Microsoft Pembaruan Musim Gugur Pembuat akhirnya menambahkan perlindungan exploit terintegrasi ke Windows. Anda sebelumnya harus mencari ini dalam bentuk alat EMET Microsoft. Sekarang menjadi bagian dari Windows Defender dan diaktifkan secara default.
Cara Kerja Perlindungan Eksploitasi Windows Defender
TERKAIT: Apa yang Baru di Pembaruan Musim Gugur Windows 10, Tersedia Sekarang
Kami sudah lama merekomendasikan menggunakan perangkat lunak anti eksploitasi seperti Perangkat Pengalaman Mitigasi yang Ditingkatkan (EMET) Microsoft atau yang lebih ramah pengguna Malwarebytes Anti-Malware , yang berisi fitur anti-eksploitasi yang kuat (antara lain). EMET Microsoft digunakan secara luas di jaringan yang lebih besar yang dapat dikonfigurasi oleh administrator sistem, tetapi tidak pernah diinstal secara default, memerlukan konfigurasi, dan memiliki antarmuka yang membingungkan untuk pengguna pada umumnya.
Program antivirus umum, seperti Windows Defender sendiri, gunakan definisi virus dan heuristik untuk menangkap program berbahaya sebelum mereka dapat berjalan di sistem Anda. Alat anti-eksploitasi sebenarnya mencegah banyak teknik serangan populer berfungsi sama sekali, sehingga program berbahaya tersebut tidak masuk ke sistem Anda sejak awal. Mereka mengaktifkan perlindungan sistem operasi tertentu dan memblokir teknik eksploitasi memori umum, sehingga jika perilaku mirip exploit terdeteksi, mereka akan menghentikan proses sebelum hal buruk terjadi. Dengan kata lain, mereka dapat melindungi dari banyak orang serangan zero-day sebelum ditambal.
Namun, mereka berpotensi menyebabkan masalah kompatibilitas, dan pengaturannya mungkin harus disesuaikan untuk program yang berbeda. Itulah mengapa EMET umumnya digunakan di jaringan perusahaan, di mana administrator sistem dapat mengubah setelannya, dan bukan di PC rumah.
Windows Defender sekarang menyertakan banyak dari perlindungan yang sama ini, yang awalnya ditemukan di EMET Microsoft. Mereka diaktifkan secara default untuk semua orang, dan merupakan bagian dari sistem operasi. Windows Defender secara otomatis mengkonfigurasi aturan yang sesuai untuk berbagai proses yang berjalan pada sistem Anda. ( Malwarebytes masih mengklaim fitur anti-eksploitasi mereka lebih unggul , dan kami tetap merekomendasikan menggunakan Malwarebytes, tetapi ada baiknya Windows Defender memiliki beberapa fitur bawaan ini sekarang juga.)
Fitur ini secara otomatis diaktifkan jika Anda telah meningkatkan versi ke Pembaruan Musim Gugur Pembuat Windows 10, dan EMET tidak lagi didukung. EMET bahkan tidak dapat diinstal pada PC yang menjalankan Pembaruan Musim Gugur Pembuat. Jika Anda sudah menginstal EMET, itu akan dihapus oleh pembaruan .
Pembaruan Musim Gugur Windows 10 juga menyertakan fitur keamanan terkait bernama Akses Folder Terkendali . Ini dirancang untuk menghentikan perangkat lunak jahat dengan hanya mengizinkan program tepercaya untuk mengubah file di folder data pribadi Anda, seperti Dokumen dan Gambar. Kedua fitur tersebut merupakan bagian dari "Windows Defender Exploit Guard". Namun, Akses Folder Terkendali tidak diaktifkan secara default.
Cara Mengonfirmasi Perlindungan Eksploitasi Diaktifkan
Fitur ini secara otomatis diaktifkan untuk semua PC Windows 10. Namun, itu juga dapat dialihkan ke "mode Audit", memungkinkan administrator sistem untuk memantau log dari apa yang akan dilakukan Perlindungan Eksploitasi untuk mengonfirmasi bahwa itu tidak akan menimbulkan masalah sebelum mengaktifkannya pada PC kritis.
Untuk mengonfirmasi bahwa fitur ini diaktifkan, Anda dapat membuka Pusat Keamanan Windows Defender. Buka menu Start Anda, cari Windows Defender, dan klik pintasan Windows Defender Security Center.
Klik ikon "App & browser control" berbentuk jendela di sidebar. Gulir ke bawah dan Anda akan melihat bagian "Perlindungan eksploitasi". Ini akan memberi tahu Anda bahwa fitur ini diaktifkan.
Jika Anda tidak melihat bagian ini, PC Anda mungkin belum diperbarui ke Pembaruan Musim Gugur Pembuat Konten.
Cara Mengonfigurasi Perlindungan Eksploitasi Windows Defender
Peringatan : Anda mungkin tidak ingin mengonfigurasi fitur ini. Windows Defender menawarkan banyak opsi teknis yang dapat Anda sesuaikan, dan kebanyakan orang tidak akan tahu apa yang mereka lakukan di sini. Fitur ini dikonfigurasi dengan pengaturan default cerdas yang akan menghindari masalah, dan Microsoft dapat memperbarui aturannya dari waktu ke waktu. Opsi di sini tampaknya terutama ditujukan untuk membantu administrator sistem mengembangkan aturan untuk perangkat lunak dan meluncurkannya di jaringan perusahaan.
Jika Anda ingin mengonfigurasi Perlindungan Eksploitasi, buka Pusat Keamanan Windows Defender> Kontrol aplikasi & browser, gulir ke bawah, dan klik "Eksploitasi pengaturan perlindungan" di bawah Perlindungan eksploitasi.
Anda akan melihat dua tab di sini: Pengaturan sistem dan Pengaturan program. Pengaturan sistem mengontrol pengaturan default yang digunakan untuk semua aplikasi, sedangkan pengaturan Program mengontrol pengaturan individu yang digunakan untuk berbagai program. Dengan kata lain, pengaturan Program dapat menggantikan pengaturan Sistem untuk masing-masing program. Mereka bisa lebih membatasi atau tidak terlalu membatasi.
Di bagian bawah layar, Anda dapat mengklik "Pengaturan ekspor" untuk mengekspor pengaturan Anda sebagai file .xml yang dapat Anda impor di sistem lain. Dokumentasi resmi Microsoft menawarkan informasi lebih lanjut tentang menerapkan aturan dengan Kebijakan Grup dan PowerShell.
Pada tab Pengaturan sistem, Anda akan melihat opsi berikut: Pelindung aliran kontrol (CFG), Pencegahan Eksekusi Data (DEP), Pengacakan paksa untuk gambar (ASLR Wajib), Acak alokasi memori (ASLR dari bawah ke atas), Validasi rantai pengecualian (SEHOP), dan Validasi integritas heap. Semuanya aktif secara default kecuali opsi Paksa pengacakan untuk gambar (Mandatory ASLR). Itu mungkin karena ASLR Wajib menyebabkan masalah dengan beberapa program, jadi Anda mungkin mengalami masalah kompatibilitas jika Anda mengaktifkannya, bergantung pada program yang Anda jalankan.
Sekali lagi, Anda benar-benar tidak boleh menyentuh opsi ini kecuali Anda tahu apa yang Anda lakukan. Defaultnya masuk akal dan dipilih karena suatu alasan.
TERKAIT: Mengapa Versi 64-bit Windows Lebih Aman
Antarmuka memberikan ringkasan yang sangat singkat tentang apa yang dilakukan setiap opsi, tetapi Anda harus melakukan penelitian jika ingin mengetahui lebih lanjut. Kami sudah menjelaskan sebelumnya apa yang dilakukan DEP dan ASLR di sini .
Klik ke tab "Setelan program", dan Anda akan melihat daftar program berbeda dengan setelan ubahsuaian. Opsi di sini memungkinkan pengaturan sistem secara keseluruhan untuk diganti. Misalnya, jika Anda memilih "iexplore.exe" dalam daftar dan mengklik "Edit", Anda akan melihat bahwa aturan di sini secara paksa mengaktifkan ASLR Wajib untuk proses Internet Explorer, meskipun tidak diaktifkan secara default di seluruh sistem.
Anda tidak boleh merusak aturan bawaan ini untuk proses seperti runtimebroker.exe dan spoolsv.exe . Microsoft menambahkannya karena suatu alasan.
Anda dapat menambahkan aturan kustom untuk program individu dengan mengklik "Tambahkan program untuk menyesuaikan". Anda dapat memilih "Tambahkan menurut nama program" atau "Pilih jalur file yang tepat", tetapi menentukan jalur file yang tepat jauh lebih tepat.
Setelah ditambahkan, Anda dapat menemukan daftar panjang setelan yang tidak akan berarti bagi kebanyakan orang. Daftar lengkap pengaturan yang tersedia di sini adalah: Penjaga kode arbitrer (ACG), Blokir gambar dengan integritas rendah, Blokir gambar jarak jauh, Blokir font yang tidak tepercaya, Penjaga integritas kode, Pelindung aliran kontrol (CFG), Pencegahan Eksekusi Data (DEP), Nonaktifkan titik ekstensi , Nonaktifkan panggilan sistem Win32k, Jangan izinkan proses anak, Export address filtering (EAF), Force randomization for images (Mandatory ASLR), Import Address Filtering (IAF), Acak alokasi memori (Bottom-up ASLR), Simulasikan eksekusi (SimExec) , Validasi pemanggilan API (CallerCheck), Validasi rantai pengecualian (SEHOP), Validasi penggunaan pegangan, Validasi integritas heap, Validasi integritas ketergantungan gambar, dan Validasi integritas tumpukan (StackPivot).
Sekali lagi, Anda tidak boleh menyentuh opsi ini kecuali Anda adalah administrator sistem yang ingin mengunci aplikasi dan Anda benar-benar tahu apa yang Anda lakukan.
Sebagai ujian, kami mengaktifkan semua opsi untuk iexplore.exe dan mencoba meluncurkannya. Internet Explorer baru saja menampilkan pesan kesalahan dan menolak untuk diluncurkan. Kami bahkan tidak melihat pemberitahuan Windows Defender yang menjelaskan bahwa Internet Explorer tidak berfungsi karena setelan kami.
Jangan hanya mencoba membatasi aplikasi secara membabi buta, atau Anda akan menyebabkan masalah serupa pada sistem Anda. Masalah tersebut akan sulit dipecahkan jika Anda tidak ingat bahwa Anda juga mengubah opsinya.
Jika Anda masih menggunakan versi Windows yang lebih lama, seperti Windows 7, Anda bisa mendapatkan fitur perlindungan eksploitasi dengan menginstal EMET Microsoft atau Malwarebytes . Namun, dukungan untuk EMET akan berhenti pada 31 Juli 2018, karena Microsoft ingin mendorong bisnis ke arah Windows 10 dan Perlindungan Eksploitasi Windows Defender.
