4Sep
Microsofts Fall Creators Update ergänzt Windows endlich um einen integrierten Exploit-Schutz. Sie mussten dies zuvor in Form von Microsofts EMET-Tool suchen. Es ist jetzt Teil von Windows Defender und standardmäßig aktiviert.
So funktioniert der Exploit-Schutz von Windows Defender
Wir empfehlen seit langem die Verwendung von Anti-Exploit-Software wie dem Enhanced Mitigation Experience Toolkit( EMET) von Microsoft oder dem benutzerfreundlicheren Malwarebytes Anti-Malware, das unter anderem eine leistungsstarke Anti-Exploit-Funktion enthält).Microsofts EMET wird häufig in größeren Netzwerken verwendet, wo es von Systemadministratoren konfiguriert werden kann, aber es wurde nie standardmäßig installiert, erfordert eine Konfiguration und hat eine verwirrende Schnittstelle für durchschnittliche Benutzer.
Typische Antivirenprogramme wie Windows Defender selbst verwenden Virusdefinitionen und Heuristiken, um gefährliche Programme zu erkennen, bevor sie auf Ihrem System ausgeführt werden können. Anti-Exploit-Tools verhindern tatsächlich, dass viele beliebte Angriffstechniken überhaupt funktionieren, so dass diese gefährlichen Programme überhaupt nicht in Ihr System gelangen. Sie ermöglichen bestimmte Schutzmechanismen für Betriebssysteme und blockieren Exploit-Techniken für den gemeinsamen Speicher. Wenn ein Exploit-ähnliches Verhalten erkannt wird, wird der Prozess beendet, bevor etwas Schlimmes passiert. Mit anderen Worten, sie können sich gegen viele Zero-Day-Angriffe schützen, bevor sie gepatcht werden.
Sie könnten jedoch möglicherweise Kompatibilitätsprobleme verursachen, und ihre Einstellungen müssen möglicherweise für verschiedene Programme optimiert werden. Aus diesem Grund wurde EMET generell in Unternehmensnetzwerken eingesetzt, wo Systemadministratoren die Einstellungen optimieren konnten und nicht auf Heim-PCs.
Windows Defender enthält jetzt viele der gleichen Schutzmechanismen, die ursprünglich in Microsofts EMET gefunden wurden. Sie sind standardmäßig für alle Benutzer aktiviert und Teil des Betriebssystems. Windows Defender konfiguriert automatisch die entsprechenden Regeln für verschiedene Prozesse, die auf Ihrem System ausgeführt werden.(Malwarebytes behauptet immer noch, dass ihre Anti-Exploit-Funktion überlegen ist, und wir empfehlen trotzdem die Verwendung von Malwarebytes, aber es ist gut, dass Windows Defender jetzt auch einige davon eingebaut hat.)
Diese Funktion wird automatisch aktiviert, wenn Sie auf Windows aktualisiert haben10's Fall Creators Update und EMET wird nicht mehr unterstützt. EMET kann nicht einmal auf PCs installiert werden, auf denen das Fall Creators Update ausgeführt wird. Wenn Sie bereits EMET installiert haben, wird es durch das Update entfernt.
Das Herbst-Ersteller-Update von Windows 10 enthält auch ein zugehöriges Sicherheitsmerkmal namens Kontrollierter Ordner-Zugriff. Es wurde entwickelt, um Malware zu stoppen, indem nur vertrauenswürdige Programme Dateien in Ihren persönlichen Datenordnern wie Dokumente und Bilder ändern können. Beide Funktionen sind Teil von "Windows Defender Exploit Guard".Der Zugriff auf kontrollierte Ordner ist jedoch standardmäßig nicht aktiviert.
So bestätigen Sie, dass der Exploit-Schutz aktiviert ist
Diese Funktion ist automatisch für alle Windows 10-PCs aktiviert. Es kann jedoch auch in den "Überwachungsmodus" geschaltet werden, sodass Systemadministratoren ein Protokoll über den Exploit Protection überwachen können, um sicherzustellen, dass keine Probleme auftreten, bevor sie auf kritischen PCs aktiviert werden.
Um zu bestätigen, dass diese Funktion aktiviert ist, können Sie das Windows Defender Security Center öffnen.Öffnen Sie das Startmenü, suchen Sie nach Windows Defender und klicken Sie auf die Verknüpfung Windows Defender Security Center.
Klicken Sie auf die fensterförmige App &Browser-Kontrolle "-Symbol in der Seitenleiste. Scrollen Sie nach unten und Sie sehen den Abschnitt "Exploit-Schutz".Es wird Sie darüber informieren, dass diese Funktion aktiviert ist.
Wenn Sie diesen Abschnitt nicht sehen, wurde Ihr PC wahrscheinlich noch nicht auf das Fall Creators Update aktualisiert.
So konfigurieren Sie den Exploit-Schutz für Windows Defender
Warnung : Wahrscheinlich möchten Sie diese Funktion nicht konfigurieren. Windows Defender bietet viele technische Optionen, die Sie anpassen können, und die meisten Leute werden nicht wissen, was sie hier tun. Diese Funktion ist mit intelligenten Standardeinstellungen konfiguriert, die keine Probleme verursachen, und Microsoft kann seine Regeln im Laufe der Zeit aktualisieren. Die hier aufgeführten Optionen dienen in erster Linie dazu, Systemadministratoren zu helfen, Regeln für Software zu entwickeln und sie in einem Unternehmensnetzwerk bereitzustellen.
Wenn Sie Exploit Protection konfigurieren möchten, wechseln Sie zum Windows Defender Security Center & gt;App &Browser-Steuerung, scrollen Sie nach unten und klicken Sie unter Exploit protection auf "Exploit protection settings".
Hier sehen Sie zwei Registerkarten: Systemeinstellungen und Programmeinstellungen. Die Systemeinstellungen steuern die Standardeinstellungen für alle Anwendungen, während die Programmeinstellungen die einzelnen Einstellungen für verschiedene Programme steuern. Mit anderen Worten, Programmeinstellungen können die Systemeinstellungen für einzelne Programme überschreiben. Sie könnten restriktiver oder weniger restriktiv sein.
Unten auf dem Bildschirm können Sie auf "Einstellungen exportieren" klicken, um Ihre Einstellungen als XML-Datei zu exportieren, die Sie auf anderen Systemen importieren können. Die offizielle Dokumentation von Microsoft bietet weitere Informationen zum Bereitstellen von Regeln mit Gruppenrichtlinien und PowerShell.
Auf der Registerkarte Systemeinstellungen werden folgende Optionen angezeigt: Flow Guard( CFG) steuern, Data Execution Prevention( DEP), Randomisierung für Bilder erzwingen( Mandatory ASLR), Speicherzuweisungen zuführen( Bottom-up-ASLR), Ausnahme bestätigenKetten( SEHOP) und Validieren der Heapintegrität. Sie sind alle standardmäßig aktiviert, mit Ausnahme der Option Randomisierung für Bilder erzwingen( obligatorisch ASLR).Das liegt wahrscheinlich daran, dass Mandatory ASLR bei einigen Programmen Probleme verursacht. Wenn Sie es aktivieren, können Kompatibilitätsprobleme auftreten, abhängig von den Programmen, die Sie ausführen.
Wieder sollten Sie diese Optionen nicht berühren, außer Sie wissen, was Sie tun. Die Standardeinstellungen sind sinnvoll und werden aus einem bestimmten Grund gewählt.
Die Schnittstelle bietet eine sehr kurze Zusammenfassung der einzelnen Optionen, aber Sie müssen etwas recherchieren, wenn Sie mehr wissen möchten. Wir haben vorher erklärt, was DEP und ASLR hier tun.
Klicken Sie auf die Registerkarte "Programmeinstellungen" und Sie sehen eine Liste mit verschiedenen Programmen mit benutzerdefinierten Einstellungen. Die Optionen hier ermöglichen das Überschreiben der gesamten Systemeinstellungen. Wenn Sie z. B. "iexplore.exe" in der Liste auswählen und auf "Bearbeiten" klicken, sehen Sie, dass die Regel zwangsweise ASLR für den Internet Explorer-Prozess aktiviert, obwohl sie standardmäßig nicht systemweit aktiviert ist.
Sie sollten diese integrierten Regeln für Prozesse wie runtimebroker.exe und spoolsv.exe nicht manipulieren. Microsoft hat sie aus einem bestimmten Grund hinzugefügt.
Sie können benutzerdefinierte Regeln für einzelne Programme hinzufügen, indem Sie auf "Programm zum Anpassen hinzufügen" klicken. Sie können entweder "Nach Programmname hinzufügen" oder "Genaue Dateipfad auswählen" auswählen, aber die Angabe eines genauen Dateipfads ist sehr viel genauer.
Einmal hinzugefügt, finden Sie eine lange Liste von Einstellungen, die für die meisten Menschen nicht sinnvoll sind. Die vollständige Liste der hier verfügbaren Einstellungen lautet: Arbitrary Code Guard( ACG), Bilder mit geringer Integrität sperren, Remote-Bilder blockieren, Nicht vertrauenswürdige Schriftarten blockieren, Code Integrity Guard, Control Flow Guard( CFG), Datenausführungsverhinderung( DEP), Erweiterungspunkte deaktivieren, Win32k-Systemaufrufe deaktivieren, untergeordnete Prozesse nicht zulassen, Adressfilterung( EAF) erzwingen, Randomisierung für Bilder erzwingen( obligatorische ASLR), Adressfilterung importieren( IAF), Speicherzuweisungen zuführen( Bottom-up-ASLR), Ausführung simulieren( SimExec), Validieren des API-Aufrufs( CallerCheck), Überprüfen der Ausnahmeketten( SEHOP), Validieren der Handle-Verwendung, Validieren der Heap-Integrität, Validieren der Image-Abhängigkeitsintegrität und Überprüfen der Stack-Integrität( StackPivot).
Auch hier sollten Sie diese Optionen nicht berühren, es sei denn Sie sind ein Systemadministrator, der eine Anwendung sperren möchte und Sie wirklich wissen, was Sie tun.
Als Test haben wir alle Optionen für iexplore.exe aktiviert und versucht, es zu starten. Internet Explorer hat gerade eine Fehlermeldung angezeigt und den Start verweigert. Wir haben nicht einmal eine Windows Defender-Benachrichtigung gesehen, in der erklärt wurde, dass der Internet Explorer aufgrund unserer Einstellungen nicht funktionierte.
Versuchen Sie nicht blindlings, Anwendungen zu beschränken oder Sie werden ähnliche Probleme auf Ihrem System verursachen. Sie werden schwer zu beheben sein, wenn Sie sich nicht daran erinnern, dass Sie die Optionen ebenfalls geändert haben.
Wenn Sie immer noch eine ältere Version von Windows wie Windows 7 verwenden, können Sie Exploit-Schutzfunktionen durch Installieren von Microsofts EMET oder Malwarebytes erhalten. Die Unterstützung für EMET wird jedoch am 31. Juli 2018 eingestellt, da Microsoft stattdessen Unternehmen zu Windows 10 und Windows Defender Exploit Protection drängen möchte.