Computer >> कंप्यूटर >  >> प्रणाली >> Windows

Windows 10 शोषण सुरक्षा - ट्यूटोरियल

विंडोज 10 फॉल क्रिएटर्स अपडेट (बिल्ड 1709) की रिलीज के साथ, सबसे शानदार और सुरुचिपूर्ण एन्हांस्ड मिटिगेशन एक्सपीरियंस टूलकिट (ईएमईटी) अब उपलब्ध नहीं है या इस ऑपरेटिंग सिस्टम पर स्थापित किया जा सकता है। इसके बजाय, ये शमन अब विंडोज 10 का एक अभिन्न अंग हैं।

चूंकि मैं EMET का बहुत बड़ा प्रशंसक हूं, और मैं इसे अपनी सभी विंडोज मशीनों पर उपयोग कर रहा हूं, इसलिए मैंने विंडोज 10 में नई शमन को कैसे तैनात और ट्वीक किया जाए, इस पर एक विस्तृत, व्यावहारिक और वास्तविक जीवन उपयोग गाइड लिखने का फैसला किया। कृपया मेरे पीछे आओ।


सामग्री तालिका


  1. परिचय और प्रारंभिक पठन
  2. विंडोज 10 शोषण सुरक्षा <ओल>
  3. सिस्टम सेटिंग
  4. प्रोग्राम सेटिंग
  5. निर्यात और आयात विन्यास <ओल>
  6. कॉन्फ़िगरेशन फ़ाइल स्वरूप
  7. पुराने EMET कॉन्फ़िगरेशन का उपयोग करें
  8. एप्लिकेशन टेम्प्लेट
  9. वास्तविक जीवन में उपयोग और उदाहरण <ओल>
  10. नया कॉन्फ़िगरेशन आयात करें
  11. कॉन्फ़िगरेशन फ़ाइल सामग्री
  12. शोषण सुरक्षा चलाना और उसका उपयोग करना
  13. कॉन्फ़िगरेशन संपादित करें और ट्वीक करें
  14. अत्यधिक सुरक्षा
  15. अतिरिक्त रीडिंग
  16. निष्कर्ष

  17. परिचय और प्रारंभिक पठन

    यदि आप गलती से इस लेख पर आ गए हैं, जो इस विषय की विशिष्ट और नीरस प्रकृति की संभावना नहीं है, तो मुझे संक्षेप में EMET का परिचय दें। यह उपयोगिता सिस्टम और प्रोग्राम तंत्र का एक सेट है जो खराब कोड को चलने से रोकता है। इस तरह यह संभावित रूप से चल रहे कार्यक्रमों में शोषण को रोक सकता है और ब्लॉक कर सकता है।

    Microsoft ने कई साल पहले EMET को एक स्टैंडअलोन टूल के रूप में जारी किया था, और आप इसे किसी भी सिस्टम पर मैन्युअल रूप से तैनात कर सकते थे। बिल्ड 1709 तक यह अभी भी विंडोज के पिछले दो संस्करणों के साथ-साथ विंडोज 10 में भी उपलब्ध है।

    ईएमईटी किस प्रकार के निर्देशों और मेमोरी एक्सेस को चलाने वाले कार्यक्रमों को निष्पादित कर सकता है, इसे प्रतिबंधित करके काम करता है। इस विचार की सुंदरता यह है कि हम जिसे अच्छे प्रोग्राम और मैलवेयर कहते हैं, उसमें यह अंतर नहीं करता है। यह केवल आज्ञाकारी, तथाकथित कानूनी कोड और गैर-अनुपालन, तथाकथित अवैध कोड के बीच अंतर करता है। तो भले ही आपके पास क्रोम या पावरपॉइंट जैसे पूरी तरह से वैध कार्यक्रम हों, और वे EMET पुस्तकालयों द्वारा एनकैप्सुलेटेड और संरक्षित हों, अगर वे कुछ अवैध निर्देश के कारण दुर्व्यवहार करते हैं - सबसे अधिक संभावना गलती और मैला प्रोग्रामिंग प्रथाओं या विरासत की बाधाओं से शुरू होती है - तो EMET निष्पादन को रोक देगा और कार्यक्रम को समाप्त कर देगा।

    यह ईएमईटी विचारों को एक सुरक्षा उपकरण के रूप में बनाता है - एक बार ठीक से कॉन्फ़िगर करने के बाद, यह एक आग और भूल समाधान है। यह हल्का, गैर-दखल देने वाला, अत्यंत कुशल और स्मार्ट है। सॉफ्टवेयर को उसके निष्पादन गुणवत्ता के नजरिए से देखने की अवधारणा खराब कार्यक्रमों को ब्लैकलिस्ट करने की कोशिश करने की तुलना में बहुत अधिक समझदार है।

    ईएमईटी डीईपी, एसईएचओपी, एएसएलआर और अन्य सहित विंडोज़ में उपलब्ध सिस्टम-स्तरीय सुरक्षा तंत्र के संयोजन के साथ भी काम करता है। बहुत साफ-सुथरा, बहुत आसान और बेहद उपयोगी।

    मैंने ईएमईटी का उपयोग करने के बारे में एक विस्तृत ट्यूटोरियल लिखा है। यह कार्यक्रम के संस्करण 4 के साथ बनाया गया था, लेकिन बाद के संस्करणों के लिए दिशानिर्देश 100% सत्य और सही हैं, मेरे द्वारा शमन टूलकिट की अंतिम समीक्षा संस्करण 5.5 पर है। कृपया उन्हें पढ़ें ताकि आप खुद को विभिन्न अवधारणाओं और सुरक्षा से परिचित करा सकें।

    Windows 10 शोषण सुरक्षा - ट्यूटोरियल

    हालांकि अब इंस्टॉल करने योग्य नहीं है:

    विंडोज 10 शोषण सुरक्षा

    ईएमईटी की कार्यक्षमता अब विंडोज 10 बिल्ड 1709 के अंदर एक अंतर्निहित क्षमता के रूप में उपलब्ध है। आप संबंधित यूआई को विंडोज डिफेंडर सुरक्षा केंद्र के माध्यम से एक्सेस कर सकते हैं। बाईं ओर, साइडबार में, दूसरे-से-अंतिम आइकन पर क्लिक करें, सूची के अंत तक नीचे स्क्रॉल करें, और फिर शोषण सुरक्षा सेटिंग्स पर क्लिक करें।

    नए UI को EMET की तुलना में सरल बनाया गया है - और इसका उपयोग करना भी अधिक कठिन है, क्योंकि आपने जो वर्तमान में सक्षम किया है उसमें आपकी दृश्यता कम है। आपके पास अपने ऐप्स और सक्षम मिटिगेशन का पूर्ण मैट्रिक्स-शैली दृश्य भी नहीं है। लेकिन आइए एर्गोनोमिक विचारों को एक तरफ छोड़ दें। आइए केवल कच्ची कार्यक्षमता पर ध्यान दें। हम इस पर स्पर्श करेंगे कि वास्तविक इंटरफ़ेस को बाद में कैसे सुधारा जा सकता है और इसमें सुधार किया जाना चाहिए।

    सिस्टम सेटिंग

    डिफ़ॉल्ट दृश्य सिस्टम सेटिंग्स को सूचीबद्ध करता है। पुराने ऑपरेटिंग सिस्टम की तरह, कोड के दुर्भावनापूर्ण (गलत / अवैध पढ़ें) निष्पादन को रोकने के लिए विंडोज 10 कई निम्न-स्तरीय तंत्र के साथ आता है। दोबारा, हम विशेष रूप से मैलवेयर के बारे में बात नहीं कर रहे हैं, हम किसी भी कोड के बारे में बात कर रहे हैं जो संभावित रूप से सिस्टम क्रैश, अस्थिरता और समान रूप से कारण हो सकता है।

    विंडोज 10 के साथ आने वाली छह उपलब्ध सुरक्षाओं में शामिल हैं:सीएफजी, डीईपी, अनिवार्य एएसएलआर, बॉटम-अप एएसएलआर, एसईएचओपी और हीप इंटीग्रिटी। ये विंडोज़ के पहले के लगभग बराबर हैं, लेकिन कोई सटीक 1:1 अनुवाद नहीं है, क्योंकि अंतर्निहित कर्नेल संरचनाओं में कुछ बदलाव किए गए हैं। डिफ़ॉल्ट रूप से, ये सभी सुरक्षा चालू हैं।

    प्रोग्राम सेटिंग्स

    यदि आप दूसरी श्रेणी पर क्लिक करते हैं, तो यह वर्तमान में शोषण सुरक्षा तंत्र द्वारा कवर किए गए व्यक्तिगत कार्यक्रमों की सूची का विस्तार करेगी। केवल ओवरराइड वाले प्रोग्राम सूचीबद्ध हैं। यदि किसी प्रोग्राम में कॉन्फ़िगरेशन है जो सिस्टम डिफ़ॉल्ट से मेल खाता है, तो इसे जोड़ा नहीं जाएगा।

    विंडोज 10 विशिष्ट ओवरराइड सहित पहले से सूचीबद्ध कई एप्लिकेशन के साथ आता है। फिलहाल, हमें उन्हें अकेला छोड़ देना चाहिए, क्योंकि उन्हें Microsoft द्वारा इष्टतम सुरक्षा बनाम अनुकूलता के लिए कॉन्फ़िगर किया गया है।

    आप पथ या नाम से नए प्रोग्राम जोड़ सकते हैं। उत्तरार्द्ध बेहतर है क्योंकि यह आपको विशिष्ट निष्पादन योग्य नाम से मेल खाने वाले विशिष्ट एप्लिकेशन के किसी भी संस्करण की सुरक्षा करने की अनुमति देता है, भले ही यह आपकी डिस्क पर स्थापित हो।

    एक बार जब आप एक प्रोग्राम जोड़ लेते हैं, तो एक नई विंडो पॉप अप हो जाएगी, जिससे आप उपलब्ध शमनों की लंबी और कुछ भ्रामक सूची के साथ इसके शोषण सुरक्षा कॉन्फ़िगरेशन को अनुकूलित कर सकते हैं। अब आप व्यक्तिगत रूप से शमन को चालू और बंद कर सकते हैं। आप देखेंगे कि इनमें से कुछ सुरक्षा डिफ़ॉल्ट रूप से बंद हैं - और अन्य चालू हैं, आमतौर पर पहले बताए गए सिस्टम कॉन्फ़िगरेशन से मेल खाते हैं। तो आप डिफ़ॉल्ट को ओवरराइड कर सकते हैं।


    15 मिटिगेशन उपलब्ध हैं - और यदि आप उन्हें सक्षम करते हैं, तो वे सिस्टम डिफॉल्ट्स पर वरीयता प्राप्त करेंगे। आपके पास ऑडिटिंग की अनुमति देने का विकल्प भी है - मूल रूप से यदि कोई अपवाद सामने आता है, तो सिस्टम आपको सूचित करेगा, और आपको प्रोग्राम को मैन्युअल रूप से बंद या समाप्त करने की आवश्यकता होगी। अन्यथा, सिस्टम मिटिगेशन से मेल खाने वाले अवैध निर्देशों वाले प्रोग्राम को समाप्त कर देगा।

    निर्यात और आयात विन्यास

    अब, दिलचस्प और पेचीदा हिस्सा। चूंकि नया तंत्र अधिक बोझिल इंटरफ़ेस के साथ आता है, प्रोग्राम को कॉन्फ़िगर करना एक दर्द बन जाता है - हम 20-30 प्रोग्राम कह रहे हैं, प्रत्येक में 15 न्यूनीकरण तक, और इसे हल करने के लिए बहुत सारे माउस क्लिक लगते हैं।

    सौभाग्य से, आप अपने सुरक्षा को अधिक तेज़ी से अपडेट करने के लिए XML कॉन्फ़िगरेशन फ़ाइलों का उपयोग कर सकते हैं। आप अपनी सूची में और उससे प्रोग्राम जोड़ते और हटाते हैं, आप विशिष्ट शमन को कम कर सकते हैं, और आवश्यक सेटअप को और अधिक तेज़ी से और कुशलता से निष्पादित कर सकते हैं। ऐसा करने के लिए, आपको कॉन्फ़िगरेशन फ़ाइल के मूल स्वरूप को समझने की आवश्यकता है।

    मुख्य इंटरफ़ेस में, निर्यात सेटिंग्स पर क्लिक करें और डिस्क पर कहीं एक XML फ़ाइल सहेजें। इसे एक टेक्स्ट एडिटर के अंदर खोलें, और आइए संक्षिप्त रूप से कॉन्फ़िगरेशन को देखें, और विभिन्न निर्देशों और मूल्यों का क्या मतलब है।

    कॉन्फ़िगरेशन फ़ाइल स्वरूप

    आइए समीक्षा करें:


    <जड़>
    <सिस्टम कॉन्फिग>
    OverrideForceRelocateImages="false">


    OverrideExtensionPoint="false">

    ...

    ये एक वास्तविक विन्यास की पहली कुछ पंक्तियाँ हैं; इंडेंटेशन नेत्रहीन रूप से यह अंतर करने में मदद करने के लिए है कि चीजें कहां से शुरू होती हैं और कहां रुकती हैं, लगभग किसी भी अन्य भाषा की तरह। आपके पास शीर्ष पर एक्सएमएल घोषणा है। फिर, आपके पास रूट सेक्शन है, जो मूल रूप से उस ब्लॉक को परिभाषित करता है जिसके अंदर आपके सिस्टम और एप्लिकेशन कॉन्फ़िगरेशन होंगे।

    सिस्टम कॉन्फ़िगरेशन को SystemConfig द्वारा घोषित किया जाता है। एप्लिकेशन AppConfig द्वारा घोषित किए जाते हैं। एप्लिकेशन नाम परिवर्तनीय निष्पादन योग्य द्वारा घोषित किए जाते हैं। फिर हमारे पास विभिन्न प्रकार के मिटिगेशन हैं, जैसे एक्सटेंशनपॉइंट्स, फ़ॉन्ट्स, पेलोड्स, डायनेमिककोड और अन्य। उदाहरण के लिए, जोड़े गए एप्लिकेशन की लगभग पूरी सूची में कुछ ऐसा शामिल होगा:


    <सख्त हैंडल
    सक्षम ="सच"
    ओवरराइडस्ट्रिक्टहैंडल ="गलत">

    <सिस्टम कॉल
    DisableWin32kSystemCalls="false"
    ओवरराइड सिस्टम कॉल ="झूठा"
    ऑडिट ="सच">

    <एक्सटेंशन पॉइंट्स
    DisableExtensionPoints ="true"
    ओवरराइडएक्सटेंशनपॉइंट ="झूठा">

    <गतिशील कोड
    BlockDynamicCode ="गलत"
    अनुमति देंThreadsToOptOut="false"
    ओवरराइड डायनामिक कोड ="झूठा"
    ऑडिट ="सच">

    <फ़ॉन्ट्स
    DisableNonSystemFonts ="झूठा"
    केवल ऑडिट ="झूठा"
    ओवरराइडफॉन्टडिसेबल ="झूठा"
    ऑडिट ="सच">

    <छवि लोड
    BlockRemoteImageLoads ="गलत"
    ओवरराइडब्लॉकRemoteImageLoads="false"
    BlockLowLabelImageLoads="false"
    ओवरराइडब्लॉक लो लेबल ="झूठा"
    ऑडिटरिमोटइमेजलोड्स ="सच"
    ऑडिट लो लेबल इमेज लोड ="सच">

    <पेलोड
    EnableExportAddressFilter="true"
    ओवरराइडएक्सपोर्टएड्रेसफ़िल्टर ="झूठा"
    ऑडिट सक्षम निर्यात पता फ़िल्टर ="सच"
    EnableExportAddressFilterPlus ="true"
    ओवरराइडएक्सपोर्टएड्रेसफिल्टरप्लस ="झूठा"
    ऑडिट सक्षम निर्यात पता फ़िल्टर प्लस ="सच"
    EnableImportAddressFilter="true"
    ओवरराइडइम्पोर्टएड्रेसफ़िल्टर ="झूठा"
    ऑडिट सक्षम आयात पता फ़िल्टर ="सच"
    EnableRopStackPivot ="true"
    ओवरराइड सक्षम रोपस्टैक पिवोट ="झूठा"
    ऑडिट इनेबल रोपस्टैक पिवोट ="सच"
    EnableRopCallerCheck ="true"
    ओवरराइड सक्षम रोप कॉलर चेक ="झूठा"
    ऑडिट इनेबल रोप कॉलर चेक ="सच"
    EnableRopSimExec="true"
    ओवरराइडएनेबलरोपसिमएक्सईसी ="झूठा"
    ऑडिटइनेबलरोपसिमएक्सईसी ="सच">


    फिलहाल वास्तविक मूल्यों पर ध्यान न दें। आइए तीन महत्वपूर्ण चरों को समझते हैं:

    मान - सही/गलत हो सकता है, परिभाषित करता है कि शमन सक्षम है या नहीं।

    ओवरराइड - आपके विचार के विपरीत, यह आपको यह नहीं बताता है कि निर्दिष्ट मान सिस्टम डिफ़ॉल्ट को ओवरराइड करता है या नहीं। नहीं। वह पहले से ही डिजाइन द्वारा है। यदि यह चर सही पर सेट है, तो इसका अर्थ है कि आप UI के माध्यम से सेटिंग संपादित नहीं कर सकते हैं। यह बल्कि भ्रमित करने वाला है, विशेष रूप से झूठा होने का मतलब है कि आपके पास डिफेंडर सुरक्षा केंद्र के माध्यम से नियंत्रण है, और सही का मतलब है कि आप नहीं करते हैं। सर्वश्रेष्ठ इस चर को अनदेखा करें।

    ऑडिट - क्या प्रोग्राम ऑडिट मोड में चलता है या पूर्ण रूप से लागू मोड में।

    इसलिए हमारे पास मूल बातें तैयार हैं। अब, वास्तव में एक कॉन्फ़िगरेशन फ़ाइल बनाते हैं, और फिर इसे शोषण सूची में आयात करते हैं। और हम वास्तव में एक पुराने EMET कॉन्फ़िगरेशन को आयात करके ऐसा करेंगे, क्योंकि हम अपने द्वारा की गई सारी मेहनत को खोना नहीं चाहते हैं।

    पुराने EMET कॉन्फ़िगरेशन का उपयोग करें

    अब हम वास्तव में कुछ कार्यों को करने के लिए पॉवर्सशेल कमांड लाइन का उपयोग करेंगे। अर्थात्, हम एक EMET कॉन्फ़िग फ़ाइल को नए स्वरूप में रूपांतरित करेंगे और फिर उसे आयात करेंगे। इन आदेशों में वर्तमान में जीयूआई समकक्ष नहीं है। आपको पॉवरशेल और एडमिनिस्ट्रेटर एक्सेस की आवश्यकता है। फिर भी, एक EMET फ़ाइल कुछ इस तरह दिखाई देगी:


    <सेटिंग्स>
    <एक्सप्लॉइटएक्शन वैल्यू ="स्टॉपप्रोग्राम" />

    <रिपोर्टिंग टेलीमेट्री ="ट्रू" ट्रेआईकॉन ="ट्रू" इवेंटलॉग ="ट्रू" />




    <शमन सक्षम ="सच" />
    <शमन सक्षम ="सच" />
    <शमन सक्षम ="सच" />
    <मिटिगेशन सक्षम ="सच" />

    मुझे लगता है कि यह काफी साफ और अच्छा प्रारूप है। लेकिन बुरा ना माने। आइए अब इस कॉन्फ़िगरेशन फ़ाइल को कनवर्ट करें। यदि हम ऐसा करने के तरीके पर ऑनलाइन दस्तावेज़ पढ़ते हैं, तो हमें निम्नलिखित आदेश की आवश्यकता होगी:

    ConvertTo-ProcessMitigationPolicy -EMETFilePath emetconfig.xml -OutputFilePath newconfig.xml

    मुझे बहुत सारी त्रुटियाँ मिलीं:

    त्रुटि:किसी कारण से Win10 सेटिंग पढ़नी चाहिए ?:PinRuleMember
    त्रुटि:किसी कारण से Win10 सेटिंग पढ़नी चाहिए ?:सक्रिय
    त्रुटि:किसी कारण से Win10 सेटिंग पढ़नी चाहिए ?:PinnedSite
    त्रुटि:किसी कारण से Win10 सेटिंग पढ़नी चाहिए ?:Domain
    त्रुटि:किसी कारण से Win10 सेटिंग पढ़नी चाहिए ?:PinRuleMember
    त्रुटि:किसी कारण से Win10 सेटिंग पढ़नी चाहिए?:सक्रिय

    जाहिर है, पूर्व-विंडोज 10 नियमों में प्रमाणपत्रों के लिए पिन किए गए सभी नियम नए प्रारूप के अनुकूल नहीं हैं। यदि आप इस तरह के कॉन्फ़िगरेशन को आयात करने का प्रयास कर रहे हैं, तो यह विफल हो जाएगा। रूपांतरण दोबारा करने से पहले आपको XML को साफ़ करना होगा।

    <पिनिंग>
    <पिनरूल्स>
    <पिनरूल>
    {392c02ca-a7dd-49e3-888f-7fb505de9333}
    <नाम>FacebookCA
    ...

    ध्यान दें:EMET और नए शोषण सुरक्षा तंत्र के बीच कोई सटीक 1:1 मिलान नहीं है, और विशेष रूप से यदि आप कई ऑपरेटिंग सिस्टम में चलते हैं। मेरी सिफारिश केवल पुराने कॉन्फिग को एक सलाहकार के रूप में उपयोग करने की होगी।

    तो, कनवर्ट की गई फ़ाइल कुछ इस तरह दिखेगी - ऐप मिटिगेशन के मामले में:

    निष्पादन योग्य ="AcroRd32.exe">
    <डीईपी
    सक्षम ="सच"
    EmulateAtlThunks="false"/>
    <एएसएलआर
    ForceRelocateImages ="गलत"
    आवश्यकता जानकारी ="गलत"
    बॉटमअप ="सच"
    हाईएन्ट्रॉपी ="झूठा" />
    <सख्त हैंडल
    सक्षम ="गलत" />
    DisableWin32kSystemCalls="false"
    ऑडिट ="गलत" />
    <एक्सटेंशन पॉइंट्स
    DisableExtensionPoints="false"/>
    <गतिशील कोड
    BlockDynamicCode ="गलत"
    अनुमति देंThreadsToOptOut="false"
    ऑडिट ="गलत" />
    <कंट्रोलफ्लोगार्ड
    सक्षम ="गलत"
    SuppressExports ="गलत"
    स्ट्रिक्टकंट्रोलफ्लोगार्ड ="झूठा" />
    <हस्ताक्षरित बायनेरिज़
    MicrosoftSignedOnly ="false"
    AllowStoreSignedBinaries ="false"
    EnforceModuleDependencySigning="false"
    ऑडिट ="गलत"
    ऑडिटस्टोरसाइन ="झूठा"
    ऑडिटएनफोर्समॉड्यूल डिपेंडेंसी साइनिंग ="गलत" />
    <फ़ॉन्ट्स
    DisableNonSystemFonts ="झूठा"
    ऑडिट ="गलत" />
    <छवि लोड
    ऑडिटप्रेफर सिस्टम 32 ="झूठा"
    ऑडिट लो लेबल इमेज लोड ="गलत"
    ऑडिटरिमोटइमेजलोड्स ="गलत"
    PreferSystem32 ="गलत"
    BlockLowLabelImageLoads="false"
    BlockRemoteImageLoads="false"/>
    <पेलोड
    ईएएफ मॉड्यूल =""
    EnableExportAddressFilter="true"
    ऑडिट सक्षम निर्यात पता फ़िल्टर ="झूठा"
    EnableExportAddressFilterPlus ="true"
    ऑडिट सक्षम निर्यात पता फ़िल्टर प्लस ="झूठा"
    EnableImportAddressFilter="false"
    ऑडिट सक्षम आयात पता फ़िल्टर ="झूठा"
    EnableRopStackPivot ="true"
    ऑडिट इनेबल रोपस्टैक पिवोट ="झूठा"
    EnableRopCallerCheck ="true"
    ऑडिट इनेबल रोप कॉलर चेक ="गलत"
    EnableRopSimExec="true"
    ऑडिटइनेबलरोपसिमएक्सईसी ="झूठा" />
    <सेहोप
    सक्षम ="सच"
    TelemetryOnly="false"
    Audit="false"/>
    TerminateOnError="true"/>
    DisallowChildProcessCreation="false"
    Audit="false"/>

    Application template

    Most of the mitigations imported from EMET will be set to false unfortunately - and the system ones will no longer fully match. So my recommendation is as follows:the six system mitigations cover the basics. You can also enabled an additional six mitigations that seem to match 1:1 between EMET and new protection mechanism, including:EAF, EAF+, IAF, StackPivot, CallerCheck, and SimExec. Therefore our basic template for applications, based on previous usage becomes:



     
         EnableExportAddressFilterPlus="true"
       EnableImportAddressFilter="true"
       EnableRopStackPivot="true"
       EnableRopCallerCheck="true"
       EnableRopSimExec="true">
     

     

    We can extend this with fonts protection (the text is formatted for visual clarity):



     
         AuditOnly="false"
       OverrideFontDisable="false"
       Audit="false">
     

         EnableExportAddressFilterPlus="true"
       EnableImportAddressFilter="true"
       EnableRopStackPivot="true"
       EnableRopCallerCheck="true"
       EnableRopSimExec="true">
     

     

    And this is a template section you can use as your baseline:







    Real-life usage and examples

    All right, so far, we have covered the new UI, system and program settings, overview of new exploit mitigations, how to export configuration files, how to convert old EMET settings, and now we will import our app templates and use them.

    We will use our app template from above to quickly and elegantly add new applications into the system list, bearing in mind that system settings are best left at their defaults, and they already cover a great deal, plus there are six other mitigations that closely match past configurations, and are likely to work well. This is the MAIN reason why I have chosen this baseline, plus the fonts, which make simple sense, and also go hand in hand with past vulnerabilities on this issue.

    There are other mitigations that we could potentially enable, but unless you fully understand what you're doing, you may cripple your programs. In some cases, even the developers of software will NOT know what their applications are doing wrong, so it is quite possible you won't find an easy answer.

    • ACG, low integrity and remote images - should be okay.
    • Code integrity guard - unless signed by Microsoft, images won't run - this is basically Windows 10 S. Not recommended.
    • Extension points - very likely to cause problems in how software runs.
    • Disable system calls - highly likely to cause problems.
    • Child processes - will definitely cripple programs.
    • Handle usage - likely to cause problems with sloppily designed software.

    The rest we already have covered - six basics, six old mitigations, fonts, and potentially three written in the first bullet, with the rest best left alone.

    Import new configuration

    This is done as follows, again from Powershell, and with admin credentials:

    Set-ProcessMitigation -PolicyFilePath .\config.xml

    Configuration file contents

    Based on our template, we can add the applications inside the file. You can either create a single configuration with several programs listed inside and then import it once, or make an per-app template and perform multiple imports. It makes no difference.

    What you need to take into account is:1) you can do with the Security Center running, but it will NOT show the changes on the fly; the config is loaded once and/or whenever you make changes through the UI 2) old app settings will be removed with the new ones.

    Running and using exploit protection

    I tested with the following programs:Firefox, LibreOffice, VLC, IrfanView, Notepad++, and these run without any problems, including updates. Google Chrome would not run with ANY mitigation enabled except the fonts - both the pages and extensions kept crashing. This is in contrast to EMET behavior. Like I said, there's no GOLDEN list on what works and what does not, but I believe you can have 7/15 and maybe even 10/15 mitigations enabled, with code signing, child processes and system calls disabling really being unnecessary. That leaves only two mitigations that might need closer look:extension points and handle usage. Pretty good, I'd say.

    Edit and tweak configuration

    You can always go back and make changes - also through GUI after you've imported the bulk of your configuration, and now you just need fine tuning. If things do not work, you can always remove an entry and start fresh.

    Overzealous protection

    If you go wild, and I tried, just to see what gives, you may completely cripple your programs, and they won't run. It's all too easy to do this, so please be utterly careful, and make sure you understand what you're doing. This is a long-term investment. Do it well once and you won't have problems down the road.

    Additional reading

    You may also want to check these official Microsoft articles:

    Apply mitigations to help prevent attacks through vulnerabilities

    Customize exploit protection

    निष्कर्ष

    तुम वहाँ जाओ। A very thorough, hands-on, real-life guide on how to use the new exploit protection mechanism in Windows 10. We didn't just blindly look at the list and wonder what magic happens behind the scene, we went behind the scene, and got ourselves autographs on our chests.

    On a more technical note, we learned about the exploit mechanism, the new UI, system and program settings, types of exploits and what they roughly do, how to export and import XML configuration files, we created our work template, we converted and used our old EMET settings, we tried to match the level of protection that EMET gave us while still maintaining sane and practical functionality with most programs and most mitigations. We have about 80-90% coverage without breaking things. There are no guarantees in this process, but it's so much ahead of any conventional security software.

    The mitigation protection remains Microsoft's best product by far, and hopefully, they will improve the workflow so it is more accessible to advanced users. For the time being, you have this guide, and hopefully, it will make your journey into the post-EMET world of mitigations simpler and faster. And your apps will still work! See you.

    If you like this tutorial, then give some love back, support Dedoimedo. सही?

    प्रोत्साहित करना।

  1. Windows 10 हाल ही में निर्मित और स्थानीय खाता सेटअप

    ऊबना? आपके जीवन में पर्याप्त उत्साह या पहली दुनिया की समस्याएं नहीं हैं? परवाह नहीं! Windows 10 आपकी सेवा में - एक सेवा के रूप में Windows के साथ भ्रमित होने की नहीं, ठीक है। वास्तव में, यदि आपने पिछले तीन या चार वर्षों में तकनीकी समाचारों का अनुसरण किया है, तो आपने देखा होगा कि विंडोज 10 के साथ हमे

  1. अल्टीमेट विंडोज ट्वीकर - टैमिंग द श्रू

    आडंबरपूर्ण नाम आडंबरपूर्ण अपेक्षाएं लाते हैं। अल्टीमेट विंडोज ट्वीकर (यूडब्ल्यूटी) द विंडोज क्लब के उत्साही और निडर-उन्मुख सदस्यों द्वारा विकसित एक उपकरण है, जो द ब्रेकफास्ट क्लब की तरह ही अलग है। सॉफ़्टवेयर को 200 से अधिक विकल्पों और सेटिंग्स में विंडोज 10 को वश में करने और ट्वीक करने में आपकी मदद

  1. आइए विंडोज 10 को बैश करें। मेरा मतलब है विंडोज 10 पर बैश!

    हाँ। विंडोज 10 कुछ खास नहीं है। हमने यह स्थापित किया है, जब ऑपरेटिंग सिस्टम जारी किया गया था, एक साल पहले G50 पर मेरी समीक्षा में, और हाल ही में एनिवर्सरी अपडेट पर मेरे लेख में। न अच्छा न बुरा। सिर्फ औसत। हालाँकि, जो बात दिलचस्प है वह यह है कि आप BASH चला सकते हैं। हाँ, उचित लिनक्स, अनिवार्य रूप स