Se aplica a:
La protección contra explotaciones aplica ayuda a proteger los dispositivos contra el malware que utiliza vulnerabilidades para propagarse e infectar. Consiste en una serie de mitigaciones que se pueden aplicar a nivel del sistema operativo o al nivel de la aplicación individual.
Es parte de Windows Defender Exploit Guard .
Muchas de las características que forman parte del Kit de herramientas de experiencia de mitigación mejorada (EMET) se incluyen ahora en la protección contra exploits.
Utiliza la aplicación de seguridad de Windows o PowerShell para crear un conjunto de mitigaciones (conocido como configuración). Luego puede exportar esta configuración como un archivo XML y compartirla con varias máquinas en su red para que todas tengan el mismo conjunto de configuraciones de mitigación.
También puede convertir e importar un archivo XML de configuración de EMET existente en un XML de configuración de protección contra exploits.
Este tema describe cómo crear un archivo de configuración e implementarlo en su red, y cómo convertir una configuración de EMET.
El paquete de evaluación Exploit Guard contiene un archivo de configuración de muestra (nombre ProcessMitigation-Selfhost-v4.xmlque puede usar para ver cómo se ve la estructura XML. El archivo de muestra también contiene configuraciones que se han convertido de una configuración de EMET. Puede abrir la Archivo en un editor de texto (como el Bloc de notas) o impórtelo directamente a la protección contra exploits y luego revise la configuración en la aplicación de seguridad de Windows, como se describe más adelante en este tema.
Crear y exportar un archivo de configuración.
Antes de exportar un archivo de configuración, debe asegurarse de tener la configuración correcta.
Primero debe configurar la protección contra exploits en una sola máquina dedicada. Consulte Personalizar la protección contra exploitspara obtener descripciones e instrucciones para configurar mitigaciones.
Cuando haya configurado la protección contra exploits en su estado deseado (incluidas las mitigaciones tanto a nivel del sistema como a nivel de la aplicación), puede exportar el archivo usando la aplicación de seguridad de Windows o PowerShell.
Utilice la aplicación de seguridad de Windows para exportar un archivo de configuración
Abra la aplicación de seguridad de Windows haciendo clic en el icono de escudo en la barra de tareas o buscando en el menú de inicio de Defender .
Haga clic en el mosaico de control de la aplicación y del navegador (o en el icono de la aplicación en la barra de menú de la izquierda) y luego haga clic en Explotar configuración de protección :
En la parte inferior de la sección Protección contra explotaciones , haga clic en Exportar configuración y luego elija la ubicación y el nombre del archivo XML donde desea guardar la configuración.
Nota
Cuando exporta las configuraciones, se guardan todas las configuraciones para las mitigaciones tanto a nivel de la aplicación como a nivel del sistema. Esto significa que no necesita exportar un archivo desde las secciones de Configuración del sistema y Configuración del programa , ya que cualquiera de las secciones exportará todas las configuraciones.
Utilice PowerShell para exportar un archivo de configuración
- Escriba powershell en el menú Inicio, haga clic derecho en Windows PowerShell y haga clic en Ejecutar como administrador
Ingrese el siguiente cmdlet:
Potencia ShellDupdoGet-ProcessMitigation -RegistryConfigFilePath filename.xml
Cambie filenamea cualquier nombre o ubicación de su elección.
Importante
Cuando implemente la configuración utilizando la Política de grupo, todas las máquinas que usarán la configuración deben poder acceder al archivo de configuración. Asegúrate de colocar el archivo en una ubicación compartida.
Importar un archivo de configuración
Puede importar un archivo de configuración de protección contra exploits que haya creado anteriormente. Solo puede usar PowerShell para importar el archivo de configuración.
Después de la importación, la configuración se aplicará instantáneamente y se puede revisar en la aplicación de Seguridad de Windows.
Use PowerShell para importar un archivo de configuración
- Escriba powershell en el menú Inicio, haga clic derecho en Windows PowerShell y haga clic en Ejecutar como administrador
Ingrese el siguiente cmdlet:
Potencia ShellDupdoSet-ProcessMitigation -PolicyFilePath filename.xml
Cambie filenamea la ubicación y al nombre del archivo XML de protección contra exploits.
Importante
Asegúrese de importar un archivo de configuración creado específicamente para la protección contra exploits. No puede importar directamente un archivo de configuración de EMET, primero debe convertirlo.
Convertir un archivo de configuración de EMET en un archivo de configuración de protección de exploits
Puede convertir un archivo de configuración de EMET existente al nuevo formato utilizado por la protección de exploits. Debe hacer esto si desea importar una configuración de EMET en la protección contra exploits en Windows 10.
Solo puedes hacer esta conversión en PowerShell.
Advertencia
No puede convertir directamente los archivos de configuración predeterminados de EMET que se distribuyen con EMET. Estos archivos están destinados a ayudar a configurar EMET para un primer usuario. Intentar convertir directamente estos archivos en un archivo de configuración de protección Exploit no funcionará.
Sin embargo, si desea aplicar las mismas configuraciones que en los archivos de configuración predeterminados de EMET, primero debe importar el archivo de configuración predeterminado a EMET, luego exportar las configuraciones a un nuevo archivo.
Luego, puede convertir ese archivo utilizando el cmdlet de PowerShell que se describe aquí antes de importar la configuración en la protección contra explotaciones.
- Escriba powershell en el menú Inicio, haga clic derecho en Windows PowerShell y haga clic en Ejecutar como administrador
Ingrese el siguiente cmdlet:
Potencia ShellDupdoConvertTo-ProcessMitigationPolicy -EMETFilePath emetFile.xml -OutputFilePath filename.xml
Cambie emetFileel nombre y la ubicación del archivo de configuración de EMET y cambie filenamela ubicación y el nombre de archivo que desee utilizar.
Importante
Si ha habilitado el ASLR obligatorio para cualquier aplicación en EMET, exporte la configuración de EMET a un archivo XML y luego convierta el archivo XML en un archivo de configuración de protección contra explotaciones, deberá editar manualmente el archivo XML convertido para garantizar la mitigación obligatoria de ASLR. la configuración está correctamente configurada:
- Abra el archivo XML convertido a PowerShell en un editor de texto.
- Busque
ASLR ForceRelocateImages="false"y cámbieloASLR ForceRelocateImages="true"por cada aplicación para la que desee que se habilite el ASLR obligatorio.
Gestionar o desplegar una configuración.
Puede usar la Política de grupo para implementar la configuración que ha creado en varias máquinas en su red.
Importante
Cuando implemente la configuración utilizando la Política de grupo, todas las máquinas que usarán la configuración deben poder acceder al archivo XML de configuración. Asegúrate de colocar el archivo en una ubicación compartida.
Use la Política de Grupo para distribuir la configuración.
En su máquina de administración de directivas de grupo, abra la Consola de administración de directivas de grupo , haga clic con el botón derecho en el objeto de directiva de grupo que desea configurar y haga clic en Editar .
En el Editor de administración de directivas de grupo, vaya a Configuración del equipo y haga clic en Plantillas administrativas .
Expanda el árbol a los componentes de Windows > Windows Defender Exploit Guard > Exploit protection .
Haga doble clic en la configuración de Usar un conjunto común de configuración de protección Exploit y establezca la opción en Habilitado .
En la sección Opciones :: , ingrese la ubicación y el nombre de archivo del archivo de configuración de protección Exploit que desea usar, como en los siguientes ejemplos:
- C: \ MitigationSettings \ Config.XML
- \\ Server \ Share \ Config.xml
- https: // localhost: 8080 / Config.xml
Haga clic en Aceptar e implementar el GPO actualizado como lo hace normalmente .