4Sep
Aktualizácia Microsoft Fall Creators Update nakoniec pridáva integrovanú ochranu systému Windows. Predtým ste to museli hľadať vo forme nástroja EMET spoločnosti Microsoft. Teraz je súčasťou programu Windows Defender a je predvolene aktivovaná.
Ako funguje ochrana proti zneužitiu systému Windows Defender
Už dlho odporúčame používať softvér proti zneužitiu, ako je nástroj Microsoft Enhanced Mitigation Experience Toolkit( EMET) alebo používateľsky prívetivší Malwarebytes Anti-Malware, ktorý obsahuje silnú funkciu proti zneužitiu).Aplikácia EMET spoločnosti Microsoft je široko používaná vo väčších sieťach, kde môže byť nakonfigurovaná systémovými administrátormi, ale nikdy nebola nainštalovaná ako predvolená, vyžaduje konfiguráciu a má pre používateľov rozhranie mätúce.
Typické antivírusové programy, ako napríklad samotný program Windows Defender, používajú definície vírusov a heuristiku na zachytenie nebezpečných programov skôr, ako budú môcť bežať vo vašom systéme. Nástroj na zabránenie zneužitiu skutočne zabraňuje tomu, aby fungovali v mnohých populárnych technikách útokov, takže sa tieto nebezpečné programy na prvý pohľad nedostanú do vášho systému. Umožňujú určité ochrany operačného systému a blokujú techniky využívania spoločnej pamäte, takže ak sa zistí správanie podobné správaniu, ukončia proces predtým, ako sa niečo zhorí.Inými slovami, môžu chrániť pred mnohými nenávratnými útokmi predtým, než budú opravené.
Mohli by však spôsobiť problémy s kompatibilitou a ich nastavenia by mohli byť vylepšené pre rôzne programy. Preto sa spoločnosť EMET vo všeobecnosti používala v podnikových sieťach, kde správcovia systému mohli vylepšiť nastavenia a nie na domácich počítačoch.
Windows Defender teraz obsahuje mnoho z tých istých ochranných prvkov, ktoré sa pôvodne nachádzali v spoločnosti EMET spoločnosti Microsoft. Sú štandardne povolené pre všetkých a sú súčasťou operačného systému. Program Windows Defender automaticky konfiguruje príslušné pravidlá pre rôzne procesy bežiace vo vašom systéme.(Malwarebytes stále tvrdí, že ich funkcia proti zneužitiu je vynikajúca a stále odporúčame používať program Malwarebytes, ale je dobré, že program Windows Defender obsahuje aj niektoré z týchto funkcií.)
Táto funkcia je automaticky zapnutá, ak ste inovovali na systém Windows10 Aktualizácia tvorcov pádov a EMET už nie je podporovaná.Aplikácia EMET nemôže byť dokonca nainštalovaná na počítačoch, na ktorých je spustená aktualizácia Fall Creators Update. Ak už máte EMET nainštalovaný, bude aktualizácia odstránená.
Aktualizácia pre tvorcov pádov v systéme Windows 10 obsahuje tiež súvisiacu bezpečnostnú funkciu s názvom Prístup k ovládanému priečinku. Je určený na zastavenie škodlivého softvéru tým, že umožňuje dôveryhodným programom upravovať súbory vo vašich priečinkoch osobných údajov, napríklad Dokumenty a Obrázky. Obe funkcie sú súčasťou programu "Windows Defender Exploit Guard".Prístup k ovládanému priečinku však nie je v predvolenom nastavení povolený.
Ako potvrdiť možnosť Exploit Protection je povolená
Táto funkcia je automaticky povolená pre všetky počítače s operačným systémom Windows 10.Môže sa však tiež prepnúť do režimu Audit, čo umožní správcom systému sledovať protokol o tom, čo by spoločnosť Exploit Protection urobila, aby potvrdila, že nespôsobí žiadne problémy pred povolením na kritických počítačoch.
Ak chcete potvrdiť, že je táto funkcia povolená, môžete otvoriť Centrum zabezpečenia programu Windows Defender. Otvorte ponuku Štart, vyhľadajte program Windows Defender a kliknite na zástupcu programu Windows Defender Security Center.
Kliknite na okno "App &ovládač prehliadača "na bočnom paneli. Posuňte sa nadol a uvidíte sekciu "Ochrana pred zneužitím".Informuje vás, že táto funkcia je povolená.
Ak sa vám táto sekcia nezobrazuje, počítač pravdepodobne ešte neaktualizoval aktualizáciu Fall Creators.
Konfigurácia ochrany pred zneužitím programu Windows Defender
Upozornenie : Pravdepodobne nechcete nakonfigurovať túto funkciu. Program Windows Defender ponúka mnoho technických možností, ktoré môžete upraviť, a väčšina ľudí nevie, čo tu robia. Táto funkcia je nakonfigurovaná s inteligentnými predvolenými nastaveniami, ktoré zabránia vzniku problémov a spoločnosť Microsoft môže v priebehu času aktualizovať svoje pravidlá.Zdá sa, že tieto možnosti sa primárne zameriavajú na to, aby správcom systému vytvorili pravidlá pre softvér a zavádzali ich do podnikovej siete.
Ak chcete konfigurovať funkciu Exploit Protection, prejdite na Centrum zabezpečenia systému Windows Defender & gt;Aplikácia &ovládač prehliadača, prejdite nadol a kliknite na položku Ochrana pred zneužitím ochrany v časti Exploit ochrana.
Tu uvidíte dve karty: Systémové nastavenia a Nastavenia programu. Systémové nastavenia riadia predvolené nastavenia, ktoré sa používajú pre všetky aplikácie, zatiaľ čo programové nastavenia riadia jednotlivé nastavenia používané pre rôzne programy. Inými slovami, nastavenia programu môžu prepísať nastavenia systému pre jednotlivé programy. Mohli by byť reštriktívnejšie alebo menej reštriktívne.
V dolnej časti obrazovky môžete kliknúť na položku Exportovať nastavenia a exportovať nastavenia ako súbor. xml, ktorý môžete importovať do iných systémov. Oficiálna dokumentácia spoločnosti Microsoft ponúka viac informácií o implementácii pravidiel so zásadami skupiny a PowerShell.
Na karte Nastavenia systému uvidíte nasledujúce možnosti: Kontrola ochrany prietoku( CFG), Prevencia spustenia dát( DEP), Randomizácia sily pre obrazy( Povinné ASLR), Randomize alokácie pamäte( ASLR zdola), Overenie výnimky(SEHOP) a overiť integritu haldy. V predvolenom nastavení sú všetky s výnimkou voľby sily Randomization for images( Povinná ASLR).Je to pravdepodobne preto, lebo povinné rozhranie ASLR spôsobuje problémy s niektorými programami, takže v závislosti od programov, ktoré spustíte, môžete spustiť problémy s kompatibilitou.
Opäť by ste sa nemali dotknúť týchto možností, ak neviete, čo robíte. Predvolené hodnoty sú rozumné a vyberú sa z nejakého dôvodu.
Rozhranie poskytuje veľmi stručný prehľad o tom, čo každá možnosť robí, ale budete musieť urobiť nejaký výskum, ak chcete vedieť viac. Už sme vysvetlili, čo tu DEP a ASLR robia.
Kliknutím prejdete na kartu "Nastavenia programu" a uvidíte zoznam rôznych programov s vlastnými nastaveniami. Možnosti tu umožňujú prepísať celkové nastavenia systému. Ak napríklad vyberiete "iexplore.exe" v zozname a kliknete na položku "Upraviť", uvidíte, že toto pravidlo nútene povoľuje povinnú ASLR pre proces Internet Explorer, hoci to nie je štandardne povolené v celom systéme.
Nemali by ste manipulovať s týmito vstavanými pravidlami pre procesy ako runtimebroker.exe a spoolsv.exe. Spoločnosť Microsoft ich pridala z nejakého dôvodu.
Môžete pridať vlastné pravidlá pre jednotlivé programy kliknutím na "Pridať program na prispôsobenie".Môžete buď "Pridať podľa názvu programu", alebo "Vybrať presnú cestu k súboru", ale určenie presnej cesty k súboru je oveľa presnejšie.
Po pridaní nájdete dlhý zoznam nastavení, ktoré pre väčšinu ľudí nebude zmysluplné.Úplný zoznam nastavení, ktorý je k dispozícii, je: Obmedzený kód ochrany( ACG), Zablokovanie obrázkov s nízkou odolnosťou, Blokovanie vzdialených obrázkov, Zablokovanie nedôveryhodných písiem, Zabezpečenie integrity kódu, Kontrola ochrany prietoku( CFG), Zakázať systémové volania Win32k, Nepovoliť podriadené procesy, Exportovať filtrovanie adries( EAF), Vynútiť náhodnosť pre obrázky( Povinné ASLR), Importovať filtrovanie adries( IAF), Randomize alokácie pamäte( ASLR zdola), Simulate execution( SimExec), Validácia vyvolania rozhrania API( CallerCheck), Validácia reťazcov výnimiek( SEHOP), Overenie používania rukoväte, Overenie integrity haldy, Overenie integrity závislosti obrazu a Kontrola integrity zásobníka( StackPivot).
Opäť by ste sa nemali dotknúť týchto možností, ak ste systémový administrátor, ktorý chce uzamknúť aplikáciu a naozaj viete, čo robíte.
Ako test sme povolili všetky možnosti pre program iexplore.exe a pokúsili sme sa spustiť.Aplikácia Internet Explorer len zobrazila chybové hlásenie a odmietla spustiť.Ani sme neobjavili upozornenie programu Windows Defender vysvetľujúce, že program Internet Explorer nefungoval kvôli našim nastaveniam.
Nepoužívajte iba slepý pokus obmedziť aplikácie, alebo spôsobíte podobné problémy vo vašom systéme. Bude ťažké riešiť problémy, ak si nepamätáte, že ste zmenili aj možnosti.
Ak stále používate staršiu verziu systému Windows, napríklad Windows 7, môžete získať funkcie ochrany pomocou inštalácie aplikácie Microsoft EMET alebo Malwarebytes. Podpora EMET sa však zastaví 31. júla 2018, pretože spoločnosť Microsoft chce tlačiť podniky smerom k Windows 10 a Windows Defender Exploit Protection namiesto toho.