Микрософт’с Обновление Fall Creators наконец, добавляет в Windows интегрированную защиту от эксплойтов. Раньше вам приходилось искать это с помощью инструмента Microsoft EMET. Теперь он является частью Защитника Windows и активирован по умолчанию.
Как работает защита от эксплойтов в Защитнике Windows
СВЯЗАННЫЕ С: Что нового в Windows 10 Fall Creators Update уже доступно
Мы давно рекомендовали использование анти-эксплойтов например, Microsoft Enhanced Mitigation Experience Toolkit (EMET) или более удобный Malwarebytes Anti-Malware , который содержит мощную функцию защиты от эксплойтов (среди прочего). Микрософт’с ЭМЕТ широко используется в больших сетях, где его могут настраивать системные администраторы, но он никогда не устанавливался по умолчанию, требует настройки и имеет запутанный интерфейс для обычных пользователей.
Типичные антивирусные программы, например Защитник Windows сам по себе, используйте определения вирусов и эвристику, чтобы поймать опасные программы до того, как они смогут работать в вашей системе. Инструменты защиты от эксплойтов на самом деле вообще предотвращают работу многих популярных методов атак, поэтому эти опасные программы вообще не попадают в вашу систему. Они включают определенные средства защиты операционной системы и блокируют общие методы эксплойтов памяти, поэтому при обнаружении подобного эксплойту поведения они завершают процесс до того, как произойдет что-нибудь плохое. Другими словами, они могут защитить от многих атаки нулевого дня прежде, чем они будут исправлены.
Однако они потенциально могут вызвать проблемы с совместимостью, и их настройки, возможно, придется изменять для разных программ. Вот почему EMET обычно использовался в корпоративных сетях, где системные администраторы могли изменять параметры, а не на домашних компьютерах.
Защитник Windows теперь включает многие из тех же средств защиты, которые изначально были обнаружены в EMET от Microsoft. По умолчанию они включены для всех и являются частью операционной системы. Защитник Windows автоматически настраивает соответствующие правила для различных процессов, запущенных в вашей системе. ( Malwarebytes по-прежнему заявляет, что их функция защиты от эксплойтов лучше , и мы по-прежнему рекомендуем использовать Malwarebytes, но хорошо, что Защитник Windows теперь также имеет некоторые из этих встроенных функций.)
Эта функция включается автоматически, если вы выполнили обновление до Windows 10 Fall Creators Update, а EMET больше не поддерживается. EMET нельзя даже установить на ПК с установленным Fall Creators Update. Если у вас уже установлен EMET, он будет удалено обновлением .
СВЯЗАННЫЕ С: Как защитить ваши файлы от программ-вымогателей с помощью нового «контролируемого доступа к папкам» Защитника Windows
Обновление Fall Creators Update для Windows 10 также включает связанную функцию безопасности под названием Контролируемый доступ к папке . Он разработан для защиты от вредоносных программ, позволяя только доверенным программам изменять файлы в папках с вашими личными данными, например «Документы» и «Изображения». Обе функции являются частью «Exploit Guard в Защитнике Windows». Однако по умолчанию контролируемый доступ к папкам не включен.
Как подтвердить, что защита от эксплойтов включена
Эта функция автоматически включается для всех ПК с Windows 10. Тем не менее, его также можно переключить в «режим аудита», позволяя системным администраторам отслеживать журнал действий защиты от эксплойтов, чтобы убедиться, что она не вызовет никаких проблем, прежде чем включить ее на критически важных компьютерах.
Чтобы убедиться, что эта функция включена, вы можете открыть Центр безопасности Защитника Windows. Откройте меню «Пуск», найдите Защитник Windows и щелкните ярлык Центра безопасности Защитника Windows.
Щелкните значок окна «Управление приложением и браузером» на боковой панели. Прокрутите вниз, и вы увидите раздел «Защита от эксплойтов». Он сообщит вам, что эта функция включена.
Если вы не видите этот раздел, возможно, ваш компьютер еще не обновлен до Fall Creators Update.
Как настроить защиту от эксплойтов в Защитнике Windows
Предупреждение : Вы, вероятно, не хотите настраивать эту функцию. Защитник Windows предлагает множество технических параметров, которые вы можете настроить, и большинство людей не знают, что они здесь делают. Эта функция настроена с интеллектуальными настройками по умолчанию, что позволит избежать проблем, и Microsoft может со временем обновлять свои правила. Представленные здесь параметры в первую очередь предназначены для помощи системным администраторам в разработке правил для программного обеспечения и их развертывании в корпоративной сети.
Если вы действительно хотите настроить защиту от эксплойтов, перейдите в Центр безопасности Защитника Windows> Управление приложениями и браузером, прокрутите вниз и нажмите «Настройки защиты от эксплойтов» в разделе Защита от эксплойтов.
Здесь вы увидите две вкладки: Системные настройки и Настройки программы. Системные настройки управляют настройками по умолчанию, используемыми для всех приложений, в то время как Настройки программы управляют индивидуальными настройками, используемыми для различных программ. Другими словами, настройки программы могут иметь приоритет над настройками системы для отдельных программ. Они могут быть более строгими или менее строгими.
В нижней части экрана вы можете нажать «Экспорт настроек», чтобы экспортировать настройки в виде файла .xml, который вы можете импортировать в другие системы. Официальная документация Microsoft предлагает дополнительную информацию о правила развертывания с групповой политикой и PowerShell.
На вкладке Системные настройки вы увидите следующие параметры: Защита потока управления (CFG), Предотвращение выполнения данных (DEP), Принудительная рандомизация для изображений (Обязательный ASLR), Рандомизация распределения памяти (снизу вверх ASLR), Проверка цепочек исключений. (SEHOP) и Проверка целостности кучи. Все они включены по умолчанию, за исключением параметра Принудительная рандомизация изображений (Обязательный ASLR). Вероятно, это связано с тем, что обязательный ASLR вызывает проблемы с некоторыми программами, поэтому вы можете столкнуться с проблемами совместимости, если включите его, в зависимости от запущенных программ.
Опять же, вам действительно не следует трогать эти параметры, если вы не знаете, что делаете. Значения по умолчанию разумны и выбраны не просто так.
СВЯЗАННЫЕ С: Почему 64-битная версия Windows более безопасна
Интерфейс предоставляет очень краткое описание того, что делает каждый параметр, но вам придется провести некоторое исследование, если вы хотите узнать больше. Мы уже объясняли что здесь делают DEP и ASLR .
Перейдите на вкладку «Настройки программы», и вы увидите список различных программ с пользовательскими настройками. Параметры здесь позволяют переопределить общие настройки системы. Например, если вы выберете «iexplore.exe» в списке и нажмете «Изменить», вы увидите, что это правило принудительно включает обязательный ASLR для процесса Internet Explorer, даже если он не включен по умолчанию для всей системы.
Вы не должны вмешиваться в эти встроенные правила для таких процессов, как runtimebroker.exe а также spoolsv.exe . Microsoft добавила их неспроста.
Вы можете добавить собственные правила для отдельных программ, нажав «Добавить программу для настройки». Вы можете либо «Добавить по имени программы», либо «Выбрать точный путь к файлу», но указание точного пути к файлу намного точнее.
После добавления вы можете найти длинный список настроек, которые не будут иметь значения для большинства людей. Полный список доступных настроек: Защита произвольного кода (ACG), Блокировать изображения с низкой целостностью, Блокировать удаленные изображения, Блокировать ненадежные шрифты, Защита целостности кода, Защита потока управления (CFG), Предотвращение выполнения данных (DEP), Отключить точки расширения , Отключить системные вызовы Win32k, Запретить дочерние процессы, Фильтрация адресов экспорта (EAF), Принудительная рандомизация для изображений (Обязательный ASLR), Фильтрация адресов импорта (IAF), Случайное распределение памяти (ASLR снизу вверх), Имитация выполнения (SimExec) , Проверка вызова API (CallerCheck), Проверка цепочек исключений (SEHOP), Проверка использования дескриптора, Проверка целостности кучи, Проверка целостности зависимостей изображения и Проверка целостности стека (StackPivot).
Опять же, вам не следует касаться этих параметров, если вы не системный администратор, который хочет заблокировать приложение, и вы действительно не знаете, что делаете.
В качестве теста мы включили все параметры iexplore.exe и попытались его запустить. Internet Explorer просто показал сообщение об ошибке и отказался запускаться. Мы даже не видели уведомления Защитника Windows о том, что Internet Explorer не работает из-за наших настроек.
Не пытайтесь слепо ограничивать приложения, иначе вы вызовете аналогичные проблемы в своей системе. Их будет сложно устранить, если вы не помните, что тоже изменили параметры.
Если вы все еще используете старую версию Windows, например Windows 7, вы можете получить функции защиты от эксплойтов, установив Микрософт’с ЭМЕТ или Malwarebytes . Однако поддержка EMET прекратится 31 июля 2018 года, поскольку Microsoft хочет подтолкнуть предприятия к использованию Windows 10 и защиты от эксплойтов Защитника Windows.
