Kaip veikia „Windows Defender“ nauji naudojimo apsaugos darbai (ir kaip ją konfigūruoti)
„Microsoft“ „Fall Creators“ naujinimas pagaliau prideda „Windows“ integruotą naudojimo apsaugą. Anksčiau privalote tai ieškoti „Microsoft“ EMET įrankio forma. Dabar ji yra „Windows Defender“ dalis ir yra įjungta pagal nutylėjimą.
Kaip veikia „Windows Defender“ apsaugos darbai
Mes jau seniai rekomenduojame naudoti antivirusinę programinę įrangą, pvz., „Microsoft“ patobulintą švelninimo patirties įrankių rinkinį (EMET) arba labiau patogią „Malwarebytes Anti-Malware“ programą, kurioje yra galinga kovos su išnaudojimu funkcija (be kita ko). „Microsoft“ EMET plačiai naudojamas didesniuose tinkluose, kur jį gali konfigūruoti sistemos administratoriai, tačiau ji niekada nebuvo įdiegta pagal numatytuosius nustatymus, reikalauja konfigūracijos ir turi painią sąsają vidutiniams vartotojams.
Tipinės antivirusinės programos, pvz., Pati „Windows Defender“, naudoja virusų apibrėžimus ir heuristiką, kad sugautų pavojingas programas, kol jie gali veikti jūsų sistemoje. „Anti-use“ įrankiai iš tikrųjų neleidžia daugeliui populiarių atakų būdų veikti iš viso, todėl šios pavojingos programos jūsų sistemai nepasieks. Jie įgalina tam tikrą operacinės sistemos apsaugą ir blokuoja bendrus atminties išnaudojimo būdus, kad, jei būtų aptiktas panašus į elgesį, jie nutrauks procesą, kol nieko blogo nebus. Kitaip tariant, jie gali apsaugoti nuo daugelio nulinės dienos atakų prieš pataisant.
Tačiau jie gali sukelti suderinamumo problemas, todėl gali reikėti, kad jų nustatymai būtų skirtingi įvairioms programoms. Štai kodėl EMET dažniausiai buvo naudojamas įmonių tinkluose, kur sistemos administratoriai galėjo keisti nustatymus, o ne namų kompiuterius.
„Windows Defender“ dabar apima daugelį tų pačių apsaugos priemonių, kurios iš pradžių buvo rastos „Microsoft“ EMET. Jie įjungiami pagal numatytuosius nustatymus visiems ir yra operacinės sistemos dalis. „Windows Defender“ automatiškai sukonfigūruoja tinkamas taisykles skirtingiems jūsų sistemoje veikiantiems procesams. („Malwarebytes“ vis dar teigia, kad jų anti-išnaudojimo funkcija yra pranašesnė, ir mes vis dar rekomenduojame naudoti „Malwarebytes“, tačiau gerai, kad „Windows Defender“ taip pat turi šį įdiegtą.)
Ši funkcija automatiškai įjungiama, jei atnaujinote „Windows 10“ „Fall Creators Update“, o „EMET“ nebepalaikoma. EMET net negali būti įdiegtas kompiuteriuose, kuriuose veikia „Fall Creators Update“. Jei jau įdiegėte „EMET“, naujinimas pašalins jį.
„Windows 10“ „Fall Creators“ naujinimas taip pat apima susijusią saugos funkciją, pavadintą „Controlled Folder Access“. Jis sukurtas taip, kad sustabdytų kenkėjiškas programas tik leidžiant patikimoms programoms keisti asmeninių duomenų aplankų failus, pvz., Dokumentai ir Nuotraukos. Abi funkcijos yra „Windows Defender Exploit Guard“ dalis. Tačiau pagal numatytuosius nustatymus valdoma aplanko prieiga nėra įjungta.
Kaip patvirtinti naudojimo apsaugą yra įjungta
Ši funkcija automatiškai įjungiama visiems „Windows 10“ kompiuteriams. Tačiau jis taip pat gali būti perjungtas į „Audito režimą“, leidžiantį sistemos administratoriams stebėti žurnalo „Exploit Protection“ žurnalą, kad patvirtintų, jog jis nesukels jokių problemų prieš įgalindamas jį kritiniuose kompiuteriuose.
Jei norite patvirtinti, kad ši funkcija įjungta, galite atidaryti „Windows Defender“ saugos centrą. Atidarykite meniu Pradėti, ieškokite „Windows Defender“ ir spustelėkite „Windows Defender“ saugumo centro nuorodą.
Spustelėkite lango formos „App & browser control“ piktogramą šoninėje juostoje. Slinkite žemyn ir pamatysite skyrių „Naudoti apsaugą“. Jis informuos jus, kad ši funkcija yra įjungta.
Jei nematote šio skyriaus, kompiuteris tikriausiai dar neatnaujino „Fall Creators Update“.
Kaip konfigūruoti „Windows Defender“ naudojimo apsaugą
Įspėjimas: Tikriausiai nenorite konfigūruoti šios funkcijos. „Windows Defender“ siūlo daug techninių parinkčių, kurias galite reguliuoti, ir dauguma žmonių nežino, ką čia daro. Ši funkcija yra sukonfigūruota naudojant išmaniuosius numatytuosius nustatymus, kurie padės išvengti problemų, o „Microsoft“ laikui bėgant gali atnaujinti taisykles. Čia pateikiamos parinktys, visų pirma, skirtos padėti sistemos administratoriams sukurti programinės įrangos taisykles ir jas diegti įmonės tinkle.
Jei norite konfigūruoti „Exploit Protection“, eikite į „Windows Defender“ saugos centrą> Programos ir naršyklės valdiklį, slinkite žemyn ir spragtelėkite „Išnaudoti apsaugos nustatymus“, esantį „Naudoti apsaugą“.
Čia pamatysite du skirtukus: Sistemos nustatymai ir programos nustatymai. Sistemos nustatymai valdo numatytuosius nustatymus, naudojamus visoms programoms, o programos parametrai valdo atskirus nustatymus, naudojamus įvairiose programose. Kitaip tariant, programos nustatymai gali nepaisyti atskirų programų sistemos nustatymų. Jie gali būti griežtesni arba mažiau ribojantys.
Ekrano apačioje galite spustelėti „Export settings“ (eksportuoti nustatymus), norėdami eksportuoti nustatymus kaip .xml failą, kurį galite importuoti į kitas sistemas. „Microsoft“ oficialioje dokumentacijoje pateikiama daugiau informacijos apie taisyklių diegimą su grupės politika ir „PowerShell“.
Skirtuke Sistemos nustatymai matysite tokias parinktis: Valdymo srauto apsauga (CFG), Duomenų vykdymo prevencija (DEP), Atsitiktinė atsitiktinė atranka vaizdams (Privalomas ASLR), Atsitiktinės atminties priskyrimas (iš apačios į viršų), Patvirtinti išimties grandines (SEHOP) ir patvirtinkite krūvos vientisumą. Jie visi yra įjungiami, išskyrus „Force randomization for images“ (Privalomas ASLR) parinktį. Tikėtina, kad Privalomas ASLR sukelia problemų su kai kuriomis programomis, todėl, jei įgalinsite, priklausys nuo suderinamumo problemų, priklausomai nuo jūsų vykdomų programų.
Vėlgi, jūs tikrai neturėtumėte paliesti šių parinkčių, nebent žinote, ką darote. Numatytosios yra protingos ir pasirinktos dėl priežasčių.
Sąsaja pateikia labai trumpą kiekvieno pasirinkimo santrauką, tačiau, jei norite sužinoti daugiau, turėsite atlikti tam tikrus tyrimus. Anksčiau mes paaiškinome, ką čia daro DEP ir ASLR.
Spustelėkite skirtuką „Programos nustatymai“ ir pamatysite skirtingų programų sąrašą su pasirinktiniais nustatymais. Čia pateiktos parinktys leidžia panaikinti bendrus sistemos nustatymus. Pvz., Jei sąraše pasirenkate „iexplore.exe“ ir spustelėsite „Redaguoti“, pamatysite, kad taisyklė čia įgalina „Internet Explorer“ procesui vykdyti privalomą ASLR, net jei ji nėra įjungta pagal numatytąją sistemą.
Jūs neturėtumėte pakeisti šių integruotų taisyklių, pvz., Runtimebroker.exe ir spoolsv.exe. „Microsoft“ pridėjo jas dėl priežasčių.
Galite pridėti individualias taisykles atskiroms programoms spustelėję „Pridėti programą, kad pritaikytumėte“. Galite „Pridėti pagal programos pavadinimą“ arba „Pasirinkti tikslią failo kelią“, tačiau tikslesnio failo kelio nurodymas yra daug tikslesnis.
Kai pridėsite, galite rasti ilgą nustatymų sąrašą, kuris daugeliui žmonių nebus prasmingas. Pilnas čia pateikiamų nustatymų sąrašas yra: Nepriklausomas kodų apsauga (ACG), Blokuoti mažo vientisumo vaizdus, Blokuoti nuotolinius vaizdus, Blokuoti nepatikimus šriftus, Kodo vientisumo apsauga, Valdymo srauto apsauga (CFG), Duomenų vykdymo prevencija (DEP), Išjungti plėtinių taškus , Išjungti Win32k sistemos skambučius, Neleisti vaikų procesų, Eksportuoti adresų filtravimą (EAF), Atsitiktinė atsitiktinė atranka vaizdams (Privalomas ASLR), Importuoti adresų filtravimą (IAF), Atsitiktinės atminties priskyrimas (apačioje į viršų ASLR), Simuliavimas vykdymas (SimExec) , Patvirtinkite API iškvietimą (CallerCheck), Patvirtinkite išimties grandines (SEHOP), Patvirtinkite rankenos naudojimą, Patvirtinkite krūvos vientisumą, Patvirtinkite vaizdo priklausomybės vientisumą ir patvirtinkite kamino vientisumą (StackPivot).
Vėlgi, jūs neturėtumėte paliesti šių parinkčių, nebent esate sistemos administratorius, kuris nori užrakinti programą ir tikrai žinote, ką darote.
Kaip testą įgalinome visas „iexplore.exe“ parinktis ir bandėme jį paleisti. „Internet Explorer“ tiesiog parodė klaidos pranešimą ir atsisakė paleisti. Net nematėme „Windows Defender“ pranešimo, kuriame paaiškinta, kad „Internet Explorer“ neveikė dėl mūsų nustatymų.
Ne tik aklai bandykite apriboti programas, ar jums kils panašių problemų jūsų sistemoje. Jie nebus sunku išspręsti, jei neprisimenate, kad pakeitėte pasirinkimus.
Jei vis dar naudojate senesnę „Windows“ versiją, pvz., „Windows 7“, galite gauti išnaudojimo apsaugos funkcijas įdiegdami „Microsoft“ EMET arba „Malwarebytes“. Tačiau parama „EMET“ nustos galioti 2018 m. Liepos 31 d., Nes „Microsoft“ nori versti įmones į „Windows 10“ ir „Windows Defender“ naudojimo apsaugą.