4Sep

Kā darbojas Windows Defender jaunās operētājsistēmas aizsardzība( un tā konfigurēšana)

Microsoft Fall Creators Update beidzot pievieno integrētu ekspluatācijas aizsardzību Windows. Jums iepriekš bija jāmeklē šis risinājums, izmantojot Microsoft EMET rīku. Tagad tā ir daļa no Windows Defender un pēc noklusējuma ir aktivizēta.

Kā darbojas Windows Defender operētājsistēmas aizsardzība

Mēs esam ilgi ieteicams izmantot pretvīrusu programmatūru, piemēram, Microsoft uzlabotās mazināšanas pieredzes rīku komplektu( EMET) vai lietotājam draudzīgu Malwarebytes Anti-Malware programmatūru, kurā ir spēcīga anti-malware programma( cita starpā))Microsoft EMET tiek plaši izmantota lielākos tīklos, kur to var konfigurēt sistēmas administratori, taču tā nekad nav instalēta pēc noklusējuma, nepieciešama konfigurācija un vidējiem lietotājiem ir neskaidrs interfeiss.

Tipiskās pretvīrusu programmas, piemēram, Windows Defender, izmanto vīrusu definīcijas un heurismu, lai noķertu bīstamas programmas, pirms tās var darboties jūsu sistēmā.Anti-exploit instrumenti faktiski novērš daudzas tautas uzbrukuma metodes no darbības vispār, tāpēc šīs bīstamās programmas nav nokļūst jūsu sistēmā, pirmkārt. Tie nodrošina noteiktu operētājsistēmas aizsardzību un bloķē kopējas atmiņas izmantošanas paņēmienus, tādēļ, ja tiek konstatēts, ka tiek izmantota līdzīga uzvedība, viņi izbeigs procesu, pirms kaut kas notiks slikti. Citiem vārdiem sakot, viņi var aizsargāt pret daudziem nulles dienas uzbrukumiem, pirms tie tiek ielīmēti.

Tomēr tie var radīt saderības problēmas, un dažādiem programmām to iestatījumi, iespējams, ir jākoriģē.Tāpēc EMET kopumā tika izmantots uzņēmumu tīklos, kur sistēmas administratori var noregulēt iestatījumus, nevis mājas datorus.

Windows Defender tagad ietver daudzas no tām pašām aizsardzības programmām, kuras sākotnēji tika atrastas Microsoft EMET.Pēc noklusējuma tie ir iespējoti ikvienam un ir daļa no operētājsistēmas. Windows Defender automātiski konfigurē atbilstošus noteikumus dažādiem procesiem, kas darbojas jūsu sistēmā.(Malwarebytes joprojām apgalvo, ka to pretkustinošais līdzeklis ir labāks, un mēs joprojām iesakām izmantot Malwarebytes, taču ir labi, ka arī Windows Defender ir daļa no šīm iebūvētajām versijām.)

Šī funkcija tiek automātiski iespējota, ja esat jauninājis Windows10 sāksies Fall Creators Update, un EMET vairs netiek atbalstīts. EMET pat nevar instalēt datoros, kuros darbojas Fall Creators Update. Ja jums jau ir instalēta EMET, tā tiks noņemta ar atjauninājumu.

Windows 10 Fall Creators Update ietver arī saistīto drošības līdzekli ar nosaukumu Controlled Folder Access. Tā ir paredzēta, lai apturētu ļaunprātīgu programmatūru, ļaujot uzticamām programmām pārveidot failus savās personas datu mapēs, piemēram, Dokumenti un attēli. Abas funkcijas ir daļa no "Windows Defender Exploit Guard".Tomēr pēc noklusējuma nav iespējota kontrolēto mapju piekļuve.

Kā apstiprināt ekspluatācijas aizsardzību ir iespējota

Šī funkcija tiek automātiski iespējota visiem Windows 10 datoriem. Tomēr to var arī pārslēgt uz "audita režīmu", ļaujot sistēmas administratoriem pārraudzīt žurnālu par to, ko izmantojusi aizsardzība, lai apstiprinātu, ka tā neradīs nekādas problēmas, pirms to padarīt pieejamu kritiskajiem datoriem.

Lai apstiprinātu, ka šī funkcija ir iespējota, varat atvērt Windows Defender drošības centru. Atveriet izvēlni Sākt, atrodiet Windows Defender un noklikšķiniet uz Windows Defender drošības centra saīsnes.

Noklikšķiniet uz logu formas "App &pārlūkprogrammas kontroles "ikona sānjoslā.Ritiniet uz leju, un jūs redzēsiet sadaļu "Izmantot aizsardzību".Tā jūs informēs, ka šī funkcija ir iespējota.

Ja šī sadaļa nav redzama, iespējams, ka jūsu dators vēl nav atjauninājis Fall Creators Update.

Kā konfigurēt Windows Defender ekspluatācijas aizsardzību

Brīdinājums : Jūs droši vien nevēlaties konfigurēt šo funkciju. Windows Defender piedāvā daudzas tehniskās iespējas, kuras varat pielāgot, un lielākā daļa cilvēku nezina, ko viņi šeit dara.Šī funkcija ir konfigurēta ar gudiem noklusējuma iestatījumiem, kas izvairīsies no problēmām, un Microsoft laika gaitā var atjaunināt savus noteikumus. Iespējas, šķiet, vispirms ir domātas, lai palīdzētu sistēmas administratoriem izstrādāt programmatūras noteikumus un nodalīt tos uzņēmuma tīklā.

Ja vēlaties konfigurēt Exploit Protection, dodieties uz Windows Defender drošības centru & gt;Lietotne &pārlūkprogrammas kontrole, ritiniet uz leju un noklikšķiniet uz "Izmantot aizsardzības iestatījumus" sadaļā Lietot aizsardzību.

Šeit redzamas divas cilnes: Sistēmas iestatījumi un Programmas iestatījumi. Sistēmas iestatījumi kontrolē noklusējuma iestatījumus, kas tiek lietoti visās lietojumprogrammās, bet Programmas iestatījumi kontrolē atsevišķus iestatījumus, kas tiek izmantoti dažādām programmām. Citiem vārdiem sakot, programmas iestatījumi var ignorēt atsevišķu programmu sistēmas iestatījumus. Tie varētu būt stingrāki vai mazāk ierobežojoši.

Ekrāna apakšdaļā varat noklikšķināt uz "Eksporta iestatījumi", lai eksportētu savus iestatījumus kā. xml failu, kuru varat importēt citās sistēmās. Microsoft oficiālā dokumentācija piedāvā vairāk informācijas par noteikumu ieviešanu, izmantojot grupas politiku un PowerShell.

Cilnē Sistēmas iestatījumi būs redzamas šādas opcijas: Kontroles plūsmas aizsargs( CFG), Datu izpildes novēršana( DEP), Datu nejauša izvēle attēliem( obligāti ASLR), Atkārtotu atmiņas piešķiršana( Apakšējais ASLR), Apstiprināt izņēmumuķēdes( SEHOP), un pārbaudiet kaudzes integritāti. Viņi visi ir pēc noklusējuma, izņemot Force randomization for images( obligātā ASLR) opciju. Tas varētu notikt tāpēc, ka obligāta ASLR rada problēmas ar dažām programmām, tāpēc, ja to aktivizējat, var rasties saderības problēmas atkarībā no jūsu darbinātajām programmām.

Atkal, jums patiešām nevajadzētu pieskarties šīm opcijām, ja vien jūs nezināt, ko darāt. Noklusējumi ir saprātīgi un tiek izvēlēti kāda iemesla dēļ.

Interfeiss sniedz ļoti īsu kopsavilkumu par to, ko katra opcija dara, bet jums būs jāveic kāds pētījums, ja vēlaties uzzināt vairāk. Mēs iepriekš esam paskaidrojuši, ko DEP un ASLR veic šeit.

Noklikšķiniet uz cilnes "Programmas iestatījumi" un jūs redzēsit dažādu programmu sarakstu ar pielāgotiem iestatījumiem.Šeit opcijas ļauj atcelt vispārējos sistēmas iestatījumus. Piemēram, ja sarakstā atlasāt "iexplore.exe" un noklikšķiniet uz "Rediģēt", jūs redzēsiet, ka šis noteikums stingri padara Internet Explorer procesam obligātu ASLR, lai gan tas nav iespējots pēc noklusējuma visā sistēmā.

Nevajadzētu ietekmēt šos iebūvētos noteikumus tādiem procesiem kā runtimebroker.exe un spoolsv.exe. Microsoft tos pievienoja iemeslu dēļ.

Jūs varat pievienot pielāgotos noteikumus atsevišķām programmām, noklikšķinot uz "Pievienot programmu, lai pielāgotu".Jūs varat vai nu "Pievienot pēc programmas nosaukuma" vai "Izvēlēties precīzu faila ceļu", bet precīzi norādot precīzu faila ceļu.

Kad esat pievienojis, jūs varat atrast garu sarakstu ar iestatījumiem, kas nebūs nozīmīgi lielākajai daļai cilvēku. Pilns šeit pieejamo iestatījumu saraksts ir: patvaļīga koda aizsargs( ACG), bloķēt mazu integritātes attēlus, bloķēt attālos attēlus, bloķēt neuzticamus fontus, koda integritātes aizsargu, kontrolēt plūsmas aizsargu( CFG), datu izpildes novēršanu( DEP), atspējot pagarinājuma punktus, Disable Win32k sistēmas zvani, Neļaujiet bērnus apstrādāt failus, Eksportēt adrešu filtrēšanu( EAF), Force randomizēt attēlus( obligāti ASLR), Importēt adrešu filtrēšanu( IAF), Randomize atmiņas sadali( Bottom-up ASLR), Simulēt izpildi( SimExec), Apstiprināt API izsaukšanu( CallerCheck), Apstiprināt izņēmumu ķēdes( SEHOP), Pārbaudīt lietojuma pārvaldību, Apstiprināt kaudzes integritāti, Pārbaudīt attēla atkarību integritāti un Pārbaudīt kaudzes integritāti( StackPivot).

Atkal, jums nevajadzētu pieskarties šīm opcijām, ja vien neesat sistēmas administrators, kurš vēlas bloķēt lietojumprogrammu un jūs patiešām zināt, ko jūs darāt.

Kā testu mēs iespējojām visas iexplore.exe iespējas un centāmies to palaist. Internet Explorer parādīja kļūdas ziņojumu un atteicās to palaist. Mēs pat neredzējām Windows Defender paziņojumu, kurā paskaidrots, ka mūsu iestatījumi neizraisa Internet Explorer darbību.

Ne tikai akli mēģiniet ierobežot lietojumprogrammas vai radīt līdzīgas problēmas jūsu sistēmā.Viņiem būs grūti novērst problēmas, ja neesat atceries, ka arī jūs mainījāt opcijas.

Ja jūs joprojām izmantojat vecāku Windows versiju, piemēram, Windows 7, varat izmantot aizsardzības funkcijas, instalējot Microsoft EMET vai Malwarebytes. Tomēr EMET atbalsts tiks pārtraukts 2018. gada 31. jūlijā, jo Microsoft vēlas, lai uzņēmumi virzītos uz Windows 10 un Windows Defender Exploit Protection vietā.