Microsofts Fall Creators Update tilføjer endelig integreret udnyttelsesbeskyttelse til Windows. Du har tidligere været nødt til at søge dette i form af Microsofts EMET-værktøj. Det er nu en del af Windows Defender og er aktiveret som standard.
Sådan fungerer Windows Defenders udnyttelsesbeskyttelse
RELATEREDE: Nyheder i Windows 10's Fall Creators Update, tilgængelig nu
Vi har længe anbefalet ved hjælp af anti-udnyttelsessoftware som Microsofts Enhanced Mitigation Experience Toolkit (EMET) eller det mere brugervenlige Malwarebytes Anti-Malware , som indeholder en kraftig anti-udnyttelsesfunktion (blandt andet). Microsofts EMET bruges i vid udstrækning på større netværk, hvor det kan konfigureres af systemadministratorer, men det blev aldrig installeret som standard, kræver konfiguration og har en forvirrende grænseflade til gennemsnitlige brugere.
Typiske antivirusprogrammer, som f.eks Windows Defender bruger virusdefinitioner og heuristikker til at fange farlige programmer, før de kan køre på dit system. Anti-udnyttelsesværktøjer forhindrer faktisk, at mange populære angrebsteknikker overhovedet fungerer, så de farlige programmer kommer først på dit system. De muliggør visse operativsystembeskyttelse og blokerer almindelige hukommelsesudnyttelsesteknikker, så hvis der opdages udnyttelsesagtig opførsel, vil de afslutte processen, før der sker noget dårligt. Med andre ord kan de beskytte mod mange nul-dags angreb inden de lappes.
De kan dog muligvis forårsage kompatibilitetsproblemer, og deres indstillinger skal muligvis justeres for forskellige programmer. Derfor blev EMET generelt brugt på virksomhedsnetværk, hvor systemadministratorer kunne tilpasse indstillingerne og ikke på hjemme-pc'er.
Windows Defender inkluderer nu mange af de samme beskyttelser, som oprindeligt blev fundet i Microsofts EMET. De er aktiveret som standard for alle og er en del af operativsystemet. Windows Defender konfigurerer automatisk passende regler for forskellige processer, der kører på dit system. ( Malwarebytes hævder stadig, at deres anti-exploit-funktion er overlegen , og vi anbefaler stadig at bruge Malwarebytes, men det er godt, at Windows Defender også har noget af dette indbyggede nu.)
Denne funktion aktiveres automatisk, hvis du har opgraderet til Windows 10's Fall Creators Update, og EMET understøttes ikke længere. EMET kan ikke engang installeres på pc'er, der kører Fall Creators Update. Hvis du allerede har EMET installeret, vil det være fjernet ved opdateringen .
RELATEREDE: Sådan beskyttes dine filer mod Ransomware med Windows Defenders nye "Kontrollerede mappeadgang"
Windows 10's Fall Creators Update indeholder også en relateret sikkerhedsfunktion med navnet Kontrolleret mappeadgang . Det er designet til at stoppe malware ved kun at tillade programmer, der er tillid til, at ændre filer i dine personlige datamapper, såsom Dokumenter og Billeder. Begge funktioner er en del af "Windows Defender Exploit Guard". Kontrolleret mappeadgang er dog ikke aktiveret som standard.
Sådan bekræftes udnyttelsesbeskyttelse er aktiveret
Denne funktion er automatisk aktiveret til alle Windows 10-pc'er. Det kan dog også skiftes til "Audit mode", så systemadministratorer kan overvåge en logbog over, hvad Exploit Protection ville have gjort for at bekræfte, at det ikke vil medføre problemer, før det aktiveres på kritiske pc'er.
For at bekræfte, at denne funktion er aktiveret, kan du åbne Windows Defender Security Center. Åbn din Start-menu, søg efter Windows Defender, og klik på Windows Defender Security Center-genvejen.
Klik på det vinduesformede ikon "App & browser control" i sidepanelet. Rul ned, og du vil se afsnittet "Udnyttelsesbeskyttelse". Det informerer dig om, at denne funktion er aktiveret.
Hvis du ikke kan se dette afsnit, er din pc sandsynligvis ikke opdateret til Fall Creators Update endnu.
Sådan konfigureres Windows Defenders udnyttelsesbeskyttelse
Advarsel : Du vil sandsynligvis ikke konfigurere denne funktion. Windows Defender tilbyder mange tekniske muligheder, du kan justere, og de fleste ved ikke, hvad de laver her. Denne funktion er konfigureret med smarte standardindstillinger, der undgår at forårsage problemer, og Microsoft kan opdatere sine regler over tid. Valgmulighederne her synes primært at hjælpe systemadministratorer med at udvikle regler for software og udrulning på et virksomhedsnetværk.
Hvis du ønsker at konfigurere Exploit Protection, skal du gå til Windows Defender Security Center> App- og browserkontrol, rulle ned og klikke på "Exploit protection settings" under Exploit protection.
Du kan se to faner her: Systemindstillinger og Programindstillinger. Systemindstillinger styrer standardindstillingerne, der bruges til alle applikationer, mens programindstillinger styrer de individuelle indstillinger, der bruges til forskellige programmer. Med andre ord kan programindstillinger tilsidesætte systemindstillingerne for individuelle programmer. De kunne være mere restriktive eller mindre restriktive.
Nederst på skærmen kan du klikke på "Eksportindstillinger" for at eksportere dine indstillinger som en .xml-fil, som du kan importere til andre systemer. Microsofts officielle dokumentation giver mere information om implementering af regler med gruppepolitik og PowerShell.
På fanen Systemindstillinger kan du se følgende muligheder: Control flow guard (CFG), Data Execution Prevention (DEP), Force randomization for images (Obligatorisk ASLR), Randomize memory allocations (Bottom-up ASLR), Validate undtagelseskæder (SEHOP), og validér bunkeintegritet. De er alle tændt som standard undtagen indstillingen Force Force randomization for images (Obligatorisk ASLR). Det er sandsynligt, fordi obligatorisk ASLR forårsager problemer med nogle programmer, så du kan støde på kompatibilitetsproblemer, hvis du aktiverer det afhængigt af de programmer, du kører.
Igen skal du virkelig ikke røre ved disse muligheder, medmindre du ved hvad du laver. Standardindstillingerne er fornuftige og vælges af en grund.
RELATEREDE: Hvorfor 64-bit versionen af Windows er mere sikker
Grænsefladen giver en meget kort oversigt over, hvad hver mulighed gør, men du bliver nødt til at undersøge noget, hvis du vil vide mere. Vi har tidligere forklaret hvad DEP og ASLR gør her .
Klik over til fanen "Programindstillinger", og du vil se en liste over forskellige programmer med brugerdefinerede indstillinger. Indstillingerne her gør det muligt at tilsidesætte de samlede systemindstillinger. Hvis du f.eks. Vælger "iexplore.exe" på listen og klikker på "Rediger", vil du se, at reglen her kraftigt aktiverer obligatorisk ASLR til Internet Explorer-processen, selvom den ikke er aktiveret som standard hele systemet.
Du bør ikke manipulere med disse indbyggede regler for processer som f.eks runtimebroker.exe og spoolsv.exe . Microsoft tilføjede dem af en grund.
Du kan tilføje brugerdefinerede regler for individuelle programmer ved at klikke på “Tilføj program for at tilpasse”. Du kan enten “Tilføj efter programnavn” eller “Vælg nøjagtig filsti”, men det er meget mere præcist at angive en nøjagtig filsti.
Når du er tilføjet, kan du finde en lang liste over indstillinger, der ikke betyder for de fleste. Den fulde liste over tilgængelige indstillinger er: Tilfældig kodebeskyttelse (ACG), Blokering af billeder med lav integritet, Blokering af fjernbilleder, Blokering af ikke-betroede skrifttyper, Kodeintegritetsbeskyttelse, Kontrolstrømsbeskyttelse (CFG), Forebyggelse af dataekspektion (DEP) , Deaktiver Win32k-systemopkald, Tillad ikke underordnede processer, Eksporter adressefiltrering (EAF), Tving randomisering til billeder (Obligatorisk ASLR), Import adressefiltrering (IAF), Tilfældig hukommelsesallokering (Bottom-up ASLR), Simuler udførelse (SimExec) , Validate API invocation (CallerCheck), Validate undtagelseskæder (SEHOP), Validate handling usage, Validate heap integrity, Validate image dependency integrity and Validate stack integrity (StackPivot).
Igen skal du ikke røre ved disse muligheder, medmindre du er en systemadministrator, der ønsker at låse en applikation ned, og du virkelig ved, hvad du laver.
Som en test aktiverede vi alle mulighederne for iexplore.exe og forsøgte at starte den. Internet Explorer viste bare en fejlmeddelelse og nægtede at starte. Vi så ikke engang en Windows Defender-meddelelse, der forklarede, at Internet Explorer ikke fungerede på grund af vores indstillinger.
Forsøg ikke bare blindt at begrænse applikationer, ellers vil du forårsage lignende problemer på dit system. De vil være vanskelige at foretage fejlfinding, hvis du ikke kan huske, at du også har ændret indstillingerne.
Hvis du stadig bruger en ældre version af Windows, som Windows 7, kan du få udnyttelsesbeskyttelsesfunktioner ved at installere Microsofts EMET eller Malwarebytes . Support til EMET stopper dog den 31. juli 2018, da Microsoft i stedet ønsker at skubbe virksomheder mod Windows 10 og Windows Defenders Exploit Protection.
