4Sep
Ažuriranje autora autora pada konačno dodaje integriranu zaštitu od iskorištavanja u sustav Windows. Prethodno ste to trebali potražiti u obliku Microsoftovog EMET alata. Sada je dio programa Windows Defender i aktivno se aktivira prema zadanim postavkama.
Kako funkcionira zaštitna zaštita od Windows Defender
Dugo smo preporučili korištenje anti-eksploatornog softvera kao što je Microsoftov Enhanced Mitigation Experience Toolkit( EMET) ili Malwarebytes Anti-Malware koji je koristan za uporabu, a sadrži i snažnu značajku protiv iskorištavanja( između ostalog).Microsoft EMET se široko upotrebljava na većim mrežama gdje ga administratori sustava mogu konfigurirati, ali nikada nije instaliran prema zadanim postavkama, zahtijeva konfiguraciju i konfuzno sučelje za prosječne korisnike.
Tipični antivirusni programi, kao i sam Windows Defender, koriste definicije virusa i heuristiku kako bi uhvatili opasne programe prije nego što se mogu pokrenuti na vašem sustavu. Alati za sprječavanje iskorištavanja zapravo sprječavaju da mnoge popularne tehnike napada funkcioniraju uopće, tako da oni opasni programi ne dobivaju na vašem sustavu na prvom mjestu. Oni omogućuju određene zaštite operativnog sustava i blokiraju zajedničke tehnike za iskorištavanje memorije, pa ako se otkrije eksploatirajuće ponašanje, oni će prekinuti postupak prije nego što se dogodi bilo što loše. Drugim riječima, oni mogu zaštititi od mnogih zero-day napada prije nego što su zakrpa.
Međutim, oni mogu potencijalno uzrokovati probleme s kompatibilnošću, a njihove postavke možda moraju biti ugađane za različite programe. Zbog toga se EMET obično koristio na mrežama poduzeća, gdje administratori sustava mogu prilagoditi postavke, a ne na kućnim računalima.
Windows Defender sad uključuje mnoge iste zaštite, koji su izvorno pronađeni u Microsoftovom EMET-u. Oni su omogućeni prema zadanim postavkama za sve i dio su operacijskog sustava. Windows Defender automatski konfigurira odgovarajuća pravila za različite procese koji se izvode na vašem sustavu.(Malwarebytes i dalje tvrdi da je njihova značajka protu-iskorištavanja superiornija i još uvijek preporučujemo upotrebu Malwarebytesa, ali je dobro da i Windows Defender ima neke od ovih ugrađenih.)
Ova je značajka automatski omogućena ako ste nadogradili na sustav Windows10, a EMET više nije podržan. EMET se čak ne može instalirati na računala koja pokreću ažuriranje autora pada. Ako već imate EMET instaliran, ažuriranje će biti uklonjeno.
Ažuriranje autora pada autora sustava Windows 10 također uključuje povezanu sigurnosnu značajku pod nazivom Upravljani pristup mapama. Osmišljen je da zaustavi zlonamjerni softver samo dopuštajući pouzdanim programima izmjenu datoteka u mapama osobnih podataka, kao što su Dokumenti i slike. Oba su svojstva dio "Windows Defender Exploit Guard".Međutim, zaštićeni pristup mapama nije omogućen prema zadanim postavkama.
Kako je potvrđena zaštita od iskorištavanja je omogućena
Ova je značajka automatski omogućena za sva računala sa sustavom Windows 10.Međutim, također se može prebaciti na "Način revizije", čime administratori sustava nadziru zapisnik o tome što bi Exploit Protection trebala učiniti kako bi potvrdila da neće uzrokovati nikakve probleme prije nego što to omogući na kritičnim računalima.
Da biste potvrdili da je ova značajka omogućena, možete otvoriti Centar za sigurnost sustava Windows Defender. Otvorite izbornik Start, potražite Windows Defender i kliknite prečac Windows Defender Security Center.
Kliknite "App &kontrola preglednika "na bočnoj traci. Pomaknite se prema dolje i vidjet ćete odjeljak "Iskorištavanje zaštite".Obavijestit će vas da je ova značajka omogućena.
Ako ne vidite ovaj odjeljak, vaše računalo vjerojatno još nije ažurirano do ažuriranja autora pada.
Kako konfigurirati zaštitu od iskorištavanja sustava Windows Defender
Upozorenje : Vjerojatno ne želite konfigurirati ovu značajku. Windows Defender nudi mnoge tehničke mogućnosti koje možete prilagoditi i većina ljudi neće znati što rade ovdje. Ta je značajka konfigurirana pametnim zadanim postavkama koje će izbjeći nanošenje problema, a Microsoft može ažurirati svoja pravila tijekom vremena. Opcije ovdje čine prvenstveno namjeru pomoći administratorima sustava da razvijaju pravila za softver i izvedu ih na mreži poduzeća.
Ako želite konfigurirati zaštitu od iskorištavanja, otvorite centar za sigurnost sustava Windows Defender & gt;App &kontrolu preglednika, pomaknite se prema dolje i kliknite "Izbriši postavke zaštite" u odjeljku Iskorištavanje zaštite.
Ovdje ćete vidjeti dvije kartice: Postavke sustava i Postavke programa. Postavke sustava kontroliraju zadane postavke koje se koriste za sve aplikacije, dok programske postavke upravljaju pojedinačnim postavkama koje se koriste za različite programe. Drugim riječima, postavke programa mogu nadjačati postavke sustava za pojedine programe. Moglo bi biti restriktivnije ili manje restriktivno.
Na dnu zaslona možete kliknuti "Izvoz postavki" za izvoz postavki kao. xml datoteku koju možete uvesti na druge sustave. Microsoftova službena dokumentacija nudi više informacija o postavljanju pravila s Group Policy i PowerShell.
Na kartici System settings( Postavke sustava) vidjet ćete sljedeće opcije: Kontrola protoka( CFG), Prevencija izvršavanja podataka( DEP), Nasumična snaga za slike( Obvezno ASLR), Randomiziranje alokacija memorije( Dno-gore ASLR)lanci( SEHOP) i Validate integritet gomile. Sve su po defaultu, osim opcije za nasumičnu snagu za slike( Obvezno ASLR).To je vjerojatno zbog toga što Obavezni ASLR uzrokuje probleme s nekim programima, pa biste se mogli pojaviti u problemima s kompatibilnošću ako je omogućite, ovisno o programima koje pokrenete.
Opet, stvarno ne biste trebali dodirivati ove opcije ako ne znate što radite. Zadane postavke su razumne i odabrane su iz razloga.
Sučelje pruža vrlo kratak sažetak onoga što svaka opcija donosi, ali ćete morati napraviti neka istraživanja ako želite saznati više. Prethodno smo objasnili što DEP i ASLR ovdje rade.
Kliknite na karticu "Postavke programa" i vidjet ćete popis različitih programa s prilagođenim postavkama. Opcije ovdje omogućuju nadjačavanje ukupnih postavki sustava. Na primjer, ako na popisu odaberete "iexplore.exe" i kliknite "Uredi", vidjet ćete da pravilo ovdje silovito omogućuje Obavezno ASLR za proces Internet Explorera, iako nije omogućen prema zadanim postavkama na cijelom sustavu.
Ne biste trebali miješati s ovim ugrađenim pravilima za procese kao što su runtimebroker.exe i spoolsv.exe. Microsoft ih je dodao iz razloga.
Možete dodati prilagođena pravila za pojedine programe klikom na "Dodaj program za prilagodbu".Možete dodati "Dodaj po nazivu programa" ili "Odaberite točan put datoteke", ali preciznije odrediti točnu stazu datoteke.
Kada dodate, možete pronaći dugačak popis postavki koje neće biti značajne za većinu ljudi. Cijeli popis postavki dostupnih ovdje je: Arbitrary code guard( ACG), blokiranje niske razine integriteta, blokiranje udaljenih slika, blokiranje nepouzdanih fontova, zaštita kodova za integritet, zaštita protoka( CFG), sprečavanje izvršavanja podataka( DEP), Onemogućite sustavne pozive Win32k, Ne dopustite dječje procese, filtriranje izvoznih adresa( EAF), nasumičnu raspodjelu za slike( obvezni ASLR), uvoz filtriranja adresa( IAF), randomiziranje alokacija memorije( Bottom-up ASLR), simuliraju izvršenje( SimExec), Provjera valjanosti API poziva( CallerCheck), Provjera valjanosti lanaca( SEHOP), Provjera valjanosti rukovanja, Provjera valjanosti cjelovitosti, Provjera valjanosti integriteta ovisnosti slike i Provjera valjanosti cjelovitosti( StackPivot).
Opet, ne biste trebali dodirivati ove opcije osim ako ste administrator sustava koji želi zaključati aplikaciju i stvarno znate što radite.
Kao test, omogućili smo sve mogućnosti za iexplore.exe i pokušali smo ga pokrenuti. Internet Explorer upravo je prikazao poruku o pogrešci i odbio je pokretanje. Nismo ni vidjeli obavijest programa Windows Defender koja objašnjava da Internet Explorer nije funkcionirao zbog naših postavki.
Nemojte samo slijepo pokušavati ograničiti aplikacije, ili ćete uzrokovati slične probleme na vašem sustavu. Bit će vam teško otkloniti ako se ne sjećate da ste promijenili i opcije.
Ako i dalje upotrebljavate stariju verziju sustava Windows, kao što je Windows 7, možete iskoristiti značajke zaštite instaliranjem Microsoftovih EMET ili Malwarebytes. Međutim, podrška za EMET će se zaustaviti 31. srpnja 2018., budući da Microsoft želi gurati tvrtke prema sustavu Windows 10 i Windows Defenderu za zaštitu od eksploatacije.