4Sep
akhirnya menambahkan perlindungan eksploitasi terintegrasi ke Windows. Anda sebelumnya harus mencari ini dalam bentuk alat EMET Microsoft. Ini sekarang bagian dari Windows Defender dan diaktifkan secara default.
Bagaimana Proteksi Eksploitasi Windows Defender Bekerja
Kami telah lama merekomendasikan penggunaan perangkat lunak anti-eksploitasi seperti Enhanced Mitigation Experience Toolkit( EMET) Microsoft atau Malwarebytes Anti-Malware yang lebih user-friendly, yang berisi fitur anti-eksploitasi yang kuat( antara lain).EMET Microsoft banyak digunakan pada jaringan yang lebih besar yang dapat dikonfigurasi oleh administrator sistem, namun tidak pernah diinstal secara default, memerlukan konfigurasi, dan memiliki antarmuka yang membingungkan bagi pengguna biasa.
Program antivirus tipikal, seperti Windows Defender sendiri, menggunakan definisi virus dan heuristik untuk menangkap program berbahaya sebelum dapat berjalan di sistem Anda. Alat anti-eksploitasi sebenarnya mencegah banyak teknik serangan populer berfungsi sama sekali, jadi program berbahaya tersebut tidak masuk ke sistem Anda sejak awal. Mereka memungkinkan perlindungan sistem operasi tertentu dan memblokir teknik mengeksploitasi memori umum, sehingga jika perilaku seperti eksploitasi terdeteksi, mereka akan menghentikan proses sebelum terjadi sesuatu yang buruk. Dengan kata lain, mereka dapat melindungi terhadap banyak serangan zero-day sebelum mereka ditambal.
Namun, mereka berpotensi menyebabkan masalah kompatibilitas, dan pengaturannya mungkin harus disesuaikan untuk program yang berbeda. Itu sebabnya EMET umumnya digunakan pada jaringan perusahaan, di mana administrator sistem dapat men-tweak pengaturannya, dan bukan pada PC rumahan.
Windows Defender sekarang mencakup banyak dari perlindungan yang sama ini, yang pada awalnya ditemukan di Microsoft's EMET.Mereka diaktifkan secara default untuk semua orang, dan merupakan bagian dari sistem operasi. Windows Defender secara otomatis mengkonfigurasi aturan yang sesuai untuk berbagai proses yang berjalan pada sistem Anda.(Malwarebytes masih mengklaim bahwa fitur anti-eksploitasi mereka lebih unggul, dan kami tetap merekomendasikan penggunaan Malwarebytes, tapi ada baiknya Windows Defender memiliki beberapa built-in sekarang juga.)
Fitur ini diaktifkan secara otomatis jika Anda telah mengupgrade ke WindowsPembuat Pembuat Jatuh 10 tahun, dan EMET tidak lagi didukung. EMET bahkan tidak dapat diinstal pada PC yang menjalankan Pembuat Pembuat Jatuh. Jika Anda sudah menginstal EMET, itu akan dihapus oleh pembaruan.
Pembuat Pembuat Jatuh Windows 10 juga menyertakan fitur keamanan terkait yang diberi nama Controlled Folder Access. Ini dirancang untuk menghentikan perangkat lunak perusak hanya dengan mengizinkan program terpercaya untuk mengubah file di folder data pribadi Anda, seperti Documents and Pictures. Kedua fitur tersebut merupakan bagian dari "Windows Defender Exploit Guard".Namun, Controlled Folder Access tidak diaktifkan secara default.
Cara Mengkonfirmasi Proteksi Eksploitasi Diaktifkan
Fitur ini diaktifkan secara otomatis untuk semua PC Windows 10.Namun, ini juga dapat beralih ke "mode Audit", yang memungkinkan administrator sistem memantau log dari apa yang telah dilakukan Proteksi Eksploitasi untuk memastikannya tidak akan menimbulkan masalah sebelum mengaktifkannya di PC kritis.
Untuk mengkonfirmasi bahwa fitur ini diaktifkan, Anda dapat membuka Windows Defender Security Center. Buka menu Start Anda, cari Windows Defender, dan klik shortcut Windows Defender Security Center.
Klik jendela berbentuk "App &kontrol browser "di sidebar. Gulir ke bawah dan Anda akan melihat bagian "Proteksi eksploitasi".Ini akan memberitahu Anda bahwa fitur ini diaktifkan.
Jika Anda tidak melihat bagian ini, PC Anda mungkin belum memperbarui Pembaruan Pembuat Jaman Belum.
Cara Mengkonfigurasi Perlindungan Eksploitasi Windows Defender
Peringatan : Anda mungkin tidak ingin mengkonfigurasi fitur ini. Windows Defender menawarkan banyak pilihan teknis yang dapat Anda sesuaikan, dan kebanyakan orang tidak akan tahu apa yang mereka lakukan di sini. Fitur ini dikonfigurasi dengan pengaturan default pintar yang akan menghindari masalah, dan Microsoft dapat memperbarui peraturannya dari waktu ke waktu. Pilihan di sini tampaknya terutama ditujukan untuk membantu administrator sistem mengembangkan peraturan untuk perangkat lunak dan meluncurkannya di jaringan perusahaan.
Jika Anda ingin mengkonfigurasi Exploit Protection, masuklah ke Windows Defender Security Center & gt;App &kontrol browser, gulir ke bawah, dan klik "Exploit protection settings" di bawah Exploit protection.
Anda akan melihat dua tab di sini: Pengaturan sistem dan Pengaturan program. Pengaturan sistem akan mengontrol pengaturan default yang digunakan untuk semua aplikasi, sementara pengaturan Program mengontrol pengaturan individual yang digunakan untuk berbagai program. Dengan kata lain, Pengaturan program dapat menggantikan pengaturan Sistem untuk masing-masing program. Mereka bisa lebih ketat atau kurang restriktif.
Di bagian bawah layar, Anda bisa mengklik "Export settings" untuk mengekspor setting Anda sebagai file. xml yang bisa Anda impor di sistem lain. Dokumentasi resmi Microsoft menawarkan lebih banyak informasi tentang penerapan peraturan dengan Group Policy dan PowerShell.
Pada tab System settings, Anda akan melihat pilihan berikut: Control flow guard( CFG), Pencegahan Eksekusi Data( DEP), Pengacakan secara paksa untuk gambar( Mandatory ASLR), Randomize alokasi memori( Bottom-up ASLR), Validasi pengecualianrantai( SEHOP), dan Validasi integritas tumpukan. Mereka semua secara default kecuali opsi Pengacakan Angkatan untuk gambar( Mandatory ASLR).Itu mungkin karena Mandatory ASLR menyebabkan masalah pada beberapa program, jadi Anda mungkin mengalami masalah kompatibilitas jika mengaktifkannya, tergantung pada program yang Anda jalankan.
Sekali lagi, Anda seharusnya tidak menyentuh pilihan ini kecuali Anda tahu apa yang Anda lakukan. Defaultnya masuk akal dan dipilih karena suatu alasan.
Antarmuka ini memberikan ringkasan singkat tentang apa yang masing-masing pilihan lakukan, namun Anda harus melakukan penelitian jika ingin mengetahui lebih banyak. Kami sebelumnya telah menjelaskan apa yang DEP dan ASLR lakukan di sini.
Klik tab "Pengaturan program", dan Anda akan melihat daftar berbagai program dengan pengaturan khusus. Pilihan di sini memungkinkan pengaturan sistem secara keseluruhan diganti. Misalnya, jika Anda memilih "iexplore.exe" dalam daftar dan klik "Edit", Anda akan melihat bahwa peraturan di sini dengan paksa memungkinkan Mandatory ASLR untuk proses Internet Explorer, meskipun tidak diaktifkan secara default.
Anda seharusnya tidak mengutak-atik aturan built-in ini untuk proses seperti runtimebroker.exe dan spoolsv.exe. Microsoft menambahkan mereka karena suatu alasan.
Anda dapat menambahkan aturan khusus untuk setiap program dengan mengklik "Add program to customize".Anda bisa "Add by program name" atau "Choose exact file path", namun menentukan path file yang tepat jauh lebih tepat.
Setelah ditambahkan, Anda dapat menemukan daftar panjang pengaturan yang tidak akan berarti bagi kebanyakan orang. Daftar lengkap pengaturan yang tersedia di sini adalah: Penjaga kode sewenang-wenang( ACG), blok gambar dengan integritas rendah, blok gambar jarak jauh, blok font yang tidak tepercaya, penjaga integritas kode, penjaga arus kontrol( CFG), Pencegahan Eksekusi Data( DEP), Nonaktifkan titik ekstensi, Nonaktifkan aplikasi sistem Win32k, Jangan biarkan proses anak, Export address filtering( EAF), Pengambilan pengacakan secara paksa untuk gambar( Mandatory ASLR), Import Address Filtering( IAF), Randomize alokasi memori( Bottom-up ASLR), Simulasikan eksekusi( SimExec), Validate API invocation( CallerCheck), Validasi rantai pengecualian( SEHOP), Validasi penggunaan pegangan, Validasi integritas tumpukan, Validasi integritas ketergantungan gambar, dan Validasi integritas stack( StackPivot).
Sekali lagi, Anda tidak boleh menyentuh opsi ini kecuali Anda adalah administrator sistem yang ingin mengunci aplikasi dan Anda benar-benar tahu apa yang Anda lakukan.
Sebagai ujian, kami mengaktifkan semua opsi untuk iexplore.exe dan mencoba meluncurkannya. Internet Explorer hanya menunjukkan pesan kesalahan dan menolak untuk memulai. Kami bahkan tidak melihat pemberitahuan Windows Defender yang menjelaskan bahwa Internet Explorer tidak berfungsi karena pengaturan kami.
Jangan hanya membabi buta mencoba membatasi aplikasi, atau Anda akan menyebabkan masalah yang sama pada sistem Anda. Mereka akan sulit untuk memecahkan masalah jika Anda tidak ingat Anda juga mengubah pilihannya.
Jika Anda masih menggunakan versi Windows yang lebih tua, seperti Windows 7, Anda bisa memanfaatkan fitur perlindungan dengan menginstal EMET atau Malwarebytes Microsoft. Namun, dukungan untuk EMET akan berhenti pada 31 Juli 2018, karena Microsoft ingin mendorong bisnis ke Windows 10 dan Windows Defender's Exploit Protection sebagai gantinya.