Kako deluje zaščita novega zagona programa Windows Defender (in kako ga nastaviti)
Microsoftovo posodabljanje jesenskih ustvarjalcev končno doda integrirano zaščito pred izkoriščanjem za Windows. Prej ste to morali iskati v obliki Microsoftovega orodja EMET. Zdaj je del programa Windows Defender in je privzeto aktiviran.
Kako Windows Defender izkorišča zaščito deluje
Od nekdaj priporočamo uporabo programske opreme za preprečevanje izkoriščanja, kot je Microsoftovo orodje za izboljšanje izkušenj (EMET) ali bolj uporabniku prijazen Malwarebytes Anti-Malware, ki vsebuje močan anti-exploit element (med drugim). Microsoftov EMET se pogosto uporablja v večjih omrežjih, kjer ga lahko konfigurirajo skrbniki sistema, vendar ni bil nameščen privzeto, zahteva konfiguracijo in ima zmeden vmesnik za povprečne uporabnike..
Tipični protivirusni programi, kot je Windows Defender, uporabljajo definicije virusov in hevristiko za ulov nevarnih programov, preden se lahko zaženejo v vašem sistemu. Anti-exploit orodja dejansko preprečujejo delovanje vseh priljubljenih tehnik napada, tako da ti nevarni programi sploh ne pridejo v vaš sistem. Omogočajo določene zaščite operacijskega sistema in blokirajo običajne tehnike izkoriščanja pomnilnika, tako da bodo, če odkrijejo podobno obnašanje, končali postopek, preden se zgodi kaj slabega. Z drugimi besedami, lahko zaščitijo pred številnimi napadi z ničelnim dnevom, preden jih zakrpajo.
Vendar pa lahko povzročijo težave z združljivostjo, zato je treba njihove nastavitve prilagoditi različnim programom. Zato se je EMET na splošno uporabljal v podjetniških omrežjih, kjer so lahko skrbniki sistema prilagodili nastavitve in ne domačih računalnikov.
Windows Defender zdaj vključuje veliko teh zaščit, ki so bile prvotno najdene v Microsoftovem EMET. Omogočeni so privzeto za vsakogar in so del operacijskega sistema. Windows Defender samodejno konfigurira ustrezna pravila za različne procese, ki se izvajajo v sistemu. (Malwarebytes še vedno trdi, da je njihova funkcija za preprečevanje izkoriščanja boljša, in še vedno priporočamo uporabo Malwarebytes, vendar je dobro, da ima Windows Defender tudi nekaj tega vgrajenega.)
Ta funkcija je samodejno omogočena, če ste nadgradili posodobitev programa Fall Creators za Windows 10 in program EMET ni več podprt. EMET ne more biti nameščen niti na osebnih računalnikih, ki upravljajo posodobitev Fall Creators. Če imate že nameščen program EMET, bo posodobitev odstranjena.
Posodobitev Fall Creators programa Windows 10 vključuje tudi povezano varnostno funkcijo z imenom Controlled Folder Access. Namenjen je preprečevanju zlonamerne programske opreme tako, da zaupnim programom dovoljuje spreminjanje datotek v mapah z osebnimi podatki, kot so Dokumenti in Slike. Obe funkciji sta del programa »Windows Defender Exploit Guard«. Vendar pa Kontrolirani dostop do mape ni privzeto omogočen.
Kako potrditi zaščito pred izkoriščanjem je omogočeno
Ta funkcija je samodejno omogočena za vse računalnike Windows 10. Vendar pa se lahko preklopi tudi na način »Revizija«, ki omogoča skrbnikom sistema, da spremljajo dnevnik o tem, kaj bi Izkoriščena zaščita storila, da bi potrdila, da ne bo povzročila nobenih težav, preden jo omogoči na kritičnih računalnikih..
Če želite potrditi, da je ta funkcija omogočena, lahko odprete varnostni center Windows Defender. Odprite meni Start, poiščite program Windows Defender in kliknite bližnjico programa Windows Defender Security Center.
Kliknite ikono »App & browser control« v obliki okna v stranski vrstici. Pomaknite se navzdol in videli boste razdelek »Zaščita pred izkoriščanjem«. Obvestilo vas bo, da je ta funkcija omogočena.
Če tega poglavja ne vidite, vaš računalnik verjetno še ni posodobljen na posodobitev za ustvarjalce padca.
Kako konfigurirati zaščito pred zagonom programa Windows Defender
Opozorilo: Verjetno ne želite konfigurirati te funkcije. Windows Defender ponuja številne tehnične možnosti, ki jih lahko prilagodite, in večina ljudi ne bo vedela, kaj počnejo tukaj. Ta funkcija je konfigurirana s pametnimi privzetimi nastavitvami, ki preprečujejo težave in Microsoft lahko sčasoma posodobi svoja pravila. Tukaj se zdi, da so možnosti namenjene predvsem sistemskim skrbnikom, da razvijejo pravila za programsko opremo in jih razširijo v podjetniški mreži.
Če želite konfigurirati zaščito pred izkoriščanjem, pojdite v Varnostno središče programa Windows Defender> Nadzor aplikacij in brskalnika, pomaknite se navzdol in kliknite »Uporabi zaščitne nastavitve« pod Zaščita pred izkoriščanjem.
Tu boste videli dva zavihka: Sistemske nastavitve in Nastavitve programa. Sistemske nastavitve nadzorujejo privzete nastavitve, ki se uporabljajo za vse aplikacije, medtem ko nastavitve programa nadzorujejo posamezne nastavitve, ki se uporabljajo za različne programe. Z drugimi besedami, nastavitve programa lahko preglasijo sistemske nastavitve za posamezne programe. Lahko so bolj omejevalne ali manj omejevalne.
Na dnu zaslona lahko kliknete »Izvozi nastavitve«, da izvozite nastavitve kot .xml datoteko, ki jo lahko uvozite v druge sisteme. Microsoftova uradna dokumentacija ponuja več informacij o uvajanju pravil s pravilnikom skupine in PowerShell.
Na zavihku Sistemske nastavitve boste videli naslednje možnosti: Nadzor pretoka kontrolnika (CFG), Preprečevanje izvajanja podatkov (DEP), Prisilna randomizacija za slike (Obvezni ASLR), Naključne dodelitve pomnilnika (Od spodaj navzgor ASLR), Potrditev verige izjem (SEHOP) in Potrdi celovitost kopice. Vse so privzeto vklopljene, razen možnosti za prisilno izločanje za slike (obvezno ASLR). To je verjetno zato, ker obvezni ASLR povzroča težave z nekaterimi programi, zato lahko naletite na težave z združljivostjo, če ga omogočite, odvisno od programov, ki jih izvajate.
Ponovno se ne smete dotikati teh možnosti, razen če veste, kaj počnete. Privzete nastavitve so smiselne in so izbrane z razlogom.
Vmesnik ponuja zelo kratek povzetek tega, kar počne vsaka možnost, vendar boste morali opraviti nekaj raziskav, če želite izvedeti več. Prej smo pojasnili, kaj DEP in ASLR delata tukaj.
Kliknite na zavihek »Nastavitve programa« in prikaže se seznam različnih programov z nastavitvami po meri. Tukaj so možnosti, ki omogočajo razveljavitev splošnih nastavitev sistema. Na primer, če na seznamu izberete »iexplore.exe« in kliknete »Uredi«, boste videli, da pravilo prisilno omogoča obvezno ASLR za proces Internet Explorerja, čeprav to ni omogočeno po privzetku celotnega sistema..
Teh vgrajenih pravil za procese, kot so runtimebroker.exe in spoolsv.exe, ne smete spreminjati. Microsoft jih je dodal z razlogom.
Pravila po meri za posamezne programe lahko dodate tako, da kliknete »Dodaj program za prilagoditev«. Lahko izberete »Dodaj po imenu programa« ali »Izberi natančno pot datoteke«, vendar je natančnejša določitev natančne poti datoteke.
Ko ga dodate, lahko najdete dolg seznam nastavitev, ki ne bodo pomembne za večino ljudi. Celoten seznam nastavitev, ki so na voljo tukaj, je: Arbitrial code guard (ACG), Blokiraj slike z nizko integriteto, Blokiraj oddaljene slike, Blokiraj nezanesljive pisave, Stvarnost integritete kode, Nadzor pretoka krmiljenja (CFG), Preprečevanje izvajanja podatkov (DEP) , Onemogoči sistemske klice Win32k, Ne dovoli otroških procesov, Izvozi filtriranje naslovov (EAF), Prisilno randomizacijo za slike (Obvezni ASLR), Uvoz filtriranja naslovov (IAF), Naključne dodelitve pomnilnika (ASLR od spodaj navzgor), Simulacija izvedbe (SimExec) , Validate API invocation (CallerCheck), Validate izuzetne verige (SEHOP), Potrdi uporabo ročice, Potrdi celovitost kopice, Potrdi integriteto odvisnosti slike in Potrdi integriteto skladov (StackPivot).
Ponovno se ne dotikajte teh možnosti, razen če ste sistemski skrbnik, ki želi zakleniti aplikacijo in res veste, kaj počnete.
Kot test smo omogočili vse možnosti za iexplore.exe in ga poskušali zagnati. Internet Explorer je samo prikazal sporočilo o napaki in zavrnil zagon. Sploh nismo videli obvestila Windows Defenderja, ki pojasnjuje, da Internet Explorer ne deluje zaradi naših nastavitev.
Ne poskušajte samo slepo omejiti aplikacij ali pa boste v sistemu povzročili podobne težave. Težko jih bo odpraviti, če se ne spomnite, da ste spremenili tudi možnosti.
Če še vedno uporabljate starejšo različico sistema Windows, kot je Windows 7, lahko uporabite zaščitne funkcije za izkoriščanje tako, da namestite Microsoftov EMET ali Malwarebytes. Vendar pa se bo podpora za EMET ustavila 31. julija 2018, ko bo Microsoft želel spodbuditi podjetja k Windows 10 in Windows Defenderju za zaščito pred izkoriščanjem..