Какво ли прави "блокиране на подозрителни поведения"?
Тази функция има доста неясно име. Документацията на Microsoft обаче пояснява, че "Block Suspicious Behaviors" е просто приятелско име за технологията за намаляване на атаките на Windows Defender Exploit Guard. Тази функция за сигурност е въведена в Update Fall Creators, но е достъпна само в Windows 10 Enterprise. В актуализацията от октомври 2018 г. тя вече е достъпна за всички чрез опция в Windows Security.
Когато активирате тази функция, Windows 10 активира различни правила за сигурност. Тези правила деактивират функциите, които обикновено се използват само от злонамерен софтуер, което помага да защитите компютъра си от атака.
Ето някои от правилата за намаляване на повърхността на атаката:
- Блокирайте изпълнимото съдържание от имейл клиент и уеб поща
- Блокирайте приложенията на Office от създаването на детски процеси
- Блокирайте приложенията на Office от създаването на изпълнимо съдържание
- Блокирайте приложения от Office от инжектиране на код в други процеси
- Блокирайте JavaScript или VBScript от стартирането на изтегленото изпълнимо съдържание
- Блокирайте изпълнението на потенциално помрачени скриптове
- Блокиране на API повиквания от Win32 от макроси на Office
- Блокиране на кражбата на идентификационни данни от подсистема "Локална сигурност на Windows" (lsass.exe)
- Създаване на блокови процеси от команди PSExec и WMI
- Блокиране на ненадеждни и неподписани процеси, които се изпълняват от USB
- Блокирайте комуникационните приложения на Office от създаването на детски процеси
Това са подозрителни действия, които могат да бъдат използвани от злонамерени приложения. Например тези правила блокират изпълними файлове, които пристигат по имейл, пречат на приложенията на Office да правят определени неща и да спрат опасни макроподпотреби. С тези правила е активирано, Windows защитава идентификационните данни от кражба, спира подправянето на подозрителни изпълними файлове на USB устройства и отказва да стартира скриптове, които изглеждат прикрити, за да заобиколят антивирусния софтуер.
Ще намерите пълен списък на правилата за намаляване на повърхността на атаките на сайта за поддръжка на Microsoft. Организациите могат да персонализират кои правила се използват чрез групови правила, но средните потребителски персонални компютри получават набор от правила, съвместими с всички. Не е ясно кои правила се използват, когато активирате тази опция в Windows Security.
Това е част от Windows Defender Exploit Guard
Намаляването на повърхността на атаката е част от програмата Windows Defender Exploit Guard, която включва също така защита от експлозия, мрежова защита и достъп до контролирана папка.
Това е важно да се изясни - "Block Suspicious Behaviors" не е същата характеристика като Exploit Protection, която предпазва компютъра ви от различни обичайни техники за използване. Например, Exploit Protection защитава срещу техники за обща експлоатация на паметта, използвани от нулеви атаки, и прекратява всеки процес, който ги използва. Exploit Protection работи като софтуера на EMET (Enhanced Mitigation Experience Toolkit) на Microsoft. Намаляването на повърхността на атаката забранява потенциално опасни функции на по-високо ниво.
Exploit Protection е активирана по подразбиране и можете да я промените от другаде в приложението за защита на Windows. Намаляването на повърхността на атаката или "Block Suspicious Behaviors" все още не е активирано по подразбиране.
Как да активирате "блокиране на подозрителни поведения"
Можете да активирате тази функция от приложението за сигурност на Windows - по-рано наричан Windows Defender Security Center.
За да го намерите, отидете на Настройки> Актуализиране и защита> Сигурност на Windows> Отворете защитата на Windows или просто стартирайте прекия път "Охрана на Windows" от менюто "Старт".
