Hvordan Windows Defender's Exploit Protection fungerer
Vi har lenge anbefalt å bruke anti-exploit programvare som Microsofts Enhanced Mitigation Experience Toolkit (EMET) eller den mer brukervennlige Malwarebytes Anti-Malware, som inneholder en kraftig anti-utnyttelse funksjon (blant annet). Microsofts EMET er mye brukt på større nettverk hvor den kan konfigureres av systemadministratorer, men den ble aldri installert som standard, krever konfigurasjon, og har et forvirrende grensesnitt for gjennomsnittlige brukere.
Typiske antivirusprogrammer, som Windows Defender selv, bruker virusdefinisjoner og heuristikk til å fange farlige programmer før de kan kjøre på systemet. Anti-utnyttelsesverktøy hindrer faktisk mange populære angrepsteknikker fra å fungere i det hele tatt, slik at de farlige programmene ikke kommer på systemet ditt i utgangspunktet. De aktiverer visse operativsystembeskyttere og blokkerer vanlige minnesutnyttelsesteknikker, slik at hvis opptreden-lignende oppførsel blir oppdaget, vil de avslutte prosessen før noe skjer dårlig. Med andre ord kan de beskytte mot mange nulldagsangrep før de blir lappet.
Imidlertid kan de potensielt forårsake kompatibilitetsproblemer, og deres innstillinger må kanskje tweaked for forskjellige programmer. Derfor var EMET vanligvis brukt på bedriftsnettverk, hvor systemadministratorer kunne tilpasse innstillingene, og ikke på hjemme-PCer.
Windows Defender inneholder nå mange av de samme beskyttelsene, som opprinnelig ble funnet i Microsofts EMET. De er aktivert som standard for alle, og er en del av operativsystemet. Windows Defender konfigurerer automatisk passende regler for forskjellige prosesser som kjører på systemet. (Malwarebytes fortsatt hevder at deres anti-utnyttelsesfunksjon er overlegen, og vi anbefaler fortsatt å bruke Malwarebytes, men det er bra at Windows Defender også har noe av dette innebygde nå.)
Denne funksjonen aktiveres automatisk hvis du har oppgradert til Windows 10s Fall Creators Update, og EMET støttes ikke lenger. EMET kan ikke engang installeres på PCer som kjører Fall Creators Update. Hvis du allerede har EMET installert, vil den bli fjernet av oppdateringen.
Windows 10s Fall Creators Update inneholder også en relatert sikkerhetsfunksjon som heter Kontrollert mappegang. Den er utformet for å stoppe skadelig programvare ved bare å tillate klarerte programmer å endre filer i dine personlige data-mapper, som Dokumenter og bilder. Begge funksjonene er en del av "Windows Defender Exploit Guard". Men kontrollert mappetilgang er ikke aktivert som standard.
Slik bekrefter du Exploit Protection er aktivert
Denne funksjonen er automatisk aktivert for alle Windows 10-PCer. Det kan imidlertid også byttes til "Revisjonsmodus", slik at systemadministratorer overvåker en logg av hva Exploit Protection ville ha gjort for å bekrefte at det ikke vil føre til noen problemer før de aktiveres på kritiske PCer.
For å bekrefte at denne funksjonen er aktivert, kan du åpne Windows Defender Security Center. Åpne Start-menyen, søk etter Windows Defender, og klikk på snarveien til Windows Defender Security Center.
Hvis du ikke ser denne delen, har PCen trolig ikke oppdatert til Fall Creators Update ennå.
Slik konfigurerer du Windows Defender's Exploit Protection
Advarsel: Du vil sannsynligvis ikke konfigurere denne funksjonen. Windows Defender tilbyr mange tekniske alternativer du kan justere, og de fleste vil ikke vite hva de gjør her. Denne funksjonen er konfigurert med smarte standardinnstillinger som unngår å forårsake problemer, og Microsoft kan oppdatere reglene over tid. Alternativene her virker primært ment å hjelpe systemadministratorer til å utvikle regler for programvare og rulle dem ut på et bedriftsnettverk.
Hvis du vil konfigurere Exploit Protection, kan du gå til Windows Defender Security Center> App og nettleserkontroll, bla ned og klikk på "Exploit Protection Settings" under Exploit Protection.
Nederst på skjermen kan du klikke på "Eksporter innstillinger" for å eksportere innstillingene som en.xml-fil du kan importere på andre systemer. Microsofts offisielle dokumentasjon inneholder mer informasjon om distribusjon av regler med gruppepolicy og PowerShell.
Igjen, bør du ikke røre disse alternativene med mindre du vet hva du gjør. Standardene er fornuftige og velges av en grunn.
Grensesnittet gir en veldig kort oppsummering av hva hvert alternativ gjør, men du må gjøre noen undersøkelser hvis du vil vite mer. Vi har tidligere forklart hva DEP og ASLR gjør her.
Du bør ikke tukle med disse innebygde reglene for prosesser som runtimebroker.exe og spoolsv.exe. Microsoft la dem med en grunn.
Du kan legge til tilpassede regler for individuelle programmer ved å klikke på "Legg til program for å tilpasse". Du kan enten "Legg til ved programnavn" eller "Velg nøyaktig filsti", men å angi en nøyaktig filbane er mye mer presis.
Igjen, bør du ikke berøre disse alternativene med mindre du er systemadministrator som ønsker å låse ned et program, og du vet virkelig hva du gjør.
Ikke bare blindt forsøk å begrense applikasjoner, eller du vil forårsake lignende problemer på systemet ditt. De vil være vanskelig å feilsøke hvis du ikke husker at du endret alternativene også.