Skill

implementing-memory-protection-with-dep-aslr

Implements DEP, ASLR, CFG, and Windows Exploit Protection mitigations via PowerShell to harden endpoints against buffer overflows, ROP chains, and code injection.

Powershell

security

npx claudepluginhub killvxk/cybersecurity-skills-zh

Tool Access

This skill uses the workspace's default tool permissions.

Preview

在加固端点以抵御基于内存的漏洞利用时使用本技能，通过配置 DEP、ASLR、CFG 和 Windows Exploit Protection 实施系统级和应用程序级缓解措施。

Supporting Assets

LICENSEassets/template.mdreferences/api-reference.mdreferences/standards.mdreferences/workflows.mdscripts/agent.pyscripts/process.py

SKILL.md

Similar Skills

implementing-memory-protection-with-dep-aslr

Configures Windows memory protections like DEP, ASLR, CFG via PowerShell, GPO, and Intune to harden endpoints against buffer overflows, ROP chains, and code injection.

asi

implementing-memory-protection-with-dep-aslr

5.9k

Configures Windows DEP, ASLR, CFG mitigations via PowerShell, GPO, Intune to protect endpoints from buffer overflows, ROP, code injection exploits.

7 files

cybersecurity-skills

configuring-windows-defender-advanced-settings

Configures Microsoft Defender for Endpoint advanced settings like ASR rules, controlled folder access, network protection, and exploit protection. Hardens Windows endpoints for enterprise EDR and compliance.

7 files

cybersecurity-skills-zh

Stats

Stars10

Forks1

Last CommitMar 17, 2026

Actions

View Source View Plugin View on GitHub View README

Help us improve

Share bugs, ideas, or general feedback.

使用 DEP 和 ASLR 实施内存保护

使用场景

在加固端点以抵御基于内存的漏洞利用时使用本技能，通过配置 DEP、ASLR、CFG 和 Windows Exploit Protection 实施系统级和应用程序级缓解措施。

操作流程

步骤 1：配置系统级缓解措施

# 启用系统范围的 DEP（数据执行防护）
# 引导配置：OptIn（默认）、OptOut（推荐）、AlwaysOn
bcdedit /set nx AlwaysOn

# 验证 ASLR 状态（现代 Windows 默认启用）
Get-ProcessMitigation -System
# MandatoryASLR、BottomUpASLR、HighEntropyASLR 应为 ON

# 启用所有系统级缓解措施
Set-ProcessMitigation -System -Enable DEP,SEHOP,ForceRelocateImages,BottomUp,HighEntropy

步骤 2：配置应用程序级缓解措施

# 加固高风险应用程序（浏览器、Office、PDF 阅读器）
Set-ProcessMitigation -Name "WINWORD.EXE" -Enable DEP,SEHOP,ForceRelocateImages,CFG,StrictHandle
Set-ProcessMitigation -Name "EXCEL.EXE" -Enable DEP,SEHOP,ForceRelocateImages,CFG,StrictHandle
Set-ProcessMitigation -Name "AcroRd32.exe" -Enable DEP,SEHOP,ForceRelocateImages,CFG
Set-ProcessMitigation -Name "chrome.exe" -Enable DEP,CFG,ForceRelocateImages
Set-ProcessMitigation -Name "msedge.exe" -Enable DEP,CFG,ForceRelocateImages

# 导出配置以供部署
Get-ProcessMitigation -RegistryConfigFilePath "C:\exploit_protection.xml"
# 通过 Intune 或 GPO 部署

步骤 3：通过 Intune/GPO 部署

Intune：端点安全 → 攻击面减少 → Exploit Protection
  导入 exploit_protection.xml 模板

GPO：计算机配置 → 管理模板 → Windows 组件
  → Windows Defender Exploit Guard → Exploit Protection
  → "使用通用的 Exploit Protection 设置" → 已启用
  → 指向网络共享上的 XML 文件

关键概念

术语	定义
DEP	将内存页面标记为不可执行，防止在数据区域执行 shellcode
ASLR	随机化已加载模块的内存地址，以挫败硬编码的 ROP 小工具
CFG	在运行时验证间接调用目标，防止控制流劫持
SEHOP	验证 SEH 链完整性，防止基于 SEH 的漏洞利用

工具与系统

Windows Exploit Protection：内置的逐进程缓解管理
EMET（旧版）：增强缓解体验工具包（前身，现已弃用）
ProcessMitigations PowerShell：Get/Set-ProcessMitigation cmdlet

常见误区

DEP 兼容性：旧版 32 位应用程序在 DEP AlwaysOn 下可能崩溃。对例外情况使用 OptOut。
强制 ASLR 破坏应用程序：某些应用程序不兼容 ASLR。在强制执行 ForceRelocateImages 前进行测试。
CFG 仅限编译时支持：CFG 仅适用于使用 /guard:cf 编译的应用程序，无法追溯应用。