Control flow guard windows 10 как отключить

Обновлено: 24.01.2025

управление Flow Guard (CFG) — это функция обеспечения безопасности платформы с высокой степенью оптимизации, которая была создана для борьбы с уязвимостями повреждения памяти. Устанавливая строгие ограничения на то, где приложение может выполнять код из, злоумышленники могут намного сложнее выполнять произвольный код с помощью уязвимостей, таких как переполнение буфера. CFG расширяет предыдущие технологии защиты от эксплойтов, такие как /GS, DEPи ASLR.

эта функция доступна в Microsoft Visual Studio 2015 и работает в версиях Windows с поддержкой CFG — выпусков x86 и x64 для настольных и серверных Windows 10 и Windows 8.1 с обновлением (KB3000850).

Мы настоятельно рекомендуем разработчикам включить CFG для своих приложений. Не нужно включать CFG для каждой части кода, так как сочетание CFG и код, поддерживающий неcfg, будут выполняться нормально. Но если не включить CFG для всего кода, можно открыть зазоры в защите. кроме того, код с поддержкой cfg прекрасно работает в версиях Windows, не поддерживающих cfg, и поэтому полностью совместим с ними.

Как включить CFG?

В большинстве случаев нет необходимости изменять исходный код. все, что нужно сделать, — это добавить параметр в проект Visual Studio 2015, и компилятор и компоновщик будут включать CFG.

самый простой способ — переход к Project | свойства | конфигурации | | создание кода C/C++ и выбор Yes (/guard: cf) для Control Flow guard.

дополнительные сведения см. в разделе /guard (Enable Control Flow guard) .

При сборке проекта из командной строки можно добавить те же параметры. Например, при компиляции проекта с именем Test. cpp используйте CL/Guard: CF Test. cpp/Link/Guard: CF.

Вы также можете динамически управлять набором конечных адресов в формате iCal, которые считаются допустимыми с помощью CFG с использованием сетпроцессвалидкаллтаржетс из API управления памятью. Один и тот же API можно использовать, чтобы указать, являются ли страницы недопустимыми или допустимыми целевыми объектами для CFG. Функции VirtualProtect и VirtualAlloc по умолчанию обрабатывают указанную область исполняемых и зафиксированных страниц как допустимые цели косвенного вызова. Это поведение можно переопределить, например при реализации JIT-компилятора, указав _ _ недопустимые цели страницы при вызове VirtualAlloc или _ целевых объектов страницы _ без _ обновления при вызове VirtualProtect , как описано в разделе константы защиты памяти.

как определить, что двоичный файл находится под контролем Flow Guard?

запустите средство dumpbin (которое входит в состав установки Visual Studio 2015) из командной строки Visual Studio с параметрами /headers и /лоадконфиг : dumpbin/headers/лоадконфиг test.exe. Выходные данные для двоичного файла в CFG должны показывать, что значения заголовков включают "Guard" и что значения конфигурации загрузки включают "CF инструментированный" и "Таблица FID Present".

Как работает CFG?

Уязвимости программного обеспечения часто используют, предоставляя маловероятное, необычные или экстремальные данные для выполняющейся программы. Например, злоумышленник может воспользоваться уязвимостью переполнения буфера, предоставляя для программы больше входных данных, чем ожидалось, тем самым заставляя область, зарезервированную программой, для хранения ответа. Это может привести к повреждению смежной памяти, в которой может содержаться указатель на функцию. Когда программа вызывает эту функцию, она может перейти к непреднамеренному расположению, указанному злоумышленником.

Однако потент комбинация поддержки компиляции и времени выполнения из CFG реализует целостность потока управления, которая жестко ограничена, где могут выполняться косвенные инструкции по вызову.

Компилятор выполняет следующие действия:

Добавляет упрощенные проверки безопасности в скомпилированный код.
Определяет набор функций в приложении, которые являются допустимыми целевыми объектами для косвенных вызовов.

поддержка среды выполнения, предоставляемая ядром Windows:

Эффективно сохраняет состояние, определяющее допустимые цели косвенного вызова.
Реализует логику, проверяющую допустимость непрямого целевого объекта вызова.

если во время выполнения проверка CFG завершается сбоем, Windows немедленно завершает программу, тем самым нарушая тем самым атаку, которая пытается косвенно вызвать недопустимый адрес.

Exploit Guard- новая функция безопасности Защитника Windows, которая была впервые представлена Microsoft в Windows 10 Fall Creators Update.

Защита от эксплойтов представляет собой интегрированную версию инструмента Microsoft EMET (Enhanced Mitigation Experience Toolkit), поддержка которого завершится в середине 2018 года.

Защита от использования уязвимостей включена по умолчанию, если активен Защитник Windows. Эта функция является единственной функцией Exploit Guard, которая не требует включения защиты в режиме реального времени.

Данную функцию можно настроить в Центре безопасности Защитника Windows, с помощью групповых политик или команд PowerShell.

Центр безопасности Защитника Windows

Пользователи Windows 10 могут настроить защиту от эксплойтов в Центре безопасности Защитника Windows.

Все настройки разделены на две категории: Системные параметры и Параметры программ.

На вкладке Системные параметры выводится список всех доступных механизмов защиту с их статусом. В Windows 10 Fall Creators Update доступны следующие защиты:

Защита потока управления (CFG) - вкл. по умолчанию.
Предотвращение выполнения данных (DEP) - вкл. по умолчанию.
Принудительное случайное распределение для образов (обязательный ASLR) - выкл. по умолчанию.
Случайное распределение выделения памяти (низкий ASLR) - вкл. по умолчанию.
Проверить цепочки исключений (SEHOP) - вкл. по умолчанию.
Проверка целостности кучи - вкл. по умолчанию.

Параметры программ дают вам возможность настраивать защиту для отдельных программ и приложений. Данная опция работает аналогично функции исключений в Microsoft EMET для определенных программ. Данная возможность будет особо полезной, если программа ошибочно работает, когда включены определенные защитные модули.

По умолчанию несколько программ добавлены в исключения, в частности svchost.exe, spools.exe, runtimebroker.exe, iexplore.exe и другие основные программы Windows. Обратите внимание, что вы можете переопределить эти исключения, выбрав файлы и нажав кнопку “Редактировать”.

Нажмите ссылку “Добавление программы для индивидуальной настройки”, чтобы добавить приложение в список исключений.

Вы можете установить отдельный статус всех поддерживаемых защит для каждой программы, которую вы добавили в настройках программы. Помимо переопределения системного параметра по умолчанию и принудительного его включения или отключения, существует также возможность установить параметр только для аудита. В последнем случае будет происходить запись событий, которые происходили, если бы статус защиты был включен, в системный журнал Windows.

В списке “Параметры программ” перечислены дополнительные параметры защиты, которые невозможно настроить под системными параметрами, поскольку они настроены для работы только на уровне приложения.

Защита от произвольного кода (ACG)
Блокировка образов низкой целостности
Блокировка удаленных образов
Блокировка ненадежных шрифтов
Защита целостности кода
Отключение точек расширения
Отключение вызовов системы Win32k
Не разрешать дочерние процессы
Фильтрация адресов экспорта (EAF)
Фильтрация адресов импорта (IAF)
Имитация выполнения (SimExec)
Проверка вызовов API (CallerCheck)
Проверка использования дескриптора
Проверка целостности зависимостей образа
Проверка целостности стека (StackPivot)

PowerShell

Вы можете использовать командную строку PowerShell для установки, удаления или изменения списка мер. Доступны следующие команды:

Чтобы просмотреть все защитные меры указанного процесса: Get-ProcessMitigation -Name processName.exe

Чтобы установить защитную меру: Set-ProcessMitigation - - , ,

Область действия: -System или -Name .

Действие: либо -Enable или -Disable .

Мера: название защитной меры. Обратитесь к таблице на сайте Microsoft, чтобы посмотреть список доступных мер. Вы можете отделить несколько мер запятой.

Set-Processmitigation -System -Enable DEP
Set-Processmitigation -Name test.exe -Remove -Disable DEP
Set-ProcessMitigation -Name processName.exe -Enable EnableExportAddressFilterPlus -EAFModules dllName1.dll, dllName2.dll

Импорт и экспорт конфигураций

Конфигурации можно импортировать и экспортировать. Данные операции можно сделать на странице “Параметров защиты эксплойтов” в Центре безопасности Защитника Windows, а также с помощью PowerShell или редактора групповых политик.

Кроме того, конфигурации EMET можно преобразовать для последующего импорта.

Использование настроек защиты от эксплойтов

Вы можете экспортировать конфигурации в приложении “Центр безопасности Защитника Windows”, но не импортировать их. Экспорт добавляет все меры уровня системы и уровня приложения.

Нажмите ссылку “Параметры экспорта” и выберите местоположение для файла .XML с настройками.

Использование PowerShell для экспорта файла конфигурации

Откройте Powershell с правами администратора устройства.
Запустите команду: Get-ProcessMitigation -RegistryConfigFilePath filename.xml

Измените путь и filename.xml, указав требуемое местоположение и название файла.

Использование PowerShell для импорта файла конфигурации

Откройте Powershell с правами администратора устройства.
Запустите команду: Set-ProcessMitigation -PolicyFilePath filename.xml

Использование групповых политик для установки файла конфигурации

Вы можете установить файлы конфигураций с помощью редактора групповых политик:

Операционная система Windows 10 является одной из самых сложных и запутанных для начинающих пользователей. Прямо «из коробки» она просто работает, но если требуется настроить ее каким-то особым образом, то это может повлечь за собой множество проблем. Оказывается, что во всех компьютерах и прочих устройства, работающих на базе последней сборки этой ОС, есть скрытая от посторонних глаз настройках, которая значительно повышает скорость работы всей системы.

После обновления до Windows 10 Fall Creators Update (1709) все владельцы компьютеров и планшетов должны были заметить, что система стала работать ощутимо медленнее. Особенно сильно это заметно на компьютерах с обычными жесткими дисками (HDD) и слабеньким процессором. Сначала многие подумали, что дело в неправильно работающих драйверах видеокарты, которые после установки апдейта начали работать некорректно, однако эта гипотеза была очень быстро опровергнута.

Пользователи выяснили, что даже самые крутые 3D-игры на максимальных настройках не тормозят, тогда как многие системные программы в Windows 10 очень сильно «тупят». Наиболее сильно это заметно при работе с приложением «Проводник», который позволяет работать с файлами. Зачастую некоторые папки открываются по одной минуте, от чего многие пользователи в бешенстве.

Оказалось, что Microsoft добавила во все компьютеры на базе Windows 10 новую разработку под названием Control Flow Guard. Это своего рода специальная защита, направленная на борьбы с уязвимостями, связанными с повреждениями памяти. Защита защитой, но она в несколько раз снижает скорость работы всей операционной системы, причем отключить ее, на первый взгляд, невозможно.

К счастью, была обнаружена скрытая настройка, которая значительно повышает скорость работы всех компьютеров на Windows 10. Для этого необходимо запустить «Защитник Windows», а затем перейти в раздел «Управление приложениями и браузеров». Потребуется открыть подраздел «Параметры защиты от эксплойт», после чего отключить защиту CFG (Control Flow Guard). Чтобы все начало работать потребуется перезагрузить компьютер.

После выполнения этих действий и перезагрузки компьютера, он начнет работать в разы быстрее, поскольку фирменная система защиты Control Flow Guard перестанет использоваться. Зачем Microsoft принудительно включала эту настройку для всех – неизвестно, однако на форумах компании уже имеются десятки тысяч отзывов от пользователей, которые жалуются на медленную работу операционной системы Windows 10 из-за такого нововведения.

Испытай один раз полет и твои глаза навечно будут устремлены в небо. Однажды там побывав, на всю жизнь ты обречен тосковать о нем.
Леонардо Да Винчи.

Читайте также: