De Fall Creators Update van Microsoft voegt eindelijk toegeïntegreerde exploitbeveiliging voor Windows. U moest dit eerder opzoeken in de vorm van de EMET-tool van Microsoft. Het maakt nu deel uit van Windows Defender en is standaard geactiveerd.
Hoe Windows Defender's Exploit Protection werkt
VERWANT: Wat is er nieuw in de Fall Creators-update van Windows 10, nu beschikbaar
We raden het gebruik van anti-exploit al lang aansoftware zoals Microsoft's Enhanced Mitigation Experience Toolkit (EMET) of de meer gebruiksvriendelijke Malwarebytes Anti-Malware, die onder andere een krachtige anti-exploitfunctie bevat. Microsoft's EMET wordt veel gebruikt op grotere netwerken waar het kan worden geconfigureerd door systeembeheerders, maar het is nooit standaard geïnstalleerd, vereist configuratie en heeft een verwarrende interface voor gemiddelde gebruikers.
Typische antivirusprogramma's, zoals Windows Defenderzelf, gebruik virusdefinities en heuristieken om gevaarlijke programma's te vangen voordat ze op uw systeem kunnen worden uitgevoerd. Anti-exploit tools verhinderen eigenlijk dat veel populaire aanvalstechnieken überhaupt werken, zodat die gevaarlijke programma's in de eerste plaats niet op uw systeem terechtkomen. Ze maken bepaalde besturingssysteembeveiligingen mogelijk en blokkeren veelgebruikte technieken voor geheugenuitbuiting, zodat als exploit-achtig gedrag wordt gedetecteerd, ze het proces beëindigen voordat er iets ergs gebeurt. Met andere woorden, ze kunnen beschermen tegen vele zero-day-aanvallen voordat ze worden gepatcht.
Ze kunnen echter mogelijk veroorzakencompatibiliteitsproblemen en hun instellingen moeten mogelijk worden aangepast voor verschillende programma's. Daarom werd EMET over het algemeen gebruikt op bedrijfsnetwerken, waar systeembeheerders de instellingen konden aanpassen, en niet op thuis-pc's.
Windows Defender bevat nu veel van dezelfdebeveiligingen, die oorspronkelijk werden gevonden in EMET van Microsoft. Ze zijn standaard ingeschakeld voor iedereen en maken deel uit van het besturingssysteem. Windows Defender configureert automatisch de juiste regels voor verschillende processen die op uw systeem worden uitgevoerd. (Malwarebytes beweert nog steeds dat hun anti-exploitfunctie superieur is, en we raden nog steeds het gebruik van Malwarebytes aan, maar het is goed dat Windows Defender nu ook een deel van deze ingebouwde functie heeft.)
Deze functie wordt automatisch ingeschakeld als je dat hebt gedaanopgewaardeerd naar de Fall Creators-update van Windows 10 en EMET wordt niet langer ondersteund. EMET kan zelfs niet worden geïnstalleerd op pc's met de Fall Creators Update. Als EMET al is geïnstalleerd, wordt dit door de update verwijderd.
VERWANT: Hoe uw bestanden te beschermen tegen ransomware met de nieuwe "Gecontroleerde maptoegang" van Windows Defender
De Fall Creators-update van Windows 10 bevat ook eengerelateerde beveiligingsfunctie genaamd Controlled Folder Access. Het is ontworpen om malware te stoppen door alleen vertrouwde programma's bestanden in uw persoonlijke gegevensmappen, zoals Documenten en Afbeeldingen, te laten wijzigen. Beide functies maken deel uit van "Windows Defender Exploit Guard". Gecontroleerde maptoegang is echter niet standaard ingeschakeld.
Hoe te bevestigen dat Exploit Protection is ingeschakeld
Deze functie wordt automatisch ingeschakeld voor iedereenWindows 10-pc's. Het kan echter ook worden omgeschakeld naar 'Audit-modus', waardoor systeembeheerders een logboek kunnen bijhouden van wat Exploit Protection zou hebben gedaan om te bevestigen dat het geen problemen veroorzaakt voordat het op kritieke pc's wordt ingeschakeld.
Om te bevestigen dat deze functie is ingeschakeld, kunt u het Windows Defender Beveiligingscentrum openen. Open uw Start-menu, zoek naar Windows Defender en klik op de Windows Defender Security Center-snelkoppeling.
Klik op het venstervormige pictogram 'App & browser control' in de zijbalk. Scrol naar beneden en u ziet het gedeelte 'Exploitatiebeveiliging'. U wordt geïnformeerd dat deze functie is ingeschakeld.
Als u dit gedeelte niet ziet, is uw pc waarschijnlijk nog niet bijgewerkt naar de Fall Creators-update.
Hoe Exploit Protection van Windows Defender te configureren
Waarschuwing: U wilt dit waarschijnlijk niet configurerenvoorzien zijn van. Windows Defender biedt veel technische opties die u kunt aanpassen, en de meeste mensen weten niet wat ze hier doen. Deze functie is geconfigureerd met slimme standaardinstellingen die problemen voorkomen en Microsoft kan zijn regels in de loop van de tijd bijwerken. De opties hier lijken vooral bedoeld om systeembeheerders te helpen regels voor software te ontwikkelen en uit te rollen op een bedrijfsnetwerk.
Als u Exploit Protection wilt configureren, gaat u naar Windows Defender Security Center> App- en browserbeheer, scrolt u omlaag en klikt u op "Exploit protection-instellingen" onder Exploit protection.
U ziet hier twee tabbladen: Systeeminstellingen en Programma-instellingen. Systeeminstellingen regelt de standaardinstellingen die voor alle toepassingen worden gebruikt, terwijl Programma-instellingen de individuele instellingen regelt die voor verschillende programma's worden gebruikt. Met andere woorden, programma-instellingen kunnen de systeeminstellingen voor afzonderlijke programma's overschrijven. Ze kunnen restrictiever of minder restrictief zijn.
Onderaan het scherm kunt u klikken"Instellingen exporteren" om uw instellingen te exporteren als een XML-bestand dat u op andere systemen kunt importeren. De officiële documentatie van Microsoft biedt meer informatie over het implementeren van regels met Groepsbeleid en PowerShell.
Op het tabblad Systeeminstellingen ziet u devolgende opties: Control flow guard (CFG), Data Execution Prevention (DEP), Force randomisatie voor afbeeldingen (verplichte ASLR), Randomize geheugentoewijzingen (Bottom-up ASLR), Valideer uitzonderingsketens (SEHOP) en Valideer heap-integriteit. Ze staan standaard allemaal aan, behalve de optie Force randomization for images (verplichte ASLR). Dat is waarschijnlijk omdat verplichte ASLR problemen veroorzaakt met sommige programma's, dus u kunt compatibiliteitsproblemen tegenkomen als u dit inschakelt, afhankelijk van de programma's die u uitvoert.
Nogmaals, je moet deze opties echt niet aanraken, tenzij je weet wat je doet. De standaardwaarden zijn verstandig en worden niet voor niets gekozen.
VERWANT: Waarom de 64-bits versie van Windows veiliger is
De interface geeft een zeer korte samenvatting van wat elke optie doet, maar je moet wat onderzoek doen als je meer wilt weten. We hebben eerder uitgelegd wat DEP en ASLR hier doen.
Klik op het tabblad "Programma-instellingen" enziet u een lijst met verschillende programma's met aangepaste instellingen. Met de opties hier kunnen de algemene systeeminstellingen worden opgeheven. Als u bijvoorbeeld "iexplore.exe" in de lijst selecteert en op "Bewerken" klikt, ziet u dat de regel hier verplicht verplichte ASLR voor het Internet Explorer-proces inschakelt, hoewel deze standaard niet voor het hele systeem is ingeschakeld.
U moet niet knoeien met deze ingebouwde regels voor processen zoals runtimebroker.exe en spoolsv.exe. Microsoft heeft ze om een reden toegevoegd.
U kunt aangepaste regels voor afzonderlijke programma's toevoegendoor te klikken op "Programma toevoegen om aan te passen". U kunt "Toevoegen op programmanaam" of "Kies exact bestandspad", maar het specificeren van een exact bestandspad is veel preciezer.
Eenmaal toegevoegd, kunt u een lange lijst met instellingen vindendat is voor de meeste mensen niet zinvol. De volledige lijst met beschikbare instellingen is: Willekeurige codebeveiliging (ACG), Blokkeer afbeeldingen met lage integriteit, Blokkeer externe afbeeldingen, Blokkeer niet-vertrouwde lettertypen, Code integriteitsbewaking, Control flow guard (CFG), Preventie van gegevensuitvoering (DEP), Uitbreidingspunten uitschakelen , Win32k-systeemaanroepen uitschakelen, kindprocessen niet toestaan, adresfiltering exporteren (EAF), randomisatie forceren voor afbeeldingen (verplichte ASLR), adresfiltering importeren (IAF), geheugentoewijzingen randomiseren (bottom-up ASLR), uitvoering simuleren (SimExec) , Valideer API-aanroep (CallerCheck), Valideer uitzonderingsketens (SEHOP), Valideer handvatgebruik, Valideer heap-integriteit, Valideer afbeeldingsafhankelijkheidsintegriteit en Valideer stapelintegriteit (StackPivot).
Nogmaals, u moet deze opties niet aanraken, tenzij u een systeembeheerder bent die een toepassing wil vergrendelen en u echt weet wat u doet.
Als test hebben we alle opties voor ingeschakeldiexplore.exe en probeerde het te starten. Internet Explorer gaf zojuist een foutmelding weer en weigerde te starten. We zagen zelfs geen Windows Defender-melding waarin werd uitgelegd dat Internet Explorer niet functioneerde vanwege onze instellingen.
Probeer niet zomaar blindelings toepassingen te beperken, of u veroorzaakt vergelijkbare problemen op uw systeem. Ze zijn moeilijk op te lossen als je niet meer weet dat je de opties ook hebt gewijzigd.
Als u nog steeds een oudere versie van Windows gebruikt,zoals Windows 7, kunt u exploitbeveiligingsfuncties krijgen door EMET of Malwarebytes van Microsoft te installeren. Ondersteuning voor EMET stopt echter op 31 juli 2018, omdat Microsoft bedrijven in plaats daarvan naar Windows 10 en Windows Defender's Exploit Protection wil duwen.
