Kuidas Windows Defenderi kaitsevahend töötab?
Oleme pikka aega soovitanud kasutada tõrkeotsingutarkvara, nagu Microsofti täiustatud leevendamistehnoloogia tööriistakomplekt (EMET) või kasutajasõbralikum Malwarebytes Anti-Malware, mis sisaldab muu hulgas võimas anti-exploit funktsiooni. Microsofti EMETi kasutatakse laialdaselt suuremates võrkudes, kus süsteemihaldurid saavad seda konfigureerida, kuid seda ei ole kunagi vaikimisi installitud, see nõuab konfiguratsiooni ja omab keskmisele kasutajale segadust.
Tüüpilised viirusetõrjeprogrammid, nagu Windows Defender ise, kasutavad viiruste määratlusi ja heuristilisi viise, et püüda ohtlikke programme enne nende süsteemi käivitamist. Anti-Exploit vahendid takistavad paljudel populaarsete rünnakute tehnikatel üldse toimimist, mistõttu neid ohtlikke programme ei jõua teie süsteemis esmakordselt. Nad võimaldavad teatud opsüsteemi kaitset ja blokeerivad ühist mälu kasutamise tehnikat, nii et kui kasutatakse ärakasutatavat käitumist, tuvastatakse protsess enne, kui midagi halba juhtub. Teisisõnu saavad nad kaitsta mitmete null-päeva rünnakute eest, enne kui need on parandatud.
Kuid need võivad põhjustada ühilduvusprobleeme, ja nende seadistusi võib olla tarvis muuta erinevate programmide jaoks. Sellepärast kasutati EMETi üldiselt ettevõtte võrkudes, kus süsteemiadministraatorid saaksid seadeid kohandada, mitte kodus kasutatavatele arvutitele.
Windows Defender sisaldab nüüd mitmeid samu kaitsemeetmeid, mis olid algselt Microsoft Microsofti EMET-s. Need on vaikimisi lubatavad kõigile ja kuuluvad operatsioonisüsteemi. Windows Defender konfigureerib automaatselt sobivad reeglid teie süsteemis töötavate erinevate protsesside jaoks. (Malwarebytes väidab jätkuvalt, et nende kasutusevastane funktsioon on parem, ja me soovitame ikka kasutada Malwarebytes, kuid see on hea, et ka Windows Defenderil on mõni selline sisseehitatud ka praegu.)
See funktsioon on automaatselt sisse lülitatud, kui olete Windows 10 täiendatud Fall Creators Update'i versiooniuuenduse juurde ja EMET enam ei toeta. EMETi ei saa isegi installida sülearvutite värskendust kasutavatele arvutitele. Kui sul on juba installitud EMET, eemaldatakse see uuendatud versiooniga.
Windows 10 sügisfunktsiooni loomise värskendusel on ka seotud turvalisusfunktsioon nimega Controlled Folder Access. Selle eesmärk on peatada pahavara, lubades ainult usaldusväärsetel programmidel oma isiklike andmete kaustade, nagu dokumendid ja pildid, failide muutmist. Mõlemad funktsioonid on osa "Windows Defender Exploit Guard". Kuid kontrollitavate kaustade juurdepääs pole vaikimisi lubatud.
Kuidas kinnitada kasutuskaitse on lubatud
See funktsioon on automaatselt lubatud kõigile Windows 10-arvutitele. Siiski saab seda ka muuta "auditirežiimiks", mis võimaldab süsteemiadministraatoritel jälgida, kas Exploit Protection oleks seda kinnitanud, et see ei tekita probleeme enne kriitiliste arvutite lubamist.
Selle funktsiooni lubamise kinnitamiseks saate avada Windows Defenderi turvakeskuse. Ava oma menüü Start, otsi Windows Defenderit ja klõpsake vahekaarti Windows Defender Security Center.
Kui te ei näe seda jaotist, pole teie arvutis ikka veel Fall Creatoride värskendamist veel värskendatud.
Kuidas kaitsta Windows Defender'i kaitset
Hoiatus: Tõenäoliselt ei soovi see funktsioon seda funktsiooni seadistada. Windows Defender pakub palju tehnilisi võimalusi, mida saate kohandada, ja enamik inimesi ei tea, mida nad siin teevad. See funktsioon on konfigureeritud tarkade vaikeseadetega, mis aitavad vältida probleeme ja Microsoft saab aja jooksul oma reegleid ajakohastada. Siin näib olevat valikuvõimalus peamiselt aidata süsteemiadministraatoritel töötada välja tarkvara eeskirjad ja viia need ettevõtlusvõrgustikus välja.
Kui soovite konfigureerida Exploit Protection'i, minge Windows Defendi turvakeskusse> Rakenduse ja brauseri juhtpaneel, liikuge allapoole ja klõpsake käsku Exploit protection (kaitsevahendite kasutamine).
Ekraani allosas võite klõpsata "Seadistused eksportida", et eksportida seadeid.xml-failina, mida saab teistesse süsteemidesse importida. Microsofti ametlikest dokumentidest leiate rohkem teavet eeskirjade juurutamise kohta rühma-poliitika ja PowerShelliga.
Jällegi ei peaks te tõesti neid valikuid puudutama, kui te ei tea, mida teete. Vaikeväärtused on mõistlikud ja valitakse põhjusel.
Liides annab väga lühikese kokkuvõtte sellest, mida iga võimalus teeb, kuid peate tegema mõned uuringud, kui soovite rohkem teada saada. Oleme varem selgitanud, mida DEP ja ASLR teevad siin.
Sa ei tohiks neid sisseehitatud reegleid rakendada selliste protsesside puhul nagu runtimebroker.exe ja spoolsv.exe. Microsoft lisas neid põhjusel.
Võite lisada individuaalsete programmide jaoks kohandatud reegleid, klõpsates valikul "Lisa kohandatud programm". Võite kas lisada "Lisa programmi nime" või "Vali täpne faili tee", kuid täpse faili tee täpsustamine on täpsem.
Jällegi ei peaks te neid valikuid puudutama, kui olete süsteemiadministraator, kes soovib rakendust lukustada ja teate tõesti, mida teete.
Ärge lihtsalt pimesi proovige rakendusi piirata või tekitada oma süsteemis sarnaseid probleeme. Neid on raske tõrkeotsingut teha, kui te ei mäleta, et olete muutnud ka valikuid.