כיצד Windows Defender של ניצול לרעה חדש עובד (וכיצד להגדיר את זה)
עדכוני סתיו של מיקרוסופט לירידה סוף סוף מוסיף הגנה משולבת לנצל את Windows. בעבר היית צריך לחפש את זה בצורה של כלי EMET של מיקרוסופט. עכשיו זה חלק מ- Windows Defender ומופעל כברירת מחדל.
כיצד להגן על Windows Defender הגנה
המלצנו זמן רב על שימוש בתוכנות אנטי-מנצלות כגון ערכת כלי החישה המשופרת של מיקרוסופט (EMET) או תוכנת Malwarebytes Anti-Malware הידידותית למשתמש, הכוללת תכונה חזקה נגד ניצול (בין היתר). ה- EMET של מיקרוסופט נמצא בשימוש נרחב ברשתות גדולות יותר, שבהן ניתן להגדיר אותן על-ידי מנהלי מערכת, אך הוא מעולם לא הותקן כברירת מחדל, דורש תצורה, ויש לו ממשק מבלבל עבור משתמשים ממוצעים.
תוכניות אנטי-וירוס אופייניות, כמו Windows Defender עצמו, משתמשות בהגדרות וירוסים של וירוסים כדי לתפוס תוכניות מסוכנות לפני שהן יכולות לפעול במערכת שלך. אנטי לנצל כלים למעשה למנוע טכניקות התקפה פופולרי רבים מתפקוד בכלל, אז אלה תוכניות מסוכנות לא מקבלים על המערכת שלך מלכתחילה. הן מאפשרות הגנות מסוימות של מערכת ההפעלה וחוסמות טכניקות של ניצול זיכרון נפוץ, כך שאם יתגלו התנהגות דמוית-ניצול, הן יסיימו את התהליך לפני שקורה משהו רע. במילים אחרות, הם יכולים להגן מפני התקפות אפס רבות לפני שהם תוקנו.
עם זאת, הם עלולים לגרום לבעיות תאימות, ואת ההגדרות שלהם אולי צריך להיות tweaked עבור תוכניות שונות. זו הסיבה ש- EMET שימשה בדרך כלל ברשתות ארגוניות, שבהן מנהלי המערכת יכלו לשנות את ההגדרות ולא במחשבים ביתיים.
Windows Defender כולל כעת רבות מהגנות אלה, אשר נמצאות במקור ב- EMET של מיקרוסופט. הן מופעלות כברירת מחדל עבור כולם והן חלק ממערכת ההפעלה. Windows Defender מגדיר באופן אוטומטי כללים מתאימים לתהליכים שונים הפועלים במערכת שלך. (Malwarebytes עדיין טוען תכונה אנטי לנצל שלהם הוא מעולה, ואנחנו עדיין ממליצים להשתמש Malwarebytes, אבל זה טוב כי Windows Defender יש כמה זה מובנית עכשיו גם כן.)
תכונה זו מופעלת באופן אוטומטי אם שדרגת את עדכון הסתיו של Windows 10, ו- EMET אינו נתמך עוד. EMET אפילו לא יכול להיות מותקן על מחשבים המפעילים את עדכון הבורא לירידה. אם כבר התקנת את EMET, הוא יוסר על-ידי העדכון.
העדכונים לירידה בסתיו של Windows 10 כוללים גם תכונת אבטחה קשורה בשם Access Folder Folder. זה נועד לעצור תוכנות זדוניות רק על ידי מתן תוכניות מהימנות לשנות קבצים בתיקיות הנתונים האישיים שלך, כמו מסמכים ותמונות. שתי התכונות הן חלק "Windows Defender לנצל המשמר". עם זאת, הגישה לתיקייה מבוקרת אינה מופעלת כברירת מחדל.
כיצד לוודא לנצל הגנה מופעלת
תכונה זו מופעלת באופן אוטומטי עבור כל מחשבי Windows 10. עם זאת, זה יכול להיות גם עבר "מצב ביקורת", המאפשר למנהלי מערכת לפקח על יומן של מה לנצל הגנה היה עושה כדי לוודא שזה לא יגרום בעיות לפני הפעלת אותו על מחשבים קריטיים.
כדי לוודא שתכונה זו מופעלת, באפשרותך לפתוח את מרכז האבטחה של Windows Defender. פתח את תפריט 'התחל', חפש את Windows Defender ולחץ על קיצור הדרך של Windows Defender Security Center.
לחץ על סמל החלון "אפליקציה ודפדפן שליטה" בסרגל הצד. גלול למטה ותראה את הקטע "הגנה על ניצול". הוא יודיע לך שתכונה זו מופעלת.
אם אתה לא רואה את הקטע הזה, המחשב שלך כנראה לא עודכן לעדכון סתיו הבורא עדיין.
כיצד להגדיר הגנה Defender של Windows Defender הגנה
אזהרה: אתה כנראה לא רוצה להגדיר את התכונה הזו. Windows Defender מציע אפשרויות טכניות רבות שתוכל לשנות, ורוב האנשים לא יידעו מה הם עושים כאן. תכונה זו מוגדרת עם הגדרות ברירת מחדל חכמות שימנעו בעיות, ו- Microsoft יכולה לעדכן את הכללים שלה לאורך זמן. נראה שהאפשרויות כאן נועדו בעיקר לסייע למנהלי מערכת לפתח כללים לתוכנה ולגלגל אותם ברשת ארגונית.
אם ברצונך להגדיר את התצורה של Protection Protection, פנה אל מרכז האבטחה של Windows Defender> בקרת יישומים ודפדפנים, גלול למטה ולחץ על "השתמש בהגדרות הגנה" תחת הגנת ניצול.
תראה שתי כרטיסיות כאן: הגדרות מערכת והגדרות תוכנית. הגדרות המערכת קובעות את הגדרות ברירת המחדל המשמשות עבור כל היישומים, ואילו הגדרות התוכנית שולטות בהגדרות הפרטיות המשמשות עבור תוכניות שונות. במילים אחרות, הגדרות תוכנית יכולות לעקוף את הגדרות המערכת עבור תוכניות בודדות. הם יכולים להיות מגבילים יותר או פחות מגבילים.
בחלק התחתון של המסך, באפשרותך ללחוץ על "ייצוא הגדרות" כדי לייצא את ההגדרות שלך כקובץ .xml שניתן לייבא במערכות אחרות. התיעוד הרשמי של Microsoft מציע מידע נוסף על פריסת כללים עם מדיניות קבוצתית ו- PowerShell.
בכרטיסיה הגדרות מערכת, תראה את האפשרויות הבאות: בקרת זרימת בקרה (CFG), מניעת ביצוע נתונים (DEP), רנדומיזציה של כוח עבור תמונות (ASLR חובה), הקצאת זיכרון אקראית (ASLR תחתון), אימות רשתות חריגים (SEHOP), וכן לאמת את שלמותה. כולם מופעלים כברירת מחדל, למעט אקראיות כוח עבור תמונות (חובה ASLR) אפשרות. זה סביר כי ASLR המנדטורית גורם לבעיות עם כמה תוכניות, כך שאתה עלול להיתקל בבעיות תאימות אם אתה מפעיל את זה, בהתאם לתוכניות אתה מפעיל.
שוב, אתה באמת לא צריך לגעת אפשרויות אלה, אלא אם כן אתה יודע מה אתה עושה. ברירות המחדל הן הגיוניות ונבחרות מסיבה.
ממשק מספק סיכום קצר מאוד של מה כל אפשרות עושה, אבל תצטרך לעשות קצת מחקר אם אתה רוצה לדעת יותר. הסברנו בעבר מה DEP ו ASLR לעשות כאן.
לחץ על הכרטיסייה "הגדרות תוכנית", ותראה רשימה של תוכניות שונות עם הגדרות מותאמות אישית. האפשרויות כאן מאפשרות לדרוס את הגדרות המערכת הכוללות. לדוגמה, אם תבחר "iexplore.exe" ברשימה ולחץ על "ערוך", תראה כי הכלל כאן בכוח מאפשר ASLR חובה עבור תהליך Internet Explorer, למרות שזה לא מופעל על ידי ברירת המחדל של המערכת כולה.
אתה לא צריך להתעסק עם אלה מובנית הכללים עבור תהליכים כמו runtimebroker.exe ו spoolsv.exe. מיקרוסופט הוסיפה אותם מסיבה.
ניתן להוסיף כללים מותאמים אישית עבור תוכניות בודדות על ידי לחיצה על "הוסף תוכנית להתאמה אישית". אתה יכול "הוסף לפי שם התוכנית" או "בחר נתיב קובץ מדויק", אבל ציון נתיב הקובץ המדויק הרבה יותר מדויק.
לאחר הוספה, תוכל למצוא רשימה ארוכה של הגדרות שלא יהיו משמעותיות לרוב האנשים. רשימה מלאה של ההגדרות הזמינות כאן היא: שומר קוד שרירותי (ACG), לחסום תמונות שלמות נמוכה, לחסום תמונות מרוחקות, לחסום גופנים לא מהימנים, שמירה על שלמות קוד, בקרת זרימת בקרה (CFG), מניעת ביצוע נתונים (DEP), השבת נקודות הרחבה , השבת סימוני מערכת Win32k, אל תאפשר תהליכים הילד, ייצוא סינון כתובת (EAF), כוח אקראיזציה עבור תמונות (ASLR חובה), סינון כתובת סינון (IAF), הקצאת זיכרון אקראיים (ASLR למטה למטה), סימולציה ביצוע (SimExec) , אימות Validate API (CallerCheck), אימות שרשראות חריגים (SEHOP), אימות שימוש ידית, אימות שלמות ערמות, אימות שלמות תלות תמונה, ואמת שלמות מחסנית (StackPivot).
שוב, אתה לא צריך לגעת באפשרויות אלה, אלא אם כן אתה מנהל מערכת שרוצה לנעול יישום ואתה באמת יודע מה אתה עושה.
כמבחן, אפשרנו את כל האפשרויות עבור iexplore.exe וניסה להפעיל אותו. Internet Explorer רק הראה הודעת שגיאה וסירב להשיק. לא ראינו אפילו הודעת Windows Defender המסבירה ש- Internet Explorer אינו פועל בגלל ההגדרות שלנו.
אל תנסה רק באופן עיוור להגביל את היישומים, או שתגרום לבעיות דומות במערכת שלך. הם יהיו קשים כדי לפתור אם אתה לא זוכר שינית את האפשרויות, יותר מדי.
אם אתה עדיין משתמש בגירסה ישנה יותר של Windows, כגון Windows 7, תוכל לקבל תכונות הגנה מנצל באמצעות התקנת EMET של Microsoft או Malwarebytes. עם זאת, התמיכה ב- EMET תיפסק ב -31 ביולי 2018, מכיוון שמיקרוסופט מעוניינת לדחוף עסקים לעסקים של Windows 10 ו- Windows Defender's Protection Protection במקום.