Esta característica de seguridad proporciona un medio para reemplazar la configuración de MitigationOptions de cada proceso. Esto se puede usar para aplicar una serie de directivas de seguridad específicas a las aplicaciones. El nombre de la aplicación se especifica como el nombre del valor, incluida la extensión. El valor se especifica como un campo de bits con una serie de marcas en determinadas posiciones. Los bits se pueden establecer en 0 (se fuerza la desactivación del ajuste), 1 (se fuerza la activación del ajuste) o ? (el ajuste conserva su valor existente antes de la evaluación de Objeto de directiva de grupo [GPO]). Las ubicaciones de bits reconocidas son:
PROCESS_CREATION_MITIGATION_POLICY_DEP_ENABLE (0x00000001)
Permite la Prevención de ejecución de datos (DEP) para el proceso secundario.
PROCESS_CREATION_MITIGATION_POLICY_DEP_ATL_THUNK_ENABLE (0x00000002)
Permite la emulación de código thunk de ATL de DEP para el proceso secundario. Dicha emulación de código thunk de ATL de DEP hace que el sistema intercepte los errores de NX que se originan en la capa de Active Template Library (ATL).
PROCESS_CREATION_MITIGATION_POLICY_SEHOP_ENABLE (0x00000004)
Habilita la protección de sobrescritura del controlador de excepciones estructurado (SEHOP) para el proceso secundario. SEHOP bloquea las vulnerabilidades que usan la técnica de sobrescritura del controlador de excepciones estructurado (SEH).
PROCESS_CREATION_MITIGATION_POLICY_FORCE_RELOCATE_IMAGES_ALWAYS_ON (0x00000100)
La directiva Forzar selección aleatoria del diseño del espacio de direcciones (ASLR) fusiona obligadamente mediante cambio de base las imágenes que no son compatibles con bases dinámicas al funcionar como si una colisión de base de imágenes ocurriera en el momento de la carga. Si se requieren reubicaciones, las imágenes que no tengan una sección de reubicación de base no se cargarán.
PROCESS_CREATION_MITIGATION_POLICY_BOTTOM_UP_ASLR_ALWAYS_ON (0x00010000)
PROCESS_CREATION_MITIGATION_POLICY_BOTTOM_UP_ASLR_ALWAYS_OFF (0x00020000)
La directiva Aleatorización de abajo hacia arriba, que incluye opciones de aleatorización de pila, hace que se utilice una ubicación aleatoria como la dirección de usuario más baja.
Por ejemplo, para habilitar PROCESS_CREATION_MITIGATION_POLICY_DEP_ENABLE y PROCESS_CREATION_MITIGATION_POLICY_FORCE_RELOCATE_IMAGES_ALWAYS_ON, es necesario deshabilitar PROCESS_CREATION_MITIGATION_POLICY_BOTTOM_UP_ASLR_ALWAYS_OFF, dejar todas las demás opciones en sus valores predeterminados y especificar un valor de:
???????????????0???????1???????1
Las marcas de configuración que no se establezcan aquí en un valor distinto de ? tendrán como resultado un comportamiento indefinido.
Registry Hive | HKEY_LOCAL_MACHINE or HKEY_CURRENT_USER |
Registry Path | SOFTWARE\Policies\Microsoft\Windows NT\MitigationOptions\ProcessMitigationOptions |
Value Name | {number} |
Value Type | REG_SZ |
Default Value |