Homepage » hogyan kell » A Windows Defender új kiaknázási védelmi munkái (és hogyan konfigurálhatók)

    A Windows Defender új kiaknázási védelmi munkái (és hogyan konfigurálhatók)

    A Microsoft Fall Creators Update programja végül integrált védelmi védelmet biztosít a Windows számára. Ezt korábban a Microsoft EMET eszköze formájában kellett keresnie. Ez a Windows Defender része, és alapértelmezés szerint aktiválva van.

    Hogyan működik a Windows Defender Exploit Protection Works

    Már régóta ajánljuk az olyan anti-kártevő szoftverek használatát, mint a Microsoft Enhanced Mitigation Experience Toolkit (EMET), vagy a felhasználóbarátabb Malwarebytes Anti-Malware, amely erőteljes anti-kiaknázási funkciót tartalmaz (többek között). A Microsoft EMET-t széles körben használják nagyobb hálózatokon, ahol a rendszergazdák konfigurálhatják, de alapértelmezés szerint soha nem telepítették, konfigurációt igényelnek, és zavaró felületet biztosít az átlagos felhasználók számára.

    A tipikus víruskereső programok, mint maga a Windows Defender, vírusleírásokat és heurisztikákat használnak a veszélyes programok elkapásához, mielőtt a rendszeren futhatnak. Az anti-kiaknázási eszközök valójában megakadályozzák, hogy sok népszerű támadási technika egyáltalán működjön, ezért ezek a veszélyes programok nem jutnak el a rendszeredbe. Lehetővé teszik bizonyos operációs rendszerek védelmét, és blokkolják a közös memóriakímélő technikákat, hogy ha kiaknázó magatartást észlelnek, akkor a folyamatot megszüntetik, mielőtt valami rossz történik. Más szavakkal, megvédhetik a sok nulla napos támadást a patched előtt.

    Ugyanakkor potenciálisan kompatibilitási problémákat okozhatnak, és lehet, hogy különböző programokra a beállításaikat meg kell fordítani. Ez az oka annak, hogy az EMET-t általában a vállalati hálózatokon használták, ahol a rendszeradminisztrátorok megfordíthatták a beállításokat, és nem az otthoni számítógépeken.

    A Windows Defender most sok ilyen védelmet tartalmaz, amelyeket eredetileg a Microsoft EMET-ben találtak. Alapértelmezés szerint mindenki számára engedélyezett, és az operációs rendszer részét képezik. A Windows Defender automatikusan konfigurálja a megfelelő szabályokat a rendszeren futó különböző folyamatokhoz. (A Malwarebytes még mindig azt állítja, hogy a kizsákmányolás-ellenes szolgáltatásuk jobb, és továbbra is javasoljuk a Malwarebytes-ek használatát, de jó, hogy a Windows Defendernek ez a beépített része is van.)

    Ez a funkció automatikusan engedélyezve van, ha frissítette a Windows 10 Fall Creators Update szolgáltatását, és az EMET már nem támogatott. Az EMET nem telepíthető még a Fall Creators Update programot futtató számítógépekre. Ha már telepítette az EMET-et, a frissítés eltávolítja azt.

    A Windows 10 Fall Creators Update frissítése szintén tartalmaz egy, a Controlled Folder Access nevű biztonsági funkciót. Úgy tervezték, hogy megakadályozza a rosszindulatú programokat, mivel csak akkor engedélyezi a megbízható programok számára, hogy módosítsák a személyes adatmappáiban lévő fájlokat, például a Dokumentumok és Képek mappát. Mindkét funkció a „Windows Defender Exploit Guard” része. Azonban a vezérelt mappa elérése alapértelmezés szerint nem engedélyezett.

    A Exploit Protection megerősítése engedélyezve van

    Ez a funkció minden Windows 10 PC-n automatikusan engedélyezve van. Ugyanakkor az „Audit módra” is átkapcsolható, amely lehetővé teszi a rendszergazdák számára, hogy nyomon kövessenek egy naplót arról, hogy mit tett volna a Exploit Protection azáltal, hogy megerősítené, hogy nem okoz problémát, mielőtt engedélyezné a kritikus számítógépeken.

    A szolgáltatás engedélyezésének engedélyezéséhez nyissa meg a Windows Defender biztonsági központot. Nyissa meg a Start menüt, keresse meg a Windows Defender programot, és kattintson a Windows Defender biztonsági központ parancsikonjára.

    Kattintson az ablak alakú „App & böngésző vezérlés” ikonra az oldalsávon. Görgessen lefelé, és megjelenik a „Exploit védelem” szakasz. Ez tájékoztatja Önt arról, hogy ez a funkció engedélyezett.

    Ha nem látja ezt a részt, a számítógép valószínűleg még nem frissítette a Fall Creators Update-t.

    A Windows Defender Exploit védelmének beállítása

    Figyelem: Valószínűleg nem szeretné beállítani ezt a funkciót. A Windows Defender számos technikai lehetőséget kínál, amelyeket módosíthat, és a legtöbb ember nem tudja, mit csinálnak itt. Ez a funkció olyan intelligens alapértelmezett beállításokkal van konfigurálva, amelyek elkerülik a problémákat, és a Microsoft idővel frissítheti szabályait. Az itt leírt lehetőségek elsősorban arra szolgálnak, hogy segítsék a rendszergazdákat a szoftverekre vonatkozó szabályok kidolgozásában és a vállalati hálózaton való kiépítésében.

    Ha szeretné beállítani az Exploit Protection programot, menjen a Windows Defender Biztonsági központba> Alkalmazás és böngésző vezérlés, görgessen lefelé, és kattintson a "Védelmi beállítások kiaknázása" pontra az Exploit védelem alatt.

    Itt két fül látható: Rendszerbeállítások és Programbeállítások. A rendszerbeállítások az összes alkalmazás alapértelmezett beállításait vezérlik, míg a programbeállítások a különböző programokhoz használt egyedi beállításokat vezérlik. Más szóval, a programbeállítások felülbírálhatják az egyes programok Rendszerbeállításait. Ezek szigorúbbak vagy kevésbé korlátozóak lehetnek.

    A képernyő alján kattintson az „Export settings” (Exportálási beállítások) gombra a beállítások exportálásához .xml fájlként, amelyet más rendszerekben importálhat. A Microsoft hivatalos dokumentációja további információkat tartalmaz a szabályok csoportházirenddel és PowerShell-rel való telepítéséről.

    A Rendszerbeállítások lapon a következő lehetőségek láthatók: Vezérlőáramlás-védelem (CFG), Adatvégrehajtás-megelőzés (DEP), Képek véletlenszerűsítése (Kötelező ASLR), Véletlenszerű memóriaelosztások (Alulról felfelé ASLR), Kivételláncok érvényesítése (SEHOP), és ellenőrizze a halom integritását. Alapértelmezés szerint be vannak kapcsolva, kivéve a Force randomization for images (kötelező ASLR) opciót. Ez valószínűleg azért van, mert a kötelező ASLR problémákat okoz néhány programban, így esetleg kompatibilitási problémákba ütközhet, ha engedélyezi, attól függően, hogy milyen programokat futtat.

    Ismét nem kell ezeket a lehetőségeket érinteni, hacsak nem tudod, mit csinálsz. Az alapértelmezett értékek ésszerűek és okból választottak.

    Az interfész nagyon rövid összefoglalást nyújt az egyes lehetőségekről, de ha többet szeretne tudni, néhány kutatást kell tennie. Korábban már elmagyaráztuk, hogy mit csinálnak itt a DEP és az ASLR.

    Kattintson a „Programbeállítások” fülre, és a különböző programok listáját láthatja az egyéni beállításokkal. Az itt leírt opciók lehetővé teszik a teljes rendszerbeállítások felülbírálását. Ha például a „iexplore.exe” -t választja a listában, és kattintson a „Szerkesztés” gombra, akkor a szabály itt erőteljesen engedélyezi a kötelező ASLR-t az Internet Explorer folyamathoz, még akkor is, ha alapértelmezés szerint nem engedélyezi az egész rendszert.

    Nem szabad szabotálni ezeket a beépített szabályokat az olyan folyamatokhoz, mint az runtimebroker.exe és a spoolsv.exe. A Microsoft okok miatt hozzátette őket.

    Egyéni programokat adhat hozzá az egyes programokhoz a „Hozzáadás a testreszabáshoz” gombra kattintva. A „Program neve” vagy „A pontos fájl elérési útja” lehetőséget adhatja meg, de a pontos fájl elérési útja sokkal pontosabb.

    A hozzáadás után megtalálhat egy hosszú listát a beállításokról, amelyek nem lesznek értelmesek a legtöbb ember számára. Az itt elérhető beállítások teljes listája: Független kódvédő (ACG), Alacsony integritási képek blokkolása, Távoli képek blokkolása, Nem megbízható betűtípusok blokkolása, Kód integritásának védelme, Vezérlőáramlás-védő (CFG), Adatok végrehajtásának megakadályozása (DEP), Kiterjesztési pontok letiltása , A Win32k rendszerhívások letiltása, Ne engedélyezze a gyermekprocesszeket, a címszűrés exportálása (EAF), a képek véletlenszerűsítése (kötelező ASLR), a címszűrés importálása (IAF), a memóriaelosztások véletlenszerű beállítása (alulról felfelé ASLR), a végrehajtás szimulálása (SimExec) , Validate API invocation (CallerCheck), a kivételláncok érvényesítése (SEHOP), A fogantyú használatának érvényesítése, a halom integritásának ellenőrzése, A képfüggőség integritásának ellenőrzése és a verem integritásának érvényesítése (StackPivot).

    Ismét nem szabad megérinteni ezeket az opciókat, hacsak nem olyan rendszeradminisztrátor, aki le akarja zárni az alkalmazást, és tényleg tudja, hogy mit csinál.

    Tesztként engedélyeztük az iexplore.exe összes beállítását, és megpróbáltuk elindítani. Az Internet Explorer csak egy hibaüzenetet mutatott, és nem volt hajlandó elindítani. Még nem láttuk, hogy a Windows Defender-értesítés elmagyarázta, hogy az Internet Explorer nem működött beállításunk miatt.

    Ne csak vakon próbálja korlátozni az alkalmazásokat, vagy hasonló problémákat okozhat a rendszeren. Nehéz lesz elhárítani a problémát, ha nem emlékszel, hogy megváltoztatta az opciókat is.

    Ha továbbra is régebbi Windows-verziót használ, mint a Windows 7, a Microsoft EMET vagy Malwarebytes telepítésével kiaknázható védelmi funkciókat kaphat. Az EMET támogatása azonban 2018. július 31-én leáll, mivel a Microsoft a Windows 10 és a Windows Defender Exploit védelme felé kívánja a vállalkozásokat tolni..