Поделиться через


Функция SetProcessMitigationPolicy (processthreadsapi.h)

Задает политику устранения рисков для вызывающего процесса. Политики устранения рисков позволяют процессу защищать себя от различных типов атак.

Синтаксис

BOOL SetProcessMitigationPolicy(
  [in] PROCESS_MITIGATION_POLICY MitigationPolicy,
  [in] PVOID                     lpBuffer,
  [in] SIZE_T                    dwLength
);

Параметры

[in] MitigationPolicy

Применяемая политика устранения рисков. Этот параметр может принимать одно из указанных ниже значений.

Значение Значение
ProcessDEPPolicy Политика предотвращения выполнения данных (DEP) процесса.
Параметр lpBuffer указывает на структуру PROCESS_MITIGATION_DEP_POLICY , указывающую флаги политики DEP.
ProcessASLRPolicy Политика случайного размещения адресного пространства (ASLR) процесса.
Параметр lpBuffer указывает на структуру PROCESS_MITIGATION_ASLR_POLICY , указывающую флаги политики ASLR.
ProcessDynamicCodePolicy Политика динамического кода процесса. Если этот параметр включен, процесс не может создавать динамический код или изменять существующий исполняемый код.
Параметр lpBuffer указывает на структуру PROCESS_MITIGATION_DYNAMIC_CODE_POLICY , которая задает флаги политики динамического кода.
ProcessStrictHandleCheckPolicy Процесс получит неустранимую ошибку, если он управляет недопустимым дескриптором.
Параметр lpBuffer указывает на структуру PROCESS_MITIGATION_STRICT_HANDLE_CHECK_POLICY, указывающую флаги политики дескриптора проверка.
ProcessSystemCallDisablePolicy Отключает возможность использования функций NTUser/GDI на самом низком уровне.
Параметр lpBuffer указывает на структуру PROCESS_MITIGATION_SYSTEM_CALL_DISABLE_POLICY , указывающую флаги политики отключения системного вызова.
ProcessMitigationOptionsMask Возвращает маску допустимых битов для всех параметров устранения рисков в системе. Приложение может задать множество параметров устранения рисков, не запрашивая у операционной системы варианты устранения рисков, объединяя побитовой с маской, чтобы исключить все не поддерживаемые биты одновременно.
Параметр lpBuffer указывает на ULONG64 битовый вектор для маски или на двухэлемерный массив ULONG64 битовых векторов.
ProcessExtensionPointDisablePolicy Параметр lpBuffer указывает на структуру PROCESS_MITIGATION_EXTENSION_POINT_DISABLE_POLICY , указывающую флаги политики отключения точки расширения.
ProcessControlFlowGuardPolicy Политика процесса Control Flow Guard (CFG).
Параметр lpBuffer указывает на PROCESS_MITIGATION_CONTROL_FLOW_GUARD_POLICY структуру, которая задает флаги политики CFG.
ProcessSignaturePolicy Политика процесса, который может ограничить загрузку изображений теми изображениями, которые подписаны корпорацией Майкрософт, Магазином Windows или Корпорацией Майкрософт, Магазином Windows и Лабораторией качества оборудования Windows (WHQL).
Параметр he lpBuffer указывает на структуру PROCESS_MITIGATION_BINARY_SIGNATURE_POLICY , которая задает флаги политики подписи.
ProcessFontDisablePolicy Политика, касающаяся загрузки шрифтов для процесса. Если этот параметр включен, процесс не может загружать несистемные шрифты.
Параметр lpBuffer указывает на структуру PROCESS_MITIGATION_FONT_DISABLE_POLICY , которая задает флаги политики для загрузки шрифта.
ProcessImageLoadPolicy Политика загрузки изображений для процесса, которая определяет типы исполняемых образов, которые можно сопоставить с процессом. Если этот параметр включен, невозможно загрузить изображения из некоторых расположений, например из удаленных устройств или файлов с низкой обязательной меткой.
Параметр lpBuffer указывает на структуру PROCESS_MITIGATION_IMAGE_LOAD_POLICY , которая задает флаги политики для загрузки изображений.
ProcessRedirectionTrustPolicy Политика RedirectionGuard процесса. Параметр lpBuffer указывает на структуру PROCESS_MITIGATION_REDIRECTION_TRUST_POLICY , которая определяет режим устранения рисков.
ProcessSideChannelIsolationPolicy Windows 10, версия 1809 и выше: политика изоляции каналов для указанного процесса.
Параметр lpBuffer указывает на структуру PROCESS_MITIGATION_SIDE_CHANNEL_ISOLATION_POLICY , которая задает флаги политики для изоляции бокового канала.
ProcessUserShadowStackPolicy Windows 10 версии 2004 и выше: политика, касающаяся аппаратной защиты стека в пользовательском режиме для процесса.
Параметр lpBuffer указывает на структуру PROCESS_MITIGATION_USER_SHADOW_STACK_POLICY , которая задает флаги политики для защиты стека, принудительно применяемой в пользовательском режиме.

[in] lpBuffer

Если параметр MitigationPolicy имеет значение ProcessDEPPolicy, этот параметр указывает на структуру PROCESS_MITIGATION_DEP_POLICY , указывающую флаги политики DEP.

Если параметр MitigationPolicy имеет значение ProcessASLRPolicy, этот параметр указывает на структуру PROCESS_MITIGATION_ASLR_POLICY , указывающую флаги политики ASLR.

Если параметр MitigationPolicy имеет значение ProcessImageLoadPolicy, этот параметр указывает на структуру PROCESS_MITIGATION_IMAGE_LOAD_POLICY , которая получает флаги политики для загрузки изображений.

Если параметр MitigationPolicy имеет значение ProcessStrictHandleCheckPolicy, этот параметр указывает на структуру PROCESS_MITIGATION_STRICT_HANDLE_CHECK_POLICY, которая задает дескриптор проверка флаги политики.

Если параметр MitigationPolicy имеет значение ProcessSystemCallDisablePolicy, этот параметр указывает на структуру PROCESS_MITIGATION_SYSTEM_CALL_DISABLE_POLICY , указывающую флаги политики отключения системного вызова.

Если параметр MitigationPolicy имеет значение ProcessMitigationOptionsMask, этот параметр указывает на ULONG64 битовый вектор маски или, чтобы вместить более 64 бит, двухэлеметрный массив ULONG64 битовых векторов.

Если параметр MitigationPolicy имеет значение ProcessExtensionPointDisablePolicy, этот параметр указывает на PROCESS_MITIGATION_EXTENSION_POINT_DISABLE_POLICY структуру, указывающую флаги политики отключения точки расширения.

Если параметр MitigationPolicy имеет значение ProcessControlFlowGuardPolicy, этот параметр указывает на PROCESS_MITIGATION_CONTROL_FLOW_GUARD_POLICY структуру, которая задает флаги политики CFG.

Если параметр MitigationPolicy имеет значение ProcessSignaturePolicy, этот параметр указывает на PROCESS_MITIGATION_BINARY_SIGNATURE_POLICY структуру, указывающую флаги политики подписи.

Если параметр MitigationPolicy имеет значение ProcessFontDisablePolicy, этот параметр указывает на структуру PROCESS_MITIGATION_FONT_DISABLE_POLICY , которая задает флаги политики для загрузки шрифта.

Если параметр MitigationPolicy имеет значение ProcessImageLoadPolicy, этот параметр указывает на PROCESS_MITIGATION_IMAGE_LOAD_POLICY структуру, которая задает флаги политики для загрузки изображений.

Если параметр MitigationPolicy имеет значение ProcessRedirectionTrustPolicy, этот параметр указывает на PROCESS_MITIGATION_REDIRECTION_TRUST_POLICY структуру , которая задает режим устранения рисков.

Если параметр MitigationPolicy имеет значение ProcessUserShadowStackPolicy, этот параметр указывает на структуру PROCESS_MITIGATION_USER_SHADOW_STACK_POLICY , которая задает флаги политики для защиты стека в пользовательском режиме с применением аппаратного обеспечения.

[in] dwLength

Размер lpBuffer в байтах.

Возвращаемое значение

Если функция завершается успешно, она возвращает значение TRUE. Если функция завершается сбоем, она возвращает значение FALSE. Чтобы получить значения ошибок, определенные для этой функции, вызовите Метод GetLastError.

Комментарии

Настройка политики устранения рисков для процесса помогает предотвратить использование злоумышленником уязвимостей системы безопасности. Используйте функцию SetProcessMitigationPolicy для включения или отключения мер безопасности программным способом.

Для максимальной эффективности политики устранения рисков следует применять до или во время инициализации процесса. Например, настройка политики ASLR, которая обеспечивает принудительное перемещение образов, эффективна только в том случае, если она применяется до загрузки всех образов в процессе.

Политики устранения рисков ASLR нельзя сделать менее строгими после их применения.

Чтобы скомпилировать приложение, использующее эту функцию, задайте _WIN32_WINNT >= 0x0602. Дополнительные сведения см. в разделе Использование заголовков Windows.

Требования

Требование Значение
Минимальная версия клиента Windows 8 [только классические приложения]
Минимальная версия сервера Windows Server 2012 [только классические приложения]
Целевая платформа Windows
Header processthreadsapi.h
Библиотека Kernel32.lib
DLL Kernel32.dll