Jak działa nowa funkcja ochrony przed exploiciem programu Windows Defender (i jak ją skonfigurować)
Aktualizacja Fall Creators Update firmy Microsoft wreszcie dodaje zintegrowaną ochronę przed exploitami do systemu Windows. Poprzednio musiałeś to sprawdzić w postaci narzędzia EMET firmy Microsoft. Jest teraz częścią Windows Defender i jest domyślnie aktywowany.
Jak działa ochrona przed exploitami programu Windows Defender
Od dawna zalecamy stosowanie oprogramowania do zapobiegania exploitom, takiego jak Microsoft Enhanced Mitigation Experience Toolkit (EMET) lub bardziej przyjaznego dla użytkownika Malwarebytes Anti-Malware, który zawiera potężną funkcję anty-exploit (między innymi). EMET firmy Microsoft jest szeroko stosowany w większych sieciach, gdzie może być konfigurowany przez administratorów systemu, ale nigdy nie był instalowany domyślnie, wymaga konfiguracji i ma dezorientujący interfejs dla przeciętnych użytkowników.
Typowe programy antywirusowe, takie jak sam program Windows Defender, używają definicji wirusów i heurystyk do przechwytywania niebezpiecznych programów, zanim będą mogły działać w systemie. Narzędzia zapobiegające exploitom w rzeczywistości uniemożliwiają działanie wielu popularnych technik ataku, więc te niebezpieczne programy nie docierają do twojego systemu. Pozwalają one na pewne zabezpieczenia systemu operacyjnego i blokują popularne techniki wykorzystania pamięci, tak więc jeśli wykryje się zachowanie podobne do exploitów, zakończą proces, zanim zdarzy się coś złego. Innymi słowy, mogą chronić przed wieloma atakami zero-day, zanim zostaną załatane.
Mogą jednak powodować problemy ze zgodnością, a ich ustawienia mogą wymagać modyfikacji dla różnych programów. Właśnie dlatego EMET był generalnie używany w sieciach korporacyjnych, gdzie administratorzy systemu mogli modyfikować ustawienia, a nie na domowych komputerach.
Program Windows Defender zawiera teraz wiele tych samych zabezpieczeń, które pierwotnie znajdowały się w programie EMET firmy Microsoft. Są one domyślnie włączone dla wszystkich i są częścią systemu operacyjnego. Program Windows Defender automatycznie konfiguruje odpowiednie reguły dla różnych procesów uruchomionych w systemie. (Malwarebytes nadal twierdzi, że ich funkcja anty-exploit jest lepsza i nadal zalecamy używanie Malwarebytes, ale dobrze, że Windows Defender ma teraz również trochę tego wbudowanego.)
Ta funkcja jest automatycznie włączana po uaktualnieniu do Aktualizacji Fall Creatorów w systemie Windows 10, a funkcja EMET nie jest już obsługiwana. EMET nie może być nawet zainstalowany na komputerach z uruchomioną aktualizacją Fall Creators. Jeśli masz już zainstalowany EMET, zostanie on usunięty przez aktualizację.
Aktualizacja Fall Creators dla systemu Windows 10 zawiera również powiązany z nią mechanizm zabezpieczeń o nazwie Kontrolowany dostęp do folderów. Ma na celu powstrzymanie złośliwego oprogramowania poprzez zezwolenie zaufanym programom na modyfikowanie plików w osobistych folderach danych, takich jak Dokumenty i Obrazy. Obie funkcje są częścią "Windows Defender Exploit Guard". Jednak dostęp do folderu kontrolowanego nie jest domyślnie włączony.
Jak potwierdzić, czy ochrona przed exploitami jest włączona
Ta funkcja jest automatycznie włączona dla wszystkich komputerów z systemem Windows 10. Można go jednak również przełączyć na "Tryb kontroli", umożliwiając administratorom systemu monitorowanie dziennika tego, co zrobiłaby funkcja Ochrona przed zagrożeniami, aby potwierdzić, że nie spowoduje żadnych problemów przed włączeniem go na krytycznych komputerach..
Aby potwierdzić, że ta funkcja jest włączona, możesz otworzyć Centrum zabezpieczeń programu Windows Defender. Otwórz menu Start, wyszukaj Windows Defender i kliknij skrót Windows Defender Security Center.
Kliknij ikonę "Wygląd aplikacji i przeglądarki" na pasku bocznym w oknie. Przewiń w dół, a zobaczysz sekcję "Ochrona przed exploitami". Poinformuje Cię, że ta funkcja jest włączona.
Jeśli nie widzisz tej sekcji, Twój komputer prawdopodobnie nie został zaktualizowany do Aktualizacji Fall Creators.
Jak skonfigurować ochronę Exploit Windows Defender
Ostrzeżenie: Prawdopodobnie nie chcesz konfigurować tej funkcji. Program Windows Defender oferuje wiele opcji technicznych, które można dostosować, a większość ludzi nie wie, co tutaj robią. Ta funkcja jest skonfigurowana z inteligentnymi domyślnymi ustawieniami, które pozwalają uniknąć problemów, a firma Microsoft może aktualizować swoje reguły w czasie. Wydaje się, że przedstawione tutaj opcje mają przede wszystkim pomóc administratorom systemów w opracowaniu reguł oprogramowania i wdrożeniu ich w sieci firmowej.
Jeśli chcesz skonfigurować ochronę programu Exploit, przejdź do Centrum zabezpieczeń programu Windows Defender> Kontrola aplikacji i przeglądarki, przewiń w dół i kliknij "Wykorzystaj ustawienia ochrony" w obszarze Ochrona przed exploitami.
Zobaczysz tu dwie karty: Ustawienia systemu i Ustawienia programu. Ustawienia systemowe sterują domyślnymi ustawieniami używanymi dla wszystkich aplikacji, natomiast Ustawienia programu kontrolują indywidualne ustawienia używane w różnych programach. Innymi słowy, ustawienia programu mogą zastąpić ustawienia systemowe poszczególnych programów. Mogą być bardziej restrykcyjne lub mniej restrykcyjne.
U dołu ekranu możesz kliknąć "Eksportuj ustawienia", aby wyeksportować swoje ustawienia jako plik .xml, który możesz zaimportować w innych systemach. Oficjalna dokumentacja Microsoftu zawiera więcej informacji o wdrażaniu reguł za pomocą Zasad Grupy i PowerShell.
Na karcie Ustawienia systemowe widoczne są następujące opcje: Kontrola przepływu (CFG), Zapobieganie wykonywaniu danych (DEP), wymuszanie losowania obrazów (Obowiązkowy protokół ASLR), Losowe przydzielanie pamięci (ASLR od dołu), Sprawdzanie poprawności łańcuchów wyjątków (SEHOP) i sprawdzanie integralności sterty. Wszystkie są domyślnie włączone, z wyjątkiem opcji Losowanie siły dla obrazów (Obowiązkowe ASLR). Jest tak prawdopodobnie dlatego, że obowiązkowe ASLR powoduje problemy z niektórymi programami, więc możesz włączyć problemy z kompatybilnością, jeśli je włączysz, w zależności od uruchamianych programów.
Ponownie, naprawdę nie powinieneś dotykać tych opcji, chyba że wiesz, co robisz. Wartości domyślne są sensowne i wybrane z konkretnego powodu.
Interfejs zawiera bardzo krótkie podsumowanie tego, co robi każda opcja, ale będziesz musiał przeprowadzić pewne badania, jeśli chcesz dowiedzieć się więcej. Wcześniej wyjaśnialiśmy, co robią DEP i ASLR.
Kliknij kartę "Ustawienia programów", a zobaczysz listę różnych programów z ustawieniami niestandardowymi. Opcje w tym miejscu pozwalają na nadpisanie ogólnych ustawień systemu. Na przykład, jeśli wybierzesz "iexplore.exe" na liście i klikniesz "Edytuj", zobaczysz, że zasada w tym miejscu wymusza obowiązkowe ASLR dla procesu Internet Explorera, nawet jeśli nie jest włączona domyślnie dla całego systemu.
Nie należy manipulować tymi wbudowanymi regułami dla procesów takich jak runtimebroker.exe i spoolsv.exe. Microsoft dodał je z jakiegoś powodu.
Możesz dodać własne reguły dla poszczególnych programów, klikając "Dodaj program do personalizacji". Możesz wybrać "Dodaj według nazwy programu" lub "Wybierz dokładną ścieżkę pliku", ale podanie dokładnej ścieżki do pliku jest znacznie bardziej precyzyjne.
Po dodaniu możesz znaleźć długą listę ustawień, które nie będą miały większego znaczenia dla większości ludzi. Pełna lista ustawień dostępnych tutaj to: Arbitralne zabezpieczenie kodu (ACG), Blokowanie obrazów o niskiej integralności, Blokowanie zdalnych obrazów, Blokowanie niezaufanych czcionek, Ochrona integralności kodu, Kontrola bezpieczeństwa przepływu (CFG), Zapobieganie wykonywaniu danych (DEP), Wyłączanie punktów rozszerzeń , Wyłącz wywołania systemowe Win32k, Nie zezwalaj na procesy podrzędne, Eksportuj filtrowanie adresów (EAF), Wymuszaj losowanie obrazów (Obowiązkowe ASLR), Importuj filtrowanie adresów (IAF), Losowe przydzielanie pamięci (Oddłużanie ASLR), Symuluj wykonywanie (SimExec) , Sprawdź poprawność wywołania API (CallerCheck), Sprawdź łańcuchy wyjątków (SEHOP), Sprawdź poprawność użycia uchwytów, Sprawdź poprawność stosu sterty, Sprawdź poprawność zależności obrazu i Sprawdź poprawność stosu (StackPivot).
Ponownie, nie należy dotykać tych opcji, chyba że jesteś administratorem systemu, który chce zablokować aplikację i naprawdę wiesz, co robisz.
Jako test włączono wszystkie opcje dla iexplore.exe i próbowaliśmy je uruchomić. Internet Explorer pokazał komunikat o błędzie i odmówił uruchomienia. Nie zobaczyliśmy nawet powiadomienia programu Windows Defender wyjaśniającego, że program Internet Explorer nie działa z powodu naszych ustawień.
Nie ograniczaj się do próby ograniczenia aplikacji, bo spowodujesz podobne problemy w swoim systemie. Jeśli nie zapomnisz, że zmieniłeś opcje, trudno będzie je rozwiązać.
Jeśli nadal używasz starszej wersji systemu Windows, np. Windows 7, możesz skorzystać z funkcji ochrony przed exploitami, instalując pakiet EMET lub Malwarebytes firmy Microsoft. Jednak wsparcie dla EMET zakończy się 31 lipca 2018 r., Ponieważ Microsoft chce zamiast tego popychać firmy w kierunku systemu Windows 10 i ochrony przed zagrożeniami programu Windows Defender..