4Sep
Microsofti Fall Creatoride värskendamine lisab lõpuks Windowsile integreeritud kaitsestamise kaitse. Varem oli teil seda otsida Microsofti EMET-i tööriista vormis. See on nüüd osa Windows Defenderist ja on vaikimisi aktiveeritud.
Kuidas Windows Defender Exploit Protection töötab
Oleme pikka aega soovitanud kasutada tõrkeotsingutarkvara nagu Microsofti täiustatud leevendamise kogemuste tööriistakomplekt( EMET) või rohkem kasutajasõbralik Malwarebytes Anti-Malware, mis sisaldab võimas anti-malware( muuhulgas ka)Microsofti EMETi kasutatakse laialdaselt suuremates võrkudes, kus süsteemihaldurid saavad seda konfigureerida, kuid seda ei ole kunagi vaikimisi installitud, see nõuab konfiguratsiooni ja omab keskmisele kasutajale segadust.
Tüüpilised viirusetõrjeprogrammid, nagu Windows Defender ise, kasutavad viiruste määratlusi ja heuristilisi viise, et püüda ohtlikke programme enne nende süsteemi käivitamist. Anti-Exploit vahendid takistavad paljudel populaarsete rünnakute tehnikatel üldse toimimist, mistõttu neid ohtlikke programme ei jõua teie süsteemis esmakordselt. Nad võimaldavad teatud opsüsteemi kaitset ja blokeerivad ühist mälu kasutamise tehnikat, nii et kui kasutatakse ärakasutatavat käitumist, tuvastatakse protsess enne, kui midagi halba juhtub. Teisisõnu saavad nad kaitsta mitmete null-päeva rünnakute eest, enne kui need on parandatud.
Kuid need võivad põhjustada ühilduvusprobleeme ja nende seadistusi võib olla tarvis muuta erinevate programmide jaoks. Sellepärast kasutati EMETi üldiselt ettevõtte võrkudes, kus süsteemiadministraatorid saaksid seadeid kohandada, mitte kodus kasutatavatele arvutitele.
Windows Defender sisaldab nüüd mitmeid samu kaitsemeetmeid, mis olid algselt Microsoft Microsofti EMET-s. Need on vaikimisi lubatavad kõigile ja kuuluvad operatsioonisüsteemi. Windows Defender konfigureerib automaatselt sobivad reeglid teie süsteemis töötavate erinevate protsesside jaoks.(Malwarebytes väidab jätkuvalt, et nende võitlusevastane funktsioon on parem, ja me soovime ikkagi kasutada Malwarebytesi, kuid on hea, et ka Windows Defenderil on mõni selline sisseehitatud ka nüüd.)
See funktsioon on automaatselt lubatud, kui olete Windowsi uuendatud10-aastane sügisel esinejate värskendus ja EMET pole enam toetatud. EMETi ei saa isegi installida sülearvutite värskendust kasutavatelt arvutites. Kui sul on juba installitud EMET, eemaldatakse see uuendatud versiooniga.
Windows 10 Fall Creator Updates sisaldab ka seotud turbefunktsiooni nimega Controlled Folder Access. Selle eesmärk on peatada pahavara, lubades ainult usaldusväärsetel programmidel oma isiklike andmete kaustade, nagu dokumendid ja pildid, failide muutmist. Mõlemad funktsioonid on osa "Windows Defender Exploit Guard".Kuid kontrollitavate kaustade juurdepääs pole vaikimisi lubatud.
Kuidas kinnitada rakenduse kaitse on lubatud
See funktsioon on automaatselt lubatud kõigile Windows 10-arvutitele. Siiski saab seda ka muuta "auditirežiimiks", mis võimaldab süsteemiadministraatoritel jälgida, kas Exploit Protection oleks seda kinnitanud, et see ei tekita probleeme enne kriitiliste arvutite lubamist.
Selle funktsiooni lubamise kinnitamiseks võite avada Windows Defenderi turvakeskuse. Ava oma menüü Start, otsi Windows Defenderit ja klõpsake vahekaarti Windows Defender Security Center.
Klõpsake akna kujuga "Rakendus &brauseri juhtimise "ikoon külgribal. Kerige allapoole ja näete jaotist Exploit protection. See teavitab teid, et see funktsioon on lubatud.
Kui te ei näe seda jaotist, pole teie arvutis ikka veel Fall Creatoride värskendamist veel värskendatud.
Kuidas Windows Defenderi tööriistakaitse konfigureerida
Hoiatus : Te ei soovi tõenäoliselt seda funktsiooni konfigureerida. Windows Defender pakub palju tehnilisi võimalusi, mida saate kohandada ja enamik inimesi ei tea, mida nad siin teevad. See funktsioon on konfigureeritud tarkade vaikeseadetega, mis aitavad vältida probleeme ja Microsoft saab aja jooksul oma reegleid ajakohastada. Siin näib olevat valikuvõimalus peamiselt aidata süsteemiadministraatoritel töötada välja tarkvara eeskirjad ja viia need ettevõtlusvõrgustikus välja.
Kui soovite konfigureerida Exploit Protection'i, minge Windows Defendi turvakeskusse & gt;Rakendus &brauseri juhtimine, kerige alla ja klõpsake valikul Exploit protection( kaitsevahendite kasutamine).
Siin näete kahte vahekaarti: Süsteemi seaded ja Programmi seaded. Süsteemi seaded määravad kõigi rakenduste puhul kasutatavad vaikeseaded, samal ajal kui programmi seaded kontrollivad erinevate programmide erinevaid seadeid. Teisisõnu, programmi seaded võivad üksikute programmide jaoks süsteemi seadeid üle kanda. Need võivad olla rangemad või vähem piiravad.
Ekraani alaosas saate klõpsata "Seadistused eksportida", et eksportida seadeid. xml-failina, mida saab teistesse süsteemidesse importida. Microsofti ametlikest dokumentidest leiate rohkem teavet eeskirjade juurutamise kohta rühma-poliitika ja PowerShelliga.
Vahekaardil Süsteemi seaded näete järgmisi valikuid: Juhtimisvoogude kaitse( CFG), Andmete täitmise vältimine( DEP), Piltide jõudluse randomiseerimine( kohustuslik ASLR), Randomiseeritud mälu eraldamine( alt-üles ASLR), Valideeri eranditahelad( SEHOP) ja kinnita hunniku terviklikkus. Nad kõik on vaikimisi, välja arvatud piltide Force randomisation( Kohustuslik ASLR) valik. See on tõenäoline, kuna kohustuslik ASLR põhjustab probleeme mõne programmiga, nii et võite töötada ühilduvusprobleemidega, kui see lubate, sõltuvalt teie käivitatavatest programmidest.
Jällegi ei peaks te tõesti neid valikuid puudutama, kui te ei tea, mida teete. Vaikeväärtused on mõistlikud ja valitakse põhjusel.
Liides annab väga lühikese kokkuvõtte sellest, mida iga võimalus teeb, kuid peate tegema mõned uuringud, kui soovite rohkem teada saada. Oleme varem selgitanud, mida DEP ja ASLR teevad siin.
Klõpsake vahekaardil "Programmi seaded" ja näete erinevate programmide loendit, millel on kohandatud sätted. Antud võimalused võimaldavad üldist süsteemi seadeid kehtetuks muuta. Näiteks kui valisite loendis "iexplore.exe" ja klõpsate "Redigeeri", näete, et reegel lubab jõuliselt Internet Exploreri protsessi jaoks kohustuslikku ASLR-i, kuigi see pole vaikimisi kogu süsteemi sisse lülitatud.
Te ei tohiks mõjutada neid sisseehitatud reegleid protsessidele, nagu runtimebroker.exe ja spoolsv.exe. Microsoft lisas neid põhjusel.
Saate lisada üksikutele programmidele kohandatud reegleid, klõpsates valikul "Lisa kohandatav programm".Võite kas lisada "Lisa programmi nime" või "Vali täpne faili tee", kuid täpse faili tee täpsustamine on täpsem.
Kui olete lisanud, võite leida pikkade seadete loendi, mis pole enamiku inimeste jaoks tähendusrikas. Siin saadavate seadete täielik nimekiri on järgmine: juhusliku koodi valvur( ACG), vähese terviklikkuse blokeeringu blokeerimine, kaug piltide blokeerimine, blokeeringu ebausaldusväärsed fondid, koodi terviklikkuse valvur, juhtimisvoo valvur( CFG), andmete täitmise vältimine( DEP), laiendamispunktide keelamine, Keela Win32k süsteemikõned, keelata lappprotsessid, ekspordi aadresside filtreerimine( EAF), piltide juhusliku valimise kohustus( Mandatory ASLR), import adressaatide filtreerimine( IAF), mälu eraldamine( alt-üles ASLR), simuleerida täitmist( SimExec), Kinnitage API kutsumine( CallerCheck), kontrollige erandikeleid( SEHOP), kontrollige käepideme kasutamist, kinnita hunnik terviklikkust, kinnitage pildi sõltuvuse terviklikkust ja kinnita stack integrity( StackPivot).
Jällegi ei peaks te neid valikuid puudutama, kui olete süsteemiadministraator, kes soovib rakendust lukustada ja teate tõesti, mida teete.
Katse käigus lubasime kõik iexplore.exe võimalused ja proovisime seda käivitada. Internet Explorer näitas tõrketeadet ja keeldus käivitamisest. Me ei näe isegi Windows Defenderi märguannet, mis selgitab, et meie seadete tõttu ei tööta Internet Explorer.
Ärge pimesi proovige piirata rakendusi ega tekitada probleeme oma süsteemis. Neid on raske tõrkeotsingut teha, kui te ei mäleta, et olete muutnud ka valikuid.
Kui kasutate ikka veel Windowsi vanemat versiooni, näiteks Windows 7, saate Microsofti EMET-i või Malwarebytesi installeerida, kasutades kaitsefunktsioone. Kuid EMETi tugi lõpeb 31. juulil 2018, kuna Microsofti soovib ettevõtteid suunata Windows 10 ja Windows Defender Exploit Protection'i asemel.