Cum funcționează Protecția noilor exploatații ale Windows Defender (și cum se configurează)
Actualizarea creatorilor de toamnă de la Microsoft adaugă în final protecție integrată în Windows. În trecut, a trebuit să căutați acest lucru sub forma unui instrument EMET al Microsoft. Acum face parte din Windows Defender și este activat în mod implicit.
Cum functioneaza Protectia Exploitata a Windows Defender
De mult timp, am recomandat utilizarea unui program anti-exploatare, cum ar fi Microsoft Enhanced Mitigation Experience Toolkit (EMET) sau Malwarebytes Anti-Malware mai ușor de utilizat, care conține o puternică caracteristică anti-exploatare (printre altele). Microsoft EMET este utilizat pe scară largă în rețelele mai mari unde poate fi configurat de administratorii de sistem, dar nu a fost niciodată instalat în mod implicit, necesită configurare și are o interfață confuză pentru utilizatorii medii.
Programele antivirus tipice, cum ar fi Windows Defender în sine, utilizează definiții de virusi și euristică pentru a prinde programe periculoase înainte de a putea rula pe sistemul dvs. Instrumentele anti-exploatare împiedică de fapt funcționarea multor tehnici de atac populare, astfel încât programele periculoase nu se găsesc în primul rând în sistemul dvs. Acestea permit anumite protecții ale sistemului de operare și blochează tehnicile de exploatare a memoriei comune, astfel încât, dacă se detectează un comportament similar exploatării, aceștia vor termina procesul înainte de a se întâmpla ceva rău. Cu alte cuvinte, ei pot proteja împotriva multor atacuri de zero zile înainte de a fi patch-uri.
Cu toate acestea, acestea ar putea provoca probleme de compatibilitate, iar setările lor ar putea fi modificate pentru diferite programe. De aceea, EMET a fost utilizat în general în rețelele de întreprinderi, unde administratorii de sistem ar putea modifica setările, și nu pe PC-urile de acasă.
Windows Defender include acum multe dintre aceleași protecții, care au fost găsite inițial în EMET Microsoft. Acestea sunt activate în mod implicit pentru toată lumea și fac parte din sistemul de operare. Windows Defender configurează automat regulile corespunzătoare pentru diferite procese care rulează în sistemul dvs. (Malwarebytes afirmă încă că caracteristica anti-exploatare este superioară și încă recomandăm utilizarea Malwarebytes, dar este bine că Windows Defender are și acum unele dintre aceste caracteristici încorporate).
Această caracteristică este activată automat dacă ați făcut upgrade la actualizarea Fall Creators, iar EMET nu mai este acceptat. EMET nu poate fi instalat nici chiar pe PC-urile care rulează actualizarea Fall Creators. Dacă ați instalat deja EMET, acesta va fi eliminat de actualizare.
Actualizarea Fall Creators Windows 10 include, de asemenea, o funcție de securitate asociată numită Acces controlat al dosarelor. Este conceput pentru a opri malware-ul, permițând programelor de încredere să modifice fișierele din dosarele cu date personale, cum ar fi Documente și Imagini. Ambele caracteristici fac parte din "Windows Defender Exploit Guard". Cu toate acestea, accesul la folderul controlat nu este activat în mod implicit.
Confirmarea protecției exploatate este activată
Această caracteristică este activată automat pentru toate calculatoarele Windows 10. Cu toate acestea, poate fi trecut și în modul "Audit", permițând administratorilor de sistem să monitorizeze un jurnal cu privire la ceea ce ar fi făcut Protecția Exploit pentru a confirma că nu va provoca probleme înainte de al activa pe PC-uri critice.
Pentru a confirma că această funcție este activată, puteți deschide Centrul de securitate Windows Defender. Deschideți meniul Start, căutați Windows Defender și faceți clic pe comanda rapidă Windows Center Security Center.
Faceți clic pe pictograma "Aplicație și control browser" în fereastră în bara laterală. Derulați în jos și veți vedea secțiunea "Protecție exploatație". Vă va informa că această funcție este activată.
Dacă nu vedeți această secțiune, PC-ul dvs. probabil nu sa actualizat încă la actualizările Creatorilor de toamnă.
Cum se configurează protecția Exploit Windows Defender
Avertizare: Probabil că nu doriți să configurați această caracteristică. Windows Defender oferă multe opțiuni tehnice pe care le puteți ajusta și majoritatea oamenilor nu vor ști ce fac aici. Această caracteristică este configurată cu setări implicite inteligente, care vor evita provocarea de probleme, iar Microsoft își poate actualiza regulile în timp. Opțiunile de aici par a fi intenționate, în primul rând, pentru a ajuta administratorii de sisteme să dezvolte reguli pentru software și să le introducă pe o rețea de întreprinderi.
Dacă doriți să configurați Protecția Exploit, mergeți la Centrul de securitate Windows Defender> Controlul aplicațiilor și al browserului, derulați în jos și dați clic pe "Setări de protecție exploatați" din secțiunea Protecție Exploit.
Veți vedea două file: Setări de sistem și Setări program. Setările sistemului controlează setările implicite utilizate pentru toate aplicațiile, în timp ce setările programului controlează setările individuale utilizate pentru diferite programe. Cu alte cuvinte, setările programului pot înlocui setările de sistem pentru programele individuale. Acestea ar putea fi mai restrictive sau mai puțin restrictive.
În partea de jos a ecranului, puteți face clic pe "Export setări" pentru a exporta setările ca fișier .xml pe care le puteți importa pe alte sisteme. Documentația oficială a Microsoft oferă mai multe informații despre implementarea regulilor cu Politica de grup și PowerShell.
În fila Setări sistem veți vedea următoarele opțiuni: Controlul fluxului de protecție (CFG), Prevenirea execuției datelor (DEP), Randarea forțelor pentru imagini (ASLR obligatoriu), Randomizarea alocărilor de memorie (Bottom-up ASLR) (SEHOP) și validarea integrității heapului. Toate acestea sunt activate în mod prestabilit, cu excepția opțiunii Force randomization for images (Obligatorie ASLR). Acest lucru este probabil datorită faptului că ASLR obligatoriu cauzează probleme cu unele programe, astfel încât este posibil să întâmpinați probleme de compatibilitate dacă le activați, în funcție de programele pe care le executați.
Din nou, nu trebuie să atingeți aceste opțiuni decât dacă știți ce faceți. Valorile implicite sunt sensibile și sunt alese pentru un motiv.
Interfața oferă un rezumat foarte scurt al a ceea ce face fiecare opțiune, dar va trebui să faceți niște cercetări dacă doriți să aflați mai multe. Am explicat anterior ce fac DEP și ASLR aici.
Faceți clic pe fila "Setări program" și veți vedea o listă cu diferite programe cu setări personalizate. Opțiunile de aici permit depășirea setărilor generale ale sistemului. De exemplu, dacă selectați "iexplore.exe" din listă și faceți clic pe "Editați", veți vedea că regula implică în mod forțat ASLR obligatoriu pentru procesul Internet Explorer, chiar dacă nu este activat în mod implicit la nivel de sistem.
Nu trebuie să manipulați aceste reguli încorporate pentru procese precum runtimebroker.exe și spoolsv.exe. Microsoft le-a adăugat pentru un motiv.
Puteți adăuga reguli personalizate pentru programele individuale, făcând clic pe "Adăugați programul pentru personalizare". Puteți să fie "Adăugați după numele programului" sau "Alegeți calea exactă a fișierului", dar specificarea unei căi exacte a fișierului este mult mai precisă.
Odată adăugat, puteți găsi o listă lungă de setări care nu vor fi semnificative pentru majoritatea oamenilor. Lista completă a setărilor disponibile aici este: Protejarea codului arbitrar (ACG), Blocarea imaginilor de integritate scăzută, Blocarea imaginilor la distanță, Blocarea fonturilor nesigure, Protecția integrității codului, Protecția fluxului de control (CFG), Prevenirea execuției datelor (DEP) , Dezactivați apelurile de sistem Win32k, Nu permiteți procesele copilului, Filtrarea adreselor de export (EAF), Forțarea randomizării pentru imagini (ASLR obligatoriu), Filtrarea adreselor de import (IAF), Randomizarea alocărilor de memorie (ASLR de jos), Simularea execuției (SimExec) , Validarea invocării API (CallerCheck), Validarea lanțurilor excepționale (SEHOP), Validarea utilizării mânerului, Validarea integrității heapului, Validarea integrității dependenței de imagine și Validarea integrității stivei (StackPivot).
Din nou, nu trebuie să atingeți aceste opțiuni decât dacă sunteți administrator de sistem care dorește să blocheze o aplicație și chiar știți ce faceți.
Ca test, am activat toate opțiunile pentru iexplore.exe și am încercat să-l lansăm. Internet Explorer a arătat doar un mesaj de eroare și a refuzat să lanseze. Nu am văzut nici măcar o notificare Windows Defender care să explice că Internet Explorer nu funcționa din cauza setărilor noastre.
Nu încercați doar orbește să restricționați aplicațiile sau veți provoca probleme similare în sistemul dvs. Va fi dificil de depanat dacă nu vă amintiți că ați schimbat și opțiunile.
Dacă utilizați în continuare o versiune mai veche a Windows, cum ar fi Windows 7, puteți obține funcții de protecție exploatați, instalând Microsoft EMET sau Malwarebytes. Cu toate acestea, suportul pentru EMET se va opri pe 31 iulie 2018, deoarece Microsoft dorește să împingă întreprinderile către Windows 10 și Windows Exploit Protection.