4Sep
Microsoftin Fall Creators -päivitys lisää lopulta integroidun suojauksen suojauksen Windowsille. Sinun oli aikaisemmin etsittävä tätä Microsoftin EMET-työkalun muodossa. Se on nyt osa Windows Defenderä ja se on käytössä oletuksena.
Miten Windows Defenderin hyökkäyssuojaus toimii
Olemme pitkään suositelleet hyödyntämään anti-exploit -ohjelmistoja, kuten Microsoftin Enhanced Mitigation Experience Toolkit( EMET) -tekniikkaa tai helppokäyttöisempää Malwarebytes Anti-Malware -ohjelmaa, joka sisältää tehokkaan antiselostusominaisuuden( muun muassa).Microsoftin EMET-järjestelmää käytetään laajalti suurissa verkoissa, joissa järjestelmänvalvojat voivat määrittää sen, mutta sitä ei koskaan asennettu oletusarvoisesti. Se vaatii konfigurointia ja sillä on sekava käyttöliittymä keskimääräisille käyttäjille.
Tyypillisiä virustentorjuntaohjelmia, kuten Windows Defender itse, käyttävät virusmääritelmiä ja heuristiikkaa uhkaamaan vaarallisia ohjelmia ennen kuin ne voivat toimia järjestelmässäsi. Anti-exploit-työkalut estävät usein monet suosittujen hyökkäystekniikoiden toimimasta lainkaan, joten vaaralliset ohjelmat eivät pääse järjestelmäänsi ensi sijassa. Ne mahdollistavat tietyt käyttöjärjestelmien suojaukset ja estävät yhteisten muistien hyödyntämismenetelmien, joten jos tunnistetaan hyökkäyskäyttäytymistä, he lopettavat prosessin ennen kuin mitään huonoa tapahtuu. Toisin sanoen, he voivat suojata monia nollakohtaisia hyökkäyksiä vastaan ennen kuin heidät on patched.
Kuitenkin ne saattavat aiheuttaa yhteensopivuusongelmia, ja niiden asetuksia on ehkä muokattava eri ohjelmille. Siksi EMETä käytettiin yleensä yritysverkoissa, jolloin järjestelmänvalvojat voisivat säätää asetuksia eikä kotikoneita.
Windows Defender sisältää nyt monia näistä samoista suojauksista, jotka löytyivät alun perin Microsoftin EMET-järjestelmästä.Ne ovat oletusarvoisesti käytössä kaikille, ja ne ovat osa käyttöjärjestelmää.Windows Defender määrittää automaattisesti järjestelmän eri prosesseille sopivat säännöt.(Malwarebytes väittää edelleen, että niiden anti-exploit-ominaisuus on parempaa ja suosittelemme edelleen Malwarebytesin käyttämistä, mutta on hyvä, että Windows Defenderillä on jo osa tästä sisäänrakennetusta.)
Tämä ominaisuus otetaan automaattisesti käyttöön, jos olet päivittänyt Windows10: n Fall Creators -päivitys, eikä EMETä enää tueta. Emetia ei voi edes asentaa Fall Creators -päivitystä käyttäville tietokoneille. Jos sinulla on jo EMET-ohjelmisto, se poistetaan päivityksestä.
Windows 10: n Fall Creators -päivitys sisältää myös tietoturvaominaisuuden nimeltä Controlled Folder Access. Se on suunniteltu pysäyttämään haittaohjelmat vain sallimalla luotettavien ohjelmien muokkaamasta tiedostoja henkilötietokansioissa, kuten Dokumentit ja kuvat. Molemmat ominaisuudet ovat osa "Windows Defender Exploit Guard" -ohjelmaa. Ohjattu kansio -toiminto ei ole kuitenkaan käytössä oletuksena.
Vahvistus Exploit Protection on käytössä
Tämä ominaisuus on automaattisesti käytössä kaikissa Windows 10 -tietokoneissa. Kuitenkin se voidaan vaihtaa myös tilintarkastustilaan, jonka avulla järjestelmänvalvojat voivat seurata kirjaa siitä, mitä Exploit Protection -ohjelma olisi tehnyt varmistaakseen, ettei se aiheuta ongelmia ennen kuin se voidaan ottaa käyttöön kriittisille tietokoneille.
Varmistaaksesi, että tämä toiminto on käytössä, voit avata Windows Defender Security Centerin. Avaa Käynnistä-valikko, etsi Windows Defender ja napsauta Windows Defender Security Center -pikakuvaketta.
Napsauta ikkunan muotoista "App &selaimen hallinta "-kuvaketta sivupalkissa. Vieritä alaspäin ja näet "Hyödyntää suojaus" -osiota. Se ilmoittaa, että tämä ominaisuus on käytössä.
Jos et näe tätä osaa, tietokoneesi ei todennäköisesti ole päivittänyt Fall Creators -päivitystä vielä.
Windows Defenderin suojaustoiminnon määrittäminen
Varoitus : Luultavasti et halua määrittää tätä toimintoa. Windows Defender tarjoaa monia teknisiä vaihtoehtoja, joita voit säätää, ja useimmat ihmiset eivät tiedä, mitä he tekevät täällä.Tämä ominaisuus on määritetty älykkäillä oletusasetuksilla, jotka eivät aiheuta ongelmia, ja Microsoft voi päivittää säännöt ajan mittaan. Tässä esitetyt vaihtoehdot vaikuttavat ensisijaisesti auttamaan järjestelmänvalvojia kehittämään sääntöjä ohjelmistolle ja siirtämään ne yrityksen verkkoon.
Jos haluat määrittää Exploit Protectionin, siirry Windows Defender Security Center & gt;App &selaimen hallinta, selaa alaspäin ja napsauta "Hyödynnä suojausasetuksia" kohdassa Exploit-suojaus.
Näet kaksi välilehteä: Järjestelmäasetukset ja Ohjelman asetukset. Järjestelmäasetukset ohjaavat kaikkien sovellusten oletusasetuksia, kun taas Ohjelman asetukset ohjaavat eri ohjelmien eri asetuksia. Toisin sanoen ohjelman asetukset voivat ohittaa yksittäisten ohjelmien Järjestelmäasetukset. Ne voivat olla rajoittavampia tai vähemmän rajoittavia.
Näytön alaosassa voit klikata "Vieasetukset" viedä asetukset tiedostoksi, jonka voit tuoda. xml-tiedostoon muissa järjestelmissä.Microsoftin virallinen dokumentaatio tarjoaa lisätietoja sääntöjen käyttöönottamisesta ryhmäkäytäntöjä ja PowerShell-järjestelmää käyttäen.
Järjestelmäasetukset-välilehdellä näet seuraavat vaihtoehdot: Ohjausvirtauksen suojaus( CFG), Data Execution Prevention( DEP), Force satunnaistaminen kuville( Pakollinen ASLR), Muistin allokoinnit( Bottom-up ASLR), Validoidaan poikkeusketjut( SEHOP) ja Validoida kasaan eheys. Ne ovat kaikki oletusarvoisesti lukuun ottamatta Force satunnaistamista kuville( Pakollinen ASLR) -vaihtoehto. Tämä johtuu todennäköisesti siitä, että pakollinen ASLR aiheuttaa ongelmia joidenkin ohjelmien kanssa, joten voit joutua yhteensopivuusongelmiin, jos otat sen käyttöön suoritettavista ohjelmista riippuen.
Jälleen, sinun ei todellakaan pitäisi koskettaa näitä vaihtoehtoja, ellet tiedä, mitä olet tekemässä.Oletusarvot ovat järkeviä ja valitaan syystä.
Käyttöliittymä tarjoaa erittäin lyhyen yhteenvedon siitä, mitä kukin vaihtoehto tekee, mutta sinun on tehtävä jotain tutkimusta, jos haluat tietää enemmän. Olemme aiemmin selittäneet, mitä DEP ja ASLR tekevät täällä.
Napsauta "Ohjelman asetukset" -välilehteä ja näet luettelon eri ohjelmista, joissa on mukautetut asetukset. Tässä annetut vaihtoehdot sallivat yleisten järjestelmäasetusten ohittamisen. Jos valitset esimerkiksi luettelon "iexplore.exe" ja klikkaa "Muokkaa", näet, että sääntö täällä antaa pakollisen ASLR: n käyttöön Internet Explorer -prosessille, vaikka se ei ole oletusarvoisesti järjestelmän koko.
Et saa peukaloida näitä sisäänrakennettuja sääntöjä prosesseista, kuten runtimebroker.exe ja spoolsv.exe. Microsoft lisäsi ne syystä.
Voit lisätä mukautettuja sääntöjä yksittäisille ohjelmille klikkaamalla Lisää ohjelma muokata. Voit joko "Lisää ohjelman nimi" tai "Valitse tarkka tiedostopolku", mutta täsmällinen tiedostopolku on paljon tarkempi.
Kun olet lisännyt, löydät pitkän luettelon asetuksista, jotka eivät ole mielekkäitä useimmille ihmisille. Täydellinen luettelo käytettävissä olevista asetuksista on: Hyväksyttävän koodin suojaus( ACG), Estä suppeat eheyskuvat, Estä kauko-kuvia, Estä luottamuksellisia fontteja, Koodin eheyssuoja, CFG-suojaus, Data Execution Prevention( DEP), Poista Win32k-järjestelmäpuhelut, älä anna lasten prosesseja, Vie osoite suodatus( EAF), Force satunnaistetaan kuvia( Pakollinen ASLR), Tuo osoite suodatus( IAF), Satunnaistaa muistin allokoinnit( Bottom-up ASLR), Simuloida toteutus( SimExec), Validate API-kutsut( CallerCheck), Validoi poikkeusketjut( SEHOP), Validoi kahvan käyttö, Tarkista kopioiden eheys, Vahvista kuvan riippuvuuden eheys ja Tarkista pinon eheys( StackPivot).
Uudelleen, sinun ei tule koskettaa näitä vaihtoehtoja, ellet ole järjestelmänvalvoja, joka haluaa sulkea sovelluksen ja tietää todella, mitä olet tekemässä.
Testauksena otimme käyttöön kaikki vaihtoehdot iexplore.exe: lle ja yritimme käynnistää sen. Internet Explorer osoitti virheilmoituksen ja kieltäytyi käynnistymästä.Emme edes nähneet Windows Defender -ilmoitusta, joka selitti, että Internet Explorer ei toiminut asetuksiemme vuoksi.
Älä vain yritä sokeasti rajoittaa sovelluksia tai aiheuttaa samanlaisia ongelmia järjestelmässäsi. Heidän on vaikea vianmääritys, jos et muista, että muutit vaihtoehtoja.
Jos käytät vielä vanhempaa Windows-versiota, kuten Windows 7, voit hyödyntää suojaustoimintoja asentamalla Microsoftin EMET- tai Malwarebytes-ohjelmiston. EMET-tuki kuitenkin pysähtyy 31. heinäkuuta 2018, kun Microsoft haluaa siirtää yrityksiä kohti Windows 10: aa ja Windows Defenderin Exploit Protection -ohjelmaa.