Pagaliau pridedamas „Microsoft Fall Creators“ atnaujinimasintegruota „Windows“ išnaudojimo apsauga. Anksčiau to turėjote ieškoti naudodamiesi „Microsoft“ EMET įrankiu. Dabar ji yra „Windows Defender“ dalis ir suaktyvinta pagal numatytuosius nustatymus.
Kaip veikia „Windows Defender“ išnaudojimo apsauga
SUSIJĘS: Kas naujo „Windows 10“ rudeninių kūrėjų naujinime, galimas dabar
Mes ilgai rekomendavome naudoti anti-exploitprograminę įrangą, tokią kaip „Microsoft“ patobulintas švelninimo patirties įrankių rinkinys (EMET) ar patogesnę „Malwarebytes Anti-Malware“ programinę įrangą, kurioje yra galinga apsaugos nuo išnaudojimo funkcija (be kita ko). „Microsoft“ EMET yra plačiai naudojama didesniuose tinkluose, kur ją gali konfigūruoti sistemos administratoriai, tačiau ji niekada nebuvo įdiegta pagal numatytuosius nustatymus, ją reikia sukonfigūruoti ir ji turi painią sąsają paprastiems vartotojams.
Tipiškos antivirusinės programos, tokios kaip „Windows Defender“pats naudokitės virusų apibrėžimais ir euristika, kad sugautumėte pavojingas programas, prieš jas paleisdami jūsų sistemoje. Apsaugos nuo išnaudojimo priemonės iš tikrųjų neleidžia daugeliui populiarių atakų metodų veikti, todėl šios pavojingos programos visų pirma nepatenka į jūsų sistemą. Jie įgalina tam tikras operacinės sistemos apsaugos priemones ir blokuoja įprastus atminties išnaudojimo būdus, taigi, jei aptinkama į išnaudojimą panaši elgsena, jie nutraukia procesą, kol neįvyksta kas blogo. Kitaip tariant, prieš pataisydami jie gali apsaugoti nuo daugelio nulinės dienos atakų.
Tačiau jie gali sukeltisuderinamumo problemų, todėl jų nustatymus gali reikėti derinti prie skirtingų programų. Štai kodėl EMET paprastai buvo naudojamas įmonių tinkluose, kur sistemos administratoriai galėjo koreguoti nustatymus, o ne namų kompiuteriuose.
Dabar „Windows Defender“ apima daugybę iš tų pačiųapsaugų, kurios iš pradžių buvo rastos „Microsoft“ EMET. Jie pagal numatytuosius nustatymus įgalinti visiems ir yra operacinės sistemos dalis. „Windows Defender“ automatiškai sukonfigūruoja tinkamas taisykles įvairiems procesams, vykdomiems jūsų sistemoje. („Malwarebytes“ vis dar tvirtina, kad jų apsaugos nuo išnaudojimo funkcija yra pranašesnė. Mes vis dar rekomenduojame naudoti „Malwarebytes“, tačiau gerai, kad „Windows Defender“ taip pat turi šią įmontuotą dalį.)
Ši funkcija automatiškai įgalinama, jei turiteatnaujintas į „Windows 10“ „Fall Creators“ atnaujinimą, o EMET nebepalaikomas. EMET negali būti įdiegta net kompiuteriuose, kuriuose vykdomas „Fall Creators“ atnaujinimas. Jei jau esate įdiegę EMET, jis bus pašalintas atnaujinus.
SUSIJĘS: Kaip apsaugoti failus nuo „Ransomware“ naudojant „Windows Defender“ naująją „Kontroliuojamą aplankų prieigą“
„Windows 10“ kritimo kūrėjų naujinime taip pat yra asusijusi saugos funkcija, vadinama „Controlled Folder Access“. Jis skirtas sustabdyti kenkėjišką programinę įrangą leidžiant tik patikimoms programoms modifikuoti failus jūsų asmeninių duomenų aplankuose, pvz., Dokumentai ir Paveikslėliai. Abi funkcijos yra „Windows Defender Exploit Guard“ dalis. Tačiau kontroliuojama aplanko prieiga neįgalinta pagal numatytuosius nustatymus.
Kaip įjungta apsaugos apsauga yra įjungta
Ši funkcija automatiškai įjungiama visiems„Windows 10“ asmeniniai kompiuteriai. Tačiau ją taip pat galima perjungti į „Audito režimą“, leidžiančią sistemos administratoriams stebėti, ar žurnalas, ką „Exploit Protection“ būtų padaręs, kad būtų patvirtinta, kad nesukels jokių problemų prieš įjungiant kritiniuose kompiuteriuose.
Norėdami patvirtinti, kad ši funkcija įgalinta, galite atidaryti „Windows Defender“ saugos centrą. Atidarykite meniu Pradėti, ieškokite „Windows Defender“ ir spustelėkite „Windows Defender“ saugos centro nuorodą.
Šoninėje juostoje spustelėkite lango formos piktogramą „Programos ir naršyklės valdymas“. Slinkite žemyn ir pamatysite skyrių „Išnaudoti apsaugą“. Ji jus informuos, kad ši funkcija įjungta.
Jei nematote šio skyriaus, kompiuteris tikriausiai dar nebuvo atnaujintas į „Fall Creators“ atnaujinimą.
Kaip sukonfigūruoti „Windows Defender“ išnaudojimo apsaugą
Įspėjimas: Tikriausiai nenorite to konfigūruotibruožas. „Windows Defender“ siūlo daugybę techninių parinkčių, kurias galite koreguoti, ir dauguma žmonių nežinos, ką jie čia daro. Ši funkcija sukonfigūruota naudojant išmaniuosius numatytuosius nustatymus, kurie padės išvengti problemų, ir laikui bėgant „Microsoft“ gali atnaujinti savo taisykles. Panašu, kad čia pateiktos parinktys pirmiausia yra skirtos padėti sistemos administratoriams kurti programinės įrangos taisykles ir įdiegti jas įmonės tinkle.
Jei norite sukonfigūruoti „Išnaudoti apsaugą“, eikite į „Windows Defender“ saugos centrą> Programų ir naršyklių valdymą, slinkite žemyn ir spustelėkite „Išnaudoti apsaugos parametrus“, esančią skiltyje Išnaudoti apsaugą.
Čia pamatysite du skirtukus: Sistemos ir programos nustatymai. Sistemos parametrai kontroliuoja numatytuosius parametrus, naudojamus visoms programoms, o Programos parametrai - atskirus parametrus, naudojamus įvairioms programoms. Kitaip tariant, Programos nustatymai gali nepaisyti atskirų programų Sistemos nustatymų. Jie gali būti labiau ribojantys ar mažiau ribojantys.
Ekrano apačioje galite spustelėti„Eksportuoti nustatymus“, jei norite eksportuoti nustatymus kaip .xml failą, kurį galite importuoti kitose sistemose. Oficialioje „Microsoft“ dokumentacijoje yra daugiau informacijos apie taisyklių diegimą naudojant grupės politiką ir „PowerShell“.
Skirtuke Sistemos nustatymai pamatysitešios parinktys: Valdymo srauto apsauga (CFG), Duomenų vykdymo prevencija (DEP), Priverstinis atsitiktinių imčių atranka vaizdams (privaloma ASLR), Atsitiktiniai atminties paskirstymai (Apatinė aukštyn ASLR), Patvirtinti išimčių grandines (SEHOP) ir Patvirtinti krūvos vientisumą. Jie visi įjungti pagal numatytuosius nustatymus, išskyrus parinktį Priverstinis atsitiktinių imčių atranka (privaloma ASLR). Greičiausiai todėl, kad privalomas ASLR sukelia problemų su kai kuriomis programomis, todėl, jei įgalinsite, atsižvelgiant į vykdomas programas, gali kilti suderinamumo problemų.
Vėlgi, jūs tikrai neturėtumėte liesti šių parinkčių, nebent žinote, ką darote. Numatytosios nuostatos yra pagrįstos ir pasirenkamos dėl priežasties.
SUSIJĘS: Kodėl 64 bitų „Windows“ versija yra saugesnė
Sąsajoje pateikiama labai trumpa kiekvieno pasirinkimo santrauka, tačiau jei norite sužinoti daugiau, turėsite atlikti tam tikrus tyrimus. Mes jau anksčiau paaiškinome, ką čia daro DEP ir ASLR.
Spustelėkite skirtuką „Programos nustatymai“ irpamatysite skirtingų programų sąrašą su tinkintais nustatymais. Čia pateiktos parinktys leidžia nepaisyti bendrų sistemos nustatymų. Pvz., Jei sąraše pasirinksite „iexplore.exe“ ir spustelėsite „Redaguoti“, pamatysite, kad čia esanti taisyklė priverstinai įgalina „Internet Explorer“ procesą privalomą ASLR, net jei jo neįgalina numatytoji sistema visoje sistemoje.
Neturėtumėte pažeisti šių įmontuotų procesų, tokių kaip runtimebroker.exe ir spoolsv.exe, taisyklių. „Microsoft“ pridėjo juos dėl priežasties.
Galite pridėti pasirinktinių taisyklių atskiroms programomsspustelėdami „Pridėti programą tinkinti“. Galite pasirinkti „Pridėti pagal programos pavadinimą“ arba „Pasirinkite tikslų failo kelią“, tačiau tikslaus failo kelio nurodymas yra daug tikslesnis.
Pridėję galite rasti ilgą nustatymų sąrašątai nebus prasminga daugumai žmonių. Visas čia pateiktų nustatymų sąrašas yra: Savanoriška kodo apsauga (ACG), Blokuoti mažo integruotumo vaizdus, Blokuoti nuotolinius vaizdus, Blokuoti nepatikimus šriftus, Kodo vientisumo apsauga, Valdymo srauto apsauga (CFG), Duomenų vykdymo prevencija (DEP), Išjungti plėtinių taškus , Išjungti „Win32k“ sistemos skambučius, Neleisti vaikų procesų, Eksportuoti adresų filtravimo (EAF), Priverstinis atsitiktinių imčių atranka (privalomas ASLR), Importuoti adresų filtravimą (IAF), Atsitiktinės atminties paskirstymas (Apatinė ASLR dalis), Imituoti vykdymą (SimExec). , Patvirtinkite API kvietimą („CallerCheck“), Patvirtinkite išimčių grandines (SEHOP), Patvirtinkite rankenos naudojimą, Patikrinkite krūvos vientisumą, Patikrinkite vaizdo priklausomybės vientisumą ir Patvirtinkite krūvos vientisumą („StackPivot“).
Vėlgi, neturėtumėte liesti šių parinkčių, nebent esate sistemos administratorius, kuris nori užrakinti programą ir tikrai žinote, ką darote.
Kaip testą įgalinome visas parinktisiexplore.exe ir bandė paleisti. Internet Explorer tiesiog parodė klaidos pranešimą ir atsisakė paleisti. Mes net nematėme „Windows Defender“ pranešimo, paaiškinančio, kad „Internet Explorer“ neveikė dėl mūsų nustatymų.
Negalima tik aklai bandyti apriboti programų taikymą, nes jūs taip pat sukelsite panašias problemas savo sistemoje. Jas bus sunku pašalinti, jei neprisimenate, kad pakeitėte ir parinktis.
Jei vis dar naudojate senesnę „Windows“ versiją,pvz., „Windows 7“, galite naudotis apsaugos funkcijomis įdiegdami „Microsoft“ EMET arba Malwarebytes. Tačiau EMET palaikymas bus nutrauktas 2018 m. Liepos 31 d., Nes „Microsoft“ nori verslą versti „Windows 10“ ir „Windows Defender“ eksploatavimo apsaugos link.
