Microsoftin Fall Creators -päivitys lopulta lisää integroidun hyödyntämisen suojauksen Windowsiin. Aikaisemmin sinun piti etsiä tämä Microsoftin EMET-työkalun muodossa. Se on nyt osa Windows Defenderiä ja se on oletusarvoisesti aktivoitu.
Kuinka Windows Defenderin hyödyntämissuoja toimii
LIITTYVÄT: Uutta Windows 10: n Fall Creators -päivityksessä, saatavilla nyt
Olemme jo pitkään suositelleet käyttämällä hyödyntämisen estäviä ohjelmistoja kuten Microsoftin Enhanced Mitigation Experience Toolkit (EMET) tai käyttäjäystävällisempi Malwarebytes Anti-Malware , joka sisältää tehokkaan hyödyntämisen estävän ominaisuuden (muun muassa). Microsoftin EMET Sitä käytetään laajalti suuremmissa verkoissa, joissa järjestelmänvalvojat voivat määrittää sen, mutta sitä ei koskaan asennettu oletusarvoisesti, se vaatii kokoonpanon ja sillä on hämmentävä käyttöliittymä tavallisille käyttäjille.
Tyypilliset virustentorjuntaohjelmat, kuten Windows Defender Käytä virusten määritelmiä ja heuristiikkaa tartuttaaksesi vaarallisiin ohjelmiin ennen kuin ne voivat toimia järjestelmässäsi. Hyödyntämisen estotyökalut estävät monia suosittuja hyökkäystekniikoita toimimasta ollenkaan, joten nuo vaaralliset ohjelmat eivät pääse järjestelmääsi ensiksi. Ne mahdollistavat tietyt käyttöjärjestelmän suojaukset ja estävät yhteiset muistin hyödyntämistekniikat, joten jos havaitaan hyödyntämisen kaltainen käyttäytyminen, ne lopettavat prosessin ennen kuin tapahtuu mitään pahaa. Toisin sanoen ne voivat suojata monilta nollapäivän hyökkäykset ennen kuin niitä korjataan.
Ne voivat kuitenkin aiheuttaa yhteensopivuusongelmia, ja niiden asetuksia voidaan joutua muokkaamaan eri ohjelmille. Siksi EMETiä käytettiin yleensä yritysverkoissa, joissa järjestelmänvalvojat pystyivät säätämään asetuksia, eivätkä kotitietokoneissa.
Windows Defender sisältää nyt monia samoja suojauksia, jotka löytyivät alun perin Microsoftin EMETistä. Ne ovat oletusarvoisesti käytössä kaikille ja ovat osa käyttöjärjestelmää. Windows Defender määrittää automaattisesti sopivat säännöt järjestelmän eri prosesseille. ( Malwarebytes väittää edelleen, että niiden hyödyntämisen estävä ominaisuus on ylivoimainen , ja suosittelemme edelleen Malwarebytes-ohjelmiston käyttöä, mutta on hyvä, että Windows Defenderillä on myös osa tätä sisäänrakennettua nyt.)
Tämä ominaisuus otetaan automaattisesti käyttöön, jos olet päivittänyt Windows 10: n Fall Creators Update -päivitykseen, eikä EMETiä enää tueta. EMETiä ei voi asentaa edes tietokoneille, joissa on Fall Creators Update. Jos sinulla on jo EMET asennettuna, se on poistettu päivityksellä .
LIITTYVÄT: Kuinka suojata tiedostoja lunnasohjelmilta Windows Defenderin uudella "hallitulla kansioilla"
Windows 10: n Fall Creators -päivitys sisältää myös siihen liittyvän tietoturvaominaisuuden Hallittu kansioiden käyttö . Se on suunniteltu pysäyttämään haittaohjelmat sallimalla luotettavien ohjelmien muokata vain henkilötietokansioissasi olevia tiedostoja, kuten Asiakirjat ja Kuvat. Molemmat ominaisuudet ovat osa Windows Defender Exploit Guard -ohjelmaa. Ohjattu kansioiden käyttö ei kuitenkaan ole oletusarvoisesti käytössä.
Kuinka varmistaa, että käyttösuojaus on käytössä
Tämä ominaisuus on automaattisesti käytössä kaikissa Windows 10 -tietokoneissa. Se voidaan kuitenkin myös vaihtaa "Tarkastustilaan", jolloin järjestelmänvalvojat voivat seurata lokia siitä, mitä Exploit Protection olisi tehnyt vahvistaakseen, että se ei aiheuta ongelmia, ennen kuin se otetaan käyttöön kriittisillä tietokoneilla.
Voit varmistaa, että tämä ominaisuus on käytössä, avaamalla Windows Defenderin tietoturvakeskus. Avaa Käynnistä-valikko, etsi Windows Defender ja napsauta Windows Defenderin tietoturvakeskuksen pikakuvaketta.
Napsauta ikkunanmuotoista Sovelluksen ja selaimen hallinta -kuvaketta sivupalkissa. Vieritä alaspäin ja näet "Hyödynnä suojaus" -osion. Se ilmoittaa, että tämä ominaisuus on käytössä.
Jos et näe tätä osiota, tietokoneesi ei todennäköisesti ole vielä päivittynyt Fall Creators -päivitykseen.
Kuinka määrittää Windows Defenderin hyödyntämissuojaus
Varoitus : Et todennäköisesti halua määrittää tätä ominaisuutta. Windows Defender tarjoaa monia teknisiä vaihtoehtoja, joita voit säätää, ja useimmat ihmiset eivät tiedä, mitä he tekevät täällä. Tämä ominaisuus on määritetty älykkäillä oletusasetuksilla, jotka eivät aiheuta ongelmia, ja Microsoft voi päivittää sääntöjään ajan myötä. Tässä olevat vaihtoehdot näyttävät ensisijaisesti auttavan järjestelmänvalvojia kehittämään ohjelmistosääntöjä ja ottamaan ne käyttöön yritysverkossa.
Jos haluat määrittää Exploit Protectionin, siirry kohtaan Windows Defender Security Center> Sovellusten ja selainten hallinta, vieritä alaspäin ja napsauta Exploit Protection -kohdassa ”Exploit protection settings”.
Näet kaksi välilehteä: Järjestelmäasetukset ja Ohjelma-asetukset. Järjestelmäasetukset ohjaavat kaikkien sovellusten oletusasetuksia, kun taas Ohjelma-asetukset ohjaavat eri ohjelmille käytettyjä yksittäisiä asetuksia. Toisin sanoen Ohjelma-asetukset voivat ohittaa yksittäisten ohjelmien järjestelmäasetukset. Ne voivat olla rajoittavampia tai vähemmän rajoittavia.
Voit viedä asetukset xx-tiedostona, jonka voit tuoda muihin järjestelmiin, napsauttamalla näytön alareunassa Vie asetukset. Microsoftin virallisissa asiakirjoissa on lisätietoja käyttöön sääntöjä ryhmäkäytännön ja PowerShellin kanssa.
Järjestelmäasetukset-välilehdessä näet seuraavat vaihtoehdot: Ohjausvirtaussuoja (CFG), Tietojen suorittamisen esto (DEP), Pakota satunnaistaminen kuville (Pakollinen ASLR), Satunnaismuistin kohdentaminen (alhaalta ylöspäin ASLR), Vahvista poikkeusketjut (SEHOP) ja Vahvista kasan eheys. Ne ovat oletusarvoisesti käytössä, paitsi Pakota kuvien satunnaistaminen (Pakollinen ASLR) -vaihtoehto. Tämä johtuu todennäköisesti siitä, että pakollinen ASLR aiheuttaa ongelmia joissakin ohjelmissa, joten yhteensopivuusongelmia saattaa ilmetä, jos otat sen käyttöön suorittamiesi ohjelmien mukaan.
Jälleen, sinun ei todellakaan tule koskettaa näitä vaihtoehtoja, ellet tiedä mitä olet tekemässä. Oletukset ovat järkeviä ja ne valitaan syystä.
LIITTYVÄT: Miksi Windowsin 64-bittinen versio on turvallisempi
Käyttöliittymä tarjoaa hyvin lyhyen yhteenvedon kunkin vaihtoehdon toiminnasta, mutta sinun on tehtävä jonkin verran tutkimusta, jos haluat tietää enemmän. Olemme aiemmin selittäneet mitä DEP ja ASLR tekevät täällä .
Napsauta Ohjelma-asetukset-välilehteä ja näet luettelon erilaisista ohjelmista, joissa on mukautetut asetukset. Tässä olevat vaihtoehdot mahdollistavat järjestelmän yleisten asetusten ohittamisen. Jos esimerkiksi valitset luettelosta iexplore.exe ja napsautat Muokkaa, huomaat, että tässä oleva sääntö sallii pakollisen ASLR: n Internet Explorer -prosessissa, vaikka se ei oletusarvoisesti ole käytössä koko järjestelmässä.
Sinun ei pitäisi muuttaa näitä sisäänrakennettuja sääntöjä esimerkiksi runtimebroker.exe ja spoolsv.exe . Microsoft lisäsi ne syystä.
Voit lisätä mukautettuja sääntöjä yksittäisille ohjelmille valitsemalla Lisää ohjelma mukautettavaksi. Voit joko "Lisää ohjelman nimellä" tai "Valitse tarkka tiedostopolku", mutta tarkan tiedostopolun määrittäminen on paljon tarkempaa.
Kun olet lisännyt, löydät pitkän luettelon asetuksista, jotka eivät ole merkityksellisiä useimmille ihmisille. Täydellinen luettelo käytettävissä olevista asetuksista on: mielivaltainen koodisuoja (ACG), estä matalan eheyden kuvat, estä etäkuvat, estä epäluotettavat fontit, koodin eheyden suojaus, ohjauksen vuon suojaus (CFG), tietojen suorittamisen esto (DEP), poista laajennuskohdat käytöstä , Poista Win32k-järjestelmäkutsu käytöstä, Älä salli aliprosesseja, Vie osoitesuodatus (EAF), Pakota satunnaistaminen kuville (Pakollinen ASLR), Tuo osoitesuodatus (IAF), Satunnaista muistijaotukset (alhaalta ylöspäin ASLR), Simuloi suoritus (SimExec) , Vahvista sovellusliittymäkutsu (CallerCheck), Vahvista poikkeusketjut (SEHOP), Vahvista kahvan käyttö, Vahvista kasan eheys, Vahvista kuvan riippuvuuden eheys ja Vahvista pinon eheys (StackPivot).
Jälleen, sinun ei pitäisi koskettaa näitä vaihtoehtoja, ellet ole järjestelmänvalvoja, joka haluaa lukita sovelluksen ja tiedät todella, mitä olet tekemässä.
Testinä otimme käyttöön kaikki iexplore.exe-vaihtoehdot ja yritimme käynnistää sen. Internet Explorer näytti vain virheilmoituksen ja kieltäytyi käynnistämästä. Emme edes nähneet Windows Defender -ilmoitusta, jossa selitettäisiin, että Internet Explorer ei toiminut asetusten takia.
Älä yritä vain sokeasti rajoittaa sovelluksia, muuten aiheutat vastaavia ongelmia järjestelmässäsi. Niiden vianmääritys on vaikeaa, jos et muista, että muutit myös vaihtoehtoja.
Jos käytät edelleen vanhempaa Windows-versiota, kuten Windows 7, voit saada suojausominaisuuksia asentamalla Microsoftin EMET tai Malwarebytes . EMET-tuki loppuu kuitenkin 31. heinäkuuta 2018, kun Microsoft haluaa ajaa yrityksiä kohti Windows 10: tä ja Windows Defenderin hyödyntämissuojaa.
