Начална » как да » Как работи новата защита на Windows Defender (и как да я конфигурирате)

    Как работи новата защита на Windows Defender (и как да я конфигурирате)

    Актуализацията на Fall Creators на Microsoft в крайна сметка добавя интегрирана защита за Windows. Преди това трябваше да търсим това под формата на инструмента EMET на Microsoft. Вече е част от Windows Defender и се активира по подразбиране.

    Как работи защитника на Windows

    Ние отдавна препоръчваме използването на анти-експлоатиращ софтуер, като Microsoft Enhanced Mitigation Experience Toolkit (EMET) или по-лесен за употреба Malwarebytes Anti-Malware, който съдържа мощна анти-експлоатационна функция (наред с други неща). EMET на Microsoft се използва широко в по-големи мрежи, където може да се конфигурира от системни администратори, но никога не е инсталиран по подразбиране, изисква конфигурация и има объркващ интерфейс за средните потребители..

    Типичните антивирусни програми, като самия Windows Defender, използват дефиниции на вируси и евристики за улавяне на опасни програми, преди да могат да работят на вашата система. Анти-експлоатационните инструменти всъщност предотвратяват функционирането на много популярни техники за атака, така че тези опасни програми не влизат във вашата система на първо място. Те позволяват определени защити на операционната система и блокират техники за използване на обща памет, така че ако се открие поведение, подобно на експлоатация, те ще прекратят процеса, преди да се случи нещо лошо. С други думи, те могат да предпазят от много атаки с нулев ден, преди да бъдат поправени.

    Въпреки това, те биха могли да предизвикат проблеми с съвместимостта и техните настройки може да се наложат за различни програми. Ето защо EMET обикновено се използва в корпоративни мрежи, където системните администратори могат да настройват настройките, а не на домашните компютри.

    Windows Defender вече включва много от тези защити, които първоначално бяха открити в EMET на Microsoft. Те са активирани по подразбиране за всички и са част от операционната система. Windows Defender автоматично конфигурира подходящи правила за различни процеси, изпълнявани на вашата система. (Malwarebytes все още твърди, че тяхната анти-експлоатационна функция е по-добра, и ние все още препоръчваме използването на Malwarebytes, но е добре, че Windows Defender също има някои от тези вградени).

    Тази функция се активира автоматично, ако сте надстроили до актуализацията на Fall Creators на Windows 10 и EMET вече не се поддържа. EMET дори не може да бъде инсталиран на персонални компютри, изпълняващи актуализацията на Fall Creators. Ако вече имате инсталиран EMET, той ще бъде премахнат от актуализацията.

    Актуализацията на Fall Creators на Windows 10 включва и свързана със защитата функция, наречена Controlled Folder Access. Тя е предназначена за спиране на зловреден софтуер, като позволява на доверени програми само да променят файловете в папките с лични данни, като Документи и Картини. И двете функции са част от “Windows Defender Exploit Guard”. Достъпът с контролирана папка обаче не е активиран по подразбиране.

    Как се потвърждава защитата от експлоатация е активирана

    Тази функция се активира автоматично за всички компютри с Windows 10. Въпреки това, той може да бъде включен и в „Режим на одит“, което позволява на системните администратори да следят регистъра на това какво би направила защитата на Exploit, за да потвърди, че няма да създаде проблеми, преди да я активира на критични компютри..

    За да потвърдите, че тази функция е активирана, можете да отворите центъра за защита на Windows защитника. Отворете менюто "Старт", потърсете Windows Defender и щракнете върху прекия път на Центъра за защита на Windows Defender.

    Кликнете върху иконата „Управление и контрол на браузъра“ в прозореца в страничната лента. Превъртете надолу и ще видите раздела „Защита от експлоатация“. Той ще ви информира, че тази функция е активирана.

    Ако не виждате този раздел, вашият компютър вероятно не е актуализиран до актуализацията на Fall Creators.

    Как да конфигурирате защитата на Windows Defender

    Внимание: Вероятно не искате да конфигурирате тази функция. Windows Defender предлага много технически опции, които можете да настроите и повечето хора не знаят какво правят тук. Тази функция е конфигурирана с интелигентни настройки по подразбиране, които ще предотвратят проблеми и Microsoft може да актуализира правилата си с течение на времето. Опциите тук са предназначени преди всичко да помогнат на системните администратори да разработят правила за софтуер и да ги превърнат в корпоративна мрежа.

    Ако искате да конфигурирате Exploit Protection, отворете Центъра за защита на Windows Defender> Контрол на приложението и браузъра, превъртете надолу и кликнете върху „Използване на защитните настройки“ под защитата от експлоатация.

    Тук ще видите два раздела: Системни настройки и Настройки на програмата. Системните настройки контролират настройките по подразбиране, използвани за всички приложения, докато настройките на програмата контролират индивидуалните настройки, използвани за различни програми. С други думи, настройките на програмата могат да отменят системните настройки за отделни програми. Те могат да бъдат по-рестриктивни или по-малко ограничителни.

    В долната част на екрана можете да кликнете върху „Експортиране на настройки“, за да експортирате вашите настройки като .xml файл, който можете да импортирате в други системи. Официалната документация на Microsoft предлага повече информация за разгръщането на правила с групови правила и PowerShell.

    В раздела Системни настройки ще видите следните опции: Контролен поток (CFG), Предотвратяване на изпълнението на данни (DEP), Принудително рандомизиране за изображения (Задължителен ASLR), Произволно разпределение на паметта (Отдолу нагоре ASLR), Валидиране на вериги за изключения (SEHOP) и потвърждаване на целостта на купчината. Те са включени по подразбиране, с изключение на опцията Force Randism for images (Задължително ASLR). Това вероятно се дължи на това, че задължителният ASLR причинява проблеми с някои програми, така че може да срещнете проблеми със съвместимостта, ако го разрешите, в зависимост от изпълняваните програми.

    Отново, наистина не трябва да докосвате тези опции, освен ако не знаете какво правите. По подразбиране са разумни и са избрани с причина.

    Интерфейсът предоставя много кратко резюме на това, което прави всеки вариант, но ще трябва да направите някои изследвания, ако искате да знаете повече. По-рано обяснихме какво правят DEP и ASLR тук.

    Кликнете върху раздела „Настройки на програмата“ и ще видите списък с различни програми с персонализирани настройки. Опциите тук позволяват общите настройки на системата да бъдат отменени. Например, ако изберете "iexplore.exe" в списъка и кликнете върху "Редактиране", ще видите, че правилото тук насилствено активира задължителния ASLR за процеса на Internet Explorer, въпреки че не е активиран по подразбиране за цялата система..

    Не трябва да се намесвате в тези вградени правила за процеси като runtimebroker.exe и spoolsv.exe. Microsoft ги добави с причина.

    Можете да добавите персонализирани правила за отделни програми, като кликнете върху „Добавяне на програма за персонализиране“. Можете да добавите "Име по програма" или "Избери точен път на файла", но задаването на точен път на файла е много по-прецизно.

    Веднъж добавен, можете да намерите дълъг списък с настройки, които няма да имат значение за повечето хора. Пълният списък на наличните настройки тук е: Защитен код за произволен код (ACG), Блокиране на изображения с нисък интегритет, Блокиране на отдалечени изображения, Блокиране на ненадеждни шрифтове, Защита на целостта на кода, Контрол на потока (CFG), Предотвратяване на изпълнението на данни (DEP), Изключване на точки за разширение , Деактивиране на Win32k системни повиквания, Не разрешава дъщерни процеси, Експортиране на филтриране на адреси (EAF), Принудително рандомизиране за изображения (Задължителен ASLR), Импортиране на филтриране на адреси (IAF), Произволно разпределение на паметта (отдолу нагоре ASLR), Симулиране на изпълнението (SimExec) , Проверка на извикването на API (CallerCheck), Потвърждаване на веригите за изключения (SEHOP), Използване на дръжката за проверка, Проверка на целостта на купчината, Потвърждаване на целостта на зависимостта от изображението и Проверка на целостта на стека (StackPivot).

    Отново, не трябва да докосвате тези опции, освен ако не сте системен администратор, който иска да заключи приложение и наистина знаете какво правите.

    Като тест, ние активирахме всички опции за iexplore.exe и се опитахме да го стартираме. Internet Explorer просто показа съобщение за грешка и отказа да стартира. Дори не видяхме известие на Windows Defender, което обяснява, че Internet Explorer не функционира поради настройките ни.

    Не се опитвайте сляпо да ограничавате приложенията, или ще предизвикате подобни проблеми в системата си. Те ще бъдат трудни за отстраняване на неизправности, ако не помните, че сте променили опциите.

    Ако все още използвате по-стара версия на Windows, като Windows 7, можете да получите функции за защита от експлоатация, като инсталирате Microsoft EMET или Malwarebytes. Поддръжката на EMET обаче ще спре на 31 юли 2018 г., след като Microsoft иска да насочи бизнеса към Windows 10 и Windows Defender..