Možnosti pro zmírnění rizik u procesu


Tato funkce zabezpečení slouží k přepisu nastavení možností pro zmírnění rizik u jednotlivých procesů. Díky tomu je možné vynutit určitý počet zásad zabezpečení specifických pro aplikace. Název aplikace se zadává jako hodnota, včetně rozšíření. Hodnota se zadává jako bitové pole s řadou příznaků na konkrétních pozicích. Bity je možné nastavit na 0 (nastavení je vypnuté), na 1 (nastavení je zapnuté) nebo na ? (nastavení si před vyhodnocením objektů zásad skupiny zachová svou aktuální hodnotu). Rozpoznávané bitové pozice:

PROCESS_CREATION_MITIGATION_POLICY_DEP_ENABLE (0x00000001)
Povolí u podřízeného procesu Zabránění spuštění dat (DEP).

PROCESS_CREATION_MITIGATION_POLICY_DEP_ATL_THUNK_ENABLE (0x00000002)
Povolí u podřízeného procesu emulaci převodních rutin DEP-ATL. Tato emulace způsobí, že systém bude zachycovat chyby NX pocházející z vrstvy převodních rutin knihovny ATL (Active Template Library).

PROCESS_CREATION_MITIGATION_POLICY_SEHOP_ENABLE (0x00000004)
Povolí u podřízeného procesu ochranu před přepisem popisovačů strukturovaných výjimek (SEHOP). Metoda SEHOP blokuje pokusy o zneužití, které využívají techniku přepisu popisovačů strukturovaných výjimek (SEH).

PROCESS_CREATION_MITIGATION_POLICY_FORCE_RELOCATE_IMAGES_ALWAYS_ON (0x00000100)
Zásada randomizace rozložení adresního prostoru (ASLR) nuceně změní základnu imagí, které nejsou kompatibilní s dynamickou základnou – chová se při tom, jako by v době načítání došlo ke kolizi základen imagí. Pokud se relokace vyžadují, image bez sekce pro přemístění základny se nenačtou.

PROCESS_CREATION_MITIGATION_POLICY_BOTTOM_UP_ASLR_ALWAYS_ON (0x00010000)
PROCESS_CREATION_MITIGATION_POLICY_BOTTOM_UP_ASLR_ALWAYS_OFF (0x00020000)
Zásady pro randomizaci odspodu nahoru, které zahrnují možnosti pro randomizaci zásobníku, způsobí použití náhodné pozice jako nejnižší uživatelské adresy.

Pokud chcete například povolit PROCESS_CREATION_MITIGATION_POLICY_DEP_ENABLE a PROCESS_CREATION_MITIGATION_POLICY_FORCE_RELOCATE_IMAGES_ALWAYS_ON, zakažte PROCESS_CREATION_MITIGATION_POLICY_BOTTOM_UP_ASLR_ALWAYS_OFF, a pokud chcete ponechat u všech možností výchozí nastavení, zadejte hodnotu:
???????????????0???????1???????1

Nastavení zde neuvedených příznaků na jakoukoli jinou hodnotu než ? bude mít za následek nedefinované chování.

Podporováno na: Minimálně systém Windows 10 Server, Windows 10 nebo Windows 10 RT

Možnosti pro zmírnění rizik u procesu

Registry HiveHKEY_LOCAL_MACHINE or HKEY_CURRENT_USER
Registry PathSOFTWARE\Policies\Microsoft\Windows NT\MitigationOptions\ProcessMitigationOptions
Value Name{number}
Value TypeREG_SZ
Default Value

grouppolicy.admx

Šablony pro správu (počítače)

Šablony pro správu (uživatelé)