Microsofts Fall Creators Update endelig legger til integrert utnyttelsesbeskyttelse til Windows. Du måtte tidligere oppsøke dette i form av Microsofts EMET-verktøy. Den er nå en del av Windows Defender og er aktivert som standard.
Hvordan fungerer Windows Defenders utnyttelsesbeskyttelse
I SLEKT: Hva er nytt i Windows 10s Fall Creators Update, tilgjengelig nå
Vi har lenge anbefalt bruker anti-utnytte programvare som Microsofts Enhanced Mitigation Experience Toolkit (EMET) eller det mer brukervennlige Malwarebytes Anti-Malware , som inneholder en kraftig anti-utnyttelsesfunksjon (blant annet). Microsofts EMET brukes mye på større nettverk der den kan konfigureres av systemadministratorer, men den ble aldri installert som standard, krever konfigurasjon og har et forvirrende grensesnitt for gjennomsnittlige brukere.
Typiske antivirusprogrammer, som Windows Defender bruker virusdefinisjoner og heuristikk for å fange farlige programmer før de kan kjøres på systemet ditt. Anti-exploit-verktøy forhindrer faktisk at mange populære angrepsteknikker fungerer i det hele tatt, slik at de farlige programmene ikke kommer på systemet ditt i utgangspunktet. De muliggjør visse operativsystembeskyttelse og blokkerer vanlige teknikker for minneutnyttelse, slik at hvis utnyttelseslignende atferd oppdages, vil de avslutte prosessen før noe dårlig skjer. De kan med andre ord beskytte mot mange null-dagers angrep før de blir lappet.
Imidlertid kan de potensielt forårsake kompatibilitetsproblemer, og innstillingene deres må kanskje justeres for forskjellige programmer. Derfor ble EMET vanligvis brukt på bedriftsnettverk, der systemadministratorer kunne justere innstillingene, og ikke på hjemme-PC-er.
Windows Defender inkluderer nå mange av de samme beskyttelsene, som opprinnelig ble funnet i Microsofts EMET. De er aktivert som standard for alle, og er en del av operativsystemet. Windows Defender konfigurerer automatisk passende regler for forskjellige prosesser som kjører på systemet ditt. ( Malwarebytes hevder fortsatt at deres anti-utnyttelsesfunksjon er overlegen , og vi anbefaler fortsatt å bruke Malwarebytes, men det er bra at Windows Defender har noe av dette innebygde nå også.)
Denne funksjonen aktiveres automatisk hvis du har oppgradert til Windows 10's Fall Creators Update, og EMET ikke lenger støttes. EMET kan ikke engang installeres på PCer som kjører Fall Creators Update. Hvis du allerede har EMET installert, vil det være det fjernet av oppdateringen .
I SLEKT: Slik beskytter du filene dine mot løsepenger med Windows Defenders nye "kontrollerte mappetilgang"
Windows 10's Fall Creators Update inneholder også en relatert sikkerhetsfunksjon som heter Kontrollert mappetilgang . Den er designet for å stoppe skadelig programvare ved bare å tillate pålitelige programmer å endre filer i dine personlige datamapper, for eksempel Dokumenter og Bilder. Begge funksjonene er en del av "Windows Defender Exploit Guard". Kontrollert mappetilgang er imidlertid ikke aktivert som standard.
Hvordan bekrefte utnyttelsesbeskyttelse er aktivert
Denne funksjonen aktiveres automatisk for alle Windows 10-PCer. Imidlertid kan den også byttes til "Revisjonsmodus", slik at systemadministratorer kan overvåke en logg over hva Exploit Protection ville ha gjort for å bekrefte at det ikke vil forårsake noen problemer før du aktiverer det på kritiske PC-er.
For å bekrefte at denne funksjonen er aktivert, kan du åpne Windows Defender Security Center. Åpne Start-menyen, søk etter Windows Defender, og klikk snarveien til Windows Defender Security Center.
Klikk på det vindueformede ikonet "App- og nettleserkontroll" i sidefeltet. Rull ned så ser du "Utnyttelsesbeskyttelse" -delen. Det vil informere deg om at denne funksjonen er aktivert.
Hvis du ikke ser denne delen, har PCen din sannsynligvis ikke oppdatert til Fall Creators Update ennå.
Hvordan konfigurere Windows Defenders utnyttelsesbeskyttelse
Advarsel : Du vil sannsynligvis ikke konfigurere denne funksjonen. Windows Defender tilbyr mange tekniske alternativer du kan justere, og de fleste vet ikke hva de gjør her. Denne funksjonen er konfigurert med smarte standardinnstillinger som vil unngå å forårsake problemer, og Microsoft kan oppdatere reglene over tid. Alternativene her virker primært ment å hjelpe systemadministratorer med å utvikle regler for programvare og rulle dem ut på et bedriftsnettverk.
Hvis du ønsker å konfigurere Exploit Protection, går du til Windows Defender Security Center> App- og nettleserkontroll, blar nedover og klikker på "Exploit protection settings" under Exploit protection.
Du ser to faner her: Systeminnstillinger og Programinnstillinger. Systeminnstillinger styrer standardinnstillingene som brukes for alle applikasjoner, mens Programinnstillinger styrer de individuelle innstillingene som brukes for forskjellige programmer. Med andre ord kan programinnstillinger overstyre systeminnstillingene for individuelle programmer. De kan være mer restriktive eller mindre restriktive.
Nederst på skjermen kan du klikke på "Eksporter innstillinger" for å eksportere innstillingene dine som en .xml-fil du kan importere til andre systemer. Microsofts offisielle dokumentasjon gir mer informasjon om distribuere regler med gruppepolicy og PowerShell.
På fanen Systeminnstillinger ser du følgende alternativer: Kontrollflytvakt (CFG), Data Execution Prevention (DEP), Force randomization for images (Obligatorisk ASLR), Randomize memory allocations (Bottom-up ASLR), Validate unntakskjeder (SEHOP), og validere haugintegritet. De er alle på som standard bortsett fra alternativet Force randomization for images (Obligatorisk ASLR). Det er sannsynlig fordi obligatorisk ASLR forårsaker problemer med noen programmer, så du kan støte på kompatibilitetsproblemer hvis du aktiverer det, avhengig av programmene du kjører.
Igjen, du burde virkelig ikke berøre disse alternativene med mindre du vet hva du gjør. Standardinnstillingene er fornuftige og velges av en grunn.
I SLEKT: Hvorfor 64-biters versjonen av Windows er sikrere
Grensesnittet gir en veldig kort oppsummering av hva hvert alternativ gjør, men du må undersøke noe hvis du vil vite mer. Vi har tidligere forklart hva DEP og ASLR gjør her .
Klikk over til "Programinnstillinger" -fanen, så ser du en liste over forskjellige programmer med egendefinerte innstillinger. Alternativene her lar de generelle systeminnstillingene overstyres. Hvis du for eksempel velger “iexplore.exe” i listen og klikker “Rediger”, vil du se at regelen her med kraft aktiverer obligatorisk ASLR for Internet Explorer-prosessen, selv om den ikke er aktivert som standard hele systemet.
Du bør ikke tukle med disse innebygde reglene for prosesser som runtimebroker.exe og spoolsv.exe . Microsoft la dem til av en grunn.
Du kan legge til egendefinerte regler for individuelle programmer ved å klikke "Legg til program for å tilpasse". Du kan enten "Legg til etter programnavn" eller "Velg nøyaktig filsti", men å spesifisere en nøyaktig filbane er mye mer presis.
Når du er lagt til, kan du finne en lang liste over innstillinger som ikke vil være meningsfulle for folk flest. Hele listen over innstillinger som er tilgjengelige her er: Tilfeldig kodevern (ACG), Blokker bilder med lav integritet, Blokkér eksterne bilder, Blokkér ikke-klarerte skrifter, Kodeintegritetsbeskyttelse, Kontrollflytbeskyttelse (CFG), Forebygging av datautførelse (DEP), Deaktiver utvidelsespunkter , Deaktiver Win32k-systemanrop, Ikke tillat barneprosesser, Eksporter adressefiltrering (EAF), Tving randomisering for bilder (Obligatorisk ASLR), Importer adressefiltrering (IAF), Randomiser minnetildelinger (Bottom-up ASLR), Simuler utførelse (SimExec) , Validate API invocation (CallerCheck), Validate exception chains (SEHOP), Validate handling usage, Validate heap integrity, Validate image dependency integrity, and Validate stack integrity (StackPivot).
Igjen, du bør ikke berøre disse alternativene med mindre du er en systemadministrator som vil låse et program og du virkelig vet hva du gjør.
Som en test aktiverte vi alle alternativene for iexplore.exe og prøvde å starte den. Internet Explorer viste bare en feilmelding og nektet å starte. Vi så ikke en gang et Windows Defender-varsel som forklarte at Internet Explorer ikke fungerte på grunn av innstillingene våre.
Ikke bare blindt å prøve å begrense applikasjoner, ellers vil du forårsake lignende problemer på systemet ditt. Det vil være vanskelig å feilsøke hvis du ikke husker at du også har endret alternativene.
Hvis du fortsatt bruker en eldre versjon av Windows, som Windows 7, kan du få utnyttelsesbeskyttelsesfunksjoner ved å installere Microsofts EMET eller Malwarebytes . Imidlertid vil støtten for EMET stoppe 31. juli 2018, ettersom Microsoft i stedet vil presse virksomheter mot Windows 10 og Windows Defenders utnyttelsesbeskyttelse.
