Обновление Windows 10 за октябрь 2018 г. включает новую функцию безопасности «Блокировать подозрительное поведение». По умолчанию эта защита отключена, но вы можете включить ее, чтобы защитить свой компьютер от различных угроз.
Что делает «Блокировка подозрительного поведения»?
У этой функции довольно расплывчатое название. Однако документация Microsoft проясняет что «Блокировать подозрительное поведение» - это просто понятное название «технологии уменьшения поверхности атаки Exploit Guard в Защитнике Windows». Эта функция безопасности была введена в Обновление Fall Creators , но было доступно только в Windows 10 Корпоративная . В обновлении за октябрь 2018 года он теперь доступен всем через опцию в Windows Security.
Когда вы включаете эту функцию, Windows 10 активирует множество правил безопасности. Эти правила отключают функции, которые обычно используются только вредоносными программами, помогая защитить ваш компьютер от атак.
Вот некоторые из правил уменьшения поверхности атаки:
- Блокировать исполняемый контент из почтового клиента и веб-почты
- Запретить приложениям Office создавать дочерние процессы
- Запретить приложениям Office создавать исполняемый контент
- Запретить приложениям Office внедрять код в другие процессы
- Запретить JavaScript или VBScript запускать загруженный исполняемый контент
- Блокировать выполнение потенциально обфусцированных скриптов
- Блокировать вызовы Win32 API из макроса Office
- Блокировать кражу учетных данных из подсистемы локального центра безопасности Windows (lsass.exe)
- Блокировать создание процессов, исходящих от команд PSExec и WMI
- Блокировать ненадежные и неподписанные процессы, запускаемые с USB
- Запретить коммуникационным приложениям Office создавать дочерние процессы
Это подозрительные действия, которые могут быть использованы вредоносными приложениями. Например, эти правила блокируют исполняемые файлы, поступающие по электронной почте, не позволяют приложениям Office выполнять определенные действия и останавливают опасный макрос поведение. Если эти правила включены, Windows защищает учетные данные от кражи, останавливает запуск подозрительно выглядящих исполняемых файлов на USB-накопителях и отказывается запускать скрипты, которые выглядят замаскированными для обхода антивирусного программного обеспечения.
Вы найдете полный список правил уменьшения поверхности атаки на сайте поддержки Microsoft. Организации могут настроить, какие правила используются групповая политика , но для обычных потребительских ПК действует единый набор правил. Неясно, какие именно правила используются при включении этой опции в Windows Security.
СВЯЗАННЫЕ С: Что нового в обновлении Windows 10 за октябрь 2018 г.
Это часть Exploit Guard в Защитнике Windows
Уменьшение поверхности атаки является частью Exploit Guard в Защитнике Windows , который также включает защиту от эксплойтов, защиту сети и Контролируемый доступ к папке .
Важно уточнить: «Блокировать подозрительное поведение» - это не то же самое, что Защита от эксплойтов , который защищает ваш компьютер от множества распространенных методов эксплойтов. Например, защита от эксплойтов защищает от распространенных методов эксплойтов памяти, используемых атаки нулевого дня и завершает любой процесс, который их использует. Защита от эксплойтов работает как Microsoft Программное обеспечение Enhanced Mitigation Experience Toolkit (EMET) . Снижение поверхности атаки отключает потенциально опасные функции на более высоком уровне.
Защита от эксплойтов включена по умолчанию, и вы можете настроить ее из любого места в приложении безопасности Windows. Снижение поверхности атаки или «Блокировать подозрительное поведение» пока не включено по умолчанию.
СВЯЗАННЫЕ С: Как работает новая защита от эксплойтов Защитника Windows (и как ее настроить)
Как включить «Блокировать подозрительное поведение»
Вы можете включить эту функцию из приложения безопасности Windows, которое ранее называлось Центр безопасности Защитника Windows.
Чтобы найти его, зайдите в «Настройки»> «Обновление и безопасность»> «Безопасность Windows»> «Откройте безопасность Windows» или просто запустите ярлык «Безопасность Windows» в меню «Пуск».
Щелкните параметр «Защита от вирусов и угроз», а затем щелкните ссылку «Управление параметрами» в разделе «Параметры защиты от вирусов и угроз».
Щелкните переключатель под «Блокировать подозрительное поведение», чтобы включить или выключить эту функцию.
Если «Блокировать подозрительное поведение» блокирует действие, которое вам необходимо регулярно выполнять, вы можете вернуться сюда и отключить его. Однако заблокированное поведение не характерно для обычного использования ПК.
