此安全功能提供了替代单个进程 MitigationOptions 设置的方法。此功能可用于强制实施多个特定于应用程序的安全策略。应用程序名称将指定为值名称,包括扩展名。值将指定为在特定位置上有一系列标志的位字段。位可设置为0 (强制关闭设置)、1 (强制启用设置)或 ? (在进行 GPO 评估前保留现有设置值)。已识别的位位置为:
PROCESS_CREATION_MITIGATION_POLICY_DEP_ENABLE (0x00000001)
为子进程启用数据执行保护(DEP)
PROCESS_CREATION_MITIGATION_POLICY_DEP_ATL_THUNK_ENABLE (0x00000002)
为子进程启用 DEP-ATL 形实转换模拟。DEP-ATL 形实转换模拟使系统可以拦截源自活动模板库(ATL)形实转换层的 NX 故障。
PROCESS_CREATION_MITIGATION_POLICY_SEHOP_ENABLE (0x00000004)
为子进程启用结构化异常处理程序覆盖保护(SEHOP)。SEHOP 阻止使用结构化异常处理程序(SEH)覆盖技术的攻击。
PROCESS_CREATION_MITIGATION_POLICY_FORCE_RELOCATE_IMAGES_ALWAYS_ON (0x00000100)
强制性地址空间布局随机化(ASLR)策略按照加载时发生映像基冲突的情形强行重定基与动态基不兼容的映像。如果需要重定位,则不包含基重定位部分的映像将不会加载。
PROCESS_CREATION_MITIGATION_POLICY_BOTTOM_UP_ASLR_ALWAYS_ON (0x00010000)
PROCESS_CREATION_MITIGATION_POLICY_BOTTOM_UP_ASLR_ALWAYS_OFF (0x00020000)
根据自下而上的随机化策略(包括堆栈随机选项),随机位置可用作最低用户地址。
例如,若要启用 PROCESS_CREATION_MITIGATION_POLICY_DEP_ENABLE 和 PROCESS_CREATION_MITIGATION_POLICY_FORCE_RELOCATE_IMAGES_ALWAYS_ON,请禁用 PROCESS_CREATION_MITIGATION_POLICY_BOTTOM_UP_ASLR_ALWAYS_OFF;若要将所有其他选项保留为其默认值,请指定以下值:
???????????????0???????1???????1
将此处未指定的标志设置为 ? 以外的任何值将导致不确定的行为。
Registry Hive | HKEY_LOCAL_MACHINE or HKEY_CURRENT_USER |
Registry Path | SOFTWARE\Policies\Microsoft\Windows NT\MitigationOptions\ProcessMitigationOptions |
Value Name | {number} |
Value Type | REG_SZ |
Default Value |