Tato funkce zabezpečení slouží k přepisu nastavení možností pro zmírnění rizik u jednotlivých procesů. Díky tomu je možné vynutit určitý počet zásad zabezpečení specifických pro aplikace. Název aplikace se zadává jako hodnota, včetně rozšíření. Hodnota se zadává jako bitové pole s řadou příznaků na konkrétních pozicích. Bity je možné nastavit na 0 (nastavení je vypnuté), na 1 (nastavení je zapnuté) nebo na ? (nastavení si před vyhodnocením objektů zásad skupiny zachová svou aktuální hodnotu). Rozpoznávané bitové pozice:
PROCESS_CREATION_MITIGATION_POLICY_DEP_ENABLE (0x00000001)
Povolí u podřízeného procesu Zabránění spuštění dat (DEP).
PROCESS_CREATION_MITIGATION_POLICY_DEP_ATL_THUNK_ENABLE (0x00000002)
Povolí u podřízeného procesu emulaci převodních rutin DEP-ATL. Tato emulace způsobí, že systém bude zachycovat chyby NX pocházející z vrstvy převodních rutin knihovny ATL (Active Template Library).
PROCESS_CREATION_MITIGATION_POLICY_SEHOP_ENABLE (0x00000004)
Povolí u podřízeného procesu ochranu před přepisem popisovačů strukturovaných výjimek (SEHOP). Metoda SEHOP blokuje pokusy o zneužití, které využívají techniku přepisu popisovačů strukturovaných výjimek (SEH).
PROCESS_CREATION_MITIGATION_POLICY_FORCE_RELOCATE_IMAGES_ALWAYS_ON (0x00000100)
Zásada randomizace rozložení adresního prostoru (ASLR) nuceně změní základnu imagí, které nejsou kompatibilní s dynamickou základnou – chová se při tom, jako by v době načítání došlo ke kolizi základen imagí. Pokud se relokace vyžadují, image bez sekce pro přemístění základny se nenačtou.
PROCESS_CREATION_MITIGATION_POLICY_BOTTOM_UP_ASLR_ALWAYS_ON (0x00010000)
PROCESS_CREATION_MITIGATION_POLICY_BOTTOM_UP_ASLR_ALWAYS_OFF (0x00020000)
Zásady pro randomizaci odspodu nahoru, které zahrnují možnosti pro randomizaci zásobníku, způsobí použití náhodné pozice jako nejnižší uživatelské adresy.
Pokud chcete například povolit PROCESS_CREATION_MITIGATION_POLICY_DEP_ENABLE a PROCESS_CREATION_MITIGATION_POLICY_FORCE_RELOCATE_IMAGES_ALWAYS_ON, zakažte PROCESS_CREATION_MITIGATION_POLICY_BOTTOM_UP_ASLR_ALWAYS_OFF, a pokud chcete ponechat u všech možností výchozí nastavení, zadejte hodnotu:
???????????????0???????1???????1
Nastavení zde neuvedených příznaků na jakoukoli jinou hodnotu než ? bude mít za následek nedefinované chování.
Registry Hive | HKEY_LOCAL_MACHINE or HKEY_CURRENT_USER |
Registry Path | SOFTWARE\Policies\Microsoft\Windows NT\MitigationOptions\ProcessMitigationOptions |
Value Name | {number} |
Value Type | REG_SZ |
Default Value |