Mi a "blokkolja a gyanús viselkedéseket"?
Ez a funkció meglehetősen homályos névvel rendelkezik. A Microsoft dokumentációja azonban világossá teszi, hogy a "Blokkolásos támadások blokkolása" csak egy barátságos név a "Windows Defender Exploit Guard támadási felületi felszabadítási technológiának". Ez a biztonsági szolgáltatás bevezetése a Fall Creators frissítésben történt, de csak a Windows 10 Enterprise rendszerben érhető el. A 2018. októberi frissítésben mindenki számára elérhető a Windows Biztonság egyik opcióján keresztül.
A funkció engedélyezésekor a Windows 10 számos biztonsági szabályt aktivál. Ezek a szabályok letiltják azokat a funkciókat, amelyeket általában csak a rosszindulatú programok használnak, és segítik a számítógépet a támadás megvédésében.
Íme néhány támadófelület-csökkentési szabály:
- A végrehajtható tartalmak blokkolása az e-mail kliensből és a webmail-ből
- Az Office alkalmazások blokkolása gyermekprocesszorok létrehozásához
- Blokkolja az Office alkalmazásokat a végrehajtható tartalmak létrehozásáról
- Blokkolja az Office alkalmazásokat a kód beillesztésébe más folyamatokba
- A JavaScript vagy a VBScript letiltása a letöltött futtatható tartalom indításától
- Blokkolt forgatókönyvek blokkolása
- Blokkolja a Win32 API hívásokat az Office makrójából
- A Windows helyi biztonsági hatóság alrendszerének letiltása (lsass.exe)
- Blokkolja a PSExec és WMI parancsokból származó folyamatok létrehozását
- Az USB-ből futtathatatlan és alá nem írt folyamatok blokkolása
- Az Office kommunikációs alkalmazások blokkolása a gyermekfolyamatok létrehozásáért
Ezek olyan gyanús műveletek, amelyeket a rosszindulatú alkalmazások használhatnak. Ezek a szabályok például letiltják az e-mailben érkező végrehajtható fájlokat, megakadályozzák az Office alkalmazások konkrét dolgokat, és megakadályozzák a veszélyes makró viselkedéseket. Ezekkel a szabályokkal engedélyezve van, hogy a Windows megvédi a hitelesítő adatokat a lopástól, megállítja a gyanús megjelenésű végrehajtható fájlokat az USB meghajtók futásától, és nem hajlandó olyan szkripteket futtatni, amelyek álcázottnak tűnnek a víruskereső szoftverek elérése érdekében.
A Microsoft támogatási webhelyén található támadási felületcsökkentési szabályok teljes listáját megtalálja. A szervezetek testreszabhatják, hogy mely szabályokat használják csoportpolitikán keresztül, de az átlagos fogyasztói számítógépek egy egyforma méretű szabályokat kapnak. Nem világos, hogy mely szabályokat használják, amikor engedélyezi ezt a lehetőséget a Windows biztonságban.
Ez a Windows Defender Exploit Guard része
A támadási felület csökkentése része a Windows Defender Exploit Guardnek, amely magában foglalja az Exploit Protection, a Network Protection és a Controlled Folder Access.
Ez fontos tisztázni - "Blokkolja a gyanús viselkedéseket" nem ugyanaz a tulajdonsága, mint az Exploit Protection, amely védi a számítógépet a különböző közös exploit technikák ellen. Például az Exploit Protection védelmet nyújt a zéró napi támadások által használt közös memória-kihasználási technikákkal szemben, és megszünteti azokat a folyamatokat, amelyek ezeket használják. Az Exploit Protection (védelem kihasználása), mint a Microsoft Enhanced Mitigation Experience Toolkit (EMET) szoftver. A támadás felszíni csökkentése a potenciálisan veszélyes funkciókat magasabb szinten kikapcsolja.
Az Exploit Protection (Védelem kihasználása) alapértelmezés szerint engedélyezve van, és a Windows biztonsági alkalmazás más helyéről is módosíthatja. A támadásfelszíni csökkentés vagy a "Blokkolásos üzemzavarok blokkolása" funkció alapértelmezés szerint nincs engedélyezve.
Hogyan engedélyezhető a "Sikeres viselkedés blokkolása"
Ezt a funkciót engedélyezheti a Windows Security alkalmazásból - korábban Windows Defender Security Center néven.
A kereséshez ugorjon a Beállítások> Frissítés és biztonság> Biztonság> Biztonsági fájlok megnyitása vagy a "Windows biztonság" parancsikon elindítása a Start menüből.
