Kuidas Windows Defenderi uued ekspluateerimiskaitse toimib (ja kuidas seda konfigureerida)

Sisukord:

Kuidas Windows Defenderi uued ekspluateerimiskaitse toimib (ja kuidas seda konfigureerida)
Kuidas Windows Defenderi uued ekspluateerimiskaitse toimib (ja kuidas seda konfigureerida)

Video: Kuidas Windows Defenderi uued ekspluateerimiskaitse toimib (ja kuidas seda konfigureerida)

Video: Kuidas Windows Defenderi uued ekspluateerimiskaitse toimib (ja kuidas seda konfigureerida)
Video: Understanding Microsoft’s Network Stack with Hyper-V - YouTube 2024, Märts
Anonim
Microsoft Fall Creator Updates lisab lõplikult Windowsile integreeritud kaitse. Varem oli teil seda otsida Microsofti EMET-i tööriista vormis. See on nüüd osa Windows Defenderist ja on vaikimisi aktiveeritud.
Microsoft Fall Creator Updates lisab lõplikult Windowsile integreeritud kaitse. Varem oli teil seda otsida Microsofti EMET-i tööriista vormis. See on nüüd osa Windows Defenderist ja on vaikimisi aktiveeritud.

Kuidas Windows Defenderi kaitsevahend töötab?

Oleme pikka aega soovitanud kasutada tõrkeotsingutarkvara, nagu Microsofti täiustatud leevendamistehnoloogia tööriistakomplekt (EMET) või kasutajasõbralikum Malwarebytes Anti-Malware, mis sisaldab muu hulgas võimas anti-exploit funktsiooni. Microsofti EMETi kasutatakse laialdaselt suuremates võrkudes, kus süsteemihaldurid saavad seda konfigureerida, kuid seda ei ole kunagi vaikimisi installitud, see nõuab konfiguratsiooni ja omab keskmisele kasutajale segadust.

Tüüpilised viirusetõrjeprogrammid, nagu Windows Defender ise, kasutavad viiruste määratlusi ja heuristilisi viise, et püüda ohtlikke programme enne nende süsteemi käivitamist. Anti-Exploit vahendid takistavad paljudel populaarsete rünnakute tehnikatel üldse toimimist, mistõttu neid ohtlikke programme ei jõua teie süsteemis esmakordselt. Nad võimaldavad teatud opsüsteemi kaitset ja blokeerivad ühist mälu kasutamise tehnikat, nii et kui kasutatakse ärakasutatavat käitumist, tuvastatakse protsess enne, kui midagi halba juhtub. Teisisõnu saavad nad kaitsta mitmete null-päeva rünnakute eest, enne kui need on parandatud.

Kuid need võivad põhjustada ühilduvusprobleeme, ja nende seadistusi võib olla tarvis muuta erinevate programmide jaoks. Sellepärast kasutati EMETi üldiselt ettevõtte võrkudes, kus süsteemiadministraatorid saaksid seadeid kohandada, mitte kodus kasutatavatele arvutitele.

Windows Defender sisaldab nüüd mitmeid samu kaitsemeetmeid, mis olid algselt Microsoft Microsofti EMET-s. Need on vaikimisi lubatavad kõigile ja kuuluvad operatsioonisüsteemi. Windows Defender konfigureerib automaatselt sobivad reeglid teie süsteemis töötavate erinevate protsesside jaoks. (Malwarebytes väidab jätkuvalt, et nende kasutusevastane funktsioon on parem, ja me soovitame ikka kasutada Malwarebytes, kuid see on hea, et ka Windows Defenderil on mõni selline sisseehitatud ka praegu.)

See funktsioon on automaatselt sisse lülitatud, kui olete Windows 10 täiendatud Fall Creators Update'i versiooniuuenduse juurde ja EMET enam ei toeta. EMETi ei saa isegi installida sülearvutite värskendust kasutavatele arvutitele. Kui sul on juba installitud EMET, eemaldatakse see uuendatud versiooniga.

Windows 10 sügisfunktsiooni loomise värskendusel on ka seotud turvalisusfunktsioon nimega Controlled Folder Access. Selle eesmärk on peatada pahavara, lubades ainult usaldusväärsetel programmidel oma isiklike andmete kaustade, nagu dokumendid ja pildid, failide muutmist. Mõlemad funktsioonid on osa "Windows Defender Exploit Guard". Kuid kontrollitavate kaustade juurdepääs pole vaikimisi lubatud.

Kuidas kinnitada kasutuskaitse on lubatud

See funktsioon on automaatselt lubatud kõigile Windows 10-arvutitele. Siiski saab seda ka muuta "auditirežiimiks", mis võimaldab süsteemiadministraatoritel jälgida, kas Exploit Protection oleks seda kinnitanud, et see ei tekita probleeme enne kriitiliste arvutite lubamist.

Selle funktsiooni lubamise kinnitamiseks saate avada Windows Defenderi turvakeskuse. Ava oma menüü Start, otsi Windows Defenderit ja klõpsake vahekaarti Windows Defender Security Center.

Klõpsake küljeriba aknikujulisel ikoonil "Rakenduse ja brauseri juhtimine". Kerige allapoole ja näete jaotist Exploit protection. See teavitab teid, et see funktsioon on lubatud.
Klõpsake küljeriba aknikujulisel ikoonil "Rakenduse ja brauseri juhtimine". Kerige allapoole ja näete jaotist Exploit protection. See teavitab teid, et see funktsioon on lubatud.

Kui te ei näe seda jaotist, pole teie arvutis ikka veel Fall Creatoride värskendamist veel värskendatud.

Image
Image

Kuidas kaitsta Windows Defender'i kaitset

Hoiatus: Tõenäoliselt ei soovi see funktsioon seda funktsiooni seadistada. Windows Defender pakub palju tehnilisi võimalusi, mida saate kohandada, ja enamik inimesi ei tea, mida nad siin teevad. See funktsioon on konfigureeritud tarkade vaikeseadetega, mis aitavad vältida probleeme ja Microsoft saab aja jooksul oma reegleid ajakohastada. Siin näib olevat valikuvõimalus peamiselt aidata süsteemiadministraatoritel töötada välja tarkvara eeskirjad ja viia need ettevõtlusvõrgustikus välja.

Kui soovite konfigureerida Exploit Protection'i, minge Windows Defendi turvakeskusse> Rakenduse ja brauseri juhtpaneel, liikuge allapoole ja klõpsake käsku Exploit protection (kaitsevahendite kasutamine).

Siin näete kahte vahekaarti: Süsteemi seaded ja Programmi seaded. Süsteemi seaded määravad kõigi rakenduste puhul kasutatavad vaikeseaded, samal ajal kui programmi seaded kontrollivad erinevate programmide erinevaid seadeid. Teisisõnu, programmi seaded võivad üksikute programmide jaoks süsteemi seadeid üle kanda. Need võivad olla rangemad või vähem piiravad.
Siin näete kahte vahekaarti: Süsteemi seaded ja Programmi seaded. Süsteemi seaded määravad kõigi rakenduste puhul kasutatavad vaikeseaded, samal ajal kui programmi seaded kontrollivad erinevate programmide erinevaid seadeid. Teisisõnu, programmi seaded võivad üksikute programmide jaoks süsteemi seadeid üle kanda. Need võivad olla rangemad või vähem piiravad.

Ekraani allosas võite klõpsata "Seadistused eksportida", et eksportida seadeid.xml-failina, mida saab teistesse süsteemidesse importida. Microsofti ametlikest dokumentidest leiate rohkem teavet eeskirjade juurutamise kohta rühma-poliitika ja PowerShelliga.

Vahekaardil Süsteemi seaded näete järgmisi valikuid: Kontrolli vooluhulga kaitse (CFG), andmete täitmise vältimine (DEP), piltide jõudluse randomiseerimine (kohustuslik ASLR), mälu eraldamise randomiseerimine (alt-üles ASLR), erandi keti kinnitamine (SEHOP) ja kinnitage hunniku terviklikkust. Nad kõik on vaikimisi, välja arvatud piltide Force randomisation (Kohustuslik ASLR) valik. See on tõenäoline, kuna kohustuslik ASLR põhjustab probleeme mõne programmiga, nii et võite töötada ühilduvusprobleemidega, kui see lubate, sõltuvalt teie käivitatavatest programmidest.
Vahekaardil Süsteemi seaded näete järgmisi valikuid: Kontrolli vooluhulga kaitse (CFG), andmete täitmise vältimine (DEP), piltide jõudluse randomiseerimine (kohustuslik ASLR), mälu eraldamise randomiseerimine (alt-üles ASLR), erandi keti kinnitamine (SEHOP) ja kinnitage hunniku terviklikkust. Nad kõik on vaikimisi, välja arvatud piltide Force randomisation (Kohustuslik ASLR) valik. See on tõenäoline, kuna kohustuslik ASLR põhjustab probleeme mõne programmiga, nii et võite töötada ühilduvusprobleemidega, kui see lubate, sõltuvalt teie käivitatavatest programmidest.

Jällegi ei peaks te tõesti neid valikuid puudutama, kui te ei tea, mida teete. Vaikeväärtused on mõistlikud ja valitakse põhjusel.

Liides annab väga lühikese kokkuvõtte sellest, mida iga võimalus teeb, kuid peate tegema mõned uuringud, kui soovite rohkem teada saada. Oleme varem selgitanud, mida DEP ja ASLR teevad siin.

Vahekaardil "Programmi seaded" klõpsake üle ja näete erinevate programmide loendit, millel on kohandatud sätted. Antud võimalused võimaldavad üldist süsteemi seadeid kehtetuks muuta. Näiteks kui loendis valite "iexplore.exe" ja klõpsake "Redigeeri", näete, et reegel lubab jõuliselt Internet Exploreri protsessi jaoks kohustuslikku ASLR-i, kuigi see pole vaikimisi kogu süsteemi sisse lülitatud.
Vahekaardil "Programmi seaded" klõpsake üle ja näete erinevate programmide loendit, millel on kohandatud sätted. Antud võimalused võimaldavad üldist süsteemi seadeid kehtetuks muuta. Näiteks kui loendis valite "iexplore.exe" ja klõpsake "Redigeeri", näete, et reegel lubab jõuliselt Internet Exploreri protsessi jaoks kohustuslikku ASLR-i, kuigi see pole vaikimisi kogu süsteemi sisse lülitatud.

Sa ei tohiks neid sisseehitatud reegleid rakendada selliste protsesside puhul nagu runtimebroker.exe ja spoolsv.exe. Microsoft lisas neid põhjusel.

Võite lisada individuaalsete programmide jaoks kohandatud reegleid, klõpsates valikul "Lisa kohandatud programm". Võite kas lisada "Lisa programmi nime" või "Vali täpne faili tee", kuid täpse faili tee täpsustamine on täpsem.

Kui olete lisanud, võite leida pikkade seadistuste loendi, mis pole enamiku inimeste jaoks tähendusrikas. Siin saadavate seadete täielik nimekiri on järgmine: juhusliku koodi valvur (ACG), vähese terviklikkuse blokeeringu blokeerimine, kaug piltide blokeerimine, blokeeringu ebausaldusväärsed fondid, koodi terviklikkuse valvur, juhtimisvoo valve (CFG), andmete täitmise vältimine (DEP), laiendamispunktide keelamine, Keelake Win32k süsteemikõned, keelake lappprotsessid, ekspordi aadressifilter (EAF), piltide juhusliku valimise kohustus (Mandatory ASLR), impordi aadressifilter (IAF), mälu eraldamine (alt-üles ASLR), simuleeri täitmist (SimExec), Kinnitage API kutsumine (CallerCheck), kontrollige erandikeleid (SEHOP), kontrollige käepideme kasutamist, kinnita hunnik terviklikkust, kinnitage pildi sõltuvuse terviklikkust ja kinnita stack integrity (StackPivot).
Kui olete lisanud, võite leida pikkade seadistuste loendi, mis pole enamiku inimeste jaoks tähendusrikas. Siin saadavate seadete täielik nimekiri on järgmine: juhusliku koodi valvur (ACG), vähese terviklikkuse blokeeringu blokeerimine, kaug piltide blokeerimine, blokeeringu ebausaldusväärsed fondid, koodi terviklikkuse valvur, juhtimisvoo valve (CFG), andmete täitmise vältimine (DEP), laiendamispunktide keelamine, Keelake Win32k süsteemikõned, keelake lappprotsessid, ekspordi aadressifilter (EAF), piltide juhusliku valimise kohustus (Mandatory ASLR), impordi aadressifilter (IAF), mälu eraldamine (alt-üles ASLR), simuleeri täitmist (SimExec), Kinnitage API kutsumine (CallerCheck), kontrollige erandikeleid (SEHOP), kontrollige käepideme kasutamist, kinnita hunnik terviklikkust, kinnitage pildi sõltuvuse terviklikkust ja kinnita stack integrity (StackPivot).

Jällegi ei peaks te neid valikuid puudutama, kui olete süsteemiadministraator, kes soovib rakendust lukustada ja teate tõesti, mida teete.

Katse käigus lubasime kõiki iexplore.exe võimalusi ja proovisime seda käivitada. Internet Explorer näitas tõrketeadet ja keeldus käivitamisest. Me ei näe isegi Windows Defenderi märguannet, mis selgitab, et meie seadete tõttu ei tööta Internet Explorer.
Katse käigus lubasime kõiki iexplore.exe võimalusi ja proovisime seda käivitada. Internet Explorer näitas tõrketeadet ja keeldus käivitamisest. Me ei näe isegi Windows Defenderi märguannet, mis selgitab, et meie seadete tõttu ei tööta Internet Explorer.

Ärge lihtsalt pimesi proovige rakendusi piirata või tekitada oma süsteemis sarnaseid probleeme. Neid on raske tõrkeotsingut teha, kui te ei mäleta, et olete muutnud ka valikuid.

Soovitan: