De update van oktober 2018 van Windows 10 bevat een nieuwe beveiligingsfunctie 'Blokkeer verdacht gedrag'. Deze bescherming is standaard uitgeschakeld, maar u kunt deze inschakelen om uw pc tegen verschillende bedreigingen te beschermen.
Wat doet "verdacht gedrag blokkeren"?
Deze functie heeft een vrij vage naam. De documentatie van Microsoft verduidelijkt echter dat "Block Suspicious Behaviors" slechts een vriendelijke naam is voor de "Windows Defender Exploit Guard-technologie voor het verminderen van het oppervlak van aanvallen". Deze beveiligingsfunctie is geïntroduceerd in de Fall Creators Update, maar was alleen beschikbaar in Windows 10 Enterprise. In de update van oktober 2018 is het nu voor iedereen beschikbaar via een optie in Windows-beveiliging.
Wanneer u deze functie inschakelt, activeert Windows 10 verschillende beveiligingsregels. Deze regels schakelen functies uit die normaal alleen door malware worden gebruikt, waardoor uw pc wordt beschermd tegen aanvallen.
Hier zijn enkele regels voor het verminderen van het aanvalsoppervlak:
- Blokkeer uitvoerbare inhoud van e-mailclient en webmail
- Blokkeer Office-toepassingen voor het maken van onderliggende processen
- Voorkom dat Office-toepassingen uitvoerbare inhoud maken
- Voorkom dat Office-toepassingen code in andere processen injecteren
- Blokkeer JavaScript of VBScript om gedownloade uitvoerbare inhoud te starten
- Blokkeer de uitvoering van mogelijk versluierde scripts
- Blokkeer Win32 API-aanroepen vanuit Office-macro
- Blokkeer het stelen van inloggegevens van het Windows-subsysteem voor lokale beveiligingsautoriteit (lsass.exe)
- Blokkeer procescreaties die afkomstig zijn van PSExec- en WMI-opdrachten
- Blokkeer niet-vertrouwde en niet-ondertekende processen die vanaf USB worden uitgevoerd
- Voorkom dat Office-communicatietoepassingen onderliggende processen maken
Dit zijn verdachte acties die kunnen worden gebruiktdoor kwaadaardige applicaties. Deze regels blokkeren bijvoorbeeld uitvoerbare bestanden die per e-mail binnenkomen, voorkomen dat Office-toepassingen bepaalde dingen doen en stoppen gevaarlijk macrogedrag. Als deze regels zijn ingeschakeld, beschermt Windows inloggegevens tegen diefstal, wordt voorkomen dat verdacht uitziende uitvoerbare bestanden op USB-drives worden uitgevoerd en weigert het scripts uit te voeren die er vermomd uitzien om antivirussoftware te omzeilen.
U vindt een volledige lijst van het aanvalsoppervlakreductieregels op de ondersteuningssite van Microsoft. Organisaties kunnen aanpassen welke regels worden gebruikt via groepsbeleid, maar gemiddelde consumenten-pc's krijgen een reeks regels die voor iedereen geschikt is. Het is onduidelijk welke regels er precies worden gebruikt wanneer u deze optie in Windows-beveiliging inschakelt.
VERWANT: Wat is er nieuw in de update van oktober 2018 in Windows 10
Dit maakt deel uit van Windows Defender Exploit Guard
Attack Surface Reduction is onderdeel van Windows Defender Exploit Guard, dat ook Exploit Protection, Network Protection en Controlled Folder Access omvat.
Dat is belangrijk om te verduidelijken: "Blokkeer verdachtBehaviors 'is niet dezelfde functie als Exploit Protection, die uw pc beschermt tegen een groot aantal veelvoorkomende exploit-technieken. Exploit Protection beschermt bijvoorbeeld tegen veelgebruikte technieken voor geheugenexploitatie die worden gebruikt door zero-day-aanvallen en beëindigt elk proces dat hiervan gebruikmaakt. Exploit Protection werkt als de Enhanced Mitigation Experience Toolkit (EMET) -software van Microsoft. Attack Surface Reduction schakelt potentieel gevaarlijke functies op een hoger niveau uit.
Exploit-bescherming is standaard ingeschakeld, en jijkan het van elders in de Windows-beveiligingsapplicatie aanpassen. Oppervlaktevermindering van aanvallen, of 'Verdacht gedrag blokkeren', is nog niet standaard ingeschakeld.
VERWANT: Hoe de nieuwe Exploit Protection van Windows Defender werkt (en hoe deze te configureren)
Hoe u 'Verdacht gedrag blokkeren' kunt inschakelen
U kunt deze functie inschakelen vanuit de Windows-beveiligingstoepassing, voorheen Windows Defender-beveiligingscentrum genoemd.
Om het te vinden, gaat u naar Instellingen> Update en beveiliging> Windows-beveiliging> Open Windows-beveiliging of start u gewoon de snelkoppeling "Windows-beveiliging" vanuit uw Start-menu.
Klik op de optie "Virus- en bedreigingsbeveiliging" en klik vervolgens op de link "Instellingen beheren" onder het gedeelte "Instellingen voor virus- en bedreigingsbescherming".
Klik op de schakelaar onder "Verdacht gedrag blokkeren" om deze functie in of uit te schakelen.
Als Block Suspicious Behaviors een actie blokkeert die u regelmatig moet uitvoeren, kunt u hier terugkeren en deze uitschakelen. Het geblokkeerde gedrag is echter niet gebruikelijk bij normaal pc-gebruik.
