Microsoft Aggiornamento autunnale dei creatori aggiunge finalmente la protezione integrata dagli exploit a Windows. In precedenza dovevi cercarlo sotto forma di strumento EMET di Microsoft. Ora fa parte di Windows Defender ed è attivato per impostazione predefinita.
Come funziona la protezione dagli exploit di Windows Defender
RELAZIONATO: Novità nell'aggiornamento autunnale dei creatori di Windows 10, disponibile ora
Consigliamo da tempo utilizzando software anti-exploit come l'Enhanced Mitigation Experience Toolkit (EMET) di Microsoft o il più user-friendly Malwarebytes Anti-Malware , che contiene una potente funzionalità anti-exploit (tra le altre cose). Microsoft’s EMET è ampiamente utilizzato su reti più grandi dove può essere configurato dagli amministratori di sistema, ma non è mai stato installato di default, richiede configurazione e ha un'interfaccia confusa per gli utenti medi.
Programmi antivirus tipici, come Windows Defender stesso, usa le definizioni dei virus e l'euristica per rilevare i programmi pericolosi prima che possano essere eseguiti sul tuo sistema. Gli strumenti anti-exploit in realtà impediscono il funzionamento di molte tecniche di attacco popolari, quindi quei programmi pericolosi non entrano nel tuo sistema in primo luogo. Abilitano alcune protezioni del sistema operativo e bloccano le comuni tecniche di exploit della memoria, in modo che se viene rilevato un comportamento simile a un exploit, interrompono il processo prima che accada qualcosa di male. In altre parole, possono proteggere da molti attacchi zero-day prima che vengano patchati.
Tuttavia, potrebbero potenzialmente causare problemi di compatibilità e le loro impostazioni potrebbero dover essere ottimizzate per programmi diversi. Ecco perché EMET è stato generalmente utilizzato sulle reti aziendali, dove gli amministratori di sistema potevano modificare le impostazioni e non sui PC domestici.
Windows Defender ora include molte di queste stesse protezioni, che erano state originariamente trovate in EMET di Microsoft. Sono abilitati per impostazione predefinita per tutti e fanno parte del sistema operativo. Windows Defender configura automaticamente le regole appropriate per i diversi processi in esecuzione nel sistema. ( Malwarebytes afferma ancora che la sua funzione anti-exploit è superiore , e consigliamo comunque di utilizzare Malwarebytes, ma è positivo che anche Windows Defender abbia alcuni di questi integrati).
Questa funzione viene abilitata automaticamente se hai eseguito l'upgrade a Fall Creators Update di Windows 10 e EMET non è più supportato. EMET non può essere installato nemmeno su PC che eseguono Fall Creators Update. Se hai già EMET installato, lo sarà rimosso dall'aggiornamento .
RELAZIONATO: Come proteggere i file dal ransomware con il nuovo "accesso controllato alle cartelle" di Windows Defender
Fall Creators Update di Windows 10 include anche una funzione di sicurezza correlata denominata Accesso controllato alle cartelle . È progettato per bloccare il malware consentendo solo a programmi affidabili di modificare i file nelle cartelle di dati personali, come Documenti e Immagini. Entrambe le funzionalità fanno parte di "Windows Defender Exploit Guard". Tuttavia, l'accesso controllato alle cartelle non è abilitato per impostazione predefinita.
Come confermare che la protezione dagli exploit è abilitata
Questa funzione è abilitata automaticamente per tutti i PC Windows 10. Tuttavia, può anche essere impostato sulla "modalità di controllo", consentendo agli amministratori di sistema di monitorare un registro di ciò che la protezione dagli exploit avrebbe fatto per confermare che non causerà alcun problema prima di abilitarlo sui PC critici.
Per confermare che questa funzionalità è abilitata, puoi aprire Windows Defender Security Center. Apri il menu Start, cerca Windows Defender e fai clic sul collegamento di Windows Defender Security Center.
Fare clic sull'icona a forma di finestra "Controllo app e browser" nella barra laterale. Scorri verso il basso e vedrai la sezione "Protezione dagli exploit". Ti informerà che questa funzione è abilitata.
Se non vedi questa sezione, probabilmente il tuo PC non è ancora aggiornato all'aggiornamento autunnale dei creatori.
Come configurare la protezione dagli exploit di Windows Defender
avvertimento : Probabilmente non vuoi configurare questa funzione. Windows Defender offre molte opzioni tecniche che puoi modificare e la maggior parte delle persone non sa cosa stanno facendo qui. Questa funzionalità è configurata con impostazioni predefinite intelligenti che eviteranno di causare problemi e Microsoft può aggiornare le sue regole nel tempo. Le opzioni qui sembrano intese principalmente per aiutare gli amministratori di sistema a sviluppare regole per il software e implementarle su una rete aziendale.
Se desideri configurare Protezione dagli exploit, vai su Windows Defender Security Center> Controllo di app e browser, scorri verso il basso e fai clic su "Impostazioni di protezione dagli exploit" sotto Protezione dagli exploit.
Vedrai due schede qui: Impostazioni di sistema e Impostazioni del programma. Impostazioni di sistema controlla le impostazioni predefinite utilizzate per tutte le applicazioni, mentre Impostazioni programma controlla le impostazioni individuali utilizzate per vari programmi. In altre parole, le impostazioni del programma possono sovrascrivere le impostazioni di sistema per i singoli programmi. Potrebbero essere più restrittivi o meno restrittivi.
Nella parte inferiore dello schermo, è possibile fare clic su "Esporta impostazioni" per esportare le impostazioni come file .xml che è possibile importare su altri sistemi. La documentazione ufficiale di Microsoft offre ulteriori informazioni su distribuzione delle regole con Criteri di gruppo e PowerShell.
Nella scheda Impostazioni di sistema, vedrai le seguenti opzioni: Controllo flusso di guardia (CFG), Prevenzione esecuzione dati (DEP), Forza randomizzazione per immagini (ASLR obbligatorio), Randomizza allocazioni di memoria (ASLR bottom-up), Convalida catene di eccezioni (SEHOP) e convalida l'integrità dell'heap. Sono tutti attivi per impostazione predefinita, tranne l'opzione Forza randomizzazione per immagini (ASLR obbligatorio). Ciò è probabile perché ASLR obbligatorio causa problemi con alcuni programmi, quindi potresti incorrere in problemi di compatibilità se lo abiliti, a seconda dei programmi che esegui.
Ancora una volta, non dovresti davvero toccare queste opzioni a meno che tu non sappia cosa stai facendo. Le impostazioni predefinite sono ragionevoli e vengono scelte per un motivo.
RELAZIONATO: Perché la versione a 64 bit di Windows è più sicura
L'interfaccia fornisce un breve riepilogo di ciò che fa ciascuna opzione, ma dovrai fare qualche ricerca se vuoi saperne di più. Abbiamo spiegato in precedenza cosa fanno qui DEP e ASLR .
Fai clic sulla scheda "Impostazioni programma" e vedrai un elenco di diversi programmi con impostazioni personalizzate. Le opzioni qui consentono di sovrascrivere le impostazioni generali del sistema. Ad esempio, se selezioni "iexplore.exe" nell'elenco e fai clic su "Modifica", vedrai che la regola qui abilita forzatamente ASLR obbligatorio per il processo di Internet Explorer, anche se non è abilitata per impostazione predefinita a livello di sistema.
Non dovresti manomettere queste regole integrate per processi come runtimebroker.exe e spoolsv.exe . Microsoft li ha aggiunti per un motivo.
È possibile aggiungere regole personalizzate per i singoli programmi facendo clic su "Aggiungi programma da personalizzare". È possibile "Aggiungi per nome programma" o "Scegli percorso file esatto", ma specificare un percorso file esatto è molto più preciso.
Una volta aggiunte, puoi trovare un lungo elenco di impostazioni che non saranno significative per la maggior parte delle persone. L'elenco completo delle impostazioni disponibili qui è: Protezione codice arbitrario (ACG), Blocca immagini a bassa integrità, Blocca immagini remote, Blocca caratteri non attendibili, Protezione integrità codice, Controllo flusso di protezione (CFG), Protezione esecuzione programmi (DEP), Disabilita punti di estensione , Disabilita le chiamate di sistema Win32k, Non consentire processi figlio, Export address filtering (EAF), Force randomization for images (Mandatory ASLR), Import Address Filtering (IAF), Randomizza allocazioni di memoria (Bottom-up ASLR), Simula esecuzione (SimExec) , Convalida invocazione API (CallerCheck), Convalida catene di eccezioni (SEHOP), Convalida utilizzo handle, Convalida integrità heap, Convalida integrità dipendenza immagine e Convalida integrità stack (StackPivot).
Ancora una volta, non dovresti toccare queste opzioni a meno che tu non sia un amministratore di sistema che vuole bloccare un'applicazione e sai davvero cosa stai facendo.
Come test, abbiamo abilitato tutte le opzioni per iexplore.exe e abbiamo provato ad avviarlo. Internet Explorer ha appena mostrato un messaggio di errore e si è rifiutato di avviarsi. Non abbiamo nemmeno visto una notifica di Windows Defender che spiegava che Internet Explorer non funzionava a causa delle nostre impostazioni.
Non tentare ciecamente di limitare le applicazioni o causerai problemi simili sul tuo sistema. Sarà difficile risolverli se non ricordi di aver cambiato anche le opzioni.
Se utilizzi ancora una versione precedente di Windows, come Windows 7, puoi ottenere funzionalità di protezione dagli exploit installandola Microsoft’s EMET o Malwarebytes . Tuttavia, il supporto per EMET verrà interrotto il 31 luglio 2018, poiché Microsoft vuole spingere le aziende verso Windows 10 e la protezione dagli exploit di Windows Defender.
