Kuidas Windows Defenderi uued rakendused kaitsevad (ja kuidas seda konfigureerida)
Microsofti Fall Creators Update värskendab lõpuks Windowsi integreeritud kaitse kaitset. Sa pidid varem seda otsima Microsofti EMET tööriista kujul. See on nüüd osa Windows Defenderist ja see on vaikimisi aktiveeritud.
Kuidas Windows Defenderi kasutamine kaitseb
Me oleme juba ammu soovitanud kasutada anti-ekspluateerimise tarkvara nagu Microsofti täiustatud leevenduskogemuse tööriistakomplekti (EMET) või kasutajasõbralikumat Malwarebytes Anti-Malware'i, mis sisaldab võimsat anti-ekspluateerimise funktsiooni (muu hulgas). Microsofti EMETi kasutatakse laialdaselt suuremates võrkudes, kus seda saab süsteemi administraatorid konfigureerida, kuid seda pole vaikimisi installitud, vajab konfigureerimist ja on keskmise kasutaja jaoks segane kasutajaliides.
Tüüpilised viirusetõrjeprogrammid, nagu ka Windows Defender ise, kasutavad viiruse määratlusi ja heuristikat ohtlike programmide püüdmiseks enne, kui nad teie süsteemis töötavad. Anti-ekspluateerimise vahendid takistavad tegelikult paljude populaarsete rünnakutehnikate toimimist üldse, nii et need ohtlikud programmid ei pääse sinu süsteemile. Nad võimaldavad teatud operatsioonisüsteemi kaitset ja blokeerivad ühiste mälu ärakasutamise tehnikate, nii et kui tuvastatakse ärakasutamise sarnane käitumine, lõpetavad nad protsessi enne, kui midagi halba juhtub. Teisisõnu, nad võivad kaitsta paljude null-päevaste rünnakute eest enne, kui nad on paigatud.
Kuid need võivad põhjustada ühilduvusprobleeme ja nende seadeid võib olla vaja erinevate programmide jaoks muuta. Sellepärast kasutati EMETi üldjuhul ettevõtte võrkudes, kus süsteemiadministraatorid võisid seadeid muuta, mitte koduarvutites.
Windows Defender sisaldab nüüd mitmeid neid samu kaitsemeetmeid, mis olid algselt leitud Microsofti EMET-is. Nad on vaikimisi lubatud kõigile ja on osa operatsioonisüsteemist. Windows Defender konfigureerib automaatselt teie süsteemis töötavate protsesside jaoks sobivad reeglid. (Malwarebytes väidab endiselt, et nende anti-ekspluateerimise funktsioon on parem ja me soovitame siiski kasutada Malwarebytes'i, kuid see on hea, et Windows Defenderil on ka mõned sellest sisseehitatud.)
See funktsioon on automaatselt sisse lülitatud, kui olete värskendanud Windows 10 Fall Creators Update'i ja EMET ei ole enam toetatud. EMETi ei saa isegi paigaldada arvutisse, kus töötab Fall Creators Update. Kui teil on juba EMET installitud, eemaldatakse see värskendusega.
Windows 10 Fall Creators Update sisaldab ka seotud turvafunktsiooni, mida nimetatakse Controlled Folder Access. See on loodud pahavara peatamiseks, võimaldades ainult usaldusväärsetel programmidel muuta teie isikuandmete kaustades olevaid faile, näiteks Dokumendid ja Pildid. Mõlemad funktsioonid on osa “Windows Defender Exploit Guard”. Kontrollitud kausta juurdepääs pole vaikimisi lubatud.
Exploit-kaitse kinnitamine on lubatud
See funktsioon on automaatselt lubatud kõigi Windows 10 arvutite jaoks. Samas saab selle ka lülituda „Auditi režiimi“, mis võimaldab süsteemiadministraatoritel jälgida, millist logaritmi Exploit Protection oleks teinud, et kinnitada, et see ei põhjusta probleeme enne selle lubamist kriitilistes arvutites.
Selle funktsiooni lubamiseks saate avada Windowsi kaitsja turvalisuse keskuse. Avage menüü Start, otsige Windows Defenderit ja klõpsake Windows Defender Security Centeri otsetee.
Klõpsake külgribal akna kujuga ikooni „App & browser control”. Kerige alla ja näete jaotist „Kasuta kaitset”. See teavitab teid sellest, et see funktsioon on lubatud.
Kui te seda jaotist ei näe, pole teie arvatavasti veel värskendanud Fall Creators Update'i.
Windows Defenderi kasutamise kaitse konfigureerimine
Hoiatus: Sa ei taha seda funktsiooni konfigureerida. Windows Defender pakub palju tehnilisi võimalusi, mida saate kohandada, ning enamik inimesi ei tea, mida nad siin teevad. See funktsioon on konfigureeritud nutikate vaikeseadetega, mis väldivad probleeme ja Microsoft võib aja jooksul oma reegleid uuendada. Siin olevad valikud näivad eeskätt mõeldud selleks, et aidata süsteemiadministraatoritel töötada välja reeglid tarkvara jaoks ja neid ettevõtte võrgus välja viia.
Kui soovite seadistada Exploit Protectioni, siis minge Windows Defenderi turvakeskusesse> Rakendused ja brauseri juhtimine, liikuge alla ja klõpsake jaotises Exploit protection.
Siin on kaks vahekaarti: Süsteemi seaded ja programmi seaded. Süsteemi seaded juhivad kõigi rakenduste jaoks kasutatavaid vaikesätteid, samas kui programmi seaded reguleerivad erinevate programmide jaoks kasutatavaid individuaalseid seadeid. Teisisõnu, programmi seaded võivad tühistada üksikute programmide Süsteemi seaded. Need võivad olla piiravamad või vähem piiravad.
Ekraani allosas saate seadete eksportimiseks .xml-failina klõpsata nupul „Ekspordi seaded”, mida saab importida teistes süsteemides. Microsofti ametlik dokumentatsioon pakub rohkem teavet reeglite juurutamise kohta grupipoliitikaga ja PowerShelliga.
Vahekaardil Süsteemi seaded näete järgmisi valikuid: Juhtimisvoolu valvur (CFG), Andmete täitmise vältimine (DEP), Jõude randomiseerimine piltidele (Kohustuslik ASLR), Mälu jaotuste juhuslik muutmine (alt-üles ASLR), Erandikettide kinnitamine (SEHOP) ja valideeri hunniku terviklikkus. Nad kõik on vaikimisi välja lülitatud, välja arvatud suvand Force Forceization for images (kohustuslik ASLR). See on tõenäoliselt tingitud sellest, et kohustuslik ASLR põhjustab mõningate programmidega probleeme, nii et võite lubada selle ühilduvusprobleemide korral, sõltuvalt teie käivitatavatest programmidest.
Jällegi ei tohiks te neid võimalusi puudutada, kui te ei tea, mida te teete. Vaikeväärtused on mõistlikud ja valitakse põhjusel.
Liides annab väga lühikese kokkuvõtte sellest, mida iga valik teeb, kuid peate teadma rohkem, kui soovite rohkem teada saada. Oleme eelnevalt selgitanud, mida DEP ja ASLR siin teevad.
Klõpsake vahekaardil „Programmi seaded” ja näete erinevate programmide loendit kohandatud seadetega. Siin olevad valikud võimaldavad süsteemi üldised seaded üle kanda. Näiteks kui valite loendis „iexplore.exe“ ja klõpsate „Redigeeri“, näete, et reegel lubab siin jõuliselt kasutada kohustuslikku ASLR-i Internet Exploreri protsessile, kuigi see pole vaikimisi lubatud kogu süsteemi jaoks.
Te ei tohiks neid sisseehitatud reegleid muuta, näiteks runtimebroker.exe ja spoolsv.exe. Microsoft lisas neid põhjusel.
Saate lisada kohandatud reegleid üksikutele programmidele, klõpsates „Lisa programm kohandamiseks“. Saate kas “Lisa programmi nime järgi” või “Vali täpne failirada”, kuid täpse failiraja määramine on palju täpsem.
Kui olete lisanud, leiad pika nimekirja seadetest, mis enamiku inimeste jaoks ei ole mõttekad. Siin leiduvate seadistuste täielik loetelu on: Valikuline koodikaitse (ACG), Madala terviklikkuse piltide blokeerimine, Kaugprofiilide blokeerimine, Ebausaldusväärsete fontide blokeerimine, Koodide terviklikkuse valvur, Kontrollvoolu valvur, Andmete täitmise vältimine (DEP), Laienduspunktide keelamine , Keela Win32k süsteemi kõned, Ärge lubage lasteprotsesse, Ekspordi aadressi filtreerimine (EAF), Jõudude randomiseerimine piltidele (Kohustuslik ASLR), Impordi aadressi filtreerimine (IAF), Mälu jaotuste juhuslikuks tegemine (alt-üles ASLR), Simuleeri teostamine (SimExec) , Valideeri API kutsumine (CallerCheck), Valideeri erandite ahelaid (SEHOP), Valideeri käepide kasutamine, Kinnitage hunniku terviklikkus, Kinnitage pildi sõltuvuse terviklikkus ja kinnitage korstna terviklikkus (StackPivot).
Jällegi ei tohiks te neid valikuid puudutada, kui te ei ole süsteemiadministraator, kes soovib rakenduse lukustada ja te teate, mida te teete.
Testina lubasime kõik iexplore.exe valikud ja proovisime seda käivitada. Internet Explorer näitas lihtsalt veateate ja keeldus käivitamast. Me ei näinud isegi Windowsi kaitsja teatist, milles selgitati, et Internet Explorer meie seadete tõttu ei tööta.
Ärge ainult pimesi üritage piirata rakendusi või tekitate oma süsteemis sarnaseid probleeme. Neil on raskusi tõrkeotsinguga, kui te ei mäleta, et olete ka võimalusi muutnud.
Kui kasutate ikka veel vanemat Windowsi versiooni, nagu näiteks Windows 7, saate ära kasutada kaitsesüsteeme Microsofti EMET või Malwarebytes installimise abil. EMETi toetus peatub siiski 31. juulil 2018, kuna Microsoft tahab ettevõtteid suunata Windows 10 ja Windows Defender Exploit Protectioni poole.