hur standardinställningar fungerar:The following matrix and examples help to illustrate how defaults work:

Aktiverad i programinställningarEnabled in Program settings Aktiverad i SysteminställningarEnabled in System settings BeteendeBehavior
Bockmarkering ja Bockmarkeringsnr Enligt programinställningarnaAs defined in Program settings
Bockmarkering ja Bockmarkering ja Enligt programinställningarnaAs defined in Program settings
Bockmarkeringsnr Bockmarkering ja Enligt definitionen i SysteminställningarAs defined in System settings
Bockmarkeringsnr Bockmarkering ja Standard som definierats i alternativet Använd standardDefault as defined in Use default option
  • Exempel 1Example 1

    Mikael konfigurerar dataexekveringsskydd (DEP) i avsnittet Systeminställningar till Av som standard.Mikael configures Data Execution Prevention (DEP) in the System settings section to be Off by default.

    Mikael lägger sedan till appen test.exe i avsnittet Programinställningar.Mikael then adds the app test.exe to the Program settings section. I alternativen för den appen, under Dataexekveringsskydd (DEP), aktiverar han alternativet Åsidosätt systeminställningar och ställer in växeln på På.In the options for that app, under Data Execution Prevention (DEP), he enables the Override system settings option and sets the switch to On. Det finns inga andra appar listade i avsnittet Programinställningar.There are no other apps listed in the Program settings section.

    Resultatet blir att DEP endast aktiveras för test.exe.The result will be that DEP only will be enabled for test.exe. Alla andra appar kommer inte att använda DEP.All other apps will not have DEP applied.

  • Exempel 2Example 2

    Josie konfigurerar dataexekveringsskydd (DEP) i avsnittet Systeminställningar till Av som standard.Josie configures Data Execution Prevention (DEP) in the System settings section to be Off by default.

    Josie lägger sedan till appen test.exe i avsnittet Programinställningar.Josie then adds the app test.exe to the Program settings section. I alternativen för den appen, under Dataexekveringsskydd (DEP), aktiverar hon alternativet Åsidosätta systeminställningar och ställer in växlingsknappen på På.In the options for that app, under Data Execution Prevention (DEP), she enables the Override system settings option and sets the switch to On.

    Josie lägger också till miles.exe programinställningar och konfigurerar CfG (Control Flow Guard) till På. Josie also adds the app miles.exe to the Program settings section and configures Control flow guard (CFG) to On. Hon aktiverar inte alternativet Åsidosätt systeminställningar för DEP eller andra åtgärder för det programmet.She doesn't enable the Override system settings option for DEP or any other mitigations for that app.

    Resultatet blir att DEP aktiveras för test.exe.The result will be that DEP will be enabled for test.exe. DEP aktiveras inte för andra appar, även miles.exe.DEP will not be enabled for any other app, including miles.exe. CFG aktiveras för miles.exe.CFG will be enabled for miles.exe.

Anteckning

Om du har hittat problem i den här artikeln kan du rapportera det direkt till en Windows Server/Windows-klientpartner eller använda Microsofts tekniska supportnummer för ditt land.If you have found any issues in this article, you can report it directly to a Windows Server/Windows Client partner or use the Microsoft technical support numbers for your country.

Konfigurera åtgärder på systemnivå med Windows-säkerhet programConfigure system-level mitigations with the Windows Security app

  1. Öppna Windows-säkerhet genom att välja sköldikonen i aktivitetsfältet eller söka efter Defender på startmenyn.Open the Windows Security app by selecting the shield icon in the task bar or searching the start menu for Defender.

  2. Välj panelen & för webbläsaren (eller appikonen på den vänstra menyraden) och välj sedan Sårbarhetsskydd.Select the App & browser control tile (or the app icon on the left menu bar) and then select Exploit protection.

  3. Leta rätt på den minskning du vill konfigurera under Systeminställningar och välj något av följande.Under the System settings section, find the mitigation you want to configure and select one of the following. Appar som inte konfigureras individuellt i avsnittet Programinställningar använder inställningarna som konfigurerats här:Apps that aren't configured individually in the Program settings section will use the settings configured here:

    • Som standard – Minskningar är aktiverade för program som inte har den här begränsningen i avsnittet programinställningarOn by default - The mitigation is enabled for apps that don't have this mitigation set in the app-specific Program settings section
    • Av som standard – Minskningarna är inaktiverade för program som inte har den här begränsningen inställt i avsnittet programspecifika programinställningarOff by default - The mitigation is disabled for apps that don't have this mitigation set in the app-specific Program settings section
    • Använd standard – Minskningar är antingen aktiverade eller inaktiverade, beroende på vilken standardkonfiguration som konfigureras Windows 10 installationen. Standardvärdet (På eller Av) anges alltid bredvid Använd standardetikett för varje minskningUse default - The mitigation is either enabled or disabled, depending on the default configuration that is set up by Windows 10 installation; the default value (On or Off) is always specified next to the Use default label for each mitigation

    Anteckning

    Fönstret Kontroll av användarkonto kan visas när du ändrar vissa inställningar.You may see a User Account Control window when changing some settings. Ange administratörsautentiseringsuppgifter för att tillämpa inställningen.Enter administrator credentials to apply the setting.

    Om du ändrar vissa inställningar kan en omstart krävas.Changing some settings may require a restart.

  4. Upprepa för alla åtgärder på systemnivå som du vill konfigurera.Repeat this for all the system-level mitigations you want to configure.

  5. Gå till avsnittet Programinställningar och välj det program som du vill tillämpa åtgärder på:Go to the Program settings section and choose the app you want to apply mitigations to:

    1. Om programmet du vill konfigurera redan finns med i listan markerar du det och väljer sedan RedigeraIf the app you want to configure is already listed, select it and then select Edit
    2. Om programmet inte finns med i listan väljer du Lägg till program för att anpassa högst upp i listan och väljer sedan hur du vill lägga till programmet:If the app isn't listed, at the top of the list select Add program to customize and then choose how you want to add the app:
      • Använd Lägg till efter programnamn om du vill att begränsningen ska tillämpas på en löpande process med det namnet.Use Add by program name to have the mitigation applied to any running process with that name. Du måste ange en fil med ett filnamnstillägg.You must specify a file with an extension. Du kan ange en fullständig sökväg för att begränsa begränsningen till bara appen med det namnet på den platsen.You can enter a full path to limit the mitigation to only the app with that name in that location.
      • Använd Välj exakt sökväg för att använda en Windows standardfönster för filväljaren i Utforskaren för att hitta och välja den fil du vill använda.Use Choose exact file path to use a standard Windows Explorer file picker window to find and select the file you want.
  6. När du har valt programmet visas en lista över alla åtgärder som kan tillämpas.After selecting the app, you'll see a list of all the mitigations that can be applied. För att möjliggöra åtgärder markerar du kryssrutan och ändrar sedan skjutreglaget till .To enable the mitigation, select the check box and then change the slider to On. Välj eventuella ytterligare alternativ.Select any additional options. Om du väljer Granskning används minskningar endast i granskningsläge.Choosing Audit will apply the mitigation in audit mode only. Du får ett meddelande om du behöver starta om processen eller programmet, eller om du behöver starta om Windows.You will be notified if you need to restart the process or app, or if you need to restart Windows.

  7. Upprepa de här stegen för alla program och åtgärder som du vill konfigurera.Repeat these steps for all the apps and mitigations you want to configure. Välj Använd när du är klar med konfigurationen.Select Apply when you're done setting up your configuration.

Du kan nu exportera de här inställningarna som en XML-fil eller fortsätta med att konfigurera programspecifika åtgärder.You can now export these settings as an XML file or continue on to configure app-specific mitigations.

Om du exporterar konfigurationen som en XML-fil kan du kopiera konfigurationen från en enhet till andra enheter.Exporting the configuration as an XML file allows you to copy the configuration from one device onto other devices.

PowerShell-referensPowerShell reference

Du kan använda Windows-säkerhet för att konfigurera Sårbarhetsskydd, eller så kan du använda PowerShell-cmdlets.You can use the Windows Security app to configure Exploit protection, or you can use PowerShell cmdlets.

De konfigurationsinställningar som senast ändrades kommer alltid att användas – oavsett om du använder PowerShell eller Windows-säkerhet.The configuration settings that were most recently modified will always be applied - regardless of whether you use PowerShell or Windows Security. Det innebär att om du använder appen för att konfigurera en minskning och sedan använder PowerShell för att konfigurera samma minskningar uppdateras programmet så att det visar de ändringar du har gjort med PowerShell.This means that if you use the app to configure a mitigation, then use PowerShell to configure the same mitigation, the app will update to show the changes you made with PowerShell. Om du sedan använder appen för att ändra minskningar igen, tillämpas den ändringen.If you were to then use the app to change the mitigation again, that change would apply.

Viktigt

Alla ändringar som distribueras till en enhet via Grupprincip åsidosätter den lokala konfigurationen.Any changes that are deployed to a device through Group Policy will override the local configuration. När du inställningar för en inledande konfiguration ska du använda en enhet där ingen grupprincipkonfiguration används för att säkerställa att ändringarna inte åsidosätts.When setting up an initial configuration, use a device that will not have a Group Policy configuration applied to ensure your changes aren't overridden.

Du kan använda PowerShell-verbet Get Set eller med cmdleten ProcessMitigation .You can use the PowerShell verb Get or Set with the cmdlet ProcessMitigation. Med hjälp visas aktuell konfigurationsstatus för eventuella åtgärder som har aktiverats på enheten – lägg till cmdlet och app exe för att se åtgärder för just det Get -Name programmet:Using Get will list the current configuration status of any mitigations that have been enabled on the device - add the -Name cmdlet and app exe to see mitigations for just that app:

Get-ProcessMitigation -Name processName.exe

Viktigt

Åtgärder på systemnivå som inte har konfigurerats visar statusen för NOTSET .System-level mitigations that have not been configured will show a status of NOTSET.

Anger standardinställningen för den minskning som har tillämpats NOTSET för systemnivåinställningar.For system-level settings, NOTSET indicates the default setting for that mitigation has been applied.

För inställningar på programnivå NOTSET anger du systeminställningen för minskningar.For app-level settings, NOTSET indicates the system-level setting for the mitigation will be applied.

Standardinställningen för de olika minskningarna på systemnivån finns i Windows-säkerhet.The default setting for each system-level mitigation can be seen in the Windows Security.

Används Set för att konfigurera åtgärder i följande format:Use Set to configure each mitigation in the following format:

Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>

Var:Where:

  • <Scope>:<Scope>:
    • -Name för att indikera att minskningar bör tillämpas på en viss app.-Name to indicate the mitigations should be applied to a specific app. Ange appens körbara efter den här flaggan.Specify the app's executable after this flag.
    • -System för att indikera att minskningar bör tillämpas på systemnivån-System to indicate the mitigation should be applied at the system level
  • <Action>:<Action>:
    • -Enable för att aktivera minskningar-Enable to enable the mitigation
    • -Disable för att inaktivera minskningar-Disable to disable the mitigation
  • <Mitigation>:<Mitigation>:
    • Minsknings-cmdleten som definierats i tabellen för minskningar av cmdlets nedan, tillsammans med eventuella delalternativ (inom blanksteg).The mitigation's cmdlet as defined in the mitigation cmdlets table below, along with any suboptions (surrounded with spaces). Alla åtgärder är åtskilda med kommatecken.Each mitigation is separated with a comma.

Om du till exempel vill aktivera åtgärder för dataexekveringsskydd (DEP) med ATL-thunk-egulering och för en körbar fil som kallas testing.exe i mappen C:\Apps\LOB\tests och för att förhindra att körbara processer skapas använder du följande kommando:For example, to enable the Data Execution Prevention (DEP) mitigation with ATL thunk emulation and for an executable called testing.exe in the folder C:\Apps\LOB\tests, and to prevent that executable from creating child processes, you'd use the following command:

Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable DEP, EmulateAtlThunks, DisallowChildProcessCreation

Viktigt

Avgränsa varje alternativ för minskning med kommatecken.Separate each mitigation option with commas.

Om du vill använda DEP på systemnivå använder du följande kommando:If you wanted to apply DEP at the system level, you'd use the following command:

Set-Processmitigation -System -Enable DEP

Om du vill inaktivera minskningar kan du -Enable ersätta med -Disable .To disable mitigations, you can replace -Enable with -Disable. För åtgärder på programnivå innebär det emellertid att minskningarna bara inaktiveras för det programmet.However, for app-level mitigations, this will force the mitigation to be disabled only for that app.

Om du behöver återställa begränsningen till systemstandarden måste du inkludera -Remove cmdleten och i följande exempel:If you need to restore the mitigation back to the system default, you need to include the -Remove cmdlet as well, as in the following example:

Set-Processmitigation -Name test.exe -Remove -Disable DEP

Du kan också ange åtgärder för granskningsläge.You can also set some mitigations to audit mode. I stället för att använda PowerShell-cmdleten för minskningar använder du cmdleten Granskningsläge som anges i tabellen för åtgärder med cmdlet:ar nedan. Instead of using the PowerShell cmdlet for the mitigation, use the Audit mode cmdlet as specified in the mitigation cmdlets table below.

Om du till exempel vill aktivera ACG (Arbitrary Code Guard) i granskningsläge för testing.exe som använts tidigare använder du följande kommando:For example, to enable Arbitrary Code Guard (ACG) in audit mode for the testing.exe used previously, you'd use the following command:

Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable AuditDynamicCode

Du kan inaktivera granskningsläge genom att använda samma kommando men ersätta -Enable med -Disable .You can disable audit mode by using the same command but replacing -Enable with -Disable.

PowerShell-referenstabellPowerShell reference table

Den här tabellen innehåller PowerShell-cmdlet:ar (och tillhörande cmdlet:ar för granskningsläge) som kan användas för att konfigurera varje minskning.This table lists the PowerShell cmdlets (and associated audit mode cmdlet) that can be used to configure each mitigation.

MinskningMitigation Gäller förApplies to PowerShell-cmdletsPowerShell cmdlets Cmdlet för granskningslägeAudit mode cmdlet
Kontrollflödesskydd (CFG)Control flow guard (CFG) System- och appnivåSystem and app-level CFG, StrictCFG, SuppressExportsCFG, StrictCFG, SuppressExports Granskning inte tillgängligAudit not available
Dataexekveringsskydd (DEP)Data Execution Prevention (DEP) System- och appnivåSystem and app-level DEP, EmulateAtlThunksDEP, EmulateAtlThunks Granskning inte tillgängligAudit not available
Tvinga slumpmässiga bilder (obligatorisk ASLR)Force randomization for images (Mandatory ASLR) System- och appnivåSystem and app-level ForceRelocateImagesForceRelocateImages Granskning inte tillgängligAudit not available
Slumpmässiga minnestilldelningar (Nedifrån och upp ASLR)Randomize memory allocations (Bottom-Up ASLR) System- och appnivåSystem and app-level BottomUp, HighEnlteyBottomUp, HighEntropy Granskning inte tillgängligAudit not available
Verifiera undantagskedjor (SEHOP)Validate exception chains (SEHOP) System- och appnivåSystem and app-level SEHOP, SEHOPTelemetrySEHOP, SEHOPTelemetry Granskning inte tillgängligAudit not available
Verifiera heapintegritetValidate heap integrity System- och appnivåSystem and app-level TerminateOnErrorTerminateOnError Granskning inte tillgängligAudit not available
Godtyckligt kodskydd (ACG)Arbitrary code guard (ACG) Endast på programnivåApp-level only DynamicCodeDynamicCode AuditDynamicCodeAuditDynamicCode
Blockera bilder med låg integritetBlock low integrity images Endast på programnivåApp-level only BlockLowLabelBlockLowLabel AuditImageLoadAuditImageLoad
Blockera fjärrbilderBlock remote images Endast på programnivåApp-level only BlockRemoteImagesBlockRemoteImages Granskning inte tillgängligAudit not available
Blockera icke betrodda teckensnittBlock untrusted fonts Endast på programnivåApp-level only DisableNonSystemFontsDisableNonSystemFonts AuditFont, FontAuditOnlyAuditFont, FontAuditOnly
KodintegritetsskyddCode integrity guard Endast på programnivåApp-level only BlockNonMicrosoftSigned, AllowStoreSignedBlockNonMicrosoftSigned, AllowStoreSigned AuditMicrosoftSigned, AuditStoreSignedAuditMicrosoftSigned, AuditStoreSigned
Inaktivera förlängningspunkterDisable extension points Endast på programnivåApp-level only ExtensionPointExtensionPoint Granskning inte tillgängligAudit not available
Inaktivera Win32k-systemsamtalDisable Win32k system calls Endast på programnivåApp-level only DisableWin32kSystemCallsDisableWin32kSystemCalls AuditSystemCallAuditSystemCall
Tillåt inte underordnade processerDo not allow child processes Endast på programnivåApp-level only DisallowProcessCreationDisallowChildProcessCreation AuditProcessAuditChildProcess
Exportera adressfiltrering (EAF)Export address filtering (EAF) Endast på programnivåApp-level only EnableExportAddressFilterPlus, EnableExportAddressFilter [ 1 ] EnableExportAddressFilterPlus, EnableExportAddressFilter [1] Granskning inte tillgänglig [ 2 ] Audit not available[2]
Importera adressfiltrering (IAF)Import address filtering (IAF) Endast på programnivåApp-level only EnableImportAddressFilterEnableImportAddressFilter Granskning inte tillgänglig [ 2 ] Audit not available[2]
Simulera körning (SimExec)Simulate execution (SimExec) Endast på programnivåApp-level only EnableRopSimExecEnableRopSimExec Granskning inte tillgänglig [ 2 ] Audit not available[2]
Verifiera API-anrop (Anroparkontroll)Validate API invocation (CallerCheck) Endast på programnivåApp-level only EnableRopCallerCheckEnableRopCallerCheck Granskning inte tillgänglig [ 2 ] Audit not available[2]
Verifiera användning av handtagValidate handle usage Endast på programnivåApp-level only StrictHandleStrictHandle Granskning inte tillgängligAudit not available
Verifiera bildsambandsintegritetValidate image dependency integrity Endast på programnivåApp-level only EnforceModuleDepencySigningEnforceModuleDepencySigning Granskning inte tillgängligAudit not available
Validera stack-integritet (StackPivot)Validate stack integrity (StackPivot) Endast på programnivåApp-level only EnableRopStackPivotEnableRopStackPivot Granskning inte tillgänglig [ 2 ] Audit not available[2]

[ 1: ] Använd följande format för att aktivera EAF-moduler för DLL-filer för en process:[1]: Use the following format to enable EAF modules for dlls for a process:

Set-ProcessMitigation -Name processName.exe -Enable EnableExportAddressFilterPlus -EAFModules dllName1.dll,dllName2.dll

[ 2: ] Granskning av den här begränsningen är inte tillgänglig via PowerShell-cmdlets.[2]: Audit for this mitigation is not available via PowerShell cmdlets.

Anpassa meddelandetCustomize the notification

Mer information om hur du anpassar meddelandet när en regel utlöses och blockerar en app eller fil finns i Windows-säkerhet.For more information about customizing the notification when a rule is triggered and blocks an app or file, see Windows Security.

Se även:See also: