Оновлення Windows 10 за жовтень 2018 року включає нову функцію безпеки "Блокувати підозрілі поведінки". Цей захист вимкнено за замовчуванням, але ви можете ввімкнути його, щоб захистити ваш ПК від різноманітних загроз.
Що робить «блокування підозрілої поведінки»?
Ця функція має досить розмиту назву. Однак документація Microsoft уточнює що «Блокувати підозрілі поведінки» - це просто дружня назва для «технології зменшення поверхні атаки Windows Defender Exploit Guard». Ця функція безпеки була введена в Осінні оновлення для творців , але був доступний лише в Windows 10 Enterprise . В оновленні від жовтня 2018 року воно тепер доступне всім за допомогою опції в Windows Security.
Коли ви вмикаєте цю функцію, Windows 10 активує різноманітні правила безпеки. Ці правила відключають функції, які зазвичай використовуються лише шкідливим програмним забезпеченням, допомагаючи захистити ваш ПК від атак.
Ось деякі правила зменшення поверхні атаки:
- Блокуйте виконуваний вміст із поштового клієнта та веб-пошти
- Заборонити програмам Office створювати дочірні процеси
- Заборонити програмам Office створювати виконуваний вміст
- Блокуйте програми Office від введення коду в інші процеси
- Заблокуйте JavaScript або VBScript від запуску завантаженого виконуваного вмісту
- Блокувати виконання потенційно затуманених сценаріїв
- Блокувати виклики API Win32 з макросу Office
- Блокувати викрадення облікових даних із підсистеми локального органу безпеки Windows (lsass.exe)
- Блокувати створення процесів, що походять від команд PSExec та WMI
- Блокуйте ненадійні та непідписані процеси, що запускаються з USB
- Заборонити програмам Office для спілкування створювати дочірні процеси
Це підозрілі дії, які можуть використовувати шкідливі програми. Наприклад, ці правила блокують виконувані файли, що надходять електронною поштою, не дозволяють програмам Office робити конкретні дії та зупиняються небезпечний макрос поведінки. Увімкнувши ці правила, Windows захищає облікові дані від крадіжки, зупиняє роботу підозріло виконуваних файлів на USB-накопичувачах та відмовляється запускати сценарії, які виглядають замаскованими, щоб обійти антивірусне програмне забезпечення.
Ви знайдете повну список правил зменшення поверхні атаки на веб-сайті підтримки Microsoft. Організації можуть налаштувати, через які правила застосовуватись групова політика , але середні споживчі ПК отримують універсальний набір правил. Незрозуміло, які саме правила використовуються, коли ви вмикаєте цей параметр у Windows Security.
ПОВ'ЯЗАНІ: Що нового в оновленні Windows 10 за жовтень 2018 р
Це частина Windows Defender Exploit Guard
Зменшення поверхні атаки є частиною Захисник Windows Exploit Guard , який також включає захист від експлуатації, захист мережі та Контрольований доступ до папок .
Це важливо пояснити - "Блокувати підозрілу поведінку" - це не та сама функція, що і Захист від експлуатації , який захищає ваш ПК від різноманітних поширених методів експлуатації. Наприклад, Exploit Protection захищає від загальноприйнятих методів використання пам'яті, що використовуються атаки нульового дня і припиняє будь-який процес, який їх використовує. Exploit Protection працює як Microsoft Розширене програмне забезпечення з питань пом’якшення наслідків (EMET) . Зменшення поверхні атаки вимикає потенційно небезпечні функції на вищому рівні.
Захист від експлуатації ввімкнено за замовчуванням, і ви можете налаштувати його з будь-якої іншої частини програми Windows Security. Зменшення поверхні атаки або "Блокувати підозрілі дії" ще не ввімкнено за замовчуванням.
ПОВ'ЯЗАНІ: Як працює новий захист від експлуатації Windows Defender (і як його налаштувати)
Як увімкнути "Блокування підозрілої поведінки"
Цю функцію можна ввімкнути у програмі Windows Security, яка раніше називалася Центр безпеки Windows Defender.
Щоб знайти його, перейдіть до Налаштування> Оновлення та безпека> Безпека Windows> Відкрити безпеку Windows або просто запустіть ярлик «Безпека Windows» із меню «Пуск».
Клацніть на опцію «Захист від вірусів та загроз», а потім натисніть посилання «Керувати налаштуваннями» у розділі «Налаштування захисту від вірусів та загроз».
Клацніть на перемикач у розділі «Блокувати підозрілу поведінку», щоб увімкнути або вимкнути цю функцію.
Якщо Блокувати підозрілі поведінки блокує дію, яку потрібно регулярно виконувати, ви можете повернутися сюди та вимкнути її. Однак заблокована поведінка не є звичайним явищем у звичайному користуванні ПК.
