我正在研究微软提供的不同漏洞保护方法。其中一种是 SEHOP,如果我使用 PS 检查的话:
Get-ProcessMitigation -System
我得到:
...
SEHOP:
Enable : NOTSET
TelemetryOnly : OFF
Audit : NOTSET
Override SEHOP : False
...
什么是“TelemetryOnly”?到目前为止,互联网搜索尚未成功。
答案1
ProcessMitigation 文档页面指出:
ProcessMitigations 模块(也称为进程缓解管理工具)提供的功能允许用户配置和审核漏洞缓解措施,以提高进程安全性或转换现有的增强缓解体验工具包 (EMET) 策略设置。
查看 EMET 用户指南,其中提到
配置本地遥测 为了进行故障排除,我们添加了“本地遥测”模式。启用此模式后,通过“预警”发送的信息将保存在本地,而不是保存在用户定义的文件夹中。要启用此模式,用户需要在注册表配置单元 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\EMET 中创建两个条目: LocalTelemetryPath(字符串):保存信息的路径(即 c:\emet_local_telemetry) 您也可以选择创建以下注册表项来控制要创建哪种类型的 MiniDump 文件: MiniDumpFlags(DWORD):0x1ff(默认值) 有关可能的标志的更多信息,请访问此处微软文章。
您可以查看用户指南这里。
所以从本质上讲,这是一种启用或禁用早期预警程序系统的方法。