Kā darbojas Windows Defender jaunās operētājsistēmas aizsardzība (un tā konfigurēšana)

2024 Autors: Geoffrey Carr | [email protected]. Pēdējoreiz modificēts: 2024-01-12 05:26

Microsoft Fall Creators Update beidzot pievieno integrētu ekspluatācijas aizsardzību Windows. Jums iepriekš bija jāmeklē šis risinājums, izmantojot Microsoft EMET rīku. Tagad tā ir daļa no Windows Defender un pēc noklusējuma ir aktivizēta.

Kā darbojas Windows Defender operētājsistēmas aizsardzība

Mēs esam ilgi ieteicams izmantot pretvīrusu programmatūru, piemēram, Microsoft uzlabotās mazināšanas pieredzes rīku komplektu (EMET) vai lietotājam draudzīgu Malwarebytes Anti-Malware programmatūru, kurā ir ietverta jaudīga anti-malware (cita starpā). Microsoft EMET tiek plaši izmantots lielākos tīklos, kur to var konfigurēt sistēmas administratori, bet tas nekad nav instalēts pēc noklusējuma, tam ir nepieciešama konfigurācija un vidējiem lietotājiem ir neskaidrs interfeiss.

Tipiskās pretvīrusu programmas, piemēram, Windows Defender, izmanto vīrusu definīcijas un heurismu, lai nozvejotu bīstamas programmas, pirms tās var darboties jūsu sistēmā. Anti-exploit instrumenti faktiski novērš daudzas tautas uzbrukuma metodes no darbības vispār, tāpēc šīs bīstamās programmas nav nokļūst jūsu sistēmā, pirmkārt. Tie nodrošina noteiktu operētājsistēmas aizsardzību un bloķē kopējas atmiņas izmantošanas paņēmienus, tādēļ, ja tiek konstatēts, ka tiek izmantota līdzīga uzvedība, viņi izbeigs procesu, pirms kaut kas notiks slikti. Citiem vārdiem sakot, viņi var aizsargāt pret daudziem nulles dienas uzbrukumiem, pirms tie tiek ielīmēti.

Tomēr tie varētu radīt saderības problēmas, un dažādiem programmām to iestatījumus, iespējams, vajadzētu pielāgot. Tāpēc EMET kopumā tika izmantots uzņēmumu tīklos, kur sistēmas administratori var noregulēt iestatījumus, nevis mājas datorus.

Windows Defender tagad ietver daudzas no tām pašām aizsardzības sistēmām, kuras sākotnēji tika atrastas Microsoft EMET. Pēc noklusējuma tie ir iespējoti ikvienam un ir daļa no operētājsistēmas. Windows Defender automātiski konfigurē atbilstošus noteikumus dažādiem procesiem, kas darbojas jūsu sistēmā. (Malwarebytes joprojām apgalvo, ka to pretkustinošais līdzeklis ir labāks, un mēs joprojām iesakām izmantot Malwarebytes, taču ir labi, ka arī Windows Defender ir daļa no šīm iebūvētajām funkcijām.)

Šī funkcija tiek automātiski iespējota, ja esat jauninājis Windows 10 Fall Creators Update, un EMET vairs netiek atbalstīts. EMET pat nevar instalēt datoros, kuros darbojas Fall Creators Update. Ja jums jau ir instalēta EMET, tā tiks noņemta ar atjauninājumu.

Windows 10 Fall Creator Update arī ietver saistīto drošības līdzekli ar nosaukumu Controlled Folder Access. Tā ir paredzēta, lai apturētu ļaunprātīgu programmatūru, ļaujot uzticamām programmām pārveidot failus savās personas datu mapēs, piemēram, Dokumenti un attēli. Abas funkcijas ir daļa no "Windows Defender Exploit Guard". Tomēr pēc noklusējuma nav iespējota kontrolēto mapju piekļuve.

Kā apstiprināt ekspluatācijas aizsardzību ir iespējota

Šī funkcija tiek automātiski iespējota visiem Windows 10 datoriem. Tomēr to var arī pārslēgt uz "audita režīmu", ļaujot sistēmas administratoriem pārraudzīt žurnālu par to, ko izmantojusi aizsardzība, lai apstiprinātu, ka tā neradīs nekādas problēmas, pirms to padarīt pieejamu kritiskajiem datoriem.

Lai apstiprinātu, ka šī funkcija ir iespējota, varat atvērt Windows Defender drošības centru. Atveriet izvēlni Sākt, atrodiet Windows Defender un noklikšķiniet uz Windows Defender drošības centra saīsnes.

Sānjoslā noklikšķiniet uz loga formas ikonas "Lietotnes un pārlūkprogrammas vadība". Ritiniet uz leju, un jūs redzēsiet sadaļu "Izmantot aizsardzību". Tā jūs informēs, ka šī funkcija ir iespējota.

Ja šī sadaļa nav redzama, iespējams, ka jūsu dators vēl nav atjauninājis Fall Creators Update.

Kā konfigurēt Windows Defender ekspluatācijas aizsardzību

Brīdinājums: Jūs, iespējams, nevēlaties konfigurēt šo funkciju. Windows Defender piedāvā daudzas tehniskās iespējas, kuras varat pielāgot, un lielākā daļa cilvēku nezina, ko viņi šeit dara. Šī funkcija ir konfigurēta ar gudiem noklusējuma iestatījumiem, kas izvairīsies no problēmām, un Microsoft laika gaitā var atjaunināt savus noteikumus. Iespējas, šķiet, vispirms ir domātas, lai palīdzētu sistēmas administratoriem izstrādāt programmatūras noteikumus un nodalīt tos uzņēmuma tīklā.

Ja vēlaties konfigurēt exploilat aizsardzību, dodieties uz Windows Defender drošības centru> Lietotņu un pārlūkprogrammas vadība, ritiniet uz leju un noklikšķiniet uz Izslēgt aizsardzības iestatījumus sadaļā Ekspluatācijas aizsardzība.

Šeit redzamas divas cilnes: Sistēmas iestatījumi un Programmas iestatījumi. Sistēmas iestatījumi kontrolē noklusējuma iestatījumus, kas tiek izmantoti visām lietojumprogrammām, bet Programmas iestatījumi kontrolē atsevišķus iestatījumus, kas tiek izmantoti dažādām programmām. Citiem vārdiem sakot, programmas iestatījumi var ignorēt atsevišķu programmu sistēmas iestatījumus. Tie varētu būt stingrāki vai mazāk ierobežojoši.

Ekrāna apakšdaļā varat noklikšķināt uz "Eksportēt iestatījumus", lai eksportētu savus iestatījumus kā.xml failu, kuru varat importēt citās sistēmās. Microsoft oficiālā dokumentācija piedāvā vairāk informācijas par noteikumu ieviešanu, izmantojot grupas politiku un PowerShell.

Cilnē Sistēmas iestatījumi būs redzamas šādas opcijas: Kontroles plūsmas aizsargs (CFG), datu izpildes novēršana (DEP), spēka nejaušās izvēles attēli (obligāti ASLR), atkārtota atmiņas piešķiršana (Apakšējais ASLR), apstiprināt izņēmumu ķēdes (SEHOP) un pārbaudiet kaudzes integritāti. Viņi visi ir pēc noklusējuma, izņemot Force randomization for images (obligātā ASLR) opciju. Tas varētu notikt tāpēc, ka obligāta ASLR rada problēmas ar dažām programmām, tāpēc, ja to aktivizējat, var rasties saderības problēmas atkarībā no jūsu darbinātajām programmām.

Atkal, jums patiešām nevajadzētu pieskarties šīm opcijām, ja vien jūs nezināt, ko jūs darāt. Noklusējumi ir saprātīgi un tiek izvēlēti kāda iemesla dēļ.

Saskarne sniedz ļoti īsu kopsavilkumu par to, ko katra opcija dara, bet jums būs jāveic kāds pētījums, ja vēlaties uzzināt vairāk. Mēs iepriekš esam paskaidrojuši, ko DEP un ASLR veic šeit.

Noklikšķiniet uz cilnes "Programmas iestatījumi" un jūs redzēsiet dažādu programmu sarakstu ar pielāgotiem iestatījumiem. Šeit opcijas ļauj atcelt vispārējos sistēmas iestatījumus. Piemēram, ja sarakstā atlasāt "iexplore.exe" un noklikšķiniet uz "Rediģēt", jūs redzēsiet, ka šis noteikums stingri padara Internet Explorer procesam obligātu ASLR, lai gan tas nav iespējots pēc noklusējuma visā sistēmā.

Jums nevajadzētu ietekmēt šos iebūvētos noteikumus tādiem procesiem kā runtimebroker.exe un spoolsv.exe. Microsoft tos pievienoja iemeslu dēļ.

Jūs varat pievienot pielāgotus noteikumus atsevišķām programmām, noklikšķinot uz "Pievienot programmu, lai pielāgotu". Jūs varat vai nu "Pievienot pēc programmas nosaukuma" vai "Izvēlēties precīzu faila ceļu", bet precīzi norādot precīzu faila ceļu.

Pievienojot, jūs varat atrast garu sarakstu ar iestatījumiem, kas vairumam cilvēku nebūs jēgas. Pilns šeit pieejamo iestatījumu saraksts ir: patvaļīga koda aizsargs (ACG), bloķēt mazu integritātes attēlus, bloķēt attālos attēlus, bloķēt neuzticamus fontus, koda integritātes aizsargu, kontrolēt plūsmas aizsargu (CFG), datu izpildes novēršanu (DEP), atspējot pagarinājuma punktus, Disable Win32k sistēmas zvani, Neļaujiet bērnus apstrādāt failus, Eksportēt adrešu filtrēšanu (EAF), Force randomizēt attēlus (obligāti ASLR), Importēt adrešu filtrēšanu (IAF), Randomize atmiņas sadali (Bottom-up ASLR), Simulēt izpildi (SimExec), Apstiprināt API izsaukšanu (CallerCheck), Apstiprināt izņēmumu ķēdes (SEHOP), Pārbaudīt lietojuma pārvaldību, Apstiprināt kaudzes integritāti, Pārbaudīt attēla atkarību integritāti un Pārbaudīt kaudzes integritāti (StackPivot).

Atkal, jums nevajadzētu pieskarties šīm opcijām, ja vien neesat sistēmas administrators, kurš vēlas bloķēt pieteikumu un jūs patiešām zināt, ko jūs darāt.

Kā testu mēs aktivizējām visas iexplore.exe iespējas un mēģinājām to palaist. Internet Explorer parādīja kļūdas ziņojumu un atteicās to palaist. Mēs pat neredzējām Windows Defender paziņojumu, kurā paskaidrots, ka mūsu iestatījumi neizraisa Internet Explorer darbību.

Ne tikai akli mēģiniet ierobežot lietojumprogrammas vai radīt līdzīgas problēmas jūsu sistēmā. Viņiem būs grūti novērst problēmas, ja neesat atceries, ka arī jūs mainījāt opcijas.