של מיקרוסופט עדכון יוצרי הסתיו סוף סוף מוסיף הגנת ניצול משולבת ל- Windows. בעבר היית צריך לחפש זאת בצורה של כלי EMET של מיקרוסופט. כעת הוא חלק מ- Windows Defender והוא מופעל כברירת מחדל.
כיצד פועלת הגנת הניצול של Windows Defender
קָשׁוּר: מה חדש בעדכון יוצרי הסתיו של Windows 10, זמין כעת
אנחנו ממליצים כבר מזמן באמצעות תוכנה נגד ניצול כמו כלי החוויה המשופרת של מיקרוסופט משופר (EMET) או הידידותי יותר למשתמש Malwarebytes Anti-Malware , המכיל תכונה עוצמתית נגד ניצול (בין היתר). EMET של מיקרוסופט נמצא בשימוש נרחב ברשתות גדולות יותר בהן ניתן להגדיר אותה על ידי מנהלי המערכת, אך היא מעולם לא הותקנה כברירת מחדל, דורשת תצורה ויש לה ממשק מבלבל למשתמשים ממוצעים.
תוכניות אנטי-וירוס אופייניות, כמו Windows Defender עצמה, השתמש בהגדרות וירוסים ויוריסטיקה כדי לתפוס תוכניות מסוכנות לפני שהן יכולות להופיע במערכת שלך. כלים נגד ניצול מונעים למעשה טכניקות התקפה פופולריות רבות בכלל, כך שהתוכניות המסוכנות הללו לא עולות על המערכת שלך מלכתחילה. הם מאפשרים הגנות מסוימות על מערכת ההפעלה וחוסמים טכניקות נפוצות של ניצול זיכרון, כך שאם תתגלה התנהגות כמו ניצול, הם יפסיקו את התהליך לפני שמשהו רע יקרה. במילים אחרות, הם יכולים להגן מפני רבים התקפות יום אפס לפני שהם מתוקנים.
עם זאת, הם עלולים לגרום לבעיות תאימות, וייתכן שיהיה צורך לשנות את ההגדרות שלהם עבור תוכניות שונות. זו הסיבה שבדרך כלל נעשה שימוש ב- EMET ברשתות ארגוניות, שם מנהלי מערכות יכלו לשנות את ההגדרות ולא במחשבים ביתיים.
Windows Defender כולל כעת הרבה מאותן הגנות, שנמצאו במקור ב- EMET של מיקרוסופט. הם מופעלים כברירת מחדל עבור כולם, והם חלק ממערכת ההפעלה. Windows Defender מגדיר באופן אוטומטי כללים מתאימים לתהליכים שונים הפועלים במערכת שלך. ( Malwarebytes עדיין טוען שתכונת האנטי-ניצול שלהם עדיפה , ואנחנו עדיין ממליצים להשתמש ב- Malwarebytes, אך טוב שגם ל- Windows Defender יש חלק מהמשובץ הזה.)
תכונה זו מופעלת אוטומטית אם שדרגת לעדכון יוצרי הסתיו של Windows 10 ו- EMET כבר לא נתמך. לא ניתן אפילו להתקין את EMET במחשבים אישיים המריצים את עדכון יוצרי הסתיו. אם כבר התקנת EMET, זה יהיה הוסר על ידי העדכון .
קָשׁוּר: כיצד להגן על הקבצים שלך מפני כופר באמצעות הגישה החדשה לתיקייה מבוקרת של Windows Defender.
עדכון יוצרי הסתיו של Windows 10 כולל גם תכונת אבטחה קשורה בשם גישה לתיקייה מבוקרת . זה נועד להפסיק תוכנות זדוניות על ידי מתן אפשרות לתוכניות מהימנות רק לשנות קבצים בתיקיות הנתונים האישיים שלך, כמו מסמכים ותמונות. שתי התכונות הן חלק מ- "Windows Defender Exploit Guard". עם זאת, גישה לתיקיות מבוקרות אינה מופעלת כברירת מחדל.
כיצד לאשר הגנת ניצול מופעלת
תכונה זו מופעלת באופן אוטומטי לכל מחשבי Windows 10. עם זאת, ניתן לעבור גם ל"מצב ביקורת ", מה שמאפשר למנהלי מערכות לפקח על יומן רשימת מה שהגנת ניצול הייתה עושה כדי לאשר שהיא לא תגרום לבעיות לפני שתאפשר זאת במחשבים קריטיים.
כדי לאשר שתכונה זו מופעלת, באפשרותך לפתוח את מרכז האבטחה של Windows Defender. פתח את תפריט התחל, חפש את Windows Defender ולחץ על קיצור הדרך של מרכז האבטחה של Windows Defender.
לחץ על סמל "בקרת אפליקציה ודפדפן" בצורת חלון בסרגל הצד. גלול מטה ותראה את הקטע "הגנת ניצול". זה יודיע לך שתכונה זו מופעלת.
אם אינך רואה את החלק הזה, כנראה שהמחשב שלך עדיין לא עודכן לעדכון יוצרי הסתיו.
כיצד להגדיר את הגנת הניצול של Windows Defender
אַזהָרָה : כנראה שאתה לא רוצה להגדיר את התכונה הזו. Windows Defender מציע אפשרויות טכניות רבות שתוכלו להתאים, ורוב האנשים לא יידעו מה הם עושים כאן. תכונה זו מוגדרת עם הגדרות ברירת מחדל חכמות שימנעו גרימת בעיות, ומיקרוסופט יכולה לעדכן את הכללים שלה לאורך זמן. נראה שהאפשרויות כאן נועדו בעיקר לסייע למנהלי מערכות לפתח כללים עבור תוכנה ולהפיץ אותם ברשת ארגונית.
אם אתה רוצה להגדיר הגנה על ניצול, עבור אל מרכז האבטחה של Windows Defender> שליטת אפליקציות ודפדפנים, גלול למטה ולחץ על "הגדרות הגנה על ניצול" תחת הגנת ניצול.
תראה שתי כרטיסיות כאן: הגדרות מערכת והגדרות תוכנית. הגדרות מערכת שולטות בהגדרות ברירת המחדל המשמשות את כל היישומים, ואילו הגדרות התוכנית שולטות בהגדרות האישיות המשמשות עבור תוכניות שונות. במילים אחרות, הגדרות התוכנית יכולות לעקוף את הגדרות המערכת עבור תוכניות בודדות. הם עשויים להיות מגבילים יותר או פחות מגבילים.
בתחתית המסך, תוכלו ללחוץ על "הגדרות ייצוא" כדי לייצא את ההגדרות שלכם כקובץ .xml שתוכלו לייבא למערכות אחרות. התיעוד הרשמי של מיקרוסופט מציע מידע נוסף אודות פריסת כללים עם מדיניות קבוצתית ו- PowerShell.
בכרטיסייה הגדרות מערכת, תראה את האפשרויות הבאות: בקרת זרימת בקרה (CFG), מניעת ביצוע נתונים (DEP), כוח אקראי לתמונות (חובה ASLR), הקצאת זיכרון אקראית (ASLR מלמטה למעלה), אימות שרשראות חריגים (SEHOP), ואמת שלמות ערימה. כולם מופעלים כברירת מחדל, למעט האפשרות לכפות אקראיות לתמונות (ASLR חובה). הסיבה לכך היא ש- ASLR חובה גורם לבעיות בתוכניות מסוימות, כך שתיתקל בבעיות תאימות אם תפעיל זאת, תלוי בתוכניות שאתה מפעיל.
שוב, אתה באמת לא צריך לגעת באפשרויות האלה אלא אם כן אתה יודע מה אתה עושה. ברירות המחדל הן הגיוניות ונבחרות מסיבה כלשהי.
קָשׁוּר: מדוע גרסת ה- 64 סיביות של Windows מאובטחת יותר
הממשק מספק סיכום קצר מאוד של מה שעושה כל אפשרות, אך תצטרך לערוך מחקר אם אתה רוצה לדעת יותר. הסברנו בעבר מה DEP ו- ASLR עושים כאן .
לחץ על הכרטיסייה "הגדרות תוכנית" ותראה רשימה של תוכניות שונות עם הגדרות מותאמות אישית. האפשרויות כאן מאפשרות לעקוף את הגדרות המערכת הכוללות. לדוגמה, אם תבחר "iexplore.exe" ברשימה ולחץ על "ערוך", תראה שהכלל כאן מאפשר בכוח ASLR חובה בתהליך Internet Explorer, למרות שהוא אינו מופעל כברירת מחדל של המערכת.
אתה לא צריך להתעסק עם הכללים המובנים האלה לתהליכים כמו runtimebroker.exe ו spoolsv.exe . מיקרוסופט הוסיפה אותם מסיבה.
באפשרותך להוסיף כללים מותאמים אישית עבור תוכניות בודדות על ידי לחיצה על "הוסף תוכנית להתאמה אישית". אתה יכול "להוסיף לפי שם תוכנית" או "בחר נתיב קובץ מדויק", אך ציון נתיב קובץ מדויק הוא הרבה יותר מדויק.
לאחר ההוספה, תוכל למצוא רשימה ארוכה של הגדרות שלא יהיו משמעותיות עבור רוב האנשים. רשימת ההגדרות המלאה הזמינה כאן היא: שומר קוד שרירותי (ACG), חסימת תמונות שלמות נמוכה, חסימת תמונות מרוחקות, חסימת גופנים לא מהימנים, שומר שלמות קוד, שומר זרימת בקרה (CFG), מניעת ביצוע נתונים (DEP), השבת נקודות סיומת , השבת שיחות מערכת Win32k, אל תאפשר תהליכי ילדים, ייצוא סינון כתובות (EAF), אילוץ אקראי לתמונות (חובה ASLR), ייבוא סינון כתובות (IAF), הקצאת זיכרון אקראית (ASLR מלמטה למעלה), הדמיה של ביצוע (SimExec) , אימות קריאה לממשק API (CallerCheck), אימות שרשראות חריגים (SEHOP), אימות שימוש בידיות, אימות שלמות ערימה, אימות שלמות תלות בתמונות ואימות שלמות מחסנית (StackPivot).
שוב, אתה לא צריך לגעת באפשרויות אלה אלא אם כן אתה מנהל מערכת שרוצה לנעול יישום ואתה באמת יודע מה אתה עושה.
כמבחן, אפשרנו את כל האפשרויות עבור iexplore.exe וניסינו להפעיל אותו. Internet Explorer פשוט הראה הודעת שגיאה וסירב להפעלה. אפילו לא ראינו התראה של Windows Defender המסבירה כי Internet Explorer אינו פועל בגלל ההגדרות שלנו.
אל תנסה רק להגביל יישומים בצורה עיוורת, אחרת תגרום לבעיות דומות במערכת שלך. יהיה קשה לפתור אותן אם אינך זוכר ששינית גם את האפשרויות.
אם אתה עדיין משתמש בגרסה ישנה יותר של Windows, כמו Windows 7, תוכל להתקין תכונות הגנה לנצל EMET של מיקרוסופט אוֹ Malwarebytes . עם זאת, התמיכה ב- EMET תיפסק ב -31 ביולי 2018, מכיוון שמיקרוסופט רוצה לדחוף עסקים לכיוון Windows 10 והגנת הניצול של Windows Defender במקום זאת.
