Kockázatcsökkentési folyamatbeállítások


Ezzel a biztonsági funkcióval felülbírálhatók a folyamatok kockázatcsökkentési beállításai (MitigationOptions), így biztosítható egyes alkalmazásspecifikus biztonsági házirendek betartatása. Az alkalmazásnevet maga az érték neve jelöli a kiterjesztéssel együtt. Az érték megadása bitmezőként történik úgy, hogy jelzősorozatok állnak bizonyos helyeken. A bitek értéke lehet 0 (beállítás kikapcsolva), 1 (beállítás bekapcsolva) vagy ? (megmarad a beállítás GPO-értékelés előtti értéke). Az érvényes bithelyek az alábbiak:

PROCESS_CREATION_MITIGATION_POLICY_DEP_ENABLE (0x00000001)
Engedélyezi a gyermekfolyamathoz az adatvégrehajtás megakadályozását (DEP).

PROCESS_CREATION_MITIGATION_POLICY_DEP_ATL_THUNK_ENABLE (0x00000002)
Engedélyezi a gyermekfolyamathoz a DEP-ATL típusú tönkemulálást, amelynek hatására a rendszer elfogja az Active Template Library (ATL) tönkrétegből érkező NX-hibákat.

PROCESS_CREATION_MITIGATION_POLICY_SEHOP_ENABLE (0x00000004)
Engedélyezi a gyermekfolyamathoz a strukturált kivételkezelő felülírása elleni védelmet (SEHOP), amely blokkolja a strukturált kivételkezelő (SEH) felülírási módját kihasználó biztonsági réseket.

PROCESS_CREATION_MITIGATION_POLICY_FORCE_RELOCATE_IMAGES_ALWAYS_ON (0x00000100)
A véletlenszerű címtérelrendezés (ASLR) megkövetelése házirend kényszerűen új alapot ad meg a dinamikus alappal inkompatibilis kódoknak, mivel úgy tesz, mintha betöltéskor kódalapcím-ütközés lépett volna fel. Ha áthelyezés szükséges, az alapáthelyezési szakasz nélküli kódok nem töltődnek be.

PROCESS_CREATION_MITIGATION_POLICY_BOTTOM_UP_ASLR_ALWAYS_ON (0x00010000)
PROCESS_CREATION_MITIGATION_POLICY_BOTTOM_UP_ASLR_ALWAYS_OFF (0x00020000)
A véletlenszerűséget kiváltó, felfelé irányuló házirend (benne a vermek véletlenszerűségét okozó beállítások) hatására egy véletlenszerű hely lesz a legalsóbb szintű felhasználói cím.

Ha engedélyezni szeretné például a PROCESS_CREATION_MITIGATION_POLICY_DEP_ENABLE és a PROCESS_CREATION_MITIGATION_POLICY_FORCE_RELOCATE_IMAGES_ALWAYS_ON bithelyet, le szeretné tiltani a PROCESS_CREATION_MITIGATION_POLICY_BOTTOM_UP_ASLR_ALWAYS_OFF bithelyet, a többi beállítást pedig az alapértelmezett értékükkel kívánja használni, adja meg az alábbi értéket:
???????????????0???????1???????1

Ha az itt nem említett jelzők értéke nem ?, nem várt módon fog működni a funkció.

Támogatott a következőn: Legalább Windows 10 Server, Windows 10 vagy Windows 10 RT

Kockázatcsökkentési folyamatbeállítások

Registry HiveHKEY_LOCAL_MACHINE or HKEY_CURRENT_USER
Registry PathSOFTWARE\Policies\Microsoft\Windows NT\MitigationOptions\ProcessMitigationOptions
Value Name{number}
Value TypeREG_SZ
Default Value

grouppolicy.admx

Felügyeleti sablonok (számítógépek)

Felügyeleti sablonok (felhasználók)