4Sep
Aktualizace Microsoft Fall Creators Update konečně přidává integrovanou ochranu exploit do Windows. Museli jste to dříve hledat ve formě nástroje EMET společnosti Microsoft. Nyní je součástí programu Windows Defender a ve výchozím nastavení je aktivován.
Jak funguje ochrana prostředí Windows Defender
Již dávno doporučujeme používat software proti zneužití, jako je nástroj Microsoft Enhanced Mitigation Experience Toolkit( EMET) nebo uživatelsky přívětivější Malwarebytes Anti-Malware, který obsahuje silnou funkci proti zneužití( mimo jiné).Aplikace EMET společnosti Microsoft je široce používána ve větších sítích, kde může být nakonfigurována administrátorem systému, ale nikdy nebyla instalována ve výchozím nastavení, vyžaduje konfiguraci a má průměrné uživatelské rozhraní.
Typické antivirové programy, jako například samotný program Windows Defender, používají definice virů a heuristiku k zachycení nebezpečných programů dříve, než mohou fungovat ve vašem systému. Nástroje zabraňující zneužití skutečně zabraňují tomu, aby mnoho funkčních útoků fungovalo vůbec, takže se tyto nebezpečné programy nedostanou do vašeho systému na prvním místě.Umožňují určité ochrany operačního systému a zabraňují technikám využívajícím společnou paměť, takže pokud je zjištěno zneužití podobného chování, ukončí proces dříve, než se něco zhorší.Jinými slovy, mohou chránit před mnoha útoky za nulové dny, než budou opravovány.
Mohly by však způsobit problémy s kompatibilitou a jejich nastavení by se musela vyladit pro různé programy. Proto se EMET obecně používal v podnikových sítích, kde správci systému mohli upravovat nastavení, a nikoli na domácím počítači.
Windows Defender nyní obsahuje mnoho stejných ochran, které byly původně nalezeny v EMET společnosti Microsoft. Jsou povoleny ve výchozím nastavení pro všechny a jsou součástí operačního systému. Program Windows Defender automaticky konfiguruje příslušná pravidla pro různé procesy spuštěné ve vašem systému.(Malwarebytes stále tvrdí, že jejich funkce ochrany proti zneužití je nadřazená a stále doporučujeme používat Malwarebytes, ale je dobré, že Windows Defender obsahuje i některé z těchto funkcí nyní.)
Tato funkce je automaticky povolena, pokud jste upgradovali na systém Windows10 je aktualizací Fall Creators a EMET již není podporována. EMET nelze dokonce instalovat na počítačích s aktualizací Fall Creators Update. Pokud jste již nainstalovali EMET, bude tato aktualizace odebrána.
Aktualizace Windows 10 Fall Creators Update také obsahuje související bezpečnostní funkci s názvem Controlled Folder Access. Je určen k zastavení malwaru tím, že dovoluje důvěryhodným programům pouze upravovat soubory ve složkách osobních dat, například Dokumenty a Obrázky. Obě funkce jsou součástí programu Windows Defender Exploit Guard. Přístup řízeného složky však není ve výchozím nastavení povolen.
Jak konfigurovat funkci Exploit Protection je povoleno
Tato funkce je automaticky povolena pro všechny počítače Windows 10.Může se však také přepnout do režimu Audit, což umožňuje správcům systému sledovat protokol o tom, co by aplikace Exploit Protection udělala, aby potvrdilo, že nezpůsobí žádné problémy, než ji povolí na kritických počítačích.
Chcete-li potvrdit, že je tato funkce povolena, můžete otevřít Centrum zabezpečení aplikace Windows Defender. Otevřete nabídku Start, vyhledejte program Windows Defender a klepněte na zástupce programu Windows Defender Security Center.
Klepněte na okno "App &ovládání prohlížeče "v postranním panelu. Posuňte se dolů a uvidíte část "Ochrana proti explozi".Informuje vás, že je tato funkce povolena.
Pokud tuto sekci nevidíte, počítač pravděpodobně ještě neaktualizoval aktualizaci Fall Creators.
Jak konfigurovat ochranu aplikace Windows Defender proti explozi
Upozornění : Tuto funkci pravděpodobně nechcete nakonfigurovat. Program Windows Defender nabízí mnoho technických možností, které můžete upravit, a většina lidí nebude vědět, co zde dělají.Tato funkce je nakonfigurována s inteligentními výchozími nastaveními, která zabrání problémům a společnost Microsoft může aktualizovat pravidla v průběhu času. Možnosti zde se zdají primárně určeny k tomu, aby správcům systému pomohli vytvořit pravidla pro software a rozvinout je v podnikové síti.
Pokud chcete konfigurovat funkci Exploit Protection, přejděte na Centrum zabezpečení Windows Defender & gt;Aplikace &ovládací prvek prohlížeče, přejděte dolů a klikněte na tlačítko "Vyhrát nastavení ochrany" v části Ochrana exploze.
Zde uvidíte dvě karty: Systémové nastavení a Nastavení programu. Systémová nastavení kontroluje výchozí nastavení používaná pro všechny aplikace, zatímco nastavení programu řídí jednotlivé nastavení používaná pro různé programy. Jinými slovy, nastavení programu mohou změnit nastavení systému pro jednotlivé programy. Mohly by být restriktivnější nebo méně restriktivní.
V dolní části obrazovky můžete klepnutím na tlačítko Exportovat nastavení exportovat nastavení jako soubor XML, který můžete importovat do jiných systémů.Úřední dokumentace společnosti Microsoft nabízí více informací o nasazení pravidel s zásadami skupiny a PowerShell.
Na záložce System settings( Nastavení systému) se zobrazí následující možnosti: Kontrola ochrany průtoku( CFG), Prevence spouštění dat( DEP), Randomizace síly pro obrazy( Povinná ASLR), Randomize allocations of memory( Bottom-up ASLR)řetězy( SEHOP) a ověřte integritu haldy. Všichni jsou ve výchozím nastavení ve výchozím nastavení s výjimkou volby Randomizing for Samples( Povinná ASLR).To je pravděpodobné, protože povinná ASLR způsobuje potíže s některými programy, takže v závislosti na spuštěných programech můžete spustit problémy s kompatibilitou.
Opět byste se neměli dotýkat těchto možností, pokud nevíte, co děláte. Výchozí hodnoty jsou rozumné a jsou zvoleny z nějakého důvodu.
Rozhraní poskytuje velmi stručný přehled o tom, co každá možnost dělá, ale pokud budete chtít vědět víc, budete muset udělat nějaký výzkum. Dříve jsme vysvětlili, co DEP a ASLR zde dělají.
Klepněte na kartu Nastavení programu a zobrazí se seznam různých programů s vlastními nastaveními. Možnosti zde umožňují přepsat celkové nastavení systému. Pokud například v seznamu vyberete "iexplore.exe" a kliknete na tlačítko "Upravit", uvidíte, že toto pravidlo nuceně povoluje povinné ASLR pro proces Internet Explorer, i když není ve výchozím nastavení povoleno pro celý systém.
Neměli byste manipulovat s těmito vestavěnými pravidly pro procesy jako runtimebroker.exe a spoolsv.exe. Microsoft je přidal z nějakého důvodu.
K jednotlivým programům můžete přidat vlastní pravidla klepnutím na tlačítko Přidat program k přizpůsobení.Můžete buď přidat "podle názvu programu" nebo "vybrat přesnou cestu k souboru", ale specifikace přesné cesty k souboru je mnohem přesnější.
Po přidání můžete najít dlouhý seznam nastavení, která nebude mít pro většinu lidí smysl.Úplný seznam nastavení, který je k dispozici zde, je: Kolektivní arbitrární kód( ACG), Blokovat snímky s nízkou odolností, Blokovat vzdálené obrázky, Blokovat nedůvěryhodné písma, Zabezpečení integrity kódu, Řízení průtoku( CFG), Zakázat systémová volání Win32k, Nepovolovat podřízené procesy, Exportovat filtrování adres( EAF), Vynutit náhodnost pro obrazy( Povinné ASLR), Filtrování adres IAF, Randomize alokace paměti( ASLR zespodu), Simulate execution( SimExec), Potvrzení vyvolání rozhraní API( CallerCheck), ověření řetězců výjimek( SEHOP), ověření využití popisovače, ověření integrity haldy, ověření integrity závislostí obrazu a ověření integrity zásobníku( StackPivot).
Opět byste se neměli dotknout těchto možností, pokud nejste systémový administrátor, který chce uzamknout aplikaci a opravdu víte, co děláte.
Jako test jsme aktivovali všechny možnosti pro iexplore.exe a pokusili jsme se spustit. Aplikace Internet Explorer právě zobrazila chybovou zprávu a odmítla spustit. Dokonce ani jsme neviděli upozornění programu Windows Defender, které vysvětluje, že aplikace Internet Explorer nefungovala z důvodu našich nastavení.
Nepoužívejte pouze slepě pokus o omezení aplikací nebo způsobujete podobné problémy ve vašem systému. Pokud si nepamatujete, že jste změnili možnosti, budou obtížné řešit problémy.
Pokud stále používáte starší verzi systému Windows, například systém Windows 7, můžete využít funkce ochrany pomocí instalace aplikace Microsoft EMET nebo Malwarebytes. Podpora EMET se však zastaví 31. července 2018, neboť společnost Microsoft chce podnikům směřovat k Windows 10 a Windows Defender Exploit Protection místo toho.
