Mitä "estää epäilyttävät käyttäytymiset"?
Tämä ominaisuus on melko epämääräinen. Microsoftin dokumentaatiossa kuitenkin selvennetään, että "Block Suspicious Behaviors" on vain ystävällinen nimi "Windows Defender Exploit Guardin hyökkäyspinnan vähentämistekniikalle". Tämä suojausominaisuus otettiin käyttöön Fall Creators -päivityksessä, mutta se oli käytettävissä vain Windows 10 Enterpriseissa. Lokakuun 2018 päivityksessä se on nyt kaikkien saatavilla Windows Securityn lisäominaisuuden kautta.
Kun otat tämän ominaisuuden käyttöön, Windows 10 aktivoi useita tietoturvasääntöjä. Nämä säännöt poistavat toiminnot, joita tavallisesti vain haittaohjelmat käyttävät ja jotka suojaavat tietokonetta hyökkäyksiltä.
Seuraavassa on joitain hyökkäyspinnan vähentämissääntöjä:
- Estä ohjattu sisältö sähköpostiohjelmasta ja webmailista
- Block Office -sovellukset muodostavat lapsiprosesseja
- Block Office -sovellukset muodostavat suoritettavan sisällön
- Block Office -sovelluksia injektoimalla koodi muihin prosesseihin
- Estä JavaScript tai VBScript käynnistämästä suoritettavaa sisältöä
- Mahdollisesti epämuodostettujen skriptien estäminen
- Block Win32 API -puhelut Office-makroista
- Estää Windowsin paikallisen turvallisuusviranomaisen osajärjestelmän varastamista (lsass.exe)
- Käytä PSExec- ja WMI-komentoja
- Estä luottamattomat ja allekirjoittamattomat prosessit, jotka suoritetaan USB: stä
- Block Office -viestintäsovelluksia lapsiprosessien luomisesta
Nämä ovat epäilyttäviä toimia, joita haittaohjelmat voivat käyttää. Nämä säännöt esimerkiksi estävät sähköpostin kautta saapuvat suoritustiedostot, estävät Office-sovelluksia tekemästä tiettyjä asioita ja estävät vaaralliset makrot käyttäytymiset. Näiden sääntöjen avulla Windows suojaa tunnistetietoja varkauksilta, estää epäilyttävät suoritettavat tiedostot USB-asemilta käyttämästä ja kieltäytyy käyttämästä skriptejä, jotka näyttävät naamioilta virustentorjuntaohjelmistoihin pääsemiseksi.
Löydät täydellisen luettelon hyökkäyspinnan vähentämissääntöistä Microsoftin tukisivustosta. Järjestöt voivat muokata, mitä sääntöjä käytetään ryhmäkäytännön avulla, mutta keskimääräiset kuluttaja-asiakkaat saavat yhden kokoiset säännöt. On epäselvää, mitä sääntöjä käytetään, kun otat tämän vaihtoehdon käyttöön Windowsin suojauksessa.
Tämä on osa Windows Defender Exploit Guardia
Attack Surface Reduction on osa Windows Defender Exploit Guardia, joka sisältää myös Exploit Protection, Network Protection ja Controlled Folder Access.
Tämä on tärkeää selvittää - "Estä epäilyttävät käyttäytymiset" ei ole sama ominaisuus kuin Exploit Protection, joka suojaa tietokonetta vastaan useista tavanomaisista hyödyntämismenetelmistä. Esimerkiksi Exploit Protection suojaa nollapäivän hyökkäyksiä käyttäviä yleisiä muistia hyödyntäviä tekniikoita ja lopettaa minkä tahansa prosessin, joka käyttää niitä. Exploit Protection toimii kuten Microsoftin Enhanced Mitigation Experience Toolkit (EMET) -ohjelmisto. Hyökkäyspinnan vähentäminen estää mahdollisesti vaarallisia ominaisuuksia korkeammalla tasolla.
Exploit Protection on otettu käyttöön oletuksena, ja voit muokata sitä muualta Windows Security -sovelluksessa. Hyökkäyspinnan pienennys tai "Estä epäilyttävät käyttäytymiset" ei ole käytössä vielä oletuksena.
Kuinka sallia "Estä epäilyttävät käyttäytymiset"
Voit ottaa tämän ominaisuuden käyttöön Windows Security -sovelluksesta - aiemmin nimeltään Windows Defender Security Center.
Etsi se valitsemalla Asetukset> Päivitys ja suojaus> Windowsin suojaus> Avaa Windowsin suojaus tai avaa Windowsin suojaus-pikakuvake Käynnistä-valikosta.
