Windows 漏洞保护:SEHOP 设置“TelemetryOnly”有什么用?

Windows 漏洞保护:SEHOP 设置“TelemetryOnly”有什么用?

我正在研究微软提供的不同漏洞保护方法。其中一种是 SEHOP,如果我使用 PS 检查的话:

Get-ProcessMitigation -System

我得到:

...
SEHOP:
    Enable                             : NOTSET
    TelemetryOnly                      : OFF
    Audit                              : NOTSET
    Override SEHOP                     : False
...

什么是“TelemetryOnly”?到目前为止,互联网搜索尚未成功。

答案1

ProcessMitigation 文档页面指出:

ProcessMitigations 模块(也称为进程缓解管理工具)提供的功能允许用户配置和审核漏洞缓解措施,以提高进程安全性或转换现有的增强缓解体验工具包 (EMET) 策略设置。

查看 EMET 用户指南,其中提到

配置本地遥测 为了进行故障排除,我们添加了“本地遥测”模式。启用此模式后,通过“预警”发送的信息将保存在本地,而不是保存在用户定义的文件夹中。要启用此模式,用户需要在注册表配置单元 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\EMET 中创建两个条目: LocalTelemetryPath(字符串):保存信息的路径(即 c:\emet_local_telemetry) 您也可以选择创建以下注册表项来控制要创建哪种类型的 MiniDump 文件: MiniDumpFlags(DWORD):0x1ff(默认值) 有关可能的标志的更多信息,请访问此处微软文章。

您可以查看用户指南这里

所以从本质上讲,这是一种启用或禁用早期预警程序系统的方法。

相关内容