If-Koubou

Kako funkcionira zaštitna zaštita tvrtke Windows Defender (i kako ga konfigurirati)

Kako funkcionira zaštitna zaštita tvrtke Windows Defender (i kako ga konfigurirati) (Kako da)

Ažuriranje Microsoftovih autora autora napokon dodaje integriranu zaštitu od iskorištavanja u sustav Windows. Prethodno ste to trebali potražiti u obliku Microsoftovog EMET alata. Sada je dio programa Windows Defender i aktivno se aktivira prema zadanim postavkama.

Kako funkcionira zaštitna zaštita sustava Windows Defender

Dugo smo preporučili korištenje anti-eksplozivnih programa kao što je Microsoftov Enhanced Mitigation Experience Toolkit (EMET) ili Malwarebytes Anti-Malware koji je koristan za uporabu, a sadrži i moćnu značajku protiv iskorištavanja (između ostalog). Microsoft EMET se široko upotrebljava na većim mrežama gdje ga administratori sustava mogu konfigurirati, ali nikada nije instaliran prema zadanim postavkama, zahtijeva konfiguraciju i konfuzno sučelje za prosječne korisnike.

Tipični antivirusni programi, kao što je Windows Defender, koriste definicije virusa i heuristiku kako bi uhvatili opasne programe prije nego što se mogu pokrenuti na vašem sustavu. Alati za sprječavanje iskorištavanja zapravo sprječavaju da mnoge popularne tehnike napada funkcioniraju uopće, tako da oni opasni programi ne dobivaju na vašem sustavu na prvom mjestu. Oni omogućuju određene zaštite operativnog sustava i blokiraju zajedničke tehnike za iskorištavanje memorije, pa ako se otkrije eksploatirajuće ponašanje, oni će prekinuti postupak prije nego što se dogodi bilo što loše. Drugim riječima, oni mogu zaštititi od mnogih zero-day napada prije nego što su zakrpa.

Međutim, oni mogu potencijalno uzrokovati probleme s kompatibilnošću, a njihove postavke možda moraju biti ugađane za različite programe. Zbog toga se EMET obično koristio na mrežama poduzeća, gdje administratori sustava mogu prilagoditi postavke, a ne na kućnim računalima.

Sad sad postoje mnoge od tih istih zaštita koje su izvorno pronađene u Microsoftovom EMET-u. Oni su omogućeni prema zadanim postavkama za sve i dio su operacijskog sustava. Windows Defender automatski konfigurira odgovarajuća pravila za različite procese koji se izvode na vašem sustavu. (Malwarebytes i dalje tvrdi da je njihova značajka protu-iskorištavanja superiornija, a mi i dalje preporučujemo upotrebu Malwarebytesa, ali je dobro da i Windows Defender ima i neke od ovih ugrađenih.)

Ova je značajka automatski omogućena ako ste nadogradili nadogradnju autora pada autora sustava Windows 10 i EMET više nije podržan. EMET se čak ne može instalirati na računala koja pokreću ažuriranje autora pada. Ako već imate EMET instaliran, ažuriranje će biti uklonjeno.

Ažuriranje autora pada autora sustava Windows 10 također uključuje povezanu sigurnosnu značajku pod nazivom Upravljani pristup mapama. Osmišljen je da zaustavi zlonamjerni softver samo dopuštajući pouzdanim programima izmjenu datoteka u mapama osobnih podataka, kao što su Dokumenti i slike. Oba su svojstva dio "Windows Defender Exploit Guard". Međutim, zaštićeni pristup mapi nije omogućen prema zadanim postavkama.

Omogućeno je potvrda zaštite od iskorištavanja

Ova je značajka automatski omogućena za sve Windows 10 računala. Međutim, također se može prebaciti na "Način revizije", čime administratori sustava nadziru zapisnik o tome što bi Exploit Protection trebala učiniti kako bi potvrdila da neće uzrokovati nikakve probleme prije nego što to omogući na kritičnim računalima.

Da biste potvrdili da je ova značajka omogućena, možete otvoriti Centar za sigurnost sustava Windows Defender. Otvorite izbornik Start, potražite Windows Defender i kliknite prečac Windows Defender Security Center.

Kliknite ikonu ikone "Kontrola aplikacija i preglednika" u prozoru na bočnoj traci. Pomaknite se prema dolje i vidjet ćete odjeljak "Iskorištavanje zaštite". Obavijestit će vas da je ova značajka omogućena.

Ako ne vidite ovaj odjeljak, vaše računalo vjerojatno još nije ažurirano do ažuriranja autora pada.

Kako konfigurirati protuprovalnu zaštitu sustava Windows Defender

Upozorenje: Vjerojatno ne želite konfigurirati ovu značajku. Windows Defender nudi mnoge tehničke mogućnosti koje možete prilagoditi i većina ljudi neće znati što rade ovdje. Ta je značajka konfigurirana pametnim zadanim postavkama koje će izbjeći nanošenje problema, a Microsoft može ažurirati svoja pravila tijekom vremena. Opcije ovdje čine prvenstveno namjeru pomoći administratorima sustava da razvijaju pravila za softver i izvedu ih na mreži poduzeća.

Ako želite konfigurirati zaštitu od iskorištavanja, idite na centar za sigurnost sustava Windows Defender> Upravljanje aplikacijama i preglednikom, pomaknite se dolje i kliknite "Izbriši postavke zaštite" u odjeljku Iskorištavanje zaštite.

Ovdje ćete vidjeti dvije kartice: Postavke sustava i Postavke programa. Postavke sustava kontroliraju zadane postavke koje se koriste za sve aplikacije, dok programske postavke upravljaju pojedinačnim postavkama koje se koriste za različite programe. Drugim riječima, postavke programa mogu nadjačati postavke sustava za pojedine programe. Moglo bi biti restriktivnije ili manje restriktivno.

Na dnu zaslona možete kliknuti "Izvoz postavki" za izvoz postavki kao .xml datoteku koju možete uvesti na druge sustave. Microsoftova službena dokumentacija nudi više informacija o postavljanju pravila s Group Policy i PowerShell.

Na kartici System settings (Postavke sustava) vidjet ćete sljedeće opcije: Kontrola protoka (CFG), Prevencija izvršavanja podataka (DEP), Nasumična raspodjela snage za slike (Obvezno ASLR), Randomiziranje raspodjele memorije (Bottom-up ASLR) (SEHOP), i provjeriti integritet gomile. Sve su po defaultu, osim opcije za nasumičnu snagu za slike (Obvezno ASLR). To je vjerojatno zbog toga što Obavezni ASLR uzrokuje probleme s nekim programima, pa biste se mogli pojaviti u problemima s kompatibilnošću ako je omogućite, ovisno o programima koje pokrenete.

Opet, stvarno ne biste trebali dodirivati ​​ove opcije ako ne znate što radite. Zadane postavke su razumne i odabrane su iz razloga.

Sučelje pruža vrlo kratak sažetak onoga što svaka opcija donosi, ali ćete morati obaviti neka istraživanja ako želite saznati više. Prethodno smo objasnili što DEP i ASLR ovdje rade.

Kliknite na karticu "Postavke programa" i vidjet ćete popis različitih programa s prilagođenim postavkama. Opcije ovdje omogućuju nadjačavanje ukupnih postavki sustava. Na primjer, ako na popisu odaberete "iexplore.exe" i kliknite "Uredi", vidjet ćete da pravilo ovdje silovito omogućuje Obavezno ASLR za proces Internet Explorera, iako nije omogućen prema zadanim postavkama na cijelom sustavu.

Ne biste trebali miješati s tim ugrađenim pravilima za procese kao što su runtimebroker.exe i spoolsv.exe. Microsoft ih je dodao iz razloga.

Možete dodati prilagođena pravila za pojedine programe klikom na "Dodaj program za prilagodbu". Možete dodati "Dodaj po nazivu programa" ili "Odaberite točan put datoteke", ali preciznije odrediti točnu stazu datoteke.

Jednom dodano, možete pronaći dugačak popis postavki koje neće biti značajne za većinu ljudi. Cijeli popis postavki dostupnih ovdje je: Arbitrary code guard (ACG), blokiranje niske razine integriteta, blokiranje udaljenih slika, blokiranje nepouzdanih fontova, zaštita kodova za integritet, zaštita protoka (CFG), sprečavanje izvršavanja podataka (DEP) , Onemogućite sustavne pozive Win32k, Ne dopustite dječje procese, filtriranje izvoznih adresa (EAF), nasumičnu raspodjelu za slike (obvezni ASLR), uvoz filtriranja adresa (IAF), randomiziranje alokacija memorije (Bottom-up ASLR), simuliraju izvršenje (SimExec) , Provjera valjanosti API poziva (CallerCheck), Provjera valjanosti lanaca (SEHOP), Provjera valjanosti rukovanja, Provjera valjanosti cjelovitosti, Provjera valjanosti integriteta ovisnosti slike i Provjera valjanosti cjelovitosti (StackPivot).

Opet, ne biste trebali dodirivati ​​ove opcije osim ako ste administrator sustava koji želi zaključati aplikaciju i zaista znate što radite.

Kao test, omogućili smo sve mogućnosti za iexplore.exe i pokušali smo ga pokrenuti. Internet Explorer upravo je prikazao poruku o pogrešci i odbio je pokretanje. Nismo ni vidjeli obavijest programa Windows Defender koja objašnjava da Internet Explorer nije funkcionirao zbog naših postavki.

Nemojte samo slijepo pokušavati ograničiti aplikacije, ili ćete uzrokovati slične probleme na vašem sustavu. Bit će vam teško otkloniti ako se ne sjećate da ste promijenili i opcije.

Ako i dalje upotrebljavate stariju verziju sustava Windows, kao što je Windows 7, možete iskoristiti značajke zaštite instaliranjem Microsoftovih EMET ili Malwarebytes. Međutim, podrška za EMET će se zaustaviti 31. srpnja 2018., budući da Microsoft želi gurati tvrtke prema sustavu Windows 10 i Windows Defenderu za zaštitu od eksploatacije.