Microsoft Ενημέρωση Fall Creators προσθέτει τελικά ενσωματωμένη προστασία εκμετάλλευσης στα Windows. Στο παρελθόν έπρεπε να το αναζητήσετε με τη μορφή του εργαλείου EMET της Microsoft. Είναι πλέον μέρος του Windows Defender και ενεργοποιείται από προεπιλογή.
Πώς λειτουργεί το Exploit Protection του Windows Defender
ΣΧΕΤΙΖΟΜΑΙ ΜΕ: Τι νέο υπάρχει στην ενημέρωση Fall Creators των Windows 10, διαθέσιμο τώρα
Συνιστούμε εδώ και πολύ καιρό χρησιμοποιώντας λογισμικό κατά της εκμετάλλευσης όπως το Enhanced Mitigation Experience Toolkit της Microsoft (EMET) ή το πιο φιλικό προς τον χρήστη Malwarebytes Anti-Malware , το οποίο περιέχει ένα ισχυρό χαρακτηριστικό κατά της εκμετάλλευσης (μεταξύ άλλων). EMET της Microsoft χρησιμοποιείται ευρέως σε μεγαλύτερα δίκτυα όπου μπορεί να ρυθμιστεί από διαχειριστές συστήματος, αλλά δεν εγκαταστάθηκε ποτέ από προεπιλογή, απαιτεί διαμόρφωση και έχει μια σύγχυση διεπαφή για τους μέσους χρήστες.
Τυπικά προγράμματα προστασίας από ιούς, όπως Windows Defender από μόνη της, χρησιμοποιήστε τους ορισμούς του ιού και τα ευρετικά για να πιάσετε επικίνδυνα προγράμματα προτού μπορέσουν να εκτελεστούν στο σύστημά σας. Τα εργαλεία κατά της εκμετάλλευσης εμποδίζουν πραγματικά τη λειτουργία πολλών δημοφιλών τεχνικών επίθεσης, επομένως αυτά τα επικίνδυνα προγράμματα δεν εισάγονται πρώτα στο σύστημά σας. Ενεργοποιούν συγκεκριμένες προστασίες λειτουργικού συστήματος και αποκλείουν κοινές τεχνικές εκμετάλλευσης μνήμης, έτσι ώστε εάν ανιχνευθεί συμπεριφορά που μοιάζει με εκμετάλλευση, θα τερματίσει τη διαδικασία πριν συμβεί κάτι κακό. Με άλλα λόγια, μπορούν να προστατεύσουν από πολλούς μηδενικές επιθέσεις πριν επιδιορθωθούν.
Ωστόσο, θα μπορούσαν ενδεχομένως να προκαλέσουν προβλήματα συμβατότητας και οι ρυθμίσεις τους ενδέχεται να πρέπει να τροποποιηθούν για διαφορετικά προγράμματα. Γι 'αυτό το EMET χρησιμοποιήθηκε γενικά σε εταιρικά δίκτυα, όπου οι διαχειριστές συστήματος μπορούσαν να τροποποιήσουν τις ρυθμίσεις και όχι σε οικιακούς υπολογιστές.
Το Windows Defender περιλαμβάνει τώρα πολλές από αυτές τις ίδιες προστασίες, οι οποίες αρχικά βρέθηκαν στο EMET της Microsoft. Ενεργοποιούνται από προεπιλογή για όλους και αποτελούν μέρος του λειτουργικού συστήματος. Το Windows Defender διαμορφώνει αυτόματα κατάλληλους κανόνες για διαφορετικές διαδικασίες που εκτελούνται στο σύστημά σας. ( Η Malwarebytes εξακολουθεί να ισχυρίζεται ότι το anti-exploit χαρακτηριστικό τους είναι ανώτερο , και εξακολουθούμε να προτείνουμε τη χρήση Malwarebytes, αλλά είναι καλό που το Windows Defender διαθέτει και αυτό το ενσωματωμένο τώρα.)
Αυτή η λειτουργία ενεργοποιείται αυτόματα, εάν έχετε αναβαθμίσει το Fall Creators Update των Windows 10 και το EMET δεν υποστηρίζεται πλέον. Το EMET δεν μπορεί καν να εγκατασταθεί σε υπολογιστές που εκτελούν το Fall Creators Update. Εάν έχετε ήδη εγκαταστήσει το EMET, θα είναι καταργήθηκε από την ενημέρωση .
ΣΧΕΤΙΖΟΜΑΙ ΜΕ: Πώς να προστατεύσετε τα αρχεία σας από το λογισμικό Ransomware με τη νέα "Ελεγχόμενη πρόσβαση φακέλων" του Windows Defender
Το Windows 10’s Fall Creators Update περιλαμβάνει επίσης μια σχετική δυνατότητα ασφαλείας που ονομάζεται Ελεγχόμενη πρόσβαση φακέλου . Έχει σχεδιαστεί για να σταματά το κακόβουλο λογισμικό επιτρέποντας μόνο σε αξιόπιστα προγράμματα να τροποποιούν αρχεία στους προσωπικούς σας φακέλους δεδομένων, όπως Έγγραφα και Εικόνες. Και οι δύο λειτουργίες αποτελούν μέρος του "Windows Defender Exploit Guard". Ωστόσο, η Ελεγχόμενη πρόσβαση φακέλων δεν είναι ενεργοποιημένη από προεπιλογή.
Ο τρόπος επιβεβαίωσης της προστασίας εκμετάλλευσης είναι ενεργοποιημένος
Αυτή η δυνατότητα ενεργοποιείται αυτόματα για όλους τους υπολογιστές με Windows 10. Ωστόσο, μπορεί επίσης να αλλάξει σε "Λειτουργία ελέγχου", επιτρέποντας στους διαχειριστές συστήματος να παρακολουθούν ένα αρχείο καταγραφής του τι θα έκανε η Exploit Protection για να επιβεβαιώσει ότι δεν θα προκαλέσει προβλήματα πριν την ενεργοποιήσετε σε κρίσιμους υπολογιστές.
Για να επιβεβαιώσετε ότι αυτή η δυνατότητα είναι ενεργοποιημένη, μπορείτε να ανοίξετε το Κέντρο ασφαλείας Windows Defender. Ανοίξτε το μενού Έναρξη, αναζητήστε το Windows Defender και κάντε κλικ στη συντόμευση του Windows Defender Security Center.
Κάντε κλικ στο εικονίδιο "Εφαρμογή & έλεγχος προγράμματος περιήγησης" σε σχήμα παραθύρου στην πλευρική γραμμή. Κάντε κύλιση προς τα κάτω και θα δείτε την ενότητα "Προστασία από την εκμετάλλευση". Θα σας ενημερώσει ότι αυτή η λειτουργία είναι ενεργοποιημένη.
Εάν δεν βλέπετε αυτήν την ενότητα, ο υπολογιστής σας πιθανότατα δεν έχει ενημερωθεί ακόμη στο Fall Creators Update.
Τρόπος ρύθμισης παραμέτρων της προστασίας εκμετάλλευσης του Windows Defender
Προειδοποίηση : Πιθανότατα δεν θέλετε να διαμορφώσετε αυτήν τη λειτουργία. Το Windows Defender προσφέρει πολλές τεχνικές επιλογές που μπορείτε να προσαρμόσετε και τα περισσότερα άτομα δεν θα ξέρουν τι κάνουν εδώ. Αυτή η δυνατότητα έχει διαμορφωθεί με έξυπνες προεπιλεγμένες ρυθμίσεις που θα αποτρέψουν την πρόκληση προβλημάτων και η Microsoft μπορεί να ενημερώσει τους κανόνες της με την πάροδο του χρόνου. Οι επιλογές εδώ φαίνεται να προορίζονται κυρίως για να βοηθήσουν τους διαχειριστές συστήματος να αναπτύξουν κανόνες για λογισμικό και να τους αναπτύξουν σε ένα εταιρικό δίκτυο.
Εάν θέλετε να ρυθμίσετε τις παραμέτρους του Exploit Protection, μεταβείτε στο Κέντρο ασφαλείας του Windows Defender> Έλεγχος εφαρμογών και προγράμματος περιήγησης, κάντε κύλιση προς τα κάτω και κάντε κλικ στην επιλογή "Ρυθμίσεις προστασίας εκμετάλλευσης" στην περιοχή Προστασία από την εκμετάλλευση.
Θα δείτε δύο καρτέλες εδώ: Ρυθμίσεις συστήματος και Ρυθμίσεις προγράμματος. Οι ρυθμίσεις συστήματος ελέγχουν τις προεπιλεγμένες ρυθμίσεις που χρησιμοποιούνται για όλες τις εφαρμογές, ενώ οι ρυθμίσεις προγράμματος ελέγχουν τις μεμονωμένες ρυθμίσεις που χρησιμοποιούνται για διάφορα προγράμματα. Με άλλα λόγια, οι ρυθμίσεις προγράμματος μπορούν να αντικαταστήσουν τις ρυθμίσεις συστήματος για μεμονωμένα προγράμματα. Θα μπορούσαν να είναι πιο περιοριστικοί ή λιγότερο περιοριστικοί.
Στο κάτω μέρος της οθόνης, μπορείτε να κάνετε κλικ στο "Εξαγωγή ρυθμίσεων" για να εξαγάγετε τις ρυθμίσεις σας ως αρχείο .xml που μπορείτε να εισαγάγετε σε άλλα συστήματα. Η επίσημη τεκμηρίωση της Microsoft προσφέρει περισσότερες πληροφορίες σχετικά με ανάπτυξη κανόνων με την πολιτική ομάδας και το PowerShell.
Στην καρτέλα Ρυθμίσεις συστήματος, θα δείτε τις ακόλουθες επιλογές: Προστατευτικό ροής ελέγχου (CFG), Πρόληψη εκτέλεσης δεδομένων (DEP), Δύναμη τυχαιοποίηση για εικόνες (Υποχρεωτικό ASLR), Τυχαία κατανομή μνήμης (Bottom-up ASLR), Επικύρωση αλυσίδων εξαίρεσης (SEHOP) και επικύρωση ακεραιότητας σωρού. Είναι όλα ενεργοποιημένα από προεπιλογή, εκτός από την επιλογή Εξαίρεση τυχαιοποίησης για εικόνες (Υποχρεωτική ASLR). Αυτό είναι πιθανό επειδή το υποχρεωτικό ASLR προκαλεί προβλήματα σε ορισμένα προγράμματα, επομένως ενδέχεται να αντιμετωπίσετε προβλήματα συμβατότητας εάν το ενεργοποιήσετε, ανάλογα με τα προγράμματα που εκτελείτε.
Και πάλι, δεν πρέπει να αγγίξετε αυτές τις επιλογές εκτός και αν ξέρετε τι κάνετε. Οι προεπιλογές είναι λογικές και επιλέγονται για κάποιο λόγο.
ΣΧΕΤΙΖΟΜΑΙ ΜΕ: Γιατί η έκδοση 64-bit των Windows είναι πιο ασφαλής
Η διεπαφή παρέχει μια πολύ σύντομη περίληψη του τι κάνει κάθε επιλογή, αλλά θα πρέπει να κάνετε κάποια έρευνα εάν θέλετε να μάθετε περισσότερα. Έχουμε εξηγήσει προηγουμένως τι κάνουν οι DEP και ASLR εδώ .
Κάντε κλικ στην καρτέλα "Ρυθμίσεις προγράμματος" και θα δείτε μια λίστα με διαφορετικά προγράμματα με προσαρμοσμένες ρυθμίσεις. Οι επιλογές εδώ επιτρέπουν την παράκαμψη των συνολικών ρυθμίσεων συστήματος. Για παράδειγμα, εάν επιλέξετε "iexplore.exe" στη λίστα και κάνετε κλικ στο "Επεξεργασία", θα δείτε ότι ο κανόνας εδώ ενεργοποιεί δυναμικά το Υποχρεωτικό ASLR για τη διαδικασία του Internet Explorer, παρόλο που δεν είναι ενεργοποιημένο από προεπιλογή σε ολόκληρο το σύστημα.
Δεν πρέπει να παραβιάζετε αυτούς τους ενσωματωμένους κανόνες για διαδικασίες όπως runtimebroker.exe και spoolsv.exe . Η Microsoft τα πρόσθεσε για έναν λόγο.
Μπορείτε να προσθέσετε προσαρμοσμένους κανόνες για μεμονωμένα προγράμματα κάνοντας κλικ στο "Προσθήκη προγράμματος για προσαρμογή". Μπορείτε είτε "Προσθήκη κατά όνομα προγράμματος" είτε "Επιλογή ακριβούς διαδρομής αρχείου", αλλά ο καθορισμός μιας ακριβούς διαδρομής αρχείου είναι πολύ πιο ακριβής.
Μόλις προστεθεί, μπορείτε να βρείτε μια μεγάλη λίστα ρυθμίσεων που δεν θα έχουν νόημα για τα περισσότερα άτομα. Ο πλήρης κατάλογος των διαθέσιμων ρυθμίσεων είναι: Αυθαίρετος προφυλακτήρας κώδικα (ACG), Αποκλεισμός εικόνων χαμηλής ακεραιότητας, Αποκλεισμός απομακρυσμένων εικόνων, Αποκλεισμός μη αξιόπιστων γραμματοσειρών, Προστατευτικό ακεραιότητας κώδικα, Προστατευτικό ροής ελέγχου (CFG), Πρόληψη εκτέλεσης δεδομένων (DEP), Απενεργοποίηση σημείων επέκτασης , Απενεργοποίηση κλήσεων συστήματος Win32k, Να μην επιτρέπονται παιδικές διαδικασίες, Εξαγωγή φιλτραρίσματος διευθύνσεων (EAF), Αναγκαστική τυχαιοποίηση για εικόνες (Υποχρεωτικό ASLR), Εισαγωγή φιλτραρίσματος διευθύνσεων (IAF), Τυχαία κατανομή μνήμης (Bottom-up ASLR), Προσομοίωση εκτέλεσης (SimExec) , Επικύρωση επίκλησης API (CallerCheck), Επικύρωση αλυσίδων εξαίρεσης (SEHOP), Επικύρωση χρήσης λαβής, Επικύρωση ακεραιότητας σωρού, Επικύρωση ακεραιότητας εξάρτησης εικόνας και Επικύρωση ακεραιότητας στοίβας (StackPivot).
Και πάλι, δεν πρέπει να αγγίξετε αυτές τις επιλογές, εκτός εάν είστε διαχειριστής συστήματος που θέλει να κλειδώσει μια εφαρμογή και γνωρίζετε πραγματικά τι κάνετε.
Ως δοκιμή, ενεργοποιήσαμε όλες τις επιλογές για το iexplore.exe και προσπαθήσαμε να το ξεκινήσουμε. Ο Internet Explorer μόλις έδειξε ένα μήνυμα σφάλματος και αρνήθηκε να ξεκινήσει. Δεν είδαμε καν μια ειδοποίηση του Windows Defender να εξηγεί ότι ο Internet Explorer δεν λειτουργούσε λόγω των ρυθμίσεών μας.
Μην προσπαθείτε απλά να περιορίσετε τυφλά τις εφαρμογές, ή θα προκαλέσετε παρόμοια προβλήματα στο σύστημά σας. Θα είναι δύσκολο να αντιμετωπιστούν αν δεν θυμάστε ότι αλλάξατε και τις επιλογές.
Εάν εξακολουθείτε να χρησιμοποιείτε μια παλαιότερη έκδοση των Windows, όπως τα Windows 7, μπορείτε να αποκτήσετε δυνατότητες προστασίας από την εγκατάσταση EMET της Microsoft ή Malwarebytes . Ωστόσο, η υποστήριξη για το EMET θα σταματήσει στις 31 Ιουλίου 2018, καθώς η Microsoft θέλει να ωθήσει τις επιχειρήσεις προς τα Windows 10 και το Windows Defender's Exploit Protection.
