Kako radi zaštita novog zaštitnika programa Windows Defender (i kako je konfigurirati)
Ažuriranje Microsoftovih Fall Creators-a konačno dodaje integriranu zaštitu za Windows. Vi ste prethodno morali tražiti ovo u obliku Microsoftovog EMET alata. Sada je dio programa Windows Defender i aktiviran je prema zadanim postavkama.
Kako Windows Defender iskorištava zaštitu radi
Odavno smo preporučili korištenje anti-exploit softvera kao što je Microsoftov Enhanced Mitigation Experience Toolkit (EMET) ili više user-friendly Malwarebytes Anti-Malware, koji sadrži snažnu anti-exploit značajku (između ostalog). Microsoftov EMET široko se koristi u većim mrežama gdje ga mogu konfigurirati administratori sustava, ali nikad nije instaliran prema zadanim postavkama, zahtijeva konfiguraciju i konfuzno sučelje za prosječne korisnike.
Tipični antivirusni programi, kao što je Windows Defender, koriste definicije virusa i heuristiku za hvatanje opasnih programa prije pokretanja na vašem sustavu. Anti-exploit alati zapravo sprječavaju funkcioniranje mnogih popularnih tehnika napada, tako da ti opasni programi uopće ne ulaze u vaš sustav. Oni omogućuju određene zaštite operacijskog sustava i blokiraju uobičajene tehnike iskorištavanja memorije, tako da će, ako se otkrije ponašanje slično exploitu, prekinuti postupak prije nego se dogodi bilo što loše. Drugim riječima, mogu zaštititi od mnogih nultih dana napada prije nego što ih zakrpe.
Međutim, potencijalno mogu uzrokovati probleme s kompatibilnošću, a njihove postavke možda će se morati prilagoditi za različite programe. Zato se EMET općenito koristio na poslovnim mrežama, gdje su administratori sustava mogli podešavati postavke, a ne na kućna računala.
Windows Defender sada uključuje mnoge od tih istih zaštita koje su izvorno pronađene u Microsoftovom EMET-u. Omogućeni su prema zadanim postavkama za sve i dio su operacijskog sustava. Windows Defender automatski konfigurira odgovarajuća pravila za različite procese koji se izvode na vašem sustavu. (Malwarebytes još uvijek tvrdi da je njihova značajka anti-exploit superiorna, a mi još uvijek preporučujemo korištenje Malwarebytes, ali dobro je da Windows Defender ima i neke od ovih ugrađenih značajki).
Ta je značajka automatski omogućena ako ste nadogradili na ažuriranje programa Windows 10 Fall Creators, a EMET više nije podržan. EMET ne može čak biti instaliran na osobnim računalima koja pokreću ažuriranje padajućih kreatora. Ako već imate instaliran EMET, ažuriranje će ga ukloniti.
Ažuriranje Fall Creators sustava Windows 10 također uključuje sigurnosnu značajku pod nazivom Kontrolirani pristup mapi. Dizajniran je za zaustavljanje zlonamjernog softvera dopuštanjem samo pouzdanim programima da mijenjaju datoteke u mapama s osobnim podacima, kao što su Dokumenti i Slike. Obje su značajke dio programa “Windows Defender Exploit Guard”. No, Kontrolirani pristup mapi nije omogućen prema zadanim postavkama.
Omogućeno je potvrđivanje zaštite od iskorištavanja
Ova značajka automatski je omogućena za sva računala u sustavu Windows 10. \ t Međutim, također se može prebaciti u način rada „Revizija“, što administratorima sustava omogućuje praćenje dnevnika o tome što bi Exploit zaštita učinila kako bi potvrdila da neće uzrokovati nikakve probleme prije nego što ga omogući na kritičnim računalima..
Da biste potvrdili da je ova značajka omogućena, možete otvoriti centar za sigurnost sustava Windows Defender. Otvorite izbornik Start, potražite Windows Defender i kliknite prečac Windows Defender Security Center.
Kliknite ikonu "App & browser control" u obliku prozora na bočnoj traci. Pomaknite se prema dolje i vidjet ćete odjeljak "Zaštita od iskorištavanja". Obavijestit će vas da je ova značajka omogućena.
Ako ne vidite ovaj odjeljak, vaše računalo vjerojatno se nije ažuriralo na ažuriranje jesenjih kreatora.
Kako konfigurirati zaštitu od iskorištavanja sustava Windows Defender
Upozorenje: Vjerojatno ne želite konfigurirati ovu značajku. Windows Defender nudi brojne tehničke mogućnosti koje možete prilagoditi, a većina ljudi neće znati što rade ovdje. Ta je značajka konfigurirana pomoću pametnih zadanih postavki koje će izbjegavati probleme, a Microsoft može ažurirati svoja pravila tijekom vremena. Ovdje su opcije prvenstveno namijenjene administratorima sustava da razviju pravila za softver i ugrade ih u poslovnu mrežu.
Ako želite konfigurirati zaštitu od iskorištavanja, idite na Centar za sigurnost sustava Windows Defender> Kontrola aplikacija i preglednika, pomaknite se prema dolje i kliknite "Postavke zaštite od iskorištavanja" u odjeljku Zaštita od iskorištavanja.
Ovdje ćete vidjeti dvije kartice: Postavke sustava i Postavke programa. Postavke sustava kontroliraju zadane postavke koje se koriste za sve aplikacije, dok postavke programa kontroliraju pojedinačne postavke koje se koriste za različite programe. Drugim riječima, postavke programa mogu nadjačati postavke sustava za pojedinačne programe. One mogu biti restriktivnije ili manje restriktivne.
Na dnu zaslona možete kliknuti "Export settings" da biste izvezli postavke kao .xml datoteku koju možete uvesti u druge sustave. Microsoftova službena dokumentacija nudi više informacija o uvođenju pravila s pravilima grupe i PowerShellom.
Na kartici Postavke sustava vidjet ćete sljedeće opcije: Nadzor protoka kontrole (CFG), Sprječavanje izvršavanja podataka (DEP), Prisilna randomizacija za slike (Obvezni ASLR), Nasumična dodjela memorije (Bottom-up ASLR), Provjera valjanosti iznimnih lanaca (SEHOP) i Potvrdi integritet hrpe. Sve su uključene prema zadanim postavkama, osim opcije Slučajna randomizacija za slike (Obvezni ASLR). To je vjerojatno zato što obvezni ASLR uzrokuje probleme s nekim programima, tako da možete pokrenuti probleme s kompatibilnošću ako ga omogućite, ovisno o programima koje pokrećete.
Opet, ne biste trebali dirati ove opcije ako ne znate što radite. Zadane postavke su razumne i odabrane su s razlogom.
Sučelje daje vrlo kratak sažetak onoga što svaka opcija radi, ali morat ćete napraviti neka istraživanja ako želite znati više. Već smo objasnili što DEP i ASLR rade ovdje.
Kliknite na karticu "Postavke programa" i prikazat će se popis različitih programa s prilagođenim postavkama. Opcije ovdje omogućuju poništavanje ukupnih postavki sustava. Na primjer, ako na popisu odaberete "iexplore.exe" i kliknete "Uredi", vidjet ćete da pravilo ovdje nasilno omogućuje obvezni ASLR za proces Internet Explorer, iako nije omogućeno prema zadanoj razini sustava.
Ne biste trebali mijenjati ta ugrađena pravila za procese kao što su runtimebroker.exe i spoolsv.exe. Microsoft ih je dodao s razlogom.
Prilagođena pravila za pojedine programe možete dodati klikom na "Dodaj program za prilagodbu". Možete dodavati "Naziv po programu" ili "Odabrati točno određeni put datoteke", ali preciziranje putanje datoteke je preciznije.
Nakon dodavanja, možete pronaći dugačak popis postavki koji neće biti značajan za većinu ljudi. Puni popis dostupnih postavki ovdje je: Zaštita arbitrarnog koda (ACG), Blokiranje slika niskog integriteta, Blokiranje udaljenih slika, Blokiranje nepovjerljivih fontova, Zaštita integriteta koda, Kontrola protoka (CFG), Sprječavanje izvršenja podataka (DEP), Onemogućavanje točaka proširenja , Onemogući Win32k sistemske pozive, Ne dopusti dječje procese, Izvoz filtriranja adresa (EAF), Prisilno randomiziranje slika (Obvezni ASLR), Uvoz filtriranja adresa (IAF), Nasumična dodjela memorije (odozdo prema gore ASLR), Simulacija izvršenja (SimExec) , Provjera valjanosti API poziva (CallerCheck), Provjera valjanosti iznimnih lanaca (SEHOP), Provjera valjanosti ručke, Provjera integriteta hrpe, Potvrda integriteta slike ovisnosti i Potvrda integriteta stog (StackPivot).
Opet, ne smijete dirati ove opcije osim ako niste administrator sustava koji želi zaključati aplikaciju i stvarno znate što radite.
Kao test, omogućili smo sve opcije za iexplore.exe i pokušali ga pokrenuti. Internet Explorer je samo pokazao poruku o pogrešci i odbio je pokrenuti. Nismo vidjeli čak ni obavijest programa Windows Defender u kojoj se objašnjava da Internet Explorer ne funkcionira zbog naših postavki.
Nemojte samo slijepo pokušavati ograničiti aplikacije ili ćete na svom sustavu uzrokovati slične probleme. Teško će ih otkloniti ako se ne sjećate da ste i vi promijenili opcije.
Ako i dalje koristite stariju verziju sustava Windows, kao što je Windows 7, značajke za zaštitu od iskorištavanja možete dobiti tako da instalirate Microsoftov EMET ili Malwarebytes. Međutim, podrška za EMET zaustavit će se 31. srpnja 2018. godine, budući da Microsoft želi potaknuti tvrtke na Windows 10 i Windows Defender.