4Sep
Microsoft "Fall Creator Updates" pagaliau papildo "Windows" integruotą išnaudojimo apsaugą.Anksčiau turėjote tai ieškoti naudodami "Microsoft" EMET įrankį.Dabar jis yra "Windows Defender" dalis ir aktyvuota pagal numatytuosius nustatymus.
Kaip "Windows Defender" apsauga veikia "
" Mes jau ilgą laiką rekomenduojame naudoti antivirusinę programinę įrangą, tokią kaip "Microsoft" patobulintos matematikos patobulinimų įrankių rinkinys( EMET) arba labiau patogi "Malwarebytes Anti-Malware" programa, turinti galingą "anti-exploit" funkciją( be kita ko)"Microsoft" EMET yra plačiai naudojama didesniuose tinkluose, kuriuose ją gali sukonfigūruoti sistemos administratoriai, bet pagal numatytuosius nustatymus ji niekada nebuvo įdiegta, reikalinga konfigūracija ir vidutiniškai vartotojams yra paini sąsaja.
Tipiškos antivirusinės programos, tokios kaip "Windows Defender", naudoja virusų apibrėžimus ir heurizaciją, kad sugautų pavojingas programas, kol jos negalės veikti jūsų sistemoje. Apsaugos nuo išnaudojimo įrankiai iš tiesų užkerta kelią daugeliui populiarių išpuolių būdų, todėl jų pavojingos programos nepasiekia jūsų sistemoje. Jie įgalina tam tikrą operacinę sistemą apsaugoti ir blokuoti bendrąsias atminties naudojimo technologijas, taigi, jei aptikta išnaudoti panašaus elgesio, jie nutrauks procesą, kol nieko blogo neįvyks. Kitaip tariant, jie gali apsaugoti nuo daugybės nulinės dienos išpuolių, kol jie nebus pataisyti.
Tačiau jie gali sukelti suderinamumo problemas ir jų nustatymus gali tekti keisti skirtingoms programoms.Štai kodėl EMET paprastai buvo naudojamas įmonių tinkluose, kur sistemos administratoriai galėjo keisti nustatymus, o ne namų kompiuterius."
" "Windows Defender" dabar apima daugybę tų pačių apsaugos, kurias iš pradžių rasta "Microsoft" EMET.Jie pagal numatytuosius nustatymus yra įgalinti visiems ir yra operacinės sistemos dalis."Windows Defender" automatiškai nustato tinkamas skirtingų jūsų sistemoje veikiančių procesų taisykles.("Malwarebytes" teigia, kad jų "anti-exploit" funkcija yra pranašesnė, ir mes vis dar rekomenduojame naudoti "Malwarebytes", bet gerai, kad "Windows Defender" taip pat turi kai kurias šias integruotas funkcijas.)
Ši funkcija automatiškai įjungiama, jei esate naujinate į "Windows"10 "Fall Creators Update", o EMET nebepalaikoma. EMET net negali būti įdiegtas į kompiuterius, kuriuose veikia "Fall Creators Update".Jei jau įdiegėte EMET, jis bus pašalintas iš naujo.
"Windows 10" "Fall Creator Updates" taip pat apima susijusią saugumo funkciją "Controlled Folder Access".Ji skirta sustabdyti kenkėjišką programinę įrangą leidžiant tik patikimoms programoms keisti failus į jūsų asmeninių duomenų aplankus, pvz., "Dokumentai ir nuotraukos".Abi savybės yra "Windows Defender Exploit Guard" dalis. Tačiau valdoma aplanko prieiga neleidžiama pagal numatytuosius nustatymus.
Kaip patvirtinti apsaugą nuo išnaudojimo
Ši funkcija automatiškai įjungiama visiems "Windows 10" kompiuteriams. Tačiau ji taip pat gali būti perjungta į "Audito režimą", leidžianti sistemos administratoriams stebėti žurnalą apie tai, ką "Exploit Protection" padarė, norėdamas patvirtinti, kad tai nesukels jokių problemų, prieš tai leidžiant kritiniams kompiuteriams.
Norėdami patvirtinti, kad ši funkcija įjungta, galite atidaryti "Windows Defender" saugos centrą.Atidarykite meniu Pradėti, ieškokite "Windows Defender" ir spustelėkite "Windows Defender" saugos centro spartųjį klavišą.
Spustelėkite lango formą "App &naršyklės valdymo "piktograma šoninėje juostoje. Slinkite žemyn ir pamatysite skyrių "Apsauga nuo išnaudojimo".Ji informuos jus, kad ši funkcija yra įjungta.
Jei nematote šio skyriaus, kompiuteris tikriausiai dar nėra atnaujintas iki Fall Creator Update.
Kaip konfigūruoti "Windows Defender" eksploatacinę apsaugą
Įspėjimas : tikriausiai nenorite konfigūruoti šios funkcijos."Windows Defender" siūlo daugybę techninių galimybių, kurias galite koreguoti, ir dauguma žmonių nežino, ką jie daro.Ši funkcija sukonfigūruota naudojant protingus numatytuosius nustatymus, kurie padės išvengti problemų, o "Microsoft" gali laikui bėgant atnaujinti savo taisykles.Čia pateiktos parinktys visų pirma yra skirtos padėti sistemos administratoriams kurti programinės įrangos taisykles ir išdėstyti juos įmonės tinkle.
Jei norite konfigūruoti "Exploit Protection", eikite į "Windows Defender" saugos centrą & gt;"App &naršyklės valdiklį, slinkite žemyn ir spustelėkite "Išnaudoti apsaugos nustatymus", esantį "Apsauga nuo išnaudojimo".
Jūs pamatysite du skirtukus čia: Sistemos nustatymai ir Programos nustatymai. Sistemos nustatymai reguliuoja numatytuosius nustatymus, naudojamus visoms programoms, o Programos nustatymai valdo atskirus nustatymus, naudojamus kelioms programoms. Kitaip tariant, Programos nustatymai gali nepaisyti atskirų programų sistemos nustatymų.Jie gali būti labiau ribojantys ar mažiau ribojantys.
Ekrano apačioje galite spustelėti "Eksportuoti nustatymus", norėdami eksportuoti savo nustatymus kaip. xml failą, kurį galite importuoti į kitas sistemas. Oficialūs "Microsoft" dokumentai suteikia daugiau informacijos apie taisyklių diegimą naudodami "Group Policy" ir "PowerShell".
Sistemos nustatymų skirtuko lape matysite šias parinktis: Valdymo srauto apsauga( CFG), Duomenų vykdymo prevencija( DEP), Force randomization for images( Privaloma ASLR), Atsitiktinai atminties paskirstymas( Apatinis ASLR), Tikrinti išimtįgrandines( SEHOP) ir patikrinkite krūvos vientisumą.Jie visi yra pagal numatytuosius nustatymus, išskyrus "Force randomisation for images"( privalomas ASLR) parinktį.Tai yra tikėtina priežastis, nes privalomas ASLR sukelia problemų su kai kuriomis programomis, todėl, jei jį įjungsite, gali kilti suderinamumo problemų priklausomai nuo paleistų programų.
Vėlgi, jūs neturėtumėte paliesti šių parinkčių, nebent žinote, ką darai. Numatytoji reikšmė yra protinga ir yra pasirinkta dėl priežasties.
Sąsaja suteikia labai trumpą santrauką apie tai, kas yra kiekviena parinktis, bet jūs turėsite atlikti tam tikrus tyrimus, jei norite sužinoti daugiau. Anksčiau mes paaiškinome, ką DEP ir ASLR atlieka čia.
Spustelėkite skirtuką "Programos nustatymai" ir pamatysite įvairių programų su pasirinktiniais nustatymais sąrašą.Šios parinktys leidžia panaikinti bendrąsias sistemos nuostatas. Pavyzdžiui, jei sąraše pasirinksite "iexplore.exe" ir spustelėkite "Redaguoti", pamatysite, kad taisyklė čia aktyviai įgalina privalomą ASLR procesą "Internet Explorer", nors jis nėra įjungtas pagal numatytuosius nustatymus visoje sistemoje.
Negalima pažeisti šių integruotų taisyklių tokiems procesams kaip runtimebroker.exe ir spoolsv.exe."Microsoft" juos įtraukė dėl priežasčių.
Galite pridėti individualias programas, spustelėdami "Pridėti programą, kad galėtumėte tinkinti".Galite arba "Pridėti programos pavadinimu" arba "Pasirinkite tikslią failo kelią", tačiau tikslesnis failo maršruto nustatymas yra daug tikslesnis.
Pridėjus, galite rasti ilgą nuostatų sąrašą, kuris nebus prasmingas daugumai žmonių.Visą čia pateikiamų nustatymų sąrašą galima rasti čia: savavališko kodo apsauga( ACG), mažų vientisumo vaizdų blokavimas, blokuoti nuotolinius vaizdus, blokuoti nepatikimus šriftus, kodo vientisumo apsaugą, valdymo srauto apsaugą( CFG), duomenų vykdymo prevenciją( DEP), išjungti pratęsimo taškus, Išjungti Win32k sistemos skambučius, Neleisti vaikų procesų, Eksporto adresų filtravimas( EAF), Atleidimas nuo atsitiktinių atrankos vaizdams( privalomas ASLR), Importuotų adresų filtravimas( IAF), Atsitiktinių atminčių paskirstymas( apatinis ASLR), Simuliuojamas vykdymas( SimExec), Patvirtinti API paskambinimą( CallerCheck), patvirtinti išimčių grandines( SEHOP), patvirtinti rankenų naudojimą, patvirtinti kuro vientisumą, patvirtinti vaizdo priklausomybės vientisumą ir patvirtinti statinių vientisumą( StackPivot).
Vėlgi neturėtumėte paliesti šių parinkčių, nebent esate sistemos administratorius, kuris nori užrakinti programą ir tikrai žinote, ką darai.
Kaip bandymas, mes įgalinome visas iexplore.exe parinktis ir bandėme jį paleisti."Internet Explorer" parodė klaidos pranešimą ir atsisakė paleisti. Mes net nematėme "Windows Defender" pranešimo, kuriame paaiškinta, kad "Internet Explorer" neveikia dėl mūsų nustatymų.
Ne tik aklai bandykite apriboti programas arba sukelti panašių problemų jūsų sistemoje. Jiems bus sunku pašalinti triktis, jei nepamiršsite, kad pakeitėte ir parinktis.
Jei vis tiek naudojate senesnę "Windows" versiją, pvz., "Windows 7", galite pasinaudoti apsaugos funkcijomis įdiegdami "Microsoft" EMET arba "Malwarebytes".Tačiau parama EMET nustos galioti 2018 m. Liepos 31 d., Nes "Microsoft" nori verstis verslu "Windows 10" ir "Windows Defender" apsauga.