覆寫處理程序安全防護選項以協助執行應用程式相關的安全性原則
Windows 包含可設定組策略的「進程風險降低選項」,可針對記憶體型攻擊新增進階保護,也就是惡意代碼操作記憶體以取得系統控制權的攻擊。 例如,惡意代碼可能會嘗試使用緩衝區溢出將惡意的可執行程序代碼插入記憶體中,但處理風險降低選項可以防止執行惡意代碼。
重要
建議您先在測試實驗室中嘗試這些防護功能,再部署到您的組織,以判斷它們是否會干擾您組織所需的應用程式。
本文中的組策略設定與三種程序風險降低相關。 64 位應用程式預設會開啟這三種類型,但您可以使用本文中所述的組策略設定來設定更多保護。 程式風險降低的類型如下:
- 數據執行防止 (DEP) 是系統層級的記憶體保護功能,可讓操作系統將一或多個記憶體頁面標示為不可執行,防止程式代碼從該記憶體區域執行,以協助防止對緩衝區滿溢的惡意探索。 DEP 有助於防止程式碼從資料頁面 (例如預設堆積、堆疊與記憶體集區) 執行。 如需詳細資訊,請參閱 數據執行防止。
- 結構化例外狀況處理覆寫保護 (SEHOP) 是設計來封鎖使用結構化例外狀況處理程式 (SEH) 覆寫技術的惡意探索。 由於此保護機制是在運行時間提供,因此不論應用程式是否使用最新改善進行編譯,都能協助保護應用程式。 如需詳細資訊,請參閱 結構化例外狀況處理覆寫保護。
-
位址空間配置隨機 (ASLR) 會在開機時將 DLL 載入隨機記憶體位址,以減輕惡意代碼攻擊特定記憶體位置所設計,而預期會載入特定 DLL 的惡意代碼。 如需詳細資訊,請參閱 位址空間配置隨機化。 若要在下表中尋找更多 ASLR 保護,請尋找
IMAGES或ASLR。
下列程式描述如何使用組策略來覆寫個別 的進程風險降低選項 設定。
若要修改進程風險降低選項
開啟組策略編輯器,然後移至 [系統 管理範本]\[系統\風險降低選項\進程風險降低選項] 設定。
![組策略編輯器的螢幕快照:已啟用設定且 [顯示] 按鈕為 [作用中] 的 [處理風險降低選項]。](images/gp-process-mitigation-options.png)
選取 [已啟用],然後在 [選項] 區域中,選取 [顯示] 以開啟 [顯示內容] 方塊,您可以在其中新增應用程式和適當的位旗標值,如本文的設定位欄位元和範例章節所示。
重要
針對您要包含的每個應用程式,您必須包含:
- 值名稱。 應用程式檔名,包括擴展名。 例如,
iexplore.exe。 - 值。 位欄位,具有特定位置的一系列位旗標。 位可以設定為
0(其中強制關閉設定) 、1(在) 上強制設定的位置,或?(設定保留先前的現有值) 。 將此處未指定位置中的位旗標設定為 以外的?任何位置,可能會導致未定義的行為。
![組策略編輯器的螢幕快照:[處理風險降低選項] 與 [顯示內容] 方塊和範例文字。](images/gp-process-mitigation-options-show.png)
- 值名稱。 應用程式檔名,包括擴展名。 例如,
設定位欄位
以下是各種進程風險降低選項設定的位旗標位置視覺表示法:
從右至左讀取位旗標,並定義為:
| 旗標 | 位位置 | 設定 | 詳細資料 |
|---|---|---|---|
| A | 0 | PROCESS_CREATION_MITIGATION_POLICY_DEP_ENABLE (0x00000001) |
開啟子進程的數據執行防止 (DEP) 。 |
| B | 1 | PROCESS_CREATION_MITIGATION_POLICY_DEP_ATL_THUNK_ENABLE (0x00000002) |
開啟子進程的 DEP-ATL thunk 模擬。 DEP-ATL thunk 模擬可讓系統攔截源自 Active Template Library (ATL) thunk 層的非可執行 (NX) 錯誤,然後模擬並處理指示,讓程式可以繼續執行。 |
| C | 2 | PROCESS_CREATION_MITIGATION_POLICY_SEHOP_ENABLE (0x00000004) |
開啟子進程的結構化例外狀況處理程式覆寫保護 (SEHOP) 。 SEHOP 有助於封鎖使用結構化例外狀況處理程式 (SEH) 覆寫技術的惡意探索。 |
| D | 8 | PROCESS_CREATION_MITIGATION_POLICY_FORCE_RELOCATE_IMAGES_ALWAYS_ON (0x00000100) |
使用強制位址空間配置隨機化 (ASLR) 設定,就像在載入時發生映像基底衝突一樣,強制重新調整與動態基底不相容的影像。 如果需要重新配置,則不會載入沒有基底重新配置區段的映像。 |
| E | 15 | PROCESS_CREATION_MITIGATION_POLICY_BOTTOM_UP_ASLR_ALWAYS_ON (0x00010000) |
開啟自下而上的隨機化原則,其中包含堆疊隨機化選項,並使隨機位置成為最低的用戶位址。 |
| F | 16 | PROCESS_CREATION_MITIGATION_POLICY_BOTTOM_UP_ASLR_ALWAYS_OFF (0x00020000) |
關閉自下而上的隨機化原則,其中包含堆疊隨機化選項,並使隨機位置成為最低的用戶位址。 |
範例
如果您想要開啟 PROCESS_CREATION_MITIGATION_POLICY_DEP_ENABLE 並 PROCESS_CREATION_MITIGATION_POLICY_FORCE_RELOCATE_IMAGES_ALWAYS_ON 設定、關閉 PROCESS_CREATION_MITIGATION_POLICY_BOTTOM_UP_ASLR_ALWAYS_OFF 設定,並將其他所有專案保留為預設值,則您會想要輸入的 ???????????????0???????1???????1值。