Laman » bagaimana untuk » Bagaimana Perlindungan Eksploitasi Baru Windows Defender (dan Bagaimana Konfigurasi Ia)

    Bagaimana Perlindungan Eksploitasi Baru Windows Defender (dan Bagaimana Konfigurasi Ia)

    Kemas kini Pencipta Kejatuhan Microsoft akhirnya menambah perlindungan eksploit bersepadu ke Windows. Anda sebelum ini perlu mencari ini dalam bentuk alat EMET Microsoft. Ia kini menjadi sebahagian daripada Windows Defender dan diaktifkan secara lalai.

    Bagaimana Perlindungan Eksploitasi Windows Defender berfungsi

    Kami telah mencadangkan penggunaan perisian anti-eksploitasi seperti Alat Pengurangan Mitigasi Dipertingkatkan Microsoft (EMET) atau Malwarebytes Anti-Malware yang lebih mesra pengguna, yang mengandungi ciri anti-eksploit yang kuat (antara lain). EMET Microsoft digunakan secara meluas pada rangkaian yang lebih besar di mana ia dapat dikonfigurasi oleh pentadbir sistem, tetapi tidak pernah dipasang secara lalai, memerlukan konfigurasi, dan mempunyai antarmuka yang membingungkan bagi pengguna rata-rata.

    Program antivirus biasa, seperti Windows Defender sendiri, menggunakan definisi virus dan heuristik untuk menangkap program berbahaya sebelum mereka dapat berjalan pada sistem anda. Alat anti-eksploit sebenarnya menghalang banyak teknik serangan popular dari berfungsi sama sekali, sehingga program berbahaya ini tidak mendapat sistem anda di tempat pertama. Mereka membolehkan perlindungan sistem operasi tertentu dan blok teknik mengeksploitasi memori biasa, supaya jika kelakuan seperti mengeksploitasi dikesan, mereka akan menamatkan proses sebelum sesuatu yang buruk berlaku. Dalam erti kata lain, mereka boleh melindungi terhadap banyak serangan sifar hari sebelum mereka ditambal.

    Walau bagaimanapun, mereka berpotensi menyebabkan masalah keserasian, dan tetapan mereka mungkin perlu ditapis untuk program yang berbeza. Itulah sebabnya EMET pada umumnya digunakan pada rangkaian perusahaan, di mana pentadbir sistem boleh menala tetapannya, dan bukan pada PC rumah.

    Windows Defender kini termasuk banyak perlindungan yang sama, yang pada asalnya terdapat dalam EMET Microsoft. Mereka diaktifkan secara lalai untuk semua orang, dan merupakan sebahagian daripada sistem operasi. Windows Defender secara automatik mengkonfigurasi peraturan yang sesuai untuk proses yang berlainan yang berjalan pada sistem anda. (Malwarebytes masih mendakwa ciri anti-eksploit mereka lebih unggul, dan kami masih mencadangkan menggunakan Malwarebytes, tetapi sangat baik bahawa Windows Defender mempunyai beberapa built-in sekarang juga).

    Ciri ini didayakan secara automatik jika anda telah dinaik taraf kepada Kemaskini Pencipta Kejatuhan Windows 10, dan EMET tidak lagi disokong. EMET tidak boleh dipasang pada PC yang menjalankan Pembaruan Pencipta Kejatuhan. Jika anda sudah memasang EMET, ia akan dikeluarkan oleh kemas kini.

    Kemaskini Pembuat Kejatuhan Windows 10 juga termasuk ciri keselamatan yang berkaitan bernama Access Folder Controlled. Ia direka untuk menghentikan malware dengan hanya membenarkan program yang dipercayai untuk memodifikasi fail dalam folder data peribadi anda, seperti Dokumen dan Gambar. Kedua-dua ciri adalah sebahagian daripada "Windows Defender Exploit Guard". Walau bagaimanapun, Akses Folder Dikawal tidak didayakan secara lalai.

    Cara Mengesahkan Perlindungan Exploit dihidupkan

    Ciri ini didayakan secara automatik untuk semua Windows 10 PC. Walau bagaimanapun, ia juga boleh ditukar kepada "Mod audit", yang membolehkan pentadbir sistem memantau log apa yang Perlindungan Eksploitasi telah dilakukan untuk mengesahkan ia tidak akan menyebabkan sebarang masalah sebelum membolehkannya pada PC kritikal.

    Untuk mengesahkan bahawa ciri ini diaktifkan, anda boleh membuka Windows Security Center Defender. Buka menu Mula anda, cari Windows Defender, dan klik jalan pintas Windows Defender Security Center.

    Klik pada ikon "Kawalan apl & pelayar" yang berbentuk tetingkap di bar sisi. Tatal ke bawah dan anda akan melihat bahagian "Perlindungan eksploit". Ia akan memberitahu anda bahawa ciri ini diaktifkan.

    Sekiranya anda tidak melihat bahagian ini, PC anda mungkin belum dikemas kini kepada Kemas Kini Pencipta Kejatuhan.

    Bagaimana Konfigurasi Perlindungan Exploit Windows Defender

    Amaran: Anda mungkin tidak mahu mengkonfigurasi ciri ini. Windows Defender menawarkan banyak pilihan teknikal yang boleh anda sesuaikan, dan kebanyakan orang tidak akan tahu apa yang mereka lakukan di sini. Ciri ini dikonfigurasikan dengan tetapan lalai pintar yang akan mengelakkan masalah, dan Microsoft boleh mengemas kini peraturannya dari masa ke masa. Pilihan di sini kelihatannya bertujuan untuk membantu pentadbir sistem membangunkan peraturan untuk perisian dan melancarkannya di rangkaian perusahaan.

    Sekiranya anda ingin mengkonfigurasi Perlindungan Exploit, pergi ke Windows Defender Security Center> Kawalan apl & pelayar, tatal ke bawah, dan klik "Tetapan perlindungan eksploit" di bawah perlindungan Exploit.

    Anda akan melihat dua tab di sini: Tetapan sistem dan tetapan Program. Tetapan sistem mengawal tetapan lalai yang digunakan untuk semua aplikasi, sementara tetapan Program mengawal tetapan individu yang digunakan untuk pelbagai program. Dalam erti kata lain, tetapan Program boleh mengatasi tetapan Sistem untuk program individu. Mereka boleh menjadi lebih ketat atau kurang ketat.

    Di bahagian bawah skrin, anda boleh mengklik "Tetapan eksport" untuk mengeksport tetapan anda sebagai fail .xml yang anda boleh mengimport pada sistem lain. Dokumentasi rasmi Microsoft menawarkan lebih banyak maklumat tentang cara menggunakan peraturan dengan Dasar Kumpulan dan PowerShell.

    Pada tab Tetapan sistem, anda akan melihat pilihan berikut: Pengawal aliran kawalan (CFG), Pencegahan Pelaksanaan Data (DEP), Paksaan rintis untuk imej (ASLR wajib), Rawak peruntukan memori (Bottom-up ASLR), Mengesahkan rantai pengecualian (SEHOP), dan mengesahkan integriti timbunan. Mereka semua secara lalai kecuali pilihan rawak Pasukan untuk imej (Mandat ASLR). Itu mungkin kerana ASLR Mandatori menyebabkan masalah dengan beberapa program, jadi anda mungkin menghadapi masalah keserasian jika anda mendayakannya, bergantung pada program yang anda jalankan.

    Sekali lagi, anda tidak boleh menyentuh pilihan ini melainkan anda tahu apa yang anda lakukan. Keingkaran yang masuk akal adalah wajar dan dipilih dengan alasan.

    Antara muka menyediakan ringkasan yang sangat singkat tentang apa yang setiap pilihan, tetapi anda perlu melakukan penyelidikan jika anda ingin mengetahui lebih lanjut. Kami sebelum ini menjelaskan apa yang DEP dan ASLR lakukan di sini.

    Klik pada tab "Tetapan program", dan anda akan melihat senarai program yang berbeza dengan tetapan tersuai. Pilihan di sini membolehkan tetapan sistem keseluruhan ditindih. Sebagai contoh, jika anda memilih "iexplore.exe" dalam senarai dan klik "Edit", anda akan melihat bahawa peraturan di sini dengan kuat membolehkan Mandatory ASLR untuk proses Internet Explorer, walaupun ia tidak diaktifkan secara lalai di seluruh sistem.

    Anda tidak sepatutnya merosakkan peraturan terbina dalam ini untuk proses seperti runtimebroker.exe dan spoolsv.exe. Microsoft menambah mereka atas sebab tertentu.

    Anda boleh menambah peraturan tersuai untuk program individu dengan mengklik "Tambah program untuk menyesuaikan". Anda boleh sama ada "Tambah oleh nama program" atau "Pilih laluan fail yang tepat", tetapi menentukan laluan fail yang tepat lebih tepat.

    Sebaik sahaja ditambahkan, anda boleh mencari senarai panjang tetapan yang tidak bermakna kepada kebanyakan orang. Senarai penuh tetapan yang terdapat di sini ialah: Pengawal kod sewenang-wenangnya (ACG), Blok imej integriti rendah, Blok imej jauh, Blok fon yang tidak dipercayai, Pengawal integriti kod, Pengawal aliran kawalan (CFG), Pencegahan Pelaksanaan Data (DEP) , Kurangkan proses kanak-kanak, Penapis alamat penapisan (EAF), Rawak paksaan untuk imej (ASLR Mandatori), Import Penapis Alamat (IAF), Rawak peruntukan memori (ASLR bawah), Simulasi pelaksanaan (SimExec) , Validate API invocation (CallerCheck), Validate exclusion chain (SEHOP), Validate handle usage, Validate integrity heap, Validate integrity dependency image, and Validate integrity stack (StackPivot).

    Sekali lagi, anda tidak boleh menyentuh pilihan ini melainkan anda seorang pentadbir sistem yang ingin mengunci aplikasi dan anda benar-benar tahu apa yang anda lakukan.

    Sebagai ujian, kami membolehkan semua opsyen untuk iexplore.exe dan cuba melancarkannya. Internet Explorer hanya menunjukkan mesej ralat dan enggan dilancarkan. Kami tidak melihat pemberitahuan Windows Defender yang menjelaskan bahawa Internet Explorer tidak berfungsi kerana tetapan kami.

    Jangan cuba membataskan aplikasi secara membabi buta, atau anda akan menyebabkan masalah yang sama pada sistem anda. Mereka akan sukar untuk menyelesaikan masalah jika anda tidak ingat anda menukar pilihan juga.

    Sekiranya anda masih menggunakan Windows versi lama, seperti Windows 7, anda boleh mendapatkan ciri-ciri perlindungan mengeksploitasi dengan memasang EMET atau Malwarebytes Microsoft. Walau bagaimanapun, sokongan untuk EMET akan berhenti pada 31 Julai 2018, kerana Microsoft mahu mendorong perniagaan ke Windows 10 dan Perlindungan Pengeksploitasi Windows Defender.