Windows 10-update van oktober 2018 bevat een nieuwe beveiligingsfunctie "Block Suspicious Behaviors". Deze bescherming is standaard uitgeschakeld, maar u kunt deze inschakelen om uw pc tegen verschillende bedreigingen te beschermen.
Wat doet "verdacht gedrag blokkeren"?
Deze functie heeft een vrij vage naam. De documentatie van Microsoft verduidelijkt dat "Verdacht gedrag blokkeren" slechts een beschrijvende naam is voor de "Windows Defender Exploit Guard-technologie voor het verminderen van aanvalsoppervlakken". Deze beveiligingsfunctie is geïntroduceerd in het Fall Creators Update , maar was alleen beschikbaar in Windows 10 Enterprise . In de update van oktober 2018 is het nu voor iedereen beschikbaar via een optie in Windows-beveiliging.
Wanneer u deze functie inschakelt, activeert Windows 10 verschillende beveiligingsregels. Deze regels schakelen functies uit die normaal alleen door malware worden gebruikt, waardoor uw pc wordt beschermd tegen aanvallen.
Hier zijn enkele regels voor het verminderen van het aanvalsoppervlak:
- Blokkeer uitvoerbare inhoud van e-mailclient en webmail
- Voorkom dat Office-toepassingen onderliggende processen maken
- Voorkom dat Office-toepassingen uitvoerbare inhoud maken
- Voorkom dat Office-toepassingen code in andere processen injecteren
- Blokkeer JavaScript of VBScript om gedownloade uitvoerbare inhoud te starten
- Blokkeer de uitvoering van mogelijk versluierde scripts
- Blokkeer Win32 API-aanroepen vanuit Office-macro
- Blokkeer het stelen van inloggegevens van het Windows-subsysteem voor lokale beveiligingsautoriteit (lsass.exe)
- Blokkeer procescreaties die afkomstig zijn van PSExec- en WMI-opdrachten
- Blokkeer niet-vertrouwde en niet-ondertekende processen die vanaf USB worden uitgevoerd
- Voorkom dat Office-communicatietoepassingen onderliggende processen maken
Dit zijn verdachte acties die kunnen worden gebruikt door kwaadaardige applicaties. Deze regels blokkeren bijvoorbeeld uitvoerbare bestanden die per e-mail binnenkomen, voorkomen dat Office-toepassingen bepaalde dingen doen en stoppen gevaarlijke macro gedrag. Als deze regels zijn ingeschakeld, beschermt Windows inloggegevens tegen diefstal, wordt voorkomen dat verdacht uitziende uitvoerbare bestanden op USB-drives worden uitgevoerd en weigert het scripts uit te voeren die er vermomd uitzien om antivirussoftware te omzeilen.
Je zult een compleet vinden lijst met regels voor het verminderen van het aanvalsoppervlak op de ondersteuningssite van Microsoft. Organisaties kunnen aanpassen via welke regels worden gebruikt Groepsbeleid , maar gemiddelde consumenten-pc's krijgen een reeks regels die voor iedereen geschikt is. Het is onduidelijk welke regels er precies worden gebruikt wanneer u deze optie in Windows-beveiliging inschakelt.
VERWANT: Wat is er nieuw in de update van oktober 2018 van Windows 10
Dit maakt deel uit van Windows Defender Exploit Guard
Attack Surface Reduction is een onderdeel van Windows Defender Exploit Guard , waaronder ook Exploit Protection, Network Protection en Gecontroleerde maptoegang .
Dat is belangrijk om te verduidelijken: 'Verdacht gedrag blokkeren' is niet dezelfde functie als Exploit-bescherming , dat uw pc beschermt tegen een aantal veelvoorkomende exploittechnieken. Exploit Protection biedt bijvoorbeeld bescherming tegen veelgebruikte technieken voor geheugenexploitatie die worden gebruikt door zero-day-aanvallen en beëindigt elk proces dat ze gebruikt. Exploit Protection werkt zoals die van Microsoft Verbeterde EMET-software (Mitigation Experience Toolkit) . Attack Surface Reduction schakelt potentieel gevaarlijke functies op een hoger niveau uit.
Exploit-bescherming is standaard ingeschakeld en u kunt het van elders in de Windows-beveiligingstoepassing aanpassen. Oppervlaktevermindering van aanvallen, of 'Verdacht gedrag blokkeren', is nog niet standaard ingeschakeld.
VERWANT: Hoe de nieuwe exploitbeveiliging van Windows Defender werkt (en hoe deze te configureren)
Hoe u 'Verdacht gedrag blokkeren' kunt inschakelen
U kunt deze functie inschakelen vanuit de Windows-beveiligingstoepassing, voorheen Windows Defender-beveiligingscentrum genoemd.
Om het te vinden, gaat u naar Instellingen> Update en beveiliging> Windows-beveiliging> Windows-beveiliging openen of start u de snelkoppeling "Windows-beveiliging" vanuit uw Start-menu.
Klik op de optie "Virus- en bedreigingsbeveiliging" en klik vervolgens op de link "Instellingen beheren" onder het gedeelte "Instellingen voor virus- en bedreigingsbescherming".
Klik op de schakelaar onder "Verdacht gedrag blokkeren" om deze functie in of uit te schakelen.
Als Block Suspicious Behaviors een actie blokkeert die u regelmatig moet uitvoeren, kunt u hier terugkeren en deze uitschakelen. Het geblokkeerde gedrag is echter niet gebruikelijk bij normaal pc-gebruik.
