导入、导出和部署 Exploit Protection 配置

适用于：

希望体验 Defender for Endpoint？注册免费试用版。

Exploit Protection 有助于保护设备免受使用漏洞进行传播和感染的恶意软件的侵害。它包含许多可在操作系统级别或单个应用级别应用的缓解措施。

使用 Windows 安全应用或 PowerShell 创建一组缓解措施（称为配置）。然后，可以将此配置导出为 XML 文件，并将其与网络上的多个设备共享。然后，它们都具有相同的缓解设置集。

创建和导出配置文件

导出配置文件之前，需要确保具有正确的设置。首先，在单个专用设备上配置 Exploit Protection。有关配置缓解措施的详细信息，请参阅自定义 Exploit Protection。

将 Exploit Protection 配置为所需状态（包括系统级和应用级缓解措施）后，可以使用 Windows 安全应用或 PowerShell 导出文件。

输入以下 cmdlet：

Get-ProcessMitigation -RegistryConfigFilePath filename.xml

将 filename 更改为所选的任何名称或位置。

命令示例：

Get-ProcessMitigation -RegistryConfigFilePath C:\ExploitConfigfile.xml

重要

使用组策略部署配置时，将使用该配置的所有设备都必须能够访问配置文件。确保将文件放置在共享位置。

可以导入之前创建的 Exploit Protection 配置文件。只能使用 PowerShell 导入配置文件。

导入后，设置将立即应用，并且可以在 Windows 安全应用中查看。

输入以下 cmdlet：

Set-ProcessMitigation -PolicyFilePath filename.xml

将 filename 更改为 Exploit Protection XML 文件的位置和名称。

命令示例：

Set-ProcessMitigation -PolicyFilePath C:\ExploitConfigfile.xml

重要

确保导入专为 Exploit Protection 创建的配置文件。

可以使用组策略将已创建的配置部署到网络中的多个设备。

重要

使用组策略部署配置时，将使用该配置的所有设备都必须能够访问配置 XML 文件。确保将文件放置在共享位置。

在组策略管理设备上，打开“组策略管理控制台”，依次右键单击要配置的组策略对象和“编辑”。
在 策略管理编辑器中， 计算机配置 并选择 管理模板。
将树展开到 Windows 组件>Microsoft Defender Exploit Guard>Exploit Protection。
双击“使用一组常见的 Exploit Protection 设置”并将选项设置为“已启用”。
在“选项：”部分中，输入要使用的 Exploit Protection 配置文件的位置和文件名，如以下示例所示：
- C:\MitigationSettings\Config.XML
- \\Server\Share\Config.xml
- https://localhost:8080/Config.xml
- C:\ExploitConfigfile.xml
选择“确定”，并像平时一样部署更新的 GPO。

提示

想要了解更多信息？ Engage技术社区中的 Microsoft 安全社区：Microsoft Defender for Endpoint技术社区。