signature=aa7b5153eae7e72bc0b426c1ad618f96,Microsoft 建议的阻止规则 (Windows 10) - Windows security | Micr...

最新推荐文章于 2023-10-15 08:15:00 发布
最新推荐文章于 2023-10-15 08:15:00 发布
阅读量220 收藏
点赞数
文章标签: signature=aa7b5153eae7e72bc0b426c1ad618f96

Windows Defender 应用控制 阻止列表 安全更新 攻击者利用
关键词由CSDN通过智能技术生成

Microsoft 推荐的阻止规则Microsoft recommended block rules

04/09/2019

本文内容

适用于:Applies to:

Windows 10Windows 10

Windows Server 2016及以上Windows Server 2016 and above

安全社区的成员*与 Microsoft 持续合作,以帮助保护客户。Members of the security community* continuously collaborate with Microsoft to help protect customers. 借助于他们有价值的报告,Microsoft 已标识攻击者也可能用于绕过 Windows Defender 应用程序控制的有效应用程序列表。With the help of their valuable reports, Microsoft has identified a list of valid applications that an attacker could also potentially use to bypass Windows Defender Application Control.

除非你使用的方案确实需要这些应用程序,否则 Microsoft 建议阻止以下应用程序。Unless your use scenarios explicitly require them, Microsoft recommends that you block the following applications. 攻击者可以使用这些应用程序或文件避开应用程序允许策略,包括Windows Defender控制:These applications or files can be used by an attacker to circumvent application allow policies, including Windows Defender Application Control:

addinprocess.exeaddinprocess.exe

addinprocess32.exeaddinprocess32.exe

addinutil.exeaddinutil.exe

aspnet_compiler.exeaspnet_compiler.exe

bash.exebash.exe

bginfo.exe1bginfo.exe1

cdb.execdb.exe

csi.execsi.exe

dbghost.exedbghost.exe

dbgsvc.exedbgsvc.exe

dnx.exednx.exe

dotnet.exedotnet.exe

fsi.exefsi.exe

fsiAnyCpu.exefsiAnyCpu.exe

infdefaultinstall.exeinfdefaultinstall.exe

kd.exekd.exe

kill.exekill.exe

lxssmanager.dlllxssmanager.dll

lxrun.exelxrun.exe

Microsoft.Build.dllMicrosoft.Build.dll

Microsoft.Build.Framework.dllMicrosoft.Build.Framework.dll

Microsoft.Workflow.Compiler.exeMicrosoft.Workflow.Compiler.exe

msbuild.exe2msbuild.exe2

msbuild.dllmsbuild.dll

mshta.exemshta.exe

ntkd.exentkd.exe

ntsd.exentsd.exe

powershellcustomhost.exepowershellcustomhost.exe

rcsi.exercsi.exe

runscripthelper.exerunscripthelper.exe

texttransform.exetexttransform.exe

visualuiaverifynative.exevisualuiaverifynative.exe

system.management.automation.dllsystem.management.automation.dll

wfc.exewfc.exe

windbg.exewindbg.exe

wmic.exewmic.exe

wsl.exewsl.exe

wslconfig.exewslconfig.exe

wslhost.exewslhost.exe

1 最新版本 4.22 bginfo.exe修复了企业版中的漏洞。1 A vulnerability in bginfo.exe has been fixed in the latest version 4.22. 如果使用 BGInfo,为了安全起见,请确保下载并运行此处的最新版本 BGInfo 4.22。If you use BGInfo, for security, make sure to download and run the latest version here BGInfo 4.22. 请注意,4.22 之前的 BGInfo 版本仍然易受攻击,因此应该阻止使用。Note that BGInfo versions earlier than 4.22 are still vulnerable and should be blocked.

2 如果你正在开发上下文中使用引用系统并使用 msbuild.exe 构建托管应用程序,我们建议你允许在msbuild.exe 完整性策略中运行。2 If you are using your reference system in a development context and use msbuild.exe to build managed applications, we recommend that you allow msbuild.exe in your code integrity policies. 但是,如果引用系统是不用于开发上下文中的最终用户设备,我们建议阻止 msbuild.exe。However, if your reference system is an end user device that is not being used in a development context, we recommend that you block msbuild.exe.

* Microsoft 认可安全社区中的人员努力帮助我们通过负责的漏洞泄露保护客户,并感谢以下人员:* Microsoft recognizes the efforts of those in the security community who help us protect customers through responsible vulnerability disclosure, and extends thanks to the following people:

姓名Name

TwitterTwitter

Casey SmithCasey Smith

@subTee@subTee

Matt GraeberMatt Graeber

@mattifestation@mattifestation

Matt NelsonMatt Nelson

@enigma0x3@enigma0x3

Oddvar MoeOddvar Moe

@Oddvarmoe@Oddvarmoe

Alex IonescuAlex Ionescu

@aionescu@aionescu

Lee ChristensenLee Christensen

@tifkin_@tifkin_

Vladas BulavasVladas Bulavas

Kaspersky LabKaspersky Lab

LasseLle BorupLasse Trolle Borup

Langkjaer Cyber 时Langkjaer Cyber Defence

百米尼Jimmy Bayne

@bohops@bohops

图斯库曼Philip Tsukerman

@PhilipTsukerman@PhilipTsukerman

Brock MammenBrock Mammen

备注

在应用程序漏洞得到解决以及发现新问题时,此应用程序列表会使用最新的供应商信息进行更新。This application list will be updated with the latest vendor information as application vulnerabilities are resolved and new issues are discovered.

某些软件应用程序可能会允许其他代码按照设计运行。Certain software applications may allow additional code to run by design. 应通过 Windows Defender 应用程序控制策略阻止使用这些类型的应用程序。These types of applications should be blocked by your Windows Defender Application Control policy. 此外,当为了修复安全漏洞或潜在的 Windows Defender 应用程序控制绕过行为而升级应用程序版本时,应为该应用程序之前不太安全的版本的 WDAC 策略添加拒绝规则。In addition, when an application version is upgraded to fix a security vulnerability or potential Windows Defender Application Control bypass, you should add deny rules to your WDAC policies for that application’s previous, less secure versions.

Microsoft 建议安装最新的安全更新。Microsoft recommends that you install the latest security updates. 2017 年 6 月的 Windows 更新解决了 PowerShell 模块中允许攻击者绕过 Windows Defender 应用程序控制的几个问题。The June 2017 Windows updates resolve several issues in PowerShell modules that allowed an attacker to bypass Windows Defender Application Control. 这些模块无法按照名称或版本进行阻止,因此必须通过其相应哈希阻止。These modules cannot be blocked by name or version, and therefore must be blocked by their corresponding hashes.

2017 年 10 月,我们公布了 system.management.automation.dll 更新,在此更新中,我们撤销了旧版本的哈希值,而不是版本规则。For October 2017, we are announcing an update to system.management.automation.dll in which we are revoking older versions by hash values, instead of version rules.

Microsoft 建议通过将以下策略合并到现有策略中来阻止以下 Microsoft 签名的应用程序和 PowerShell 文件,以使用 Merge-CIPolicy cmdlet 添加这些拒绝规则。Microsoft recommends that you block the following Microsoft-signed applications and PowerShell files by merging the following policy into your existing policy to add these deny rules using the Merge-CIPolicy cmdlet. 从 2019 年 3 月质量更新开始,每个版本的 Windows 都需要阻止以下文件的特定版本:Beginning with the March 2019 quality update, each version of Windows requires blocking a specific version of the following files:

msxml3.dllmsxml3.dll

msxml6.dllmsxml6.dll

jscript9.dlljscript9.dll

为计划支持的 .dll选择Windows版本,并删除其他版本。Pick the correct version of each .dll for the Windows release you plan to support, and remove the other versions. 请确保还在签名方案部分中取消注释它们。Ensure that you also uncomment them in the signing scenarios section.

10.0.0.0

{A244370E-44C9-4C06-B551-F6016E563076}

{2E07F7E4-194C-4D20-B7C9-6F44A6C5A234}

Enabled:Unsigned System Integrity Policy

Enabled:Audit Mode

Enabled:Advanced Boot Options Menu

Enabled:UMCI

0

备注

若要创建同时适用于 Windows 10 版本 1803 和版本 1809 的策略,可以创建两个不同的策略,或将它们合并为一个更广泛的策略。To create a policy that works on both Windows 10, version 1803 and version 1809, you can create two different policies, or merge them into one broader policy.

更多信息More information

李day
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
signature=81814fb35ba7f855f312fb01ee37cc97,yarn.lock
weixin_39762478的博客
05-29 6140
# THIS IS AN AUTOGENERATED FILE. DO NOT EDIT THIS FILE DIRECTLY.# yarn lockfile v1"@babel/code-frame@7.0.0-beta.44":version "7.0.0-beta.44"resolved "http://registry.npm.taobao.org/@babel/code-frame/do...
Oracle 19c VLDB and Partitioning Guide 第5章:管理和维护基于时间的信息 读书笔记
In-Memory Computing Technology
01-08 1028
Oracle 19c VLDB and Partitioning Guide 第5章:管理和维护基于时间的信息 读书笔记
如何在Windows中为用户阻止(或允许)某些应用程序
culintai3473的博客
09-02 2842
If you’d like to limit what apps a usercan run on a PC, Windows gives you two options. You can block the apps you don’t want a user to run, or you can restrict themto running only specific apps. Her...
vue+腾讯地图标记弹框
qq_27081015的博客
08-05 2231
腾讯地图添加自定义标记 首先要加载腾讯地图 var center = new TMap.LatLng(39.984104, 116.307503);//设置中心点坐标 //初始化地图 var map = new TMap.Map("container", { center: center }); 然后创建事件 var markerLayer = new TMap.MultiMarker({ i
signature=79c974d35dfdfe9f089b4ef073ae21d0,MS12-077: Cumulative Security Update for Internet Explore...
weixin_42399078的博客
05-30 1万+
IE10-Windows6.1-KB2761465-x64.msuC147D144F43B08F0B570301A4614BCBDFC284E726B9239B6B6D67DE479745C7EEB6DA94A57AAC7618F08BAF28DBBF1DD69042520IE10-Windows6.1-KB2761465-x86.msu60F17F408B1A03D67FBADF069779E5...
signature=4f83ef12f8acf7f9e6fbb20f6a977f57,Release v0.12.0-alpha1: Tag for Release 0.12.0-alpha1 · i...
weixin_39546092的博客
05-29 1万+
5121a30770c61a4c22b2449faa318d0dcd8904de Release 0.12.0-alpha14ea830f74ef058a0e84fa17e30fb1a909cd538ea Feat: ipfs-cluster-followce3c50187e5c738d61ec98fe3168acddee1f3835 config manager: Improve source-...
升级Xcode 10后遇到的问题
jia12216的专栏
09-27 1万+
第一个问题:见《Xcode 10 Error:Multiple commands produce问题及解决方案》。 第二个问题:这个问题比较紧急,不解决无法发布应用。ios12和 xcode 10出现一个新的紧急问题,现在正定位:通过最新开发工具xcode 10联调iOS12的手机,WKWebView页面跳转时cookie丢失,导致不能打开正常的页面。iOS12手机在苹果商店下载原来发布的艺享微拍...
Java加密技术(十一)——双向认证
u014386474的博客
06-14 4万+
对于双向认证,做一个简单的描述。  服务器端下发证书,客户端接受证书。证书带有公钥信息,用于验证服务器端、对数据加密/解密,起到OSI五类服务的认证(鉴别)服务和保密性服务。  这只是单向认证,为什么?因为客户端可以验证服务器端,但服务器端不能验证客户端!  如果客户端也有这样一个证书,服务器端也就能够验证客户端,这就是双向认证了!  换言之,当你用银行的“U盾”之类的U盘与银行账
软件保护技术
魔拉宝
12-22 9029
第一节 常见保护技巧1、序列号方式(1)序列号保护机制数学算法一项都是密码加密的核心,但在一般的软件加密中,它似乎并不太为人们关心,因为大多数时候软件加密本身实现的都是一种编程的技巧。但近几年来随着序列号加密程序的普及,数学算法在软件加密中的比重似乎是越来越大了。  我们先来看看在网络上大行其道的序列号加密的工作原理。当用户从网络上下载某个shareware——共享软件后,一般都有使用
signature=c4f11bb5142d9f6ce0876b3cc0d888af,1【这人生我去了吧】_百度贴吧
weixin_39782545的博客
05-29 5万+
该楼层疑似违规已被系统折叠隐藏此楼查看此楼magnet:?xt=urn:btih:7BD1F3C76C419AF63F1A3F0D5AEE9E60EA8FFB9Dmagnet:?xt=urn:btih:E8F6694387DA4120C8B8BE5BCD6D59F1D93C4283magnet:?xt=urn:btih:F635B9313FB820A04BE61134D0C64F5A17F6AD...
下载URL包含Signature和OSSAccessKeyId的实战代码
热门推荐
herosunly的博客
10-15 8万+
 今天给大家带来的文章是:下载URL包含Signature和OSSAccessKeyId的实战代码,希望对同学们有所帮助。 文章目录 1. 前言 2. 解决方案 2.1 操作步骤 2.2 实战代码
g++ gcc 在windows 10,64位环境下编译jni程序运行报错或者无法编译的解决方案
lifeqiuzhi521的博客
05-14 3502
我的操作系统是windows10,安装的是 cygwin 64位,需要实现的功能很简单,java函数中调用jni函数打印 hello jniHelloJni.javapublic class HelloJni { native void hello(); static { System.loadLibrary("HelloJni"); } public static voi...
域控启用ldap_Windows 10 (的域控制器 LDAP 服务器) - Windows security | Microsoft Docs
weixin_34193979的博客
02-11 2096
域控制器: LDAP 服务器签名要求Domain controller: LDAP server signing requirements04/19/2017本文内容适用于Applies toWindows 10Windows 10本文介绍域控制器的最佳实践、位置、值和安全注意事项 :LDAP 服务器签名要求 安全策略设置。This article describes the best pract...
windows驱动数字签名之WHQL完整流程 | WHQL认证环境部署以及HLK测试
西京刀客
06-24 3468
由于受微软信任的Digicert,Entrust,Sectigo,Thawte等第三方驱动代码签名交叉证书已全部过期,微软不再接受EV代码签名证书为驱动程序进行内核数字签名。取而代之的是需要对驱动程序做WHQL认证(微软徽标认证)。 WHQL认证,也叫Windows徽标认证,由美国微软公司(Microsoft)设立的认证,Windows微软徽标认证的全名为Windows Hardware Quality Labs(WHQL)。......
lxml-5.0.1-cp37-cp37m-win32.whl
08-31
lxml 是一个用于 Python 的库,它提供了高效的 XML 和 HTML 解析以及搜索功能。它是基于 libxml2 和 libxslt 这两个强大的 C 语言库构建的,因此相比纯 Python 实现的解析器(如 xml.etree.ElementTree),lxml 在速度和功能上都更为强大。 主要特性 快速的解析和序列化:由于底层是 C 实现的,lxml 在解析和序列化 XML/HTML 文档时非常快速。 XPath 和 CSS 选择器:支持 XPath 和 CSS 选择器,这使得在文档中查找特定元素变得简单而强大。 清理和转换 HTML:lxml 提供了强大的工具来清理和转换不规范的 HTML,比如自动修正标签和属性。 ETree API:提供了类似于 ElementTree 的 API,但更加完善和强大。 命名空间支持:相比 ElementTree,lxml 对 XML 命名空间提供了更好的支持。
slim-0.5.8-py3-none-any.whl
08-31
whl软件包,直接pip install安装即可
【赠】新营销4.0:新营销,云时代(PDF).pdf
最新发布
08-31
【赠】新营销4.0:新营销,云时代(PDF)
codsys的FileOpenSave文件的读取与保存
08-31
里面有网盘资料!!!!!有例程,不用担心实现不了。 保证利用codesys的FileOpenSave功能块进行读取和下载文件。 目的:使用FileOpensave进行操作,保证项目的可执行性。
windows-file-signaturetool
09-28
Windows文件签名工具是一种用于在Windows操作系统上对文件进行数字签名的工具。数字签名是一种用于验证文件完整性和真实性的技术。在使用Windows文件签名工具对文件进行签名后,可以通过验证签名来确保文件在传递过程中没有被篡改或修改。 Windows文件签名工具通常使用公钥加密技术。在进行文件签名之前,需要生成一对公钥和私钥。私钥是用于对文件进行签名的密钥,而公钥则被用于对文件的数字签名进行验证。 对于使用Windows文件签名工具进行签名的文件,系统可以使用公钥来验证签名,确保文件没有被修改过。如果文件的数字签名与使用私钥生成的签名匹配,那么文件在传输过程中没有被篡改。 通过对文件进行数字签名,可以确保文件的完整性和真实性。当接收到带有数字签名的文件时,可以通过验证签名来确保文件没有被篡改。这对于保护文件的安全非常重要,尤其是在传输过程中,比如通过网络或存储设备传递文件。 总的来说,Windows文件签名工具是一种用于对文件进行数字签名的工具,通过验证签名可以确保文件的完整性和真实性。这是一种保护文件安全的重要技术,在文件传输和存储过程中起着重要作用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值