如何使用漏洞保护和加固功能防止 Windows 11 中的漏洞利用

好消息是，Windows 11 包含一系列高级安全功能（其中许多功能继承自旧版 EMET 并加以改进），这些功能与良好的加固策略相结合，可以有效防止安全漏洞。 大大缩小攻击面，甚至可以阻止零日漏洞攻击。接下来，您将逐步了解如何通过充分利用漏洞保护、Microsoft Defender、访问控制、沙盒、系统加固和良好的管理实践来防止 Windows 11 中的漏洞利用。

Windows 11 中的漏洞利用保护是什么？它为什么如此重要？

在 Windows 11 中，所谓的 漏洞保护 这是一套针对操作系统本身和特定程序的缓解措施。其目标是尽可能地增加攻击者的难度。 恶意软件 可以利用安全漏洞、破坏内存或向合法进程注入代码。

EMET 之前提供的许多功能现在都已原生集成到 Windows 中，因此 现在无需安装外部工具即可激活高级缓解措施此外，它们还可以与 Microsoft Defender for Endpoint 等解决方案结合使用，从而详细了解这些防御措施生成的事件、阻止和审计情况。

漏洞利用防护可以在两个主要方面进行配置： 系统级缓解措施 （这将影响所有没有特定配置的进程） 通过应用缓解 （针对特定可执行文件的微调配置）。此外，许多此类缓解措施支持 审核模式非常适合在不扰乱生产环境的情况下测试激进策略。

部署缓解措施的前提条件和最佳实践

在随意启用缓解措施之前，务必先做好环境准备。配置不当会导致崩溃、不兼容或生产力下降，因此务必进行充分的准备。 将漏洞利用防护的部署视为风险管理项目.

第一步是启用强大的监控系统：配置事件日志记录。 auditpol 和 wevtutil 这样他就可以收集 应用程序错误（ID 1000 和 1001）和系统崩溃（ID 1002）这将有助于您确定任何缓解措施的变更是否会导致特定程序出现问题。

激活它也非常有用 重新编译 内存转储 完整用户这些转储文件使安全或支持团队能够详细分析激活特定缓解措施后进程​​崩溃的原因，并且在许多情况下，可以依赖诸如以下工具： 流程黑客 用于研究。

另一个明智的做法是审查哪些关键应用程序已经使用现代技术进行编译，例如 控制流保护（CFG）专注于防止破坏内存的漏洞利用。您可以使用 dumpbin 工具检查二进制文件是否包含 CFG 文件。在许多此类漏洞中， 应用, 无需实施额外的缓解措施，例如DEP、ASLR、SEHOP或ACG。因为它们本身就具备标准的保护措施。

所有这些都融入了微软所谓的实践中。 安全部署（安全部署实践，SDP）其理念是分阶段实施安全变更，首先在一小批设备上进行测试，以最大限度地降低大规模停机的风险。

如何在不破坏环境的情况下部署漏洞利用防护

推荐的做法是在以下两者之间做出选择： 10 和 50 Windows 设备 您选择具有代表性的系统，并将其用作实验室。在这些系统上，您测试 21 种可用的缓解措施，确定每种措施会导致哪些应用程序出现问题，并为您的组织或您自己的工作流程完善策略。

如果缓解措施被证明与关键应用程序不兼容，则可能 仅针对该特定可执行文件禁用它们。保持它们在系统其他部分处于活动状态。然后对关键应用程序（浏览器、办公套件、商业软件等）重复此过程，直到获得一套稳定的规则。

当政策成熟时，它首先会在这样的环境中展开： 用户验收测试 (UAT) 由IT管理员、安全人员和支持人员组成。如果一切按计划进行，您可以开始逐步增加人员：1%、5%、10%、25%、50%、75%，最终达到…… 100% 的团队.

如果您管理很多设备，手动配置每台设备就显得很不方便。Windows 11 允许您这样做。 将漏洞利用防护配置导出到 XML 文件 并使用 Intune、Microsoft Configuration Manager、MDM 或组策略进行集中应用。

从 Windows 安全中心应用配置漏洞利用防护

对于单个团队或测试而言，使用漏洞利用保护的最直接方式是通过应用程序。 Windows安全性您可以在此处调整系统和应用程序级别的缓解措施，以及导出 XML 配置文件。

要访问此内容，只需打开系统托盘中的盾牌图标或搜索即可。 开始菜单中的“Windows 安全中心”. 进去后，进入 应用程序和浏览器控制 并查找链接 漏洞保护/漏洞保护配置.

该部分分为两个部分： 系统配置您可以在此处调整全局度量，以及 程序设定您可以针对每个可执行文件进行微调。每项缓解措施的典型选项包括：

• 默认启用：适用于所有没有自己条目的应用。
• 默认禁用除非在特定应用程序中强制使用，否则不会使用它。
• 使用默认值：尊重 Windows 11 出厂时的值（启用或禁用，用括号表示）。

一些缓解措施接受一种特殊的模式 审计在这种情况下，系统会将事件记录为缓解措施已激活，但实际上并非如此。 它实际上并不会阻止操作。它非常适合用来在实施激进政策之前，检验哪些因素会破坏该政策。

如果要调整特定应用程序，可以在“程序设置”中从列表中选择一个，或使用相关选项。 添加程序以进行自定义可以通过可执行文件名（影响任何具有该名称的进程，也可以选择按路径限制），或者通过选择 确切的文件路径 使用 Windows 资源管理器对话框。

选择应用后，您将看到所有可用的缓解措施。您可以启用、禁用或将其置于审核模式。如果您选中该复选框，则表示您已启用所有可用的缓解措施。 “使系统配置失效” 对于特定的缓解措施，即使系统配置另有规定，您发送的也始终是程序配置。

结合缓解措施的实际例子

系统选项和程序选项的组合方式可能有点令人困惑。一般来说，其行为是这样的： 程序级设置优先于系统级设置。 如果发生冲突，且未定义任何内容，则发送值“使用默认值”。

想象一下，有人配置了 数据执行保护 (DEP) 系统级别默认设置为“禁用”。如果您随后在程序设置中添加 test.exe，选中“覆盖系统设置”选项并将 DEP 设置为“启用”，则实际效果是： 只有 test.exe 能与 DEP 兼容。而其余申请则不会应用此条款。

稍微复杂一点的场景是，假设管理员默认情况下在系统中禁用 DEP，然后为 test.exe 创建了一个启用 DEP 并覆盖全局策略的程序条目，并为 miles.exe 创建了另一个程序条目。 仅激活控制流保护 (CFG) 无需修改 DEP。实际结果是，test.exe 将启用 DEP，miles.exe 仍会启用 CFG 但不会启用 DEP，而系统的其他部分将继续在不启用 DEP 的情况下运行。

该模型允许 微调关键应用程序的保护无需对遗留程序或特别敏感的程序强制执行同等程度的加固措施。

可用的缓解措施及其如何帮助抵御攻击

漏洞利用防护包含非常广泛的缓解措施，其中许多措施继承自 EMET，但已集成到 Windows 10/11 中并进行了优化。有些措施可以应用于整个系统和应用程序，而另一些措施则只能应用于应用程序级别。

其中最重要的因素之一是 防止 Windows 11 中的漏洞利用 包括：

• 控制流保护（CFG）确保间接调用遵循计划的路径，防止恶意偏离执行流程。
• 数据执行保护 (DEP)：防止在标记为仅数据（堆、栈）的内存区域中执行代码。
• ASLR及其变体：强制图像重定位（ForceRelocateImages）并随机化内存分配（BottomUp、HighEntropy），使基于静态地址的攻击变得复杂。
• 世贸中心：验证异常处理链的完整性，从而切断经典的攻击技术。
• ACG（任意代码卫士）：防止引入并非来自合法图像的可执行代码，并阻止对代码页的修改。
• 阻止远程或低完整性图像禁止从网络资源或完整性标签较低的文件加载二进制文件，这是恶意软件常用的方法。
• 代码完整性保护限制二进制文件的上传，仅允许上传由 Microsoft、WHQL 或受信任来源签名的文件，并可选择是否包含 Microsoft Store。
• 禁用 Win32k 系统调用：将某些应用程序与 Win32k 调用表隔离，从而缓解针对该子系统的攻击。
• 禁止创建子进程：防止应用程序创建子进程，非常适合包含不应该启动任何其他内容的宏或查看器。
• EAF 和 IAF（出口/进口地址过滤）：检测对导出/导入函数表的可疑访问，这是复杂 ROP 链的典型特征。

许多此类缓解措施也可以纳入其中 审核模式记录它们本应阻止但实际上并未进行干预的操作。其他一些机制，例如 CFG 或 DEP，则仅在应用模式下有效。

在当前版本的 Windows 11 中，较旧的 EMET 缓解措施（例如） 空页或堆喷射 它们已经直接集成到内核中，因此被视为始终处于活动状态，无需额外配置。

集中管理：Intune、MDM、Configuration Manager 和 GPO

在企业环境中，漏洞利用防护通常采用集中式管理。这首先需要一台“主”机器，在该机器上使用 Windows 安全中心配置缓解措施，然后…… 将配置导出到 XML 文件.

借助 Microsoft Intune，您可以转到以下部分： 设备配置配置文件为 Windows 10 及更高版本创建一个新配置文件，并从中选择模板。 端点保护 然后，加载包含漏洞利用防护选项的 XML 文件。之后，将该配置文件分配给所有用户和设备，或分配给特定用户组。

如果您使用的是通用 MDM 配置服务提供商，则可以使用 CSP。 ./Vendor/MSFT/Policy/Config/ExploitGuard/ExploitProtectionSettings 应用或禁用缓解措施，以及激活审计模式。

Microsoft Configuration Manager 中有两种方法。 端点安全 → 减少攻击面 您可以创建“漏洞防护”策略，选择 XML 文件并进行分发。从该区域开始 资产与合规性 → 端点保护 → Windows Defender的 漏洞防护 您还可以上传 XML 文件，查看配置，然后部署生成的指令。

组策略仍然是另一种广泛使用的方法：只需打开 GPO 管理控制台，编辑所需对象，然后导航至 计算机配置 → 管理模板 → Windows 组件 → Windows Defender → 漏洞防护您可以在此处选择使用通用配置集并指向 XML 文件所在的路径。

使用 PowerShell 查看并精确调整缓解措施

除了图形界面外，Windows 11 还提供了一个功能非常强大的 cmdlet 来管理这些防御措施： Get-ProcessMitigation / Set-ProcessMitigation借助它，您可以检查和修改系统或应用程序级别的每项缓解措施的状态。

如果要查看影响特定进程的缓解措施，只需运行如下命令： Get-ProcessMitigation -Name processName.exe要更改设置，通用语法为：

一般语法： Set-ProcessMitigation -<scope> <objetivo> -<acción> <mitigation, opciones>

他在哪里 范围 它可以是 -Name（针对特定应用程序）或 -System（针对整个系统）；操作可以是 -使能够 o -禁用缓解措施包括 DEP、CFG、自下而上、动态代码、禁止创建子进程等关键字。

例如，如果您想启用 DEP 并启用 thunks ATL 模拟，并阻止 C:\Apps\LOB\tests\testing.exe 的子进程，您可以使用类似这样的方法： Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable DEP, EmulateAtlThunks, DisallowChildProcessCreation要强制启用系统范围的 DEP，您可以使用 设置流程缓解措施 - 系统 - 启用 DEP.

如果在为某个应用程序修改缓解措施后需要将其恢复为系统默认值，则应结合使用以下方法： -去掉 例如，通过采取行动和缓解措施： Set-ProcessMitigation -Name test.exe -Remove -Disable DEP.

支持审计模式的缓解措施使用特定参数，例如： AuditDynamicCode、AuditImageLoad、AuditFont、AuditChildProcess等等。要启用它们，请使用 -Enable 将它们添加到列表中；要停用它们，请使用相同的语法将它们传递给 -Disable。

在 Defender 和事件查看器中监控漏洞利用防护事件

防止漏洞利用的关键部分是 密切关注实际发生的情况。如果您使用 Microsoft Defender for Endpoint，则可以使用高级威胁扫描来查看与 Exploit Guard（包括 Exploit Protection）相关的所有事件。

一个基本的查询语句可能是这样的： DeviceEvents | where ActionType startswith 'ExploitGuard' and ActionType !contains 'NetworkProtection'这让你重新获得了 已审核或已阻止的违规行为 与缓解措施相关的有 ACG、EAF、IAF、子进程阻塞、代码完整性保护等。

每项缓解措施都包含一些相关的配套措施。 动作类型 例如，ExploitGuardAcgEnforced/ExploitGuardAcgAudited 用于 ACG，ExploitGuardChildProcessBlocked 用于阻止子进程，ExploitGuardRopExploitBlocked 用于 ROP 检测（SimExec、CallerCheck、StackPivot），或 ExploitGuardWin32SystemCallBlocked 用于阻止 Win32k 调用。

如果没有 Defender for Endpoint，您始终可以采用以下方法： Windows事件查看器在应用程序日志中，“安全缓解”提供程序会为 ACG、子进程、远程映像、不受信任的来源、EAF、IAF、ROP 等的审计和应用程序事件生成多个 ID（1-24）。

此外，诸如 WER（诊断）问题 ID 等组件与 CFG块Win32K 可以在检测到不受信任的来源时记录特定事件。这些遥测数据对于完善策略和了解强化规则的实际效果至关重要。

Windows 11 中针对漏洞利用和勒索软件的额外强化

漏洞利用防护只是其中的一部分。Windows 11 还集成了其他安全功能，这些功能有效结合使用时， 它们在阻止漏洞利用、勒索软件和浏览器攻击方面发挥着重要作用。.

其中最重要的一点是 受控文件夹访问此防御机制旨在阻止对关键目录的可疑更改，从而防范勒索软件和数据窃取。该系统的工作原理是使用受信任应用程序白名单，允许这些应用程序修改特定路径（例如文档、图片、工作文件夹等）。

要进行配置，请进入 设置 → 隐私和安全 → Windows 安全中心 → 病毒和威胁防护 在“勒索软件防护”中，您可以管理对文件夹和受保护文件夹的受控访问。这样可以确保： 只有合法的程序才能加密或更改您的敏感文件.

另一个关键部分是 SmartScreen 在“应用程序和浏览器控制”中该组件实时分析 下载它会将您访问的可执行文件和页面与云端信誉进行比较，从而在萌芽阶段就阻止许多网络钓鱼或恶意软件下载尝试。

建议启用“检查应用和文件”、“Microsoft Edge 的 SmartScreen”和“网络钓鱼防护”等选项，从而保持较为严格的过滤。 它可以阻止通过浏览器或电子邮件传播的漏洞利用程序。.

对于风险较高的场景，Windows 沙盒堪称救星。它以超轻量级虚拟机的形式集成到系统中（专业版/企业版），非常适合打开可疑附件、测试未知软件或访问可疑网站。沙盒内发生的一切活动都将受到严格监控。 窗户关上时它就被毁掉了。无需触及您的主安装。

核心隔离、VBS、HCCI 和安全启动

Windows 11 在隔离方面投入了大量资源 硬件. 选项如下 核心隔离和内存完整性 它们隔离关键进程，使其无法被内存中的任意代码操纵，这大大增加了针对内核或易受攻击驱动程序的攻击的复杂性。

这些功能依赖于以下技术： 基于虚拟化的安全性 (VBS) 和 虚拟机管理程序保护的代码完整性 (HVCI)它将敏感组件放置在单独的环境中（虚拟安全模式），并强制执行严格的代码签名策略。

要让这一切奏效，你需要 在 BIOS/UEFI 中启用硬件虚拟化 并确保计算机满足 Windows 11 的要求，包括 TPM的 2.0. 激活也是个好主意 启动 安全启动这样可以确保启动时只加载已签名和受信任的组件。

安全启动、TPM、VBS 和 HVCI 的结合为防止加载 rootkit、修改固件或试图将自身注入内核的攻击提供了非常坚实的基础。虽然没有任何措施是万无一失的，但这些层级可以确保…… 利用底层漏洞的成本更高，也更复杂。.

如果您想了解更多关于这种隔离机制的工作原理和配置方法，请参阅相关文章。 Windows 11 中的内核隔离.

其他推荐的 Windows 11 加固措施

除了具体的缓解措施外，还有以下几点： 一般做法 这有助于防止漏洞利用，并在漏洞被利用时限制其影响：

保持 Microsoft Defender 防病毒软件（或 Microsoft Defender for Endpoint）已激活并更新 这至关重要。实时保护、最新的特征码和定期分析能够检测出许多利用漏洞的企图，防止它们成功地将漏洞串联起来。

该 Windows 更新和第三方应用程序 它们仍然是第一道防线。诸如 CVE-2023-28252（CLFS 文件系统中的权限提升漏洞，已被用于部署 Nokoyawa 勒索软件）之类的严重漏洞表明，犯罪分子毫不犹豫地利用零日漏洞攻击中大型企业；请审查您的相关策略。 窗口更新 平衡速度和稳定性。

当微软发布针对这些问题的补丁时，这一点至关重要。 应尽快应用这些措施，尤其是在存储敏感数据的服务器和设备上。系统不打补丁会给公开或黑市上的漏洞利用程序打开方便之门，使你的组织容易受到攻击。

在网络层面，实施严格的规则 Windows防火墙 这有助于减少暴露的表面积，只允许真正必要的进出车辆通行；另请查看如何检测 打开网络端口 为了减少暴露风险，在公共网络上启用“隐身”或静默模式也能让攻击者更难轻易发现你。

在专业环境中，值得考虑更高级的解决方案，例如 EDR（端点检测与响应）、托管检测与响应和威胁情报平台这些服务能够检测异常活动，深入调查事件，并在攻击加密或窃取信息之前做出响应。

备份、应用程序控制和最小服务

无论你的缓解措施配置得多么完善，总会存在一些残余风险。因此，将漏洞利用预防与……相结合至关重要。 稳健的备份策略理想情况下，应遵循 3-2-1 规则（三个副本，使用两种不同的介质，一个副本存放在主要位置之外）。

定期备份文档、配置和关键数据，不时测试恢复功能，并至少存储一份离线副本。 这就决定了是小惊小怪还是彻底的灾难。 当出现问题时；它还包括注册表备份（参见如何创建注册表备份）。 注册表备份作为你计划的一部分。

另一个非常有效的层是 应用程序控制在专业版中，您可以使用 AppLocker 或等效策略来定义哪些二进制文件、脚本和安装程序有权运行；例如，可以使用权限审核工具来支持这些策略。 访问权限这样可以最大限度地降低攻击者下载并启动任意有效载荷的可能性。

最后，关机 您不使用的服务和功能 这有助于进一步缩小攻击面。暴露的服务和启用的组件越少，攻击者发现漏洞的机会就越少。有关此操作的步骤和实用指南，请参阅相关文档。 在 Windows 11 中修改服务但是，彻底记录变更并定期审查哪些功能处于激活状态、哪些功能已失效非常重要。

通过合理结合漏洞利用防护、高级 Windows 11 安全功能、快速更新、现代防病毒软件、系统加固、应用程序控制和良好的备份，您可以实现 攻击手段越来越难以攻破您的团队或组织。即使是零日漏洞或特别复杂的勒索软件攻击。