4Sep
A Microsoft Fall Creators frissítése végül hozzáadja a Windows integrált kizáró védelmet. Ezt korábban a Microsoft EMET eszköze formájában kellett keresnie. Most már része a Windows Defendernek és alapértelmezés szerint aktiválva van.
Hogyan működik a Windows Defender védelmi védelme
Mi már hosszú ideje javasoljuk a Microsoft Enhanced Mitigation Experience Toolkit( EMET) vagy a felhasználóbarátabb Malwarebytes Anti-Malware programot, amely többek között egy hatékony kizsákmányolás-ellenes funkciót tartalmaz).A Microsoft EMET-t széles körben használják nagyobb hálózatokon, ahol a rendszergazdák konfigurálhatják, de alapértelmezés szerint soha nem telepítették, konfigurációra van szükségük, és zavaró felületet biztosítanak az átlagos felhasználóknak.
A tipikus víruskereső programok, például a Windows Defender, vírusleírásokkal és heurisztikával fogják fel a veszélyes programokat, mielőtt futtatnák a rendszert. A kizsákmányoló eszközök valójában megakadályozzák, hogy sok népszerű támadási technika egyáltalán működjön, ezért ezek a veszélyes programok elsőként nem jutnak el a rendszeredhez. Lehetővé teszik bizonyos operációs rendszerek védelmét és blokkolják a közös memória-kiaknázási technikákat, így ha kizsákmányolásszerű viselkedést észlelnek, akkor felmondják a folyamatot mielőtt minden rossz történik. Más szóval, számos napi támadás ellen védekezhetnek, mielőtt kijavítják őket.
Azonban előfordulhat, hogy kompatibilitási problémákat okozhat, és a beállításokat esetleg különböző programokhoz kell módosítani. Ezért használták az EMET-t általában a vállalati hálózatokon, ahol a rendszergazdák kicserélhetik a beállításokat, és nem az otthoni számítógépeken.
A Windows Defender most ugyanazokat a védelmet tartalmazza, amelyek eredetileg a Microsoft EMET-jében találhatók. Ezek alapértelmezés szerint mindenki számára engedélyezettek és az operációs rendszer részét képezik. A Windows Defender automatikusan konfigurálja a rendszeren futó különböző folyamatokhoz tartozó megfelelő szabályokat.(A Malwarebytes még mindig azt állítja, hogy a kizsákmányolás-ellenes szolgáltatás felülmúlta, és még mindig javasoljuk a Malwarebytes használatát, de jó, hogy a Windows Defender most is része a beépítetteknek.)
Ez a funkció automatikusan engedélyezve van, ha frissített a Windows rendszerreA 10-es őszi alkotók frissítése, és az EMET már nem támogatott. Az EMET-et még az Őszi alkotók frissítése futó PC-ken sem lehet telepíteni. Ha már telepítve van az EMET, a frissítés eltávolítja.
A Windows 10 Őszi alkotóinak frissítése tartalmaz egy kapcsolódó biztonsági funkciót is, a Controlled Folder Access( Meghajtott mappa elérés).Úgy tervezték, hogy megakadályozza a rosszindulatú programokat, ha csak a megbízható programokat teszi lehetővé a személyes adatmappákban található fájlok - például a Dokumentumok és a Képek - módosításához. Mindkét funkció a "Windows Defender Exploit Guard" része. Az Ellenőrzött mappa-hozzáférés azonban alapértelmezés szerint nincs engedélyezve.
Az Exploit Protection megerősítésének engedélyezése
Ez a funkció automatikusan engedélyezve van minden Windows 10-es számítógépen. Azonban az "Audit mód" -ra is átkapcsolható, amely lehetővé teszi a rendszergazdák számára, hogy figyelemmel kísérjék az Exploit Protection által a megerősítéshez szükséges naplót, ezért nem okoz problémát a kritikus számítógépen történő engedélyezés előtt.
A funkció engedélyezéséhez nyissa meg a Windows Defender biztonsági központot. Nyissa meg a Start menüt, keresse meg a Windows Defender alkalmazást, és kattintson a Windows Defender Security Center parancsikonra.
Kattintson az ablakban megjelenő "App &böngésző vezérlő "ikonját az oldalsávon. Görgessen lefelé, és megjelenik a "Védelem kizárása" rész.Értesíti Önt arról, hogy ez a funkció engedélyezve van.
Ha nem látja ezt a részt, a számítógép valószínűleg nem frissül az őszi alkotók frissítéséhez.
A Windows Defender védelemének beállítása
Figyelmeztetés : Ezt a funkciót valószínűleg nem kívánja konfigurálni. A Windows Defender számos olyan technikai opciót kínál, amelyeket beállíthat, és a legtöbb ember nem tudja, mit csinálnak itt. Ez a funkció olyan okos alapértelmezett beállításokkal van konfigurálva, amelyek elkerülik a problémákat, és a Microsoft idővel frissítheti szabályait. Az itt leírt lehetőségek elsősorban arra szolgálnak, hogy segítsenek a rendszergazdáknak kidolgozni a szoftverekre vonatkozó szabályokat és azokat egy vállalati hálózaton kiépíteni.
Ha meg akarja állítani a kizsákmányolás elleni védelmet, menjen a Windows Defender Security Center & gt;App &böngészővezérléssel, lapozzon lefelé, és kattintson az "Exploit protection protection"( Exploit védelem) elemre az Exploit védelem alatt.
Itt két lap jelenik meg: Rendszerbeállítások és Programbeállítások. A rendszerbeállítások vezérlik az összes alkalmazáshoz használt alapértelmezett beállításokat, míg a Programbeállítások a különböző programokhoz használt egyedi beállításokat vezérlik. Más szavakkal, a Program beállítások felülbírálhatják az egyes programok Rendszerbeállításait. Szigorúbbak vagy kevésbé korlátozó jellegűek lehetnek.
A képernyő alján a "Beállítások exportálása" lehetőségre kattintva exportálhatja a beállításokat. xml fájlként, amelyet importálhat más rendszereken. A Microsoft hivatalos dokumentációja további információt nyújt a szabályok és a csoportházirendek és a PowerShell használatával kapcsolatban.
A Rendszerbeállítások lapon a következő lehetőségek láthatók: Control flow guard( CFG), Data Execution Prevention( DEP), Force randomization for images( Kötelező ASLR), Véletlenszerű memóriaelosztások( Bottom-up ASLR)láncok( SEHOP), és a heap integritásának ellenőrzése. Ezek mind alapértelmezésben bekapcsolódnak, kivéve a Véletlen besorolás képeket( kötelező ASLR) opciót. Ez valószínűleg azért van, mert a Kötelező ASLR bizonyos programokkal problémákat okoz, ezért kompatibilitási problémákat okozhat, ha engedélyezi azt, attól függően, hogy mely programok futnak.
Újra, akkor nem érheti el ezeket a lehetőségeket, hacsak nem tudja, mit csinál. Az alapértelmezések értelmesek és okokból választottak.
Az interfész nagyon rövid összefoglalást nyújt arról, hogy mit csinál minden egyes lehetőség, de meg kell csinálnia néhány kutatást, ha többet szeretne tudni. Korábban elmondtuk, hogy a DEP és az ASLR hogyan működik itt.
Kattintson a "Programbeállítások" fülre, és megjelenik a különböző programok listája egyedi beállításokkal. Az itt leírt lehetőségek lehetővé teszik az általános rendszerbeállítások felülbírálását. Ha például a "iexplore.exe" elemet választja a listában, és kattintson a "Szerkesztés" gombra, akkor látni fogod, hogy a szabály itt erőteljesen engedélyezi az Internet Explorer-hez tartozó Kötelező ASLR-t, annak ellenére, hogy az rendszer alapértelmezés szerint nem engedélyezett.
Ezeket a beépített szabályokat nem szabad manipulálni olyan folyamatokhoz, mint a runtimebroker.exe és a spoolsv.exe. A Microsoft valamilyen okból hozzáadta őket.
Az egyedi programokhoz egyedi szabályok hozzáadásával a "Program hozzáadása testre szabása" lehetőségre kattintva hozzáadható.A "Programnév hozzáadásával" vagy a "Pontos fájl elérési útjának kiválasztása" lehet, de pontosabb fájlút pontos meghatározása sokkal pontosabb.
A hozzáadást követően megtalálja a beállítások hosszú listáját, amelyek nem lesznek értelmesek a legtöbb ember számára. A rendelkezésre álló beállítások teljes listája az alábbi: Kedves kódőr( ACG), Az alacsony integritású képek blokkolása, Távoli képek blokkolása, Nem megbízható betűk blokkolása, Kód integritásának védelme, Control flow guard( CFG), Data Execution Prevention( DEP), Letiltja a Win32k rendszerhívásokat, nem engedélyezi a gyermekprocesszéseket, az exportálási cím szűrést( EAF), az erő kényszerítettségét a képekhez( kötelező ASLR), importálja a címszűrést( IAF), randomizálja a memóriaelosztásokat( Bottom-up ASLR), szimulálja a végrehajtást( SimExec), Érvényesítheti az API-hívást( CallerCheck), kiválaszthatja a kivételláncokat( SEHOP), ellenőrizheti a fogantyú használatát, megbecsülheti a hal sértetlenségét, ellenőrizheti a képfüggőség integritását és érvényesítheti a köteg integritását( StackPivot).
Azonban ne érintse meg ezeket a beállításokat, hacsak nem egy olyan rendszergazda, aki le akar zárni egy alkalmazást, és tényleg tudja, mit csinál.
Tesztként engedélyeztük az iexplore.exe összes lehetőségét, és megpróbáltam elindítani. Az Internet Explorer csak hibaüzenetet mutatott, és nem volt hajlandó elindítani. Nem láttunk még egy Windows Defender értesítést arról, hogy az Internet Explorer a beállításaink miatt nem működött.
Ne csak vakon próbálja korlátozni az alkalmazásokat, vagy hasonló problémákat okozhat a rendszerben. Nehéz lesz hibakeresni, ha nem emlékszik rá, hogy megváltoztatta az opciókat is.
Ha még mindig a Windows korábbi verzióját használja, mint például a Windows 7, a Microsoft EMET vagy Malwarebytes telepítésével kihasználhatja a védelmi funkciókat. Az EMET támogatása azonban 2018. július 31-én megáll, mivel a Microsoft a Windows 10 és a Windows Defender Exploit Protection felé kívánja tolni a vállalkozásokat.