[GP]「プロセス軽減策オプション」で利用されているレジストリ

今回は、
[GP]「プロセス軽減策オプション」で利用されているレジストリについてです。

ユーザーの構成>管理用テンプレート>システム>軽減策オプション

確認バージョン:
Windows Server または Windows 10 以降

1.保存場所
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows NT\MitigationOptions\ProcessMitigationOptions

値:
例(プログラム名:exmple.exe)
exmple.exe(REG_SZ)

このセキュリティ機能は、個々のプロセスの MitigationOptions 設定を上書きする手段を提供します。この機能を使用して、アプリケーションに固有のセキュリティ ポリシーを適用できます。アプリケーション名は、拡張子を含む値の名前として指定されます。この値は、特定の位置に一連のフラグを設定したビット フィールドとして指定されます。ビットは 0 (設定は強制的にオフ)、1 (設定は強制的にオン)、または ? (設定は GPO 評価の前に既存の値を保持) のいずれかに設定できます。認識されるビットの位置は次のとおりです。

PROCESS_CREATION_MITIGATION_POLICY_DEP_ENABLE (0x00000001)
子プロセスのデータ実行防止 (DEP) を有効にします。

PROCESS_CREATION_MITIGATION_POLICY_DEP_ATL_THUNK_ENABLE (0x00000002)
子プロセスの DEP-ATL サンク エミュレーションを有効にします。DEP-ATL サンク エミュレーションにより、アクティブ テンプレート ライブラリ (ATL) サンク レイヤーから発生した NX フォールトがインターセプトされるようになります。

PROCESS_CREATION_MITIGATION_POLICY_SEHOP_ENABLE (0x00000004)
子プロセスの構造化例外ハンドラーの上書き保護 (SEHOP) を有効にします。SEHOP は構造化例外ハンドラー (SEH) の上書き手法が悪用されるのをブロックします。

PROCESS_CREATION_MITIGATION_POLICY_FORCE_RELOCATE_IMAGES_ALWAYS_ON (0x00000100)
強制的な Address Space Layout Randomization (ASLR) ポリシーにより、読み込み時にイメージのベース競合が生じたものとして動作することで、動的ベース互換でないイメージの再ベースが強制的に実施されます。再配置が必要な場合、ベース再配置セクションのないイメージは読み込まれません。

PROCESS_CREATION_MITIGATION_POLICY_BOTTOM_UP_ASLR_ALWAYS_ON (0x00010000)
PROCESS_CREATION_MITIGATION_POLICY_BOTTOM_UP_ASLR_ALWAYS_OFF (0x00020000)
スタックのランダム化オプションを含むボトムアップのランダム化ポリシーにより、最も低いユーザー アドレスとして任意の場所が使用されます。

たとえば、PROCESS_CREATION_MITIGATION_POLICY_DEP_ENABLE と PROCESS_CREATION_MITIGATION_POLICY_FORCE_RELOCATE_IMAGES_ALWAYS_ON を有効にして PROCESS_CREATION_MITIGATION_POLICY_BOTTOM_UP_ASLR_ALWAYS_OFF を無効にし、他のすべてのオプションを既定値のままにするには、次の値を指定します。
???????????????0???????1???????1

ここで指定されていないフラグを ? 以外の任意の値に設定すると、結果は未定義の動作になります。

ではでは。

タイトルとURLをコピーしました