4Sep
Microsoft's Fall Creators Update voegt eindelijk geïntegreerde exploitbescherming toe aan Windows. U moest dit eerder opzoeken in de vorm van de EMET-tool van Microsoft. Het maakt nu deel uit van Windows Defender en is standaard geactiveerd.
Hoe de werkingsbescherming van Windows Defender werkt
We hebben lang aanbevolen om anti-exploit-software te gebruiken, zoals Microsoft Enhanced Mitigation Experience Toolkit( EMET) of de gebruiksvriendelijkere Malwarebytes Anti-Malware, die een krachtige anti-exploit-functie bevat( onder andere).Microsoft's EMET wordt veel gebruikt op grotere netwerken waar het kan worden geconfigureerd door systeembeheerders, maar het is nooit standaard geïnstalleerd, vereist configuratie en heeft een verwarrende interface voor gemiddelde gebruikers.
Typische antivirusprogramma's, zoals Windows Defender zelf, gebruiken virusdefinities en heuristieken om gevaarlijke programma's te vangen voordat ze op uw systeem kunnen worden uitgevoerd. Anti-misbruiktools voorkomen eigenlijk dat veel populaire aanvalstechnieken helemaal niet meer werken, dus deze gevaarlijke programma's komen in de eerste plaats niet op uw systeem. Ze maken bepaalde beveiligingen van besturingssystemen mogelijk en blokkeren technieken voor gemeenschappelijk geheugengebruik, zodat als exploit-achtig gedrag wordt gedetecteerd, ze het proces beëindigen voordat er iets ergs gebeurt. Met andere woorden, ze kunnen beschermen tegen vele zero-day-aanvallen voordat ze worden gepatcht.
Ze kunnen echter mogelijk compatibiliteitsproblemen veroorzaken en hun instellingen moeten mogelijk worden aangepast voor verschillende programma's. Daarom werd EMET over het algemeen gebruikt op bedrijfsnetwerken, waar systeembeheerders de instellingen konden aanpassen en niet op thuiscomputers.
Windows Defender bevat nu veel van deze zelfde beveiligingen, die oorspronkelijk werden gevonden in EMET van Microsoft. Ze zijn standaard voor iedereen ingeschakeld en maken deel uit van het besturingssysteem. Windows Defender configureert automatisch de juiste regels voor verschillende processen die op uw systeem worden uitgevoerd.(Malwarebytes beweert nog steeds dat hun anti-exploit-functie superieur is, en we raden Malwarebytes nog steeds aan, maar het is goed dat Windows Defender er ook een deel van heeft ingebouwd.)
Deze functie wordt automatisch ingeschakeld als je een upgrade hebt uitgevoerd naar Windows10's Fall Creators Update en EMET wordt niet langer ondersteund. EMET kan zelfs niet worden geïnstalleerd op pc's waarop de Fall Creators Update wordt uitgevoerd. Als EMET al is geïnstalleerd, wordt het door de update verwijderd.
De Fall Creators Update van Windows 10 bevat ook een gerelateerde beveiligingsfunctie met de naam Controlled Folder Access. Het is ontworpen om malware te stoppen door alleen vertrouwde programma's toe te staan bestanden in uw persoonlijke gegevensmappen aan te passen, zoals Documenten en Afbeeldingen. Beide functies maken deel uit van "Windows Defender Exploit Guard".Toegang tot beheerde mappen is echter niet standaard ingeschakeld.
Hoe te bevestigen dat Exploit Protection is ingeschakeld
Deze functie wordt automatisch ingeschakeld voor alle Windows 10-pc's. Het kan echter ook worden omgeschakeld naar "Auditmodus", zodat systeembeheerders een logboek kunnen bijhouden van wat Exploit Protection zou hebben gedaan om te bevestigen dat het geen problemen zal veroorzaken voordat het op kritieke pc's wordt ingeschakeld.
Om te bevestigen dat deze functie is ingeschakeld, kunt u het Windows Defender Security Center openen. Open uw menu Start, zoek naar Windows Defender en klik op de snelkoppeling van Windows Defender Security Center.
Klik op de venstervormige "App &browser control "-pictogram in de zijbalk. Blader naar beneden en u ziet het gedeelte 'Exploitebescherming'.Het zal u informeren dat deze functie is ingeschakeld.
Als u deze sectie niet ziet, is uw pc waarschijnlijk nog niet bijgewerkt naar de Fall Creators Update.
Hoe u de Exploit Protection van Windows Defender configureert
Waarschuwing : U wilt deze functie waarschijnlijk niet configureren. Windows Defender biedt vele technische opties die u kunt aanpassen, en de meeste mensen zullen niet weten wat ze hier doen. Deze functie is geconfigureerd met slimme standaardinstellingen die geen problemen veroorzaken en Microsoft kan zijn regels in de loop van de tijd bijwerken. De opties lijken hier vooral bedoeld om systeembeheerders te helpen bij het ontwikkelen van regels voor software en deze uit te rollen in een bedrijfsnetwerk.
Als u Exploit Protection wilt configureren, ga dan naar Windows Defender Security Center & gt;App &browserbesturing, scroll naar beneden en klik op "Exploit protection settings" onder Exploit-bescherming.
Je ziet hier twee tabbladen: Systeeminstellingen en Programma-instellingen. Systeeminstellingen regelen de standaardinstellingen die voor alle toepassingen worden gebruikt, terwijl Programma-instellingen de individuele instellingen besturen die voor verschillende programma's worden gebruikt. Met andere woorden, programma-instellingen kunnen de systeeminstellingen voor afzonderlijke programma's overschrijven. Ze kunnen beperkter of minder beperkend zijn.
Onderaan het scherm kunt u klikken op "Instellingen exporteren" om uw instellingen te exporteren als een XML-bestand dat u op andere systemen kunt importeren. De officiële documentatie van Microsoft biedt meer informatie over het implementeren van regels met Groepsbeleid en PowerShell.
Op het tabblad Systeeminstellingen ziet u de volgende opties: Control flow guard( CFG), Preventie van gegevensuitvoering( DEP), Force randomization for images( verplichte ASLR), Willekeurige geheugenallocaties( Bottom-up ASLR), Valideer uitzonderingketens( SEHOP) en Valideert de integriteit van de heap. Ze zijn standaard allemaal ingeschakeld, behalve de optie Force randomization for images( Mandatory ASLR).Dat komt waarschijnlijk omdat verplichte ASLR problemen met sommige programma's veroorzaakt, dus u kunt compatibiliteitsproblemen tegenkomen als u deze inschakelt, afhankelijk van de programma's die u uitvoert.
Nogmaals, je mag deze opties echt niet aanraken tenzij je weet wat je doet. De standaardinstellingen zijn redelijk en worden met een reden gekozen.
De interface geeft een zeer korte samenvatting van wat elke optie doet, maar je zult wat onderzoek moeten doen als je meer wilt weten. We hebben eerder uitgelegd wat DEP en ASLR hier doen.
Klik om naar het tabblad "Programma-instellingen" te gaan en er verschijnt een lijst met verschillende programma's met aangepaste instellingen. Met de opties hier kunnen de algemene systeeminstellingen worden opgeheven. Als u bijvoorbeeld 'iexplore.exe' in de lijst selecteert en op 'Bewerken' klikt, ziet u dat de regel hier verplicht Mandatory ASLR inschakelt voor het proces van Internet Explorer, ook al is het systeem standaard niet standaard ingeschakeld.
U moet niet knoeien met deze ingebouwde regels voor processen zoals runtimebroker.exe en spoolsv.exe. Microsoft heeft ze met een reden toegevoegd.
U kunt aangepaste regels voor individuele programma's toevoegen door te klikken op "Programma toevoegen om aan te passen".U kunt "Toevoegen op programmanaam" of "Kies het exacte bestandspad", maar het opgeven van een exact pad is veel preciezer.
Na het toevoegen kunt u een lange lijst met instellingen vinden die voor de meeste mensen niet zinvol zijn. De volledige lijst met instellingen die hier beschikbaar is, is: Arbitraire code bewaking( ACG), afbeeldingen met lage integriteit blokkeren, externe afbeeldingen blokkeren, niet-vertrouwde lettertypen blokkeren, code-integriteitsbescherming, bewakingsstroombeveiliging( CFG), Preventie van gegevensuitvoering( DEP), Uitbreidingspunten uitschakelen, Win32k systeemoproepen uitschakelen, Kinderprocessen niet toestaan, Adres filteren( EAF) exporteren, Willekeurige volgorde voor afbeeldingen dwingen( verplichte ASLR), Adres filteren( IAF) importeren, Geheugentoewijzingen willekeurig maken( Bottom-up ASLR), Simulatie uitvoeren( SimExec), Valideer API-aanroep( CallerCheck), Valideer uitzonderingsketens( SEHOP), Valideer het gebruik van de hendel, Valideer de heap-integriteit, valideer de integriteit van de afbeeldingsafhankelijkheid en Valideer de stapelintegriteit( StackPivot).
Nogmaals, u moet deze opties niet aanraken tenzij u een systeembeheerder bent die een toepassing wil vergrendelen en u weet echt wat u doet.
Als test hebben we alle opties voor iexplore.exe ingeschakeld en geprobeerd het te starten. Internet Explorer liet net een foutmelding zien en weigerde te starten. We hebben zelfs geen melding van Windows Defender gezien waarin werd uitgelegd dat Internet Explorer niet functioneerde vanwege onze instellingen.
Probeer niet blindelings te proberen applicaties te beperken, anders krijg je vergelijkbare problemen op je systeem. Ze zullen moeilijk op te lossen zijn als je niet meer weet dat je de opties ook hebt gewijzigd.
Als u nog steeds een oudere versie van Windows gebruikt, zoals Windows 7, kunt u exploitbeschermingsfuncties krijgen door Microsoft's EMET of Malwarebytes te installeren. De ondersteuning voor EMET stopt echter op 31 juli 2018, omdat Microsoft bedrijven liever naar Windows 10 en Windows Defender's Exploit Protection wil duwen.