Ezzel a biztonsági funkcióval felülbírálhatók a folyamatok kockázatcsökkentési beállításai (MitigationOptions), így biztosítható egyes alkalmazásspecifikus biztonsági házirendek betartatása. Az alkalmazásnevet maga az érték neve jelöli a kiterjesztéssel együtt. Az érték megadása bitmezőként történik úgy, hogy jelzősorozatok állnak bizonyos helyeken. A bitek értéke lehet 0 (beállítás kikapcsolva), 1 (beállítás bekapcsolva) vagy ? (megmarad a beállítás GPO-értékelés előtti értéke). Az érvényes bithelyek az alábbiak:
PROCESS_CREATION_MITIGATION_POLICY_DEP_ENABLE (0x00000001)
Engedélyezi a gyermekfolyamathoz az adatvégrehajtás megakadályozását (DEP).
PROCESS_CREATION_MITIGATION_POLICY_DEP_ATL_THUNK_ENABLE (0x00000002)
Engedélyezi a gyermekfolyamathoz a DEP-ATL típusú tönkemulálást, amelynek hatására a rendszer elfogja az Active Template Library (ATL) tönkrétegből érkező NX-hibákat.
PROCESS_CREATION_MITIGATION_POLICY_SEHOP_ENABLE (0x00000004)
Engedélyezi a gyermekfolyamathoz a strukturált kivételkezelő felülírása elleni védelmet (SEHOP), amely blokkolja a strukturált kivételkezelő (SEH) felülírási módját kihasználó biztonsági réseket.
PROCESS_CREATION_MITIGATION_POLICY_FORCE_RELOCATE_IMAGES_ALWAYS_ON (0x00000100)
A véletlenszerű címtérelrendezés (ASLR) megkövetelése házirend kényszerűen új alapot ad meg a dinamikus alappal inkompatibilis kódoknak, mivel úgy tesz, mintha betöltéskor kódalapcím-ütközés lépett volna fel. Ha áthelyezés szükséges, az alapáthelyezési szakasz nélküli kódok nem töltődnek be.
PROCESS_CREATION_MITIGATION_POLICY_BOTTOM_UP_ASLR_ALWAYS_ON (0x00010000)
PROCESS_CREATION_MITIGATION_POLICY_BOTTOM_UP_ASLR_ALWAYS_OFF (0x00020000)
A véletlenszerűséget kiváltó, felfelé irányuló házirend (benne a vermek véletlenszerűségét okozó beállítások) hatására egy véletlenszerű hely lesz a legalsóbb szintű felhasználói cím.
Ha engedélyezni szeretné például a PROCESS_CREATION_MITIGATION_POLICY_DEP_ENABLE és a PROCESS_CREATION_MITIGATION_POLICY_FORCE_RELOCATE_IMAGES_ALWAYS_ON bithelyet, le szeretné tiltani a PROCESS_CREATION_MITIGATION_POLICY_BOTTOM_UP_ASLR_ALWAYS_OFF bithelyet, a többi beállítást pedig az alapértelmezett értékükkel kívánja használni, adja meg az alábbi értéket:
???????????????0???????1???????1
Ha az itt nem említett jelzők értéke nem ?, nem várt módon fog működni a funkció.
Registry Hive | HKEY_LOCAL_MACHINE or HKEY_CURRENT_USER |
Registry Path | SOFTWARE\Policies\Microsoft\Windows NT\MitigationOptions\ProcessMitigationOptions |
Value Name | {number} |
Value Type | REG_SZ |
Default Value |