Как функционира защитата на New Defill за Windows Defender (и как да я конфигурирате)

2024 Автор: Geoffrey Carr | [email protected]. Последно модифициран: 2024-01-12 05:29

Актуализацията на Microsoft Fall Creators Finally добавя интегрирана защита за защита на Windows. Преди това трябваше да потърсите това под формата на EMET инструмента на Microsoft. Сега той е част от Windows Defender и е активиран по подразбиране.

Как функционира защитата на Windows Defender за експлоатиране

От дълго време препоръчваме използването на софтуер за борба с експлоатирането, като инструмента за подобряване на опитите за смекчаване (EMET) на Microsoft или по-лесния за използване Malwarebytes Anti-Malware, който съдържа мощна анти-експлоатирана функция (между другото). ЕМЕТ на Microsoft е широко използван в по-големи мрежи, където може да бъде конфигуриран от системни администратори, но той никога не е инсталиран по подразбиране, изисква конфигурация и има объркващ интерфейс за средните потребители.

Типичните антивирусни програми, като самия Windows Defender, използват вирусни дефиниции и евристики, за да ловят опасни програми, преди да могат да работят на вашата система. Инструментите за борба с експлоатацията всъщност пречат на функционирането на много популярни техники за атака, така че тези опасни програми не се появяват на вашата система на първо място. Те дават възможност за защита на някои операционни системи и блокират техники за използване на обща памет, така че ако бъде открито подобно на експлоатиране поведение, те ще прекратят процеса, преди да се случи нещо лошо. С други думи, те могат да защитят срещу много нападения с нулеви дни, преди да бъдат защитени.

Възможно е обаче те да причинят проблеми със съвместимостта и настройките им може да се променят за различни програми. Ето защо EMET обикновено се използва в корпоративни мрежи, където системните администратори могат да променят настройките, а не на домашните персонални компютри.

Windows Defender вече включва много от същите защити, които първоначално бяха намерени в EMET на Microsoft. Те са разрешени по подразбиране за всички и са част от операционната система. Windows Defender автоматично конфигурира подходящи правила за различните процеси, които се изпълняват на вашата система. (Malwarebytes все още твърди, че тяхната функция за борба с експлоатацията е по-добра и все пак препоръчваме да използвате Malwarebytes, но е добре, че Windows Defender има и някои от тези вградени програми).

Тази функция автоматично се активира, ако сте надстроили Windows Update на Fall Creators Update и EMET вече не се поддържа. ЕМЕТ дори не може да бъде инсталирана на компютри, които изпълняват актуализацията на създателите на есента. Ако вече сте инсталирали EMET, той ще бъде премахнат от актуализацията.

Актуализацията на Windows 10 за създаване на падащи създатели включва също свързана функция за сигурност, наречена "Достъп до контролирана папка". Тя е предназначена да спре злонамерен софтуер, като позволява на доверени програми да променят файлове в папките ви с лични данни, като например документи и снимки. И двете функции са част от "Windows Defender Exploit Guard". Достъпът на контролирана папка обаче не е разрешен по подразбиране.

Как се потвърждава защитата при експлозия е активирана

Тази функция автоматично се активира за всички Windows 10 компютри. Въпреки това, той може да бъде превключен в режим "Одит", което позволява на системните администратори да следят дневника на това, което би направила Exploit Protection, за да потвърди, че няма да създаде никакви проблеми, преди да го разреши на критични компютри.

За да потвърдите, че тази функция е активирана, можете да отворите Центъра за защита на Windows Defender. Отворете менюто "Старт", потърсете Windows Defender и кликнете върху прекия път на Windows Defender Security Center.

Кликнете върху прозореца с иконата "App & browser control" в страничната лента. Превъртете надолу и ще видите секцията "Защита от експлоатация". Той ще ви информира, че тази функция е активирана.

Ако не виждате тази секция, компютърът ви все още не е актуализиран до актуализацията на създателите на есента.

Как да конфигурирате защитата от експлоатиране на Windows Defender

Внимание: Вероятно не искате да конфигурирате тази функция. Windows Defender предлага много технически опции, които можете да настроите, и повечето хора няма да знаят какво правят тук. Тази функция е конфигурирана с интелигентни настройки по подразбиране, които ще избегнат проблеми и Microsoft може да актуализира правилата си с течение на времето. Опциите тук изглеждат главно предназначени да помогнат на системните администратори да разработят правила за софтуера и да ги включат в корпоративната мрежа.

Ако искате да конфигурирате Exploit Protection, отидете в Центъра за защита на Windows Defender> Контрол на приложението и браузъра, превъртете надолу и кликнете върху "Настройки за защита от експлозия" под защита Exploit.

Тук ще видите два раздела: Системни настройки и настройки на програмата. Системните настройки контролират настройките по подразбиране, използвани за всички приложения, докато програмните настройки контролират индивидуалните настройки, използвани за различни програми. С други думи, настройките на програмата могат да заменят системните настройки за отделни програми. Те биха могли да бъдат по-ограничителни или по-малко ограничителни.

В долната част на екрана можете да кликнете върху "Експортиране на настройки", за да експортирате настройките си като.xml файл, който можете да импортирате на други системи. Официалната документация на Microsoft предлага повече информация за разгръщането на правила с Group Policy и PowerShell.

В раздела Настройки на системата ще видите следните опции: Контрол на защитата на потока (CFG), Предотвратяване на изпълнението на данни (DEP), Принудително рандомизиране на изображения (задължително ASLR), Рандомизиране на разпределението на паметта (Bottom-up ASLR) (SEHOP) и потвърдете цялостността на купчината. Всички те са включени по подразбиране, с изключение на опцията "Принудителна сила за изображения" (задължителна ASLR). Това вероятно се дължи на това, че задължителната ASLR причинява проблеми с някои програми, така че може да се появи проблем със съвместимостта, ако го активирате, в зависимост от програмите, които изпълнявате.

Отново, наистина не трябва да докосвате тези опции, освен ако не знаете какво правите. Неизправностите са разумни и са избрани по някаква причина.

Интерфейсът предоставя много кратко обобщение на това, което прави всеки вариант, но ще трябва да направите някои изследвания, ако искате да знаете повече. По-рано сме обяснили какво правят тук DEP и ASLR.

Кликнете върху раздела "Настройки на програмата" и ще видите списък с различни програми с персонализирани настройки. Опциите тук позволяват да се запълнят общите настройки на системата. Ако например изберете "iexplore.exe" в списъка и кликнете върху "Редактиране", ще видите, че правилото тук сила дава възможност за задължително ASLR за процеса на Internet Explorer, въпреки че не е разрешено по подразбиране за цялата система.

Не трябва да нарушавате тези вградени правила за процеси като runtimebroker.exe и spoolsv.exe. Microsoft ги добави по някаква причина.

Можете да добавите персонализирани правила за отделни програми, като кликнете върху "Добавяне на програма за персонализиране". Можете да "Добавите по име на програмата" или "Изберете точен път на файла", но уточняването на точния път на файла е много по-точен.

След като сте добавили, можете да намерите дълъг списък с настройки, които няма да имат смисъл за повечето хора. Пълният списък на настройките, които можете да намерите тук, е: Арбитраен защитен код (ACG), Блокиране на изображения с ниска степен на пълнота, Блокиране на отдалечени изображения, Блокиране на неверен брой шрифтове,, Деактивиране на системните повиквания на Win32k, Не допускайте детските процеси, Експортиране на филтриране на адреси (EAF), Принудително рандомизиране на изображения (Задължително ASLR), Импортиране на адресно филтриране (IAF), Randomize allocations на паметта (Bottom-up ASLR), Validate API invocation (CallerCheck), Validate exception chains (SEHOP), Validate handle handle, Validate integrity stack, Validate integrity dependency image, and Validate stack integrity (StackPivot).

Отново не трябва да докосвате тези опции, освен ако не сте системен администратор, който иска да блокира приложението и наистина знаете какво правите.

Като тест, активирахме всички опции за iexplore.exe и се опитахме да го стартираме. Internet Explorer просто показа съобщение за грешка и отказа да започне. Дори не видяхме известие от Windows Defender, което обяснява, че Internet Explorer не функционира поради нашите настройки.

Не се опитвайте само сляпо да ограничите приложенията или ще предизвикате подобни проблеми на системата си. Те ще бъдат трудни за отстраняване на неизправности, ако не помните, че сте променили опциите също.