4Sep
Microsoftova posodobitev Fall Creators na koncu dodaja integrirano zaščito za izkoriščanje operacijskega sistema Windows. Pred tem ste morali to iskati v obliki orodja Microsoft EMET.Zdaj je del programa Windows Defender in je privzeto aktiviran.
Kako deluje zaščita pred zlorabami operacijskega sistema Windows Defender
Dolgo smo že uporabljali programsko opremo za preprečevanje izkoriščanja, kot je Microsoftova orodja za izboljšanje izboljšanega zmanjševanja posnetkov( EMET) ali bolj uporabniku prijazna programska oprema Malwarebytes Anti-Malware, ki vsebuje močno protiblokirno funkcijo).Microsoftov EMET se pogosto uporablja v večjih omrežjih, kjer ga lahko konfigurira sistemski skrbnik, vendar ni bil nikoli nameščen po privzetku, potrebuje konfiguracijo in ima navidezni vmesnik za povprečne uporabnike.
Tipični protivirusni programi, kot je Windows Defender, uporabijo definicije virusov in hevristike za ulov nevarnih programov, preden se lahko izvajajo v vašem sistemu. Orodja za preprečevanje izkoriščanja dejansko preprečujejo, da bi mnoge popularne tehnike napada sploh delovale, zato ti nevarni programi ne pridejo na vaš sistem. Omogočajo zaščito določenega operacijskega sistema in blokirajo običajne tehnike za izkoriščanje pomnilnika, tako da bo, če se odkrije izkoriščanje podobno vedenje, postopek zaključi, preden se zgodi kaj slabega. Z drugimi besedami, lahko zaščitijo pred številnimi ničelnimi napadi, preden jih popravijo.
Lahko bi lahko povzročili težave z združljivostjo in morda jih bo treba nastaviti za različne programe. Zato je bil EMET na splošno uporabljen v podjetjih, kjer bi sistemski skrbniki lahko nastavili nastavitve in ne na domačih računalnikih.
Windows Defender zdaj vključuje veliko teh istih zaščit, ki so bile prvotno najdene v Microsoftovem EMET.Privzeto so omogočeni za vse in so del operacijskega sistema. Windows Defender samodejno nastavi ustrezna pravila za različne procese, ki se izvajajo v vašem sistemu.(Malwarebytes še vedno trdi, da je njihova funkcija za preprečevanje izkoriščanja boljša in še vedno priporočamo uporabo programa Malwarebytes, vendar je dobro, da ima tudi Windows Defender nekatere od teh vgrajenih tudi zdaj.)
Ta funkcija se samodejno omogoči, če ste nadgradili na Windows10. Update Fall Creators Update in EMET ni več podprt. EMET ni mogoče namestiti na osebne računalnike, ki vodijo posodobitev za ustvarjalce oglasov.Če že imate nameščen program EMET, ga bo posodobitev odstranila.
Windows 10's Fall Creators Update vsebuje tudi povezano varnostno funkcijo z imenom »Nadzorovani dostop do mape«.Zasnovana je tako, da zaustavi zlonamerno programsko opremo, tako da dovoljuje le zaupanja vrednim programom, da spremenijo datoteke v mapah osebnih podatkov, kot so Dokumenti in Slike. Obe funkciji sta del programa Windows Defender Exploit Guard. Vendar dostop do Nadzorne mape privzeto ni omogočen.
Kako potrditi uporabo zaščite je omogočen
Ta funkcija je samodejno omogočena za vse računalnike z operacijskim sistemom Windows 10.Vendar pa je mogoče preklopiti tudi na "način revizije", ki skrbnikom sistema omogoča spremljanje dnevnika o tem, kaj bi storil Exploit Protection za potrditev, da ne bo povzročal nobenih težav, preden jo bo omogočil na kritičnih osebnih računalnikih.
Če želite potrditi, da je ta funkcija omogočena, lahko odprete zaščitni center Windows Defender. Odprite svoj meni »Start«, poiščite zaščito programa Windows in kliknite bližnjico za varnostni center Windows Defender.
Kliknite okno "App &ikona za nadzor brskalnika v stranski vrstici. Pomaknite se navzdol in videli boste razdelek »Izkoristite zaščito«.Obveščal vas bo, da je ta funkcija omogočena.
Če tega razdelka ne vidite, se vaš računalnik verjetno še ni posodobil posodobitve za ustvarjalce padcev.
Kako nastaviti zaščito pred zagonom programa Windows Defender
Opozorilo : verjetno ne želite konfigurirati te funkcije. Windows Defender ponuja veliko tehničnih možnosti, ki jih lahko prilagodite, in večina ljudi ne ve, kaj počnejo tukaj. Ta funkcija je konfigurirana s pametnimi privzetimi nastavitvami, ki preprečujejo povzročanje težav, Microsoft pa lahko sčasoma posodobi svoja pravila. Možnosti, ki se tukaj zdijo v prvi vrsti namenjene temu, da sistemskim administratorjem pomagajo razviti pravila za programsko opremo in jih razviti v omrežje podjetja.
Če želite konfigurirati zaščito za izkopljanje, pojdite v varnostni center Windows Defender & gt;App &nadzor nad brskalnikom, se pomaknite navzdol in kliknite »Izkoristite nastavitve zaščite« pod zaščito Exploit.
Tu boste videli dve zavihki: sistemske nastavitve in nastavitve programa. Sistemske nastavitve nadzorujejo privzete nastavitve, ki se uporabljajo za vse aplikacije, medtem ko nastavitve programa nadzirajo posamezne nastavitve, ki se uporabljajo za različne programe. Z drugimi besedami, nastavitve programa lahko preglasijo nastavitve sistema za posamezne programe. Lahko bi bili bolj restriktivni ali manj omejevalni.
Na dnu zaslona lahko kliknete »Izvozne nastavitve«, če želite izvoziti svoje nastavitve kot datoteko. xml, ki jo lahko uvozite v drugih sistemih. Microsoftova uradna dokumentacija ponuja več informacij o uvajanju pravil s pravilnikom skupine in PowerShell.
Na kartici System settings( Nastavitve sistema) so prikazane naslednje možnosti: zaščita pred krmilnim pretokom( CFG), preprečevanje izvajanja podatkov( DEP), naključna izbira za slike( Obvezna ASLR), naključna dodelitev pomnilnika( Bottom-up ASLR), potrditev izjemeverige( SEHOP) in preverite integriteto kupe. Vsi so privzeti, razen v primeru naključne izbire za slike( Obvezna ASLR).To je verjetno zato, ker obvezni ASLR povzroča težave z nekaterimi programi, tako da boste morda naleteli na težave z združljivostjo, če jo omogočite, odvisno od programov, ki jih zaženete.
Ponovno se resnično ne smete dotikati teh možnosti, če ne veste, kaj počnete. Privzete nastavitve so smiselne in izbrane z razlogom.
Vmesnik ponuja zelo kratek povzetek vsake možnosti, vendar boste morali opraviti nekaj raziskav, če želite izvedeti več.Pred tem smo že pojasnili, kaj storiti DEP in ASLR.
Kliknite na kartico »Nastavitve programa« in na seznamu različnih programov boste našli nastavitve po meri. Možnosti tukaj omogočajo preklic celotnih sistemskih nastavitev.Če na primer na seznamu izberete »iexplore.exe« in kliknete »Uredi«, boste videli, da tukaj pravilo prisilno omogoči Obvezno ASLR za proces Internet Explorerja, čeprav to ni omogočeno po privzeti celotni sistem.
Ne smete posegati v ta vgrajena pravila za postopke, kot so runtimebroker.exe in spoolsv.exe. Microsoft jih je dodal z razlogom.
Za posamezne programe lahko dodate pravila po meri tako, da kliknete »Dodaj program, ki ga želite prilagoditi«.Lahko "Dodaj po imenu programa" ali "Izberi točno pot do datoteke", natančno določite natančno pot do datoteke.
Ko ste dodali, lahko najdete dolg seznam nastavitev, ki za večino ljudi ne bodo pomembne. Celoten seznam nastavitev, ki so na voljo tukaj, je: Neznani zaščitni kodnik( ACG), Blokiraj nizke celovite slike, Blokiraj oddaljene slike, Blokiraj nezaupne pisave, zaščita celovitosti kod, zaščita pred krmilnim pretokom( CFG), preprečevanje izvajanja podatkov( DEP), Onemogočite sistemske klice Win32k, ne dovoli otrokovih procesov, filtriranje naslova za izvoz( EAF), naključno izbiranje slike za slike( obvezni ASLR), uvozno filtriranje naslovov( IAF), naključno dodeljevanje pomnilnika( spodaj ASLR), simuliranje izvedbe( SimExec), Potrdite API poziv( CallerCheck), potrdite verige izjem( SEHOP), preverite veljavnost ročice, preverite integriteto kupi, preverite integriteto slike in preverite integriteto skladov( StackPivot).
Again, se ne smete dotikati teh možnosti, razen če ste sistemski skrbnik, ki želi zakleniti aplikacijo in res veste, kaj počnete.
Kot test smo omogočili vse možnosti za iexplore.exe in ga poskušali zagnati. Internet Explorer je pokazal sporočilo o napaki in zavrnil začetek. Videli smo tudi, da Internet Explorer ne deluje zaradi naših nastavitev.
Ne slepo poskušajte omejiti aplikacij ali pa boste v vašem sistemu povzročili podobne težave.Če se ne boste spomnili, spremenili boste tudi možnosti, ki jih boste težko odpravili.
Če še vedno uporabljate starejšo različico operacijskega sistema Windows, kot je Windows 7, lahko z namestitvijo Microsoftove EMET ali Malwarebytes dobite funkcije za zaščito pred izkoriščanjem. Vendar pa se bo podpora za EMET ustavila 31. julija 2018, saj Microsoft želi, da namesto podjetja Windows 10 in Windows Defender uporabi zaščito pred eksplozijo.
