Condividi tramite

Eseguire l'override delle opzioni di prevenzione dei processi per applicare criteri di sicurezza correlati alle app

Windows include "Opzioni di mitigazione dei processi" configurabili per i criteri di gruppo che aggiungono protezioni avanzate contro attacchi basati sulla memoria, ovvero attacchi in cui il malware manipola la memoria per ottenere il controllo di un sistema. Ad esempio, il malware potrebbe tentare di usare i sovraccarichi del buffer per inserire codice eseguibile dannoso in memoria, ma le opzioni di mitigazione dei processi possono impedire l'esecuzione del codice dannoso.

Importante

È consigliabile provare queste mitigazioni in un lab di test prima di distribuirle nell'organizzazione per determinare se interferiscono con le app necessarie dell'organizzazione.

Le impostazioni di Criteri di gruppo in questo articolo sono correlate a tre tipi di mitigazioni dei processi. Tutti e tre i tipi sono attivati per impostazione predefinita per le applicazioni a 64 bit, ma usando le impostazioni di Criteri di gruppo descritte in questo articolo, è possibile configurare più protezioni. I tipi di mitigazione dei processi sono:

  • Protezione esecuzione dati (DEP) è una funzionalità di protezione della memoria a livello di sistema che consente al sistema operativo di contrassegnare una o più pagine di memoria come non eseguibili, impedendo l'esecuzione del codice da tale area di memoria, per impedire lo sfruttamento dei sovraccarichi del buffer. Protezione esecuzione programmi consente di impedire l'esecuzione del codice dalle pagine di dati, ad esempio l'heap predefinito, gli stack e i pool di memoria. Per altre informazioni, vedere Prevenzione dell'esecuzione dei dati.
  • Structured Exception Handling Overwrite Protection (SEHOP) è progettato per bloccare gli exploit che usano la tecnica di sovrascrittura seh (Structured Exception Handler). Poiché questo meccanismo di protezione viene fornito in fase di esecuzione, consente di proteggere le app indipendentemente dal fatto che vengano compilate con i miglioramenti più recenti. Per altre informazioni, vedere Structured Exception Handling Overwrite Protection.
  • Address Space Layout Randomization (ASLR) carica le DLL in indirizzi di memoria casuali al momento dell'avvio per attenuare il malware progettato per attaccare posizioni di memoria specifiche, in cui è previsto il caricamento di DLL specifiche. Per altre informazioni, vedere Randomizzazione del layout dello spazio degli indirizzi. Per trovare altre protezioni ASLR nella tabella seguente, cercare IMAGES o ASLR.

La procedura seguente descrive come usare Criteri di gruppo per ignorare le singole impostazioni delle opzioni di mitigazione dei processi .

Per modificare le opzioni di mitigazione dei processi

  1. Aprire l'editor Criteri di gruppo e passare all'impostazione Modelli amministrativi\Sistema\Opzioni di mitigazione\Opzioni di mitigazione dei processi .

    Screenshot dell'editor Criteri di gruppo: Opzioni di mitigazione dei processi con l'impostazione abilitata e il pulsante Mostra attivo.

  2. Selezionare Abilitato e quindi nell'area Opzioni selezionare Mostra per aprire la casella Mostra contenuto , in cui è possibile aggiungere le app e i valori del flag di bit appropriati, come illustrato nelle sezioni Impostazione del campo bit e Esempio di questo articolo.

    Importante

    Per ogni app da includere, è necessario includere:

    • Nome valore. Nome del file dell'app, inclusa l'estensione. Ad esempio, iexplore.exe.
    • Valore. Campo di bit con una serie di flag di bit in posizioni specifiche. I bit possono essere impostati su 0 (dove l'impostazione è forzata), 1 (dove l'impostazione è forzata) o ? (dove l'impostazione mantiene il valore esistente precedente). L'impostazione dei flag di bit in posizioni non specificate qui su un comportamento diverso ? da potrebbe causare un comportamento non definito.

    Screenshot dell'editor Criteri di gruppo: Opzioni di mitigazione dei processi con la casella Mostra contenuto e il testo di esempio.

Impostazione del campo di bit

Ecco una rappresentazione visiva dei percorsi dei flag di bit per le varie impostazioni delle opzioni di mitigazione dei processi:

Rappresentazione visiva dei percorsi dei flag di bit per le impostazioni delle opzioni di mitigazione dei processi.

Dove i flag di bit vengono letti da destra a sinistra e sono definiti come:

Flag Posizione in bit Impostazione Dettagli
A 0 PROCESS_CREATION_MITIGATION_POLICY_DEP_ENABLE (0x00000001) Attiva La prevenzione dell'esecuzione dei dati (DEP) per i processi figlio.
B 1 PROCESS_CREATION_MITIGATION_POLICY_DEP_ATL_THUNK_ENABLE (0x00000002) Attiva l'emulazione di thunk DEP-ATL per i processi figlio. L'emulazione di thunk DEP-ATL consente all'intercetta di sistema errori non eseguibili (NX) originati dal livello thunk atl (Active Template Library) e quindi emulare e gestire le istruzioni in modo che il processo possa continuare a essere eseguito.
C 2 PROCESS_CREATION_MITIGATION_POLICY_SEHOP_ENABLE (0x00000004) Attiva Structured Exception Handler Overwrite Protection (SEHOP) per i processi figlio. SEHOP consente di bloccare gli exploit che usano la tecnica di sovrascrittura seh (Structured Exception Handler).
D 8 PROCESS_CREATION_MITIGATION_POLICY_FORCE_RELOCATE_IMAGES_ALWAYS_ON (0x00000100) Usa l'impostazione force Address Space Layout Randomization (ASLR) per agire come se si verificasse una collisione di base dell'immagine al momento del caricamento, ribassando forzatamente le immagini che non sono compatibili con la base dinamica. Le immagini senza la sezione di rilocazione di base non vengono caricate se sono necessarie rilocalizzazioni.
E 15 PROCESS_CREATION_MITIGATION_POLICY_BOTTOM_UP_ASLR_ALWAYS_ON (0x00010000) Attiva il criterio di casualizzazione bottom-up, che include le opzioni di randomizzazione dello stack e fa in modo che venga usata una posizione casuale come indirizzo utente più basso.
F 16 PROCESS_CREATION_MITIGATION_POLICY_BOTTOM_UP_ASLR_ALWAYS_OFF (0x00020000) Disattiva il criterio di casualizzazione bottom-up, che include le opzioni di randomizzazione dello stack e fa in modo che venga usata una posizione casuale come indirizzo utente più basso.

Esempio

Se si desidera attivare le impostazioni PROCESS_CREATION_MITIGATION_POLICY_DEP_ENABLE e PROCESS_CREATION_MITIGATION_POLICY_FORCE_RELOCATE_IMAGES_ALWAYS_ON , disattivare l'impostazione PROCESS_CREATION_MITIGATION_POLICY_BOTTOM_UP_ASLR_ALWAYS_OFF e lasciare tutti gli altri valori predefiniti come valori predefiniti, digitare un valore di ???????????????0???????1???????1.