Miten Windows Defenderin uudet suojaussuojat toimivat (ja miten se määritetään)
Microsoftin Fall Creators Update -ohjelma lisää lopuksi integroidun hyödyntämisen suojauksen Windowsille. Sinun täytyi etsiä etukäteen Microsoftin EMET-työkalu. Se on nyt osa Windows Defenderiä ja se on oletusarvoisesti käytössä.
Miten Windows Defenderin käyttämä suojaus toimii
Olemme jo pitkään suositelleet käyttämään Microsoftin Enhanced Mitigation Experience Toolkit -ohjelmaa (EMET) tai käyttäjäystävällisempää Malwarebytes Anti-Malware -ohjelmaa, joka sisältää tehokkaan anti-use -ominaisuuden (muun muassa). Microsoftin EMET-järjestelmää käytetään laajalti suurissa verkoissa, joissa järjestelmänvalvojat voivat määrittää sen, mutta sitä ei ole asennettu oletusarvoisesti, se vaatii konfigurointia, ja siinä on sekava käyttöliittymä keskimääräisille käyttäjille.
Tyypilliset virustentorjuntaohjelmat, kuten itse Windows Defender, käyttävät virusten määritelmiä ja heuristiikkaa vaarallisten ohjelmien saamiseksi ennen kuin ne voivat käyttää järjestelmääsi. Anti-use -työkalut estävät todella monia suosittuja hyökkäystekniikoita toimimasta lainkaan, joten nämä vaaralliset ohjelmat eivät pääse järjestelmäänne ensin. Ne mahdollistavat tietyt käyttöjärjestelmän suojaukset ja estävät yhteisten muistin hyödyntämistekniikoiden käytön, niin että jos havaitaan hyväksikäytön kaltaista käyttäytymistä, ne lopettavat prosessin ennen kuin mitään pahaa tapahtuu. Toisin sanoen he voivat suojautua monilta nollapäiväisiltä hyökkäyksiltä ennen kuin ne korjataan.
Ne saattavat kuitenkin aiheuttaa yhteensopivuusongelmia, ja niiden asetukset on ehkä muokattava eri ohjelmille. Siksi EMETiä käytettiin yleensä yritysverkoissa, joissa järjestelmänvalvojat voivat säätää asetuksia eikä kotitietokoneita.
Windows Defender sisältää nyt monia näitä samoja suojauksia, jotka on alun perin löydetty Microsoftin EMET-ohjelmistosta. Ne ovat oletusarvoisesti käytössä kaikille, ja ne ovat osa käyttöjärjestelmää. Windows Defender määrittää automaattisesti asianmukaiset säännöt järjestelmässä toimiville eri prosesseille. (Malwarebytes väittää edelleen, että niiden hyväksikäytön esto on ylivoimainen, ja suosittelemme edelleen Malwarebytes-ohjelmien käyttöä, mutta on hyvä, että Windows Defenderillä on myös osa tästä sisäänrakennetusta.)
Tämä ominaisuus otetaan käyttöön automaattisesti, jos olet päivittänyt Windows 10: n Fall Creators -päivityksen, eikä EMET ole enää tuettu. EMETiä ei voi asentaa myös tietokoneisiin, joissa on Fall Creators Update. Jos EMET on jo asennettu, päivitys poistaa sen.
Windows 10: n Fall Creators -päivitys sisältää myös siihen liittyvän suojausominaisuuden, jonka nimi on Controlled Folder Access. Se on suunniteltu estämään haittaohjelmat sallimalla vain luotettavien ohjelmien muokata henkilötietojen kansioissa olevia tiedostoja, kuten asiakirjoja ja kuvia. Molemmat ominaisuudet ovat osa Windows Defender Exploit Guardia. Ohjattujen kansioiden käyttö ei kuitenkaan ole oletusarvoisesti käytössä.
Exploit-suojauksen vahvistaminen on käytössä
Tämä ominaisuus otetaan automaattisesti käyttöön kaikissa Windows 10 -tietokoneissa. Se voidaan kuitenkin myös vaihtaa tilintarkastusmuotoon, jolloin järjestelmänvalvojat voivat seurata lokia siitä, mitä Exploit Protection olisi tehnyt sen vahvistamiseksi, ettei se aiheuta ongelmia ennen kuin otat sen käyttöön kriittisissä tietokoneissa.
Voit varmistaa, että tämä ominaisuus on käytössä, voit avata Windows Defender Security Centerin. Avaa Käynnistä-valikko, etsi Windows Defender ja napsauta Windows Defender Security Centerin pikakuvaketta.
Napsauta sivupalkissa ikkunanmuotoista ”App & browser control” -kuvaketta. Selaa alaspäin ja näet "Exploit protection" -osion. Se ilmoittaa, että tämä ominaisuus on käytössä.
Jos et näe tätä osaa, tietokoneesi ei todennäköisesti ole päivittänyt Fall Creators Update -päivitystä.
Windows Defenderin käyttöoikeuksien suojauksen määrittäminen
Varoitus: Et todennäköisesti halua määrittää tätä ominaisuutta. Windows Defender tarjoaa monia teknisiä vaihtoehtoja, joita voit säätää, ja useimmat ihmiset eivät tiedä, mitä he tekevät täällä. Tämä ominaisuus on määritetty älykkäillä oletusasetuksilla, jotka välttävät ongelmia, ja Microsoft voi päivittää säännöt ajan mittaan. Tässä olevat vaihtoehdot näyttävät ensisijaisesti auttavan järjestelmänvalvojia kehittämään ohjelmistosääntöjä ja ottamaan ne käyttöön yritysverkossa.
Jos haluat määrittää Exploit Protectionin, siirry Windows Defenderin tietoturvakeskukseen> Sovellus ja selaimen hallinta, selaa alas ja napsauta Exploit protection settings (Käytä suojausasetuksia) kohdassa Exploit protection.
Näet kaksi välilehteä: Järjestelmäasetukset ja Ohjelman asetukset. Järjestelmäasetukset ohjaavat oletusasetuksia, joita käytetään kaikissa sovelluksissa, kun taas Ohjelman asetukset ohjaavat yksittäisten ohjelmien asetuksia. Toisin sanoen, ohjelman asetukset voivat ohittaa yksittäisten ohjelmien Järjestelmäasetukset. Ne voivat olla rajoittavampia tai vähemmän rajoittavia.
Voit viedä asetukset .xml-tiedostona, jonka voit tuoda muille järjestelmille, näytön alaosassa napsauttamalla "Vie asetukset". Microsoftin virallisessa dokumentaatiossa on lisätietoja sääntöjen käyttöönotosta ryhmäkäytännön ja PowerShellin avulla.
Järjestelmäasetukset-välilehdessä näkyvät seuraavat vaihtoehdot: Ohjausvirtaussuoja (CFG), Tietojen suorittamisen estäminen (DEP), Kuvien satunnaistaminen (Pakollinen ASLR), Muistinvarausten satunnaistaminen (Alhaalta ylös-ASLR), Poistoketjujen validointi (SEHOP) ja vahvista kasa-eheys. Ne ovat kaikki oletusarvoisesti paitsi Force randomization for images (Pakollinen ASLR) -vaihtoehto. Tämä johtuu todennäköisesti siitä, että pakollinen ASLR aiheuttaa ongelmia joidenkin ohjelmien kanssa, joten saatat joutua yhteensopivuusongelmiin, jos otat sen käyttöön, riippuen käynnissä olevista ohjelmista.
Jälleen kerran, sinun ei pitäisi koskea näitä vaihtoehtoja, ellet tiedä mitä olet tekemässä. Oletukset ovat järkeviä ja valitaan syystä.
Käyttöliittymä antaa hyvin lyhyen yhteenvedon siitä, mitä kukin vaihtoehto tekee, mutta sinun on tehtävä joitakin tutkimuksia, jos haluat tietää enemmän. Olemme aiemmin selittäneet, mitä DEP ja ASLR tekevät täällä.
Napsauta "Ohjelman asetukset" -välilehteä ja näet eri ohjelmien luettelon mukautetuilla asetuksilla. Tässä olevat vaihtoehdot mahdollistavat järjestelmän yleisten asetusten ohittamisen. Jos esimerkiksi valitset luettelosta "iexplore.exe" ja napsautat "Muokkaa", näet, että sääntö sallii tällöin pakollisen ASLR: n käyttöönoton Internet Explorer -prosessille, vaikka se ei olekaan käytössä oletusarvoisesti koko järjestelmässä.
Sinun ei pitäisi muokata näitä sisäisiä sääntöjä prosesseille, kuten runtimebroker.exe ja spoolsv.exe. Microsoft lisäsi ne syystä.
Voit lisätä mukautettuja sääntöjä yksittäisille ohjelmille napsauttamalla Lisää ohjelma muokattavaksi. Voit joko lisätä ohjelman nimen tai valita tarkan tiedoston polun, mutta tarkan tiedoston polun määrittäminen on paljon tarkempaa.
Kun olet lisännyt, voit löytää pitkän luettelon asetuksista, jotka eivät ole merkityksellisiä useimmille ihmisille. Täydellinen luettelo käytettävissä olevista asetuksista on: Valinnainen koodinsuoja (ACG), Estä pienen eheyden kuvat, Estä etäkuvat, Estä epäluotettavia fontteja, Koodin eheyssuoja, Ohjausvirta (CFG), Tietojen suorittamisen estäminen (DEP), Estä laajennuspisteet , Poista Win32k-järjestelmäpuhelut käytöstä, Älä salli lasten prosesseja, Vie osoitteen suodatus (EAF), Pakota satunnaistaminen kuviin (Pakollinen ASLR), Tuo osoitteen suodatus (IAF), Muistin varautuminen satunnaisesti (Alhaalta ylös ASLR), Simuloi suoritus (SimExec) , Validate API-kutsun (CallerCheck), Validate poikkeusketjut (SEHOP), Vahvista kahvan käyttö, Vahvista kasa-eheys, Vahvista kuvien riippuvuuden eheys ja vahvista pinon eheys (StackPivot).
Jälleen sinun ei pitäisi koskea näitä vaihtoehtoja, ellet ole järjestelmänvalvoja, joka haluaa lukita sovelluksen ja tiedät todella, mitä olet tekemässä.
Testattuna otimme käyttöön kaikki iexplore.exe-sovelluksen asetukset ja yritimme käynnistää sen. Internet Explorer näytti vain virheilmoituksen ja kieltäytyi käynnistämästä. Emme edes nähneet Windows Defender -ilmoitusta, jossa selitettäisiin, että Internet Explorer ei toimi asetusten vuoksi.
Älä vain sokeasti yritä rajoittaa sovelluksia tai aiheuttaa samanlaisia ongelmia järjestelmässäsi. Niiden vianmääritys on vaikeaa, jos et muista myös vaihtoehtoja.
Jos käytät edelleen vanhempaa Windows-versiota, kuten Windows 7, voit hyödyntää suojausominaisuuksia asentamalla Microsoftin EMET tai Malwarebytes. EMETin tuki pysähtyy kuitenkin 31. heinäkuuta 2018, koska Microsoft haluaa siirtää yrityksiä Windows 10: n ja Windows Defenderin Exploit Protectionin sijaan.