Hogyan működik a Windows Defender új védelmi védelme (és hogyan konfigurálja azt)

2024 Szerző: Geoffrey Carr | [email protected]. Utoljára módosítva: 2024-01-12 05:18

A Microsoft Fall Creators frissítése végül integrált védelmet nyújt a Windows rendszerhez. Ezt korábban a Microsoft EMET eszköze formájában kellett keresnie. Most már része a Windows Defendernek és alapértelmezés szerint aktiválva van.

Hogyan működik a Windows Defender kizsákmányolás-védelme

Hosszú ideig javasoljuk az anti-exploit szoftverek használatát, mint például a Microsoft Enhanced Mitigation Experience Toolkit (EMET) vagy a felhasználóbarát Malwarebytes Anti-Malware, amely többek között egy hatékony kizsákmányolás-ellenes funkciót tartalmaz. A Microsoft EMET-t széles körben használják nagyobb hálózatokon, ahol a rendszergazdák konfigurálhatják, de alapértelmezés szerint soha nem telepítették, konfigurációra van szükségük, és zavaró felületet biztosítanak az átlagos felhasználóknak.

Tipikus antivírus programok, például a Windows Defender, vírusleírásokkal és heurisztikával fogják fel a veszélyes programokat, mielőtt azok futtathatók a rendszeren. A kizsákmányoló eszközök valójában megakadályozzák, hogy sok népszerű támadási technika egyáltalán működjön, ezért ezek a veszélyes programok elsőként nem jutnak el a rendszeredhez. Lehetővé teszik bizonyos operációs rendszerek védelmét és blokkolják a közös memória-kiaknázási technikákat, így ha kizsákmányolásszerű viselkedést észlelnek, akkor felmondják a folyamatot mielőtt minden rossz történik. Más szóval, számos napi támadás ellen védekezhetnek, mielőtt kijavítják őket.

Azonban előfordulhat, hogy kompatibilitási problémákat okozhatnak, és a beállításokat esetleg különböző programokhoz kell csípni. Ezért használták az EMET-t általában a vállalati hálózatokon, ahol a rendszergazdák kicserélhetik a beállításokat, és nem az otthoni számítógépeken.

A Windows Defender most ugyanazokat a védelmet tartalmazza, amelyek eredetileg a Microsoft EMET-ben találhatók. Ezek alapértelmezés szerint mindenki számára engedélyezettek és az operációs rendszer részét képezik. A Windows Defender automatikusan konfigurálja a rendszeren futó különböző folyamatokhoz tartozó megfelelő szabályokat. (A Malwarebytes még mindig azt állítja, hogy a kizsákmányolás-ellenes funkciói kiválóak, és még mindig javasoljuk a Malwarebytes használatát, de jó, hogy a Windows Defendernek is van néhány beépített része is.)

Ez a funkció automatikusan bekapcsolódik, ha frissítette a Windows 10 Őszi alkotói frissítését, és az EMET már nem támogatott. Az EMET-et még az Őszi alkotók frissítése futó PC-ken sem lehet telepíteni. Ha már telepítve van az EMET, a frissítés eltávolítja.

A Windows 10 Őszi alkotói frissítése tartalmaz egy kapcsolódó biztonsági funkciót, a Controlled Folder Access (Meghajtott mappabevonat) néven. Úgy tervezték, hogy megakadályozza a rosszindulatú programokat, ha csak a megbízható programokat teszi lehetővé a személyes adatmappákban található fájlok - például a Dokumentumok és a Képek - módosításához. Mindkét funkció a "Windows Defender Exploit Guard" része. Az Ellenőrzött mappa-hozzáférés azonban alapértelmezés szerint nincs engedélyezve.

Az Exploit Protection megerősítése engedélyezve van

Ez a funkció automatikusan engedélyezve van minden Windows 10-es számítógépen. Azonban az "Audit mód" -ra is átkapcsolható, amely lehetővé teszi a rendszergazdák számára, hogy figyelemmel kísérjék az Exploit Protection által a megerősítéshez szükséges naplót, ezért nem okoz problémát a kritikus számítógépen történő engedélyezés előtt.

A funkció engedélyezéséhez nyissa meg a Windows Defender biztonsági központot. Nyissa meg a Start menüt, keresse meg a Windows Defender alkalmazást, és kattintson a Windows Defender Security Center parancsikonra.

Kattintson az ablakban megjelenő "Alkalmazás és böngésző vezérlő" ikonra az oldalsávon. Görgessen lefelé, és megjelenik a "Védelem kizárása" rész. Értesíti Önt arról, hogy ez a funkció engedélyezve van.

Ha nem látja ezt a szakaszt, a számítógép valószínűleg nem frissül az őszi alkotók frissítéséhez.

Hogyan konfigurálható a Windows Defender Exploit Protection

Figyelem: Valószínűleg nem szeretné beállítani ezt a funkciót. A Windows Defender számos olyan technikai opciót kínál, amelyeket beállíthat, és a legtöbb ember nem tudja, mit csinálnak itt. Ez a funkció olyan okos alapértelmezett beállításokkal van konfigurálva, amelyek elkerülik a problémákat, és a Microsoft idővel frissítheti szabályait. Az itt leírt lehetőségek elsősorban arra szolgálnak, hogy segítsenek a rendszergazdáknak kidolgozni a szoftverekre vonatkozó szabályokat és azokat egy vállalati hálózaton kiépíteni.

Ha ki szeretné állítani a kizsákmányolás elleni védelmet, menjen a Windows Defender Biztonsági Központja> Alkalmazás és böngésző vezérlése felé, görgessen lefelé, és kattintson a "Védelem védelem beállításai" lehetőségre a Védelem védelme alatt.

Itt két füle látható: Rendszerbeállítások és Programbeállítások. A rendszerbeállítások vezérlik az összes alkalmazáshoz használt alapértelmezett beállításokat, míg a Programbeállítások a különböző programokhoz használt egyedi beállításokat vezérlik. Más szavakkal, a Program beállítások felülbírálhatják az egyes programok Rendszerbeállításait. Szigorúbbak vagy kevésbé korlátozó jellegűek lehetnek.

A képernyő alján kattintson a "Beállítások exportálása" gombra a beállítások exportálásához.xml fájlként, amelyet importálhat más rendszereken. A Microsoft hivatalos dokumentációja további információt nyújt a szabályok és a csoportházirendek és a PowerShell használatával kapcsolatban.

A Rendszerbeállítások lapon a következő lehetőségek közül választhat: Control flow guard (CFG), Data Execution Prevention (DEP), Force randomization for images (Kötelező ASLR), Véletlenszerű memóriaelosztások (Bottom-up ASLR) (SEHOP), és Valósítsa meg a kupac integritását. Ezek mind alapértelmezésben bekapcsolódnak, kivéve a Véletlen besorolás képeket (kötelező ASLR) opciót. Ez valószínűleg azért van, mert a Kötelező ASLR bizonyos programokkal problémákat okoz, ezért kompatibilitási problémákat okozhat, ha engedélyezi azt, attól függően, hogy mely programok futnak.

Ismét ne érintsd meg ezeket a lehetőségeket, hacsak nem tudod, mit csinálsz. Az alapértelmezések értelmesek és okokból választottak.

A kezelőfelület nagyon rövid összefoglalást nyújt arról, hogy mit csinál minden egyes lehetőség, de meg kell tanulnia, ha többet szeretne tudni. Korábban elmondtuk, hogy a DEP és az ASLR hogyan működik itt.

Kattintson a "Programbeállítások" fülre, és megjelenik a különböző programok listája egyedi beállításokkal. Az itt leírt lehetőségek lehetővé teszik az általános rendszerbeállítások felülbírálását. Ha például a "iexplore.exe" elemet választja a listában, és kattintson a "Szerkesztés" gombra, akkor látni fogod, hogy a szabály itt erőteljesen engedélyezi az Internet Explorer-folyamat Kötelező ASLR-et, annak ellenére, hogy az alapértelmezés szerint nem engedélyezett az egész rendszeren.

Ezeket a beépített szabályokat nem szabad manipulálni olyan folyamatokhoz, mint a runtimebroker.exe és a spoolsv.exe. A Microsoft valamilyen okból hozzáadta őket.

Az egyedi programokhoz egyedi szabályokat is hozzáadhat, ha a "Program hozzáadása testre szabása" elemre kattint. A "Programnév hozzáadásával" vagy a "Pontos fájl elérési útjának kiválasztása" lehet, de pontosabb fájlút pontos meghatározása sokkal pontosabb.

A hozzáadást követően megtalálja a beállítások hosszú listáját, amelyek nem fognak értelmezni a legtöbb ember számára. A rendelkezésre álló beállítások teljes listája az alábbi: Kedves kódőr (ACG), Az alacsony integritású képek blokkolása, Távoli képek blokkolása, Nem megbízható betűk blokkolása, Kód integritásának védelme, Control flow guard (CFG), Data Execution Prevention (DEP), Letiltja a Win32k rendszerhívásokat, nem engedélyezi a gyermekprocesszéseket, az exportálási cím szűrést (EAF), az erő kényszerítettségét a képekhez (kötelező ASLR), importálja a címszűrést (IAF), randomizálja a memóriaelosztásokat (Bottom-up ASLR), szimulálja a végrehajtást (SimExec), Érvényesítheti az API-hívást (CallerCheck), kiválaszthatja a kivételláncokat (SEHOP), ellenőrizheti a fogantyú használatát, megbecsülheti a hal sértetlenségét, ellenőrizheti a képfüggőség integritását és érvényesítheti a köteg integritását (StackPivot).

Ismét ne érintsd meg ezeket a beállításokat, hacsak nem egy rendszergazda, aki be akarja zárni egy alkalmazást, és tényleg tudja, mit csinál.

Vizsgálatként engedélyeztük az iexplore.exe összes lehetőségét, és megpróbáltuk elindítani. Az Internet Explorer csak hibaüzenetet mutatott, és nem volt hajlandó elindítani. Nem láttunk még egy Windows Defender értesítést arról, hogy az Internet Explorer a beállításaink miatt nem működött.

Ne csak vakon kísérelje korlátozni az alkalmazásokat, vagy hasonló problémákat okozhat a rendszerben. Nehéz lesz hibakeresni, ha nem emlékszik rá, hogy megváltoztatta az opciókat is.