Mājas lapa » » Kā darbojas Windows Defender jaunie aizsardzības līdzekļi (un to konfigurēšana)

    Kā darbojas Windows Defender jaunie aizsardzības līdzekļi (un to konfigurēšana)

    Visbeidzot, Microsoft Fall Creators Update pievieno Windows integrētu aizsardzības aizsardzību. Jums iepriekš vajadzēja to meklēt Microsoft EMET rīka veidā. Tagad tas ir daļa no Windows Defender un tiek aktivizēts pēc noklusējuma.

    Kā darbojas Windows Defender aizsardzības līdzekļi

    Mēs jau sen esam ieteikuši izmantot pret-ekspluatācijas programmatūru, piemēram, Microsoft uzlaboto mazināšanas pieredzes rīku komplektu (EMET) vai lietotājam draudzīgāku Malwarebytes Anti-Malware, kas satur spēcīgu pretkontroles funkciju (cita starpā). Microsoft EMET tiek plaši izmantots lielākos tīklos, kur to var konfigurēt sistēmas administratori, bet tā nekad nav instalēta pēc noklusējuma, nepieciešama konfigurācija, un tam ir mulsinoša saskarne vidējiem lietotājiem.

    Tipiskas pretvīrusu programmas, piemēram, pats Windows Defender, izmanto vīrusu definīcijas un heiristiku, lai nozvejotas bīstamas programmas, pirms tās var darboties jūsu sistēmā. Pretproblēmu rīki faktiski neļauj daudziem populāriem uzbrukuma paņēmieniem darboties vispār, tāpēc šīs bīstamās programmas vispirms nenonāk jūsu sistēmā. Tie nodrošina noteiktu operētājsistēmas aizsardzību un bloķē kopējās atmiņas izmantošanas metodes, lai, ja tiktu atklāta līdzīga uzvedība, viņi pārtrauks procesu, pirms nekas slikts nenotiks. Citiem vārdiem sakot, viņi var aizsargāt pret daudziem nulles dienu uzbrukumiem, pirms tie tiek ielādēti.

    Tomēr tie, iespējams, var radīt savietojamības problēmas, un to iestatījumi, iespējams, būs jāmaina dažādām programmām. Tāpēc EMET parasti izmantoja uzņēmumu tīklos, kur sistēmas administratori varēja izmainīt iestatījumus, nevis mājas datorus.

    Windows Defender tagad ietver daudzus no šiem pašiem aizsargiem, kas sākotnēji tika konstatēti Microsoft EMET. Tie ir iespējoti pēc noklusējuma ikvienam un ir daļa no operētājsistēmas. Windows Defender automātiski konfigurē atbilstošus noteikumus dažādiem procesiem, kas darbojas jūsu sistēmā. (Malwarebytes joprojām apgalvo, ka viņu anti-ekspluatācijas funkcija ir pārāka, un mēs joprojām iesakām izmantot Malwarebytes, bet ir labi, ka Windows Defender ir arī daļa no šī iebūvētajiem.)

    Šī funkcija tiek automātiski iespējota, ja esat atjauninājis sistēmu Windows 10 Fall Creators Update, un EMET vairs netiek atbalstīts. EMET nevar uzstādīt pat datoros, kuros darbojas Fall Creators Update. Ja jums jau ir instalēta EMET, atjauninājums to noņems.

    Windows 10 Fall Creators Update ietver arī saistītu drošības funkciju, kas nosaukta par Controlled Folder Access. Tā ir izstrādāta, lai apturētu ļaunprātīgu programmatūru, ļaujot uzticamām programmām pārveidot failus jūsu personisko datu mapēs, piemēram, Dokumenti un attēli. Abas funkcijas ir daļa no „Windows Defender Exploit Guard”. Tomēr pēc noklusējuma Kontrolētās mapes piekļuve nav iespējota.

    Kā apstiprināt izmantošanas aizsardzību ir iespējota

    Šī funkcija tiek automātiski iespējota visiem Windows 10 datoriem. Tomēr to var arī pārslēgt uz „Audita režīmu”, kas ļauj sistēmas administratoriem uzraudzīt žurnālu par to, ko būtu izmantojis Exploit Protection, lai apstiprinātu, ka tas neradīs nekādas problēmas pirms to iespējošanas kritiskajos datoros.

    Lai apstiprinātu, ka šī funkcija ir iespējota, varat atvērt Windows Defender drošības centru. Atveriet izvēlni Sākt, meklējiet programmu Windows Defender un noklikšķiniet uz Windows Defender drošības centra saīsnes.

    Sānu joslā noklikšķiniet uz loga formas “App & browser control” ikonas. Ritiniet uz leju un jūs redzēsiet sadaļu “Izmantot aizsardzību”. Tas informēs, ka šī funkcija ir iespējota.

    Ja jūs neredzat šo sadaļu, jūsu dators, iespējams, vēl nav atjauninājis Fall Creators Update.

    Kā konfigurēt Windows Defender izmantošanas aizsardzību

    Brīdinājums: Jūs, iespējams, nevēlaties konfigurēt šo funkciju. Windows Defender piedāvā daudzas tehniskās iespējas, ko varat pielāgot, un lielākā daļa cilvēku nezina, ko viņi dara šeit. Šī funkcija ir konfigurēta, izmantojot viedos noklusējuma iestatījumus, kas ļaus izvairīties no problēmām, un Microsoft laika gaitā var atjaunināt noteikumus. Iespējas šeit, šķiet, galvenokārt domātas, lai palīdzētu sistēmas administratoriem izstrādāt noteikumus par programmatūru un izvērst tos uzņēmuma tīklā.

    Ja vēlaties konfigurēt Exploit Protection, dodieties uz Windows Defender drošības centru> Lietojumprogrammu un pārlūkprogrammas vadību, ritiniet uz leju un noklikšķiniet uz Izmantot aizsardzību.

    Šeit būs redzamas divas cilnes: sistēmas iestatījumi un programmas iestatījumi. Sistēmas iestatījumi kontrolē noklusējuma iestatījumus, kas tiek izmantoti visās lietojumprogrammās, bet Programmas iestatījumi kontrolē individuālos iestatījumus, ko izmanto dažādām programmām. Citiem vārdiem sakot, programmas iestatījumi var ignorēt atsevišķu programmu sistēmas iestatījumus. Tie varētu būt ierobežojošāki vai mazāk ierobežojoši.

    Ekrāna apakšdaļā varat noklikšķināt uz “Eksporta iestatījumi”, lai eksportētu iestatījumus kā .xml failu, ko var importēt citās sistēmās. Microsoft oficiālā dokumentācija sniedz plašāku informāciju par noteikumu ieviešanu ar grupas politiku un PowerShell.

    Cilnē Sistēmas iestatījumi jūs redzēsiet šādas iespējas: Kontroles plūsmas aizsargs (CFG), Datu izpildes novēršana (DEP), Spēka nejaušības princips attēliem (Obligāts ASLR), Atmiņas sadalījuma nejaušība (Apakšējā augšup ASLR), Izņēmumu ķēžu apstiprināšana (SEHOP) un apstipriniet kaudzes integritāti. Viņi visi ir ieslēgti pēc noklusējuma, izņemot opciju Nejaušības režīms attēliem (Obligātā ASLR). Tas ir iespējams tāpēc, ka obligātās ASLR rada problēmas ar dažām programmām, tāpēc, ja iespējojat to, iespējams, rodas saderības problēmas, atkarībā no jūsu palaistām programmām.

    Atkal, jums patiešām nevajadzētu pieskarties šīm opcijām, ja vien jūs nezināt, ko darāt. Noklusējumi ir saprātīgi un ir izvēlēti iemesla dēļ.

    Interfeiss sniedz ļoti īsu kopsavilkumu par to, ko katrs variants dara, bet jums būs jāveic daži pētījumi, ja vēlaties uzzināt vairāk. Mēs jau iepriekš esam izskaidrojuši, ko DEP un ASLR dara šeit.

    Noklikšķiniet uz cilnes Programmas iestatījumi, un jūs redzēsiet dažādu programmu sarakstu ar pielāgotiem iestatījumiem. Šeit pieejamās opcijas ļauj novērst vispārējos sistēmas iestatījumus. Piemēram, ja sarakstā atlasāt "iexplore.exe" un noklikšķināt uz "Rediģēt", jūs redzēsiet, ka noteikums šeit stingri iespējo obligāto ASLR Internet Explorer procesam, lai gan tas nav iespējots pēc sistēmas standarta.

    Jums nevajadzētu manipulēt ar šiem iebūvētajiem procesiem tādiem procesiem kā runtimebroker.exe un spoolsv.exe. Microsoft tos pievienoja kāda iemesla dēļ.

    Jūs varat pievienot pielāgotus noteikumus atsevišķām programmām, noklikšķinot uz “Pievienot programmu, lai pielāgotu”. Jūs varat vai nu “Pievienot pēc programmas nosaukuma” vai “Izvēlēties precīzu faila ceļu”, bet precīzas faila ceļa norādīšana ir daudz precīzāka.

    Pēc pievienošanas jūs varat atrast garu sarakstu ar iestatījumiem, kas vairumam cilvēku nebūs nozīmīgi. Pilns šeit pieejamo iestatījumu saraksts ir: Patvaļīgs kodu aizsargs (ACG), Bloķēt zema integritātes attēlus, Bloķēt attālos attēlus, Bloķēt neuzticamus fontus, Kodu integritātes aizsargs, Kontroles plūsmas aizsargs (CFG), Datu izpildes novēršana (DEP), Izslēgt paplašināšanas punktus , Atspējot Win32k sistēmas zvanus, Neļaut bērna procesus, Eksportēt adreses filtrēšanu (EAF), Spēku randomizācija attēliem (Obligāts ASLR), Importēt adrešu filtrēšanu (IAF), Atmiņas sadalījuma nejaušība (Apakšējā augšup ASLR), Simulēt izpildi (SimExec) , Apstipriniet API ielūgumu (CallerCheck), Apstipriniet izņēmuma ķēdes (SEHOP), Apstipriniet roktura izmantošanu, Apstipriniet kaudzes integritāti, Apstipriniet attēla atkarības integritāti un apstipriniet kaudze integritāti (StackPivot).

    Atkal, jums nevajadzētu pieskarties šīm opcijām, ja vien neesat sistēmas administrators, kurš vēlas bloķēt lietojumprogrammu un jūs tiešām zināt, ko darāt.

    Kā pārbaudi mēs iespējojām visas iexplore.exe opcijas un mēģinājām to sākt. Internet Explorer tikai parādīja kļūdas ziņojumu un atteicās sākt. Mēs pat neesam redzējuši Windows Defender paziņojumu, paskaidrojot, ka Internet Explorer nedarbojās mūsu iestatījumu dēļ.

    Ne tikai akli mēģiniet ierobežot lietojumprogrammas, vai arī jūs radīsit līdzīgas problēmas jūsu sistēmā. Viņi būs grūti novērst, ja jūs neatceraties, ka jūs arī mainījāt iespējas.

    Ja joprojām izmantojat vecāku Windows versiju, piemēram, Windows 7, jūs varat iegūt ekspluatācijas aizsardzības līdzekļus, instalējot Microsoft EMET vai Malwarebytes. Tomēr atbalsts EMET tiks pārtraukts 2018. gada 31. jūlijā, jo Microsoft vēlas nospiest uzņēmumus uz Windows 10 un Windows Defender Exploit aizsardzību.