Miten Windows Defenderin uusi hyökkäyssuojaus toimii (ja miten se konfiguroidaan)

2024 Kirjoittaja: Geoffrey Carr | [email protected]. Viimeksi muokattu: 2024-01-12 05:20

Microsoftin Fall Creators -päivitys lisää lopulta integroidun suojauksen suojauksen Windowsille. Sinun oli aikaisemmin etsittävä tätä Microsoftin EMET-työkalun muodossa. Se on nyt osa Windows Defenderä ja se on käytössä oletuksena.

Miten Windows Defenderin hyökkäyssuoja toimii

Olemme pitkään suositelleet hyödyntämään anti-exploit -ohjelmistoa, kuten Microsoftin Enhanced Mitigation Experience Toolkit -ohjelmistoa (EMET) tai helppokäyttöisempiä Malwarebytes Anti-Malware -ohjelmistoa, joka sisältää muun muassa tehokkaan häiriötekijän. Microsoftin EMET-järjestelmää käytetään laajalti suurissa verkoissa, joissa järjestelmänvalvojat voivat määrittää sen, mutta sitä ei koskaan asennettu oletusarvoisesti. Se vaatii konfigurointia ja sillä on sekava käyttöliittymä keskimääräisille käyttäjille.

Tyypillisiä virustentorjuntaohjelmia, kuten Windows Defender itse, käyttävät virusmääritelmiä ja heuristiikkaa uhkaamaan vaarallisia ohjelmia ennen kuin ne voivat toimia järjestelmässäsi. Anti-exploit-työkalut estävät usein monet suosittujen hyökkäystekniikoiden toimimasta lainkaan, joten vaaralliset ohjelmat eivät pääse järjestelmäänsi ensi sijassa. Ne mahdollistavat tietyt käyttöjärjestelmien suojaukset ja estävät yhteisten muistien hyödyntämismenetelmien, joten jos tunnistetaan hyökkäyskäyttäytymistä, he lopettavat prosessin ennen kuin mitään huonoa tapahtuu. Toisin sanoen, he voivat suojata monia nollakohtaisia hyökkäyksiä vastaan ennen kuin heidät on patched.

Ne saattavat kuitenkin aiheuttaa yhteensopivuusongelmia, ja niiden asetuksia on ehkä muokattava eri ohjelmille. Siksi EMETä käytettiin yleensä yritysverkoissa, jolloin järjestelmänvalvojat voisivat säätää asetuksia eikä kotikoneita.

Nyt Windows Defender sisältää monia samoja suojauksia, jotka löytyivät alun perin Microsoftin EMET-järjestelmästä. Ne ovat oletusarvoisesti käytössä kaikille, ja ne ovat osa käyttöjärjestelmää. Windows Defender määrittää automaattisesti järjestelmän eri prosesseille sopivat säännöt. (Malwarebytes väittää edelleen, että niiden anti-exploit-ominaisuus on erinomainen, ja suosittelemme edelleen Malwarebytesin käyttämistä, mutta on hyvä, että Windows Defenderillä on jo osa tästä sisäänrakennetusta.)

Tämä ominaisuus otetaan automaattisesti käyttöön, jos olet päivittänyt Windows 10: n Fall Creators -päivityksen ja EMETia ei enää tueta. Emetia ei voi edes asentaa Fall Creators -päivitystä käyttäville tietokoneille. Jos sinulla on jo EMET-ohjelmisto, se poistetaan päivityksestä.

Windows 10: n Fall Creators -päivitys sisältää myös tietoturvaominaisuuden nimeltä Controlled Folder Access. Se on suunniteltu pysäyttämään haittaohjelmat vain sallimalla luotettavien ohjelmien muokkaamasta tiedostoja henkilötietokansioissa, kuten Dokumentit ja kuvat. Molemmat ominaisuudet ovat osa "Windows Defender Exploit Guard" -ohjelmaa. Ohjattu kansio -toiminto ei ole kuitenkaan käytössä oletuksena.

Vahvista Exploit Protection on käytössä

Tämä ominaisuus on käytössä automaattisesti kaikissa Windows 10 -tietokoneissa. Kuitenkin se voidaan vaihtaa myös tilintarkastustilaan, jonka avulla järjestelmänvalvojat voivat seurata kirjaa siitä, mitä Exploit Protection -ohjelma olisi tehnyt varmistaakseen, ettei se aiheuta ongelmia ennen kuin se voidaan ottaa käyttöön kriittisille tietokoneille.

Vahvistaaksesi, että tämä ominaisuus on käytössä, voit avata Windows Defender Security Centerin. Avaa Käynnistä-valikko, etsi Windows Defender ja napsauta Windows Defender Security Center -pikakuvaketta.

Napsauta sivupalkissa ikkunan muotoista "App & browser control" -kuvaketta. Vieritä alaspäin ja näet "Hyödyntää suojaus" -osiota. Se ilmoittaa, että tämä ominaisuus on käytössä.

Jos et näe tätä osaa, tietokoneesi ei todennäköisesti ole päivittänyt Fall Creators -päivitystä vielä.

Windows Defenderin hyökkäyssuojauksen määrittäminen

Varoitus: Et todennäköisesti halua määrittää tätä toimintoa. Windows Defender tarjoaa monia teknisiä vaihtoehtoja, joita voit säätää, ja useimmat ihmiset eivät tiedä, mitä he tekevät täällä. Tämä ominaisuus on määritetty älykkäillä oletusasetuksilla, jotka eivät aiheuta ongelmia, ja Microsoft voi päivittää säännöt ajan mittaan. Tässä esitetyt vaihtoehdot vaikuttavat ensisijaisesti auttamaan järjestelmänvalvojia kehittämään sääntöjä ohjelmistolle ja siirtämään ne yrityksen verkkoon.

Jos haluat määrittää Exploit Protection -ohjelman, mene Windows Defenderin tietoturvakeskukseen> Sovellus ja selaimen hallinta, selaa alaspäin ja napsauta "Hyödyntää suojausasetuksia" kohdassa Exploit-suojaus.

Näet kaksi välilehteä: Järjestelmäasetukset ja Ohjelman asetukset. Järjestelmäasetukset ohjaavat kaikkien sovellusten oletusasetuksia, kun taas Ohjelman asetukset ohjaavat eri ohjelmien eri asetuksia. Toisin sanoen ohjelman asetukset voivat ohittaa yksittäisten ohjelmien Järjestelmäasetukset. Ne voivat olla rajoittavampia tai vähemmän rajoittavia.

Näytön alareunassa voit klikata "Vieasetukset", jos haluat viedä asetuksesi.xml-tiedostoksi, jota voit tuoda muille järjestelmille. Microsoftin virallinen dokumentaatio tarjoaa lisätietoja sääntöjen käyttöönottamisesta ryhmäkäytäntöjä ja PowerShell-järjestelmää käyttäen.

Järjestelmäasetukset-välilehdellä näet seuraavat vaihtoehdot: Ohjausvirran suojaus (CFG), Data Execution Prevention (DEP), Force satunnaistaminen kuville (Pakollinen ASLR), Muistin allokoinnit (Bottom-up ASLR) (SEHOP), ja vahvista kasa eheys. Ne ovat kaikki oletusarvoisesti lukuun ottamatta Force satunnaistamista kuville (Pakollinen ASLR) -vaihtoehto. Tämä johtuu todennäköisesti siitä, että pakollinen ASLR aiheuttaa ongelmia joidenkin ohjelmien kanssa, joten voit joutua yhteensopivuusongelmiin, jos otat sen käyttöön suoritettavista ohjelmista riippuen.

Jälleen, sinun ei todellakaan pitäisi koskettaa näitä vaihtoehtoja, ellet tiedä, mitä teet. Oletusarvot ovat järkeviä ja valitaan syystä.

Käyttöliittymä tarjoaa erittäin lyhyen yhteenvedon siitä, mitä kukin vaihtoehto tekee, mutta sinun on tehtävä jotain tutkimusta, jos haluat tietää enemmän. Olemme aiemmin selittäneet, mitä DEP ja ASLR tekevät täällä.

Napsauta "Ohjelman asetukset" -välilehteä ja näet luettelon eri ohjelmista, joissa on omat asetukset. Tässä annetut vaihtoehdot sallivat yleisten järjestelmäasetusten ohittamisen. Jos valitset esimerkiksi luettelon "iexplore.exe" ja klikkaa "Muokkaa", näet, että sääntö täällä antaa pakollisen ASLR: n käyttöön Internet Explorer -prosessille, vaikka se ei ole oletusarvoisesti järjestelmän koko.

Et saa peukaloida näitä sisäänrakennettuja sääntöjä prosesseille, kuten runtimebroker.exe ja spoolsv.exe. Microsoft lisäsi ne syystä.

Voit lisätä mukautettuja sääntöjä yksittäisille ohjelmille klikkaamalla Lisää ohjelma mukauttamiseen. Voit joko "Lisää ohjelman nimi" tai "Valitse tarkka tiedostopolku", mutta täsmällinen tiedostopolku on paljon tarkempi.

Kun olet lisännyt, löydät pitkän luettelon asetuksista, jotka eivät ole mielekkäitä useimmille ihmisille. Täydellinen luettelo käytettävissä olevista asetuksista on: Hyväksyttävän koodin suojaus (ACG), Estä suppeat eheyskuvat, Estä kauko-kuvia, Estä luottamuksellisia fontteja, Koodin eheyssuoja, CFG-suojaus, Data Execution Prevention (DEP), Poista Win32k-järjestelmäpuhelut, älä anna lasten prosesseja, Vie osoite suodatus (EAF), Force satunnaistetaan kuvia (Pakollinen ASLR), Tuo osoite suodatus (IAF), Satunnaistaa muistin allokoinnit (Bottom-up ASLR), Simuloida toteutus (SimExec), Validate API-kutsut (CallerCheck), Validoi poikkeusketjut (SEHOP), Validoi kahvan käyttö, Tarkista kopioiden eheys, Vahvista kuvan riippuvuuden eheys ja Tarkista pinon eheys (StackPivot).

Jälleen, sinun ei tule koskettaa näitä vaihtoehtoja, ellet ole järjestelmänvalvoja, joka haluaa lukita sovelluksen ja tietää, mitä teet.

Testinä otimme käyttöön kaikki vaihtoehdot iexplore.exe: lle ja yritimme käynnistää sen. Internet Explorer osoitti virheilmoituksen ja kieltäytyi käynnistymästä. Emme edes nähneet Windows Defender -ilmoitusta, joka selitti, että Internet Explorer ei toiminut asetuksiemme vuoksi.

Älä vain sokeasti yritä rajoittaa sovelluksia tai aiheuttaa samankaltaisia ongelmia järjestelmässäsi. Heidän on vaikea vianmääritys, jos et muista, että muutit vaihtoehtoja.