If-Koubou

Jak działa nowa ochrona przed zagrożeniami programu Windows Defender (i jak to skonfigurować)

Jak działa nowa ochrona przed zagrożeniami programu Windows Defender (i jak to skonfigurować) (Jak)

Aktualizacja Fall Creators Update firmy Microsoft wreszcie dodaje zintegrowaną ochronę przed exploitami do systemu Windows. Poprzednio musiałaś szukać tego w postaci narzędzia EMET Microsoftu. Jest teraz częścią Windows Defender i jest domyślnie aktywowany.

Jak działa ochrona przed exploitami programu Windows Defender

Od dawna zalecamy stosowanie oprogramowania zapobiegającego exploitom, takiego jak Microsoft Enhanced Mitigation Experience Toolkit (EMET) lub bardziej przyjazny dla użytkownika Malwarebytes Anti-Malware, który zawiera potężną funkcję anty-exploit (między innymi). EMET firmy Microsoft jest szeroko stosowany w większych sieciach, gdzie może być konfigurowany przez administratorów systemu, ale nigdy nie był instalowany domyślnie, wymaga konfiguracji i ma dezorientujący interfejs dla przeciętnych użytkowników.

Typowe programy antywirusowe, takie jak sam program Windows Defender, wykorzystują definicje wirusów i heurystyki do przechwytywania niebezpiecznych programów, zanim będą mogły działać w systemie. Narzędzia zapobiegające exploitom faktycznie uniemożliwiają działanie wielu popularnych technik ataku, więc te niebezpieczne programy nie docierają do twojego systemu. Pozwalają one na pewne zabezpieczenia systemu operacyjnego i blokują popularne techniki wykorzystania pamięci, więc jeśli wykryje się podobne do exploita zachowanie, zakończą proces, zanim zdarzy się coś złego. Innymi słowy, mogą chronić przed wieloma atakami zero-day, zanim zostaną załatane.

Mogą jednak powodować problemy ze zgodnością, a ich ustawienia mogą wymagać modyfikacji w przypadku różnych programów. Z tego powodu EMET był generalnie używany w sieciach korporacyjnych, gdzie administratorzy systemu mogli modyfikować ustawienia, a nie na domowych komputerach osobistych.

Program Windows Defender zawiera teraz wiele tych samych zabezpieczeń, które pierwotnie znajdowały się w programie EMET firmy Microsoft. Są one domyślnie włączone dla wszystkich i są częścią systemu operacyjnego. Program Windows Defender automatycznie konfiguruje odpowiednie reguły dla różnych procesów uruchomionych w systemie. (Malwarebytes nadal twierdzi, że ich funkcja anty-exploit jest lepsza i nadal zalecamy używanie Malwarebytes, ale dobrze, że Windows Defender ma teraz również trochę tego wbudowanego.)

Ta funkcja jest automatycznie włączana po uaktualnieniu do Aktualizacji Fall Creators dla systemu Windows 10, a funkcja EMET nie jest już obsługiwana. EMET nie może być nawet zainstalowany na komputerach z uruchomioną aktualizacją Fall Creators. Jeśli masz już zainstalowany EMET, zostanie on usunięty przez aktualizację.

Aktualizacja Fall Creators dla systemu Windows 10 zawiera również powiązaną funkcję zabezpieczeń o nazwie Kontrolowany dostęp do folderów. Został zaprojektowany w celu powstrzymania złośliwego oprogramowania poprzez zezwolenie zaufanym programom na modyfikowanie plików w osobistych folderach danych, takich jak Dokumenty i Obrazy. Obie funkcje są częścią "Windows Defender Exploit Guard". Jednak dostęp do folderu kontrolowanego nie jest domyślnie włączony.

Jak potwierdzić, czy ochrona przed exploitami jest włączona

Ta funkcja jest automatycznie włączona dla wszystkich komputerów z systemem Windows 10. Można go jednak również przełączyć na "Tryb kontroli", umożliwiając administratorom systemu monitorowanie dziennika tego, co zrobiłaby funkcja Ochrona przed zagrożeniami, aby potwierdzić, że nie spowoduje żadnych problemów przed włączeniem go na krytycznych komputerach.

Aby potwierdzić, że ta funkcja jest włączona, możesz otworzyć Centrum zabezpieczeń programu Windows Defender. Otwórz menu Start, wyszukaj Windows Defender i kliknij skrót programu Windows Defender Security Center.

Kliknij ikonę "Wygląd aplikacji i przeglądarki" na pasku bocznym w oknie. Przewiń w dół, a zobaczysz sekcję "Ochrona przed exploitami". Poinformuje Cię, że ta funkcja jest włączona.

Jeśli nie widzisz tej sekcji, Twój komputer prawdopodobnie nie został zaktualizowany do Aktualizacji Fall Creators.

Jak skonfigurować ochronę Exploit Windows Defender

Ostrzeżenie: Prawdopodobnie nie chcesz konfigurować tej funkcji. Program Windows Defender oferuje wiele opcji technicznych, które można dostosować, a większość ludzi nie wie, co tutaj robią. Ta funkcja jest skonfigurowana z inteligentnymi domyślnymi ustawieniami, które pozwalają uniknąć problemów, a firma Microsoft może z czasem aktualizować swoje reguły. Wydaje się, że przedstawione tu opcje mają przede wszystkim pomóc administratorom systemów w opracowaniu reguł oprogramowania i wdrożeniu ich w sieci firmowej.

Jeśli chcesz skonfigurować ochronę programu Exploit, przejdź do Centrum zabezpieczeń programu Windows Defender> Kontrola aplikacji i przeglądarki, przewiń w dół i kliknij "Zastosuj ustawienia ochrony" w obszarze Ochrona przed exploitami.

Zobaczysz tu dwie karty: Ustawienia systemu i Ustawienia programu. Ustawienia systemowe sterują domyślnymi ustawieniami używanymi dla wszystkich aplikacji, podczas gdy ustawienia programów sterują indywidualnymi ustawieniami używanymi dla różnych programów. Innymi słowy, ustawienia programu mogą zastąpić ustawienia systemowe poszczególnych programów. Mogą być bardziej restrykcyjne lub mniej restrykcyjne.

U dołu ekranu możesz kliknąć "Eksportuj ustawienia", aby wyeksportować swoje ustawienia jako plik .xml, który możesz zaimportować w innych systemach. Oficjalna dokumentacja Microsoftu zawiera więcej informacji o wdrażaniu reguł za pomocą Zasad Grupy i PowerShell.

Na zakładce Ustawienia systemowe dostępne są następujące opcje: Sterowanie ochroną przepływu (CFG), Zapobieganie wykonywaniu danych (DEP), wymuszanie losowania obrazów (Obowiązkowy protokół ASLR), Losowe przydzielanie pamięci (ASLR od dołu), Sprawdzanie poprawności łańcuchów wyjątków (SEHOP) i sprawdzanie integralności sterty. Wszystkie są domyślnie włączone, z wyjątkiem opcji Losowanie siły dla obrazów (Obowiązkowe ASLR). Jest tak prawdopodobnie dlatego, że obowiązkowe ASLR powoduje problemy z niektórymi programami, więc możesz włączyć problemy z kompatybilnością, jeśli je włączysz, w zależności od uruchamianych programów.

Ponownie, naprawdę nie powinieneś dotykać tych opcji, chyba że wiesz, co robisz. Wartości domyślne są rozsądne i wybrane z konkretnego powodu.

Interfejs zawiera bardzo krótkie podsumowanie tego, co robi każda opcja, ale będziesz musiał przeprowadzić pewne badania, jeśli chcesz dowiedzieć się więcej. Wcześniej wyjaśnialiśmy, co robią DEP i ASLR.

Kliknij kartę "Ustawienia programów", a zobaczysz listę różnych programów z ustawieniami niestandardowymi. Opcje w tym miejscu pozwalają na nadpisanie ogólnych ustawień systemu. Na przykład, jeśli wybierzesz "iexplore.exe" na liście i klikniesz "Edytuj", zobaczysz, że zasada w tym miejscu wymusza obowiązkowe ASLR dla procesu Internet Explorer, mimo że nie jest włączony domyślnie w całym systemie.

Nie należy manipulować tymi wbudowanymi regułami dla procesów takich jak runtimebroker.exe i spoolsv.exe. Microsoft dodał je z jakiegoś powodu.

Możesz dodać własne reguły dla poszczególnych programów, klikając "Dodaj program do dostosowania". Możesz wybrać "Dodaj według nazwy programu" lub "Wybierz dokładną ścieżkę pliku", ale podanie dokładnej ścieżki do pliku jest znacznie bardziej precyzyjne.

Po dodaniu możesz znaleźć długą listę ustawień, które nie będą miały większego znaczenia dla większości ludzi. Pełna lista ustawień dostępnych tutaj to: Arbitralne zabezpieczenie kodu (ACG), Blokowanie obrazów o niskiej integralności, Blokowanie zdalnych obrazów, Blokowanie niezaufanych czcionek, Ochrona integralności kodu, Kontrola bezpieczeństwa przepływu (CFG), Zapobieganie wykonywaniu danych (DEP), Wyłączanie punktów rozszerzeń , Wyłącz wywołania systemowe Win32k, Nie zezwalaj na procesy podrzędne, Eksportuj filtrowanie adresów (EAF), Wymuszaj losowanie obrazów (Obowiązkowe ASLR), Importuj filtrowanie adresów (IAF), Losowe przydzielanie pamięci (Oddłużanie ASLR), Symuluj wykonywanie (SimExec) , Sprawdź poprawność wywołania API (CallerCheck), Sprawdź łańcuchy wyjątków (SEHOP), Sprawdź użycie uchwytów, Sprawdź poprawność stosu sterty, Sprawdź poprawność zależności obrazu i Sprawdź poprawność stosu (StackPivot).

Ponownie, nie należy dotykać tych opcji, chyba że jesteś administratorem systemu, który chce zablokować aplikację i naprawdę wiesz, co robisz.

Jako test włączono wszystkie opcje dla iexplore.exe i próbowaliśmy je uruchomić. Internet Explorer pokazał komunikat o błędzie i odmówił uruchomienia. Nie zobaczyliśmy nawet powiadomienia programu Windows Defender wyjaśniającego, że program Internet Explorer nie działa z powodu naszych ustawień.

Nie próbuj ograniczać aplikacji na ślepo, bo spowodujesz podobne problemy w swoim systemie. Jeśli nie zapomnisz, że zmieniłeś opcje, trudno będzie je rozwiązać.

Jeśli nadal używasz starszej wersji systemu Windows, np. Windows 7, możesz skorzystać z funkcji ochrony przed exploitami, instalując pakiet EMET lub Malwarebytes firmy Microsoft. Jednak wsparcie dla systemu EMET zakończy się 31 lipca 2018 r., Ponieważ Microsoft chce zamiast tego skierować firmy na system Windows 10 i ochronę przed zagrożeniami programu Windows Defender.