Slik fungerer Windows Defender's New Exploit Protection (og hvordan du konfigurerer det)

Innholdsfortegnelse:

Slik fungerer Windows Defender's New Exploit Protection (og hvordan du konfigurerer det)
Slik fungerer Windows Defender's New Exploit Protection (og hvordan du konfigurerer det)

Video: Slik fungerer Windows Defender's New Exploit Protection (og hvordan du konfigurerer det)

Video: Slik fungerer Windows Defender's New Exploit Protection (og hvordan du konfigurerer det)
Video: PXE Explained: PreBoot Execution Environment, how to deploy an operating system. - YouTube 2024, April
Anonim
Microsofts Fall Creators Update legger til slutt integrert utnyttelsesbeskyttelse til Windows. Du måtte tidligere søke dette ut i form av Microsofts EMET-verktøy. Det er nå en del av Windows Defender og er aktivert som standard.
Microsofts Fall Creators Update legger til slutt integrert utnyttelsesbeskyttelse til Windows. Du måtte tidligere søke dette ut i form av Microsofts EMET-verktøy. Det er nå en del av Windows Defender og er aktivert som standard.

Hvordan Windows Defender's Exploit Protection fungerer

Vi har lenge anbefalt å bruke anti-exploit programvare som Microsofts Enhanced Mitigation Experience Toolkit (EMET) eller den mer brukervennlige Malwarebytes Anti-Malware, som inneholder en kraftig anti-utnyttelse funksjon (blant annet). Microsofts EMET er mye brukt på større nettverk hvor den kan konfigureres av systemadministratorer, men den ble aldri installert som standard, krever konfigurasjon, og har et forvirrende grensesnitt for gjennomsnittlige brukere.

Typiske antivirusprogrammer, som Windows Defender selv, bruker virusdefinisjoner og heuristikk til å fange farlige programmer før de kan kjøre på systemet. Anti-utnyttelsesverktøy hindrer faktisk mange populære angrepsteknikker fra å fungere i det hele tatt, slik at de farlige programmene ikke kommer på systemet ditt i utgangspunktet. De aktiverer visse operativsystembeskyttere og blokkerer vanlige minnesutnyttelsesteknikker, slik at hvis opptreden-lignende oppførsel blir oppdaget, vil de avslutte prosessen før noe skjer dårlig. Med andre ord kan de beskytte mot mange nulldagsangrep før de blir lappet.

Imidlertid kan de potensielt forårsake kompatibilitetsproblemer, og deres innstillinger må kanskje tweaked for forskjellige programmer. Derfor var EMET vanligvis brukt på bedriftsnettverk, hvor systemadministratorer kunne tilpasse innstillingene, og ikke på hjemme-PCer.

Windows Defender inneholder nå mange av de samme beskyttelsene, som opprinnelig ble funnet i Microsofts EMET. De er aktivert som standard for alle, og er en del av operativsystemet. Windows Defender konfigurerer automatisk passende regler for forskjellige prosesser som kjører på systemet. (Malwarebytes fortsatt hevder at deres anti-utnyttelsesfunksjon er overlegen, og vi anbefaler fortsatt å bruke Malwarebytes, men det er bra at Windows Defender også har noe av dette innebygde nå.)

Denne funksjonen aktiveres automatisk hvis du har oppgradert til Windows 10s Fall Creators Update, og EMET støttes ikke lenger. EMET kan ikke engang installeres på PCer som kjører Fall Creators Update. Hvis du allerede har EMET installert, vil den bli fjernet av oppdateringen.

Windows 10s Fall Creators Update inneholder også en relatert sikkerhetsfunksjon som heter Kontrollert mappegang. Den er utformet for å stoppe skadelig programvare ved bare å tillate klarerte programmer å endre filer i dine personlige data-mapper, som Dokumenter og bilder. Begge funksjonene er en del av "Windows Defender Exploit Guard". Men kontrollert mappetilgang er ikke aktivert som standard.

Slik bekrefter du Exploit Protection er aktivert

Denne funksjonen er automatisk aktivert for alle Windows 10-PCer. Det kan imidlertid også byttes til "Revisjonsmodus", slik at systemadministratorer overvåker en logg av hva Exploit Protection ville ha gjort for å bekrefte at det ikke vil føre til noen problemer før de aktiveres på kritiske PCer.

For å bekrefte at denne funksjonen er aktivert, kan du åpne Windows Defender Security Center. Åpne Start-menyen, søk etter Windows Defender, og klikk på snarveien til Windows Defender Security Center.

Klikk på det vinduformede "App & browser control" -ikonet i sidepanelet. Rull ned og du vil se delen "Utnyttelsesbeskyttelse". Det vil informere deg om at denne funksjonen er aktivert.
Klikk på det vinduformede "App & browser control" -ikonet i sidepanelet. Rull ned og du vil se delen "Utnyttelsesbeskyttelse". Det vil informere deg om at denne funksjonen er aktivert.

Hvis du ikke ser denne delen, har PCen trolig ikke oppdatert til Fall Creators Update ennå.

Image
Image

Slik konfigurerer du Windows Defender's Exploit Protection

Advarsel: Du vil sannsynligvis ikke konfigurere denne funksjonen. Windows Defender tilbyr mange tekniske alternativer du kan justere, og de fleste vil ikke vite hva de gjør her. Denne funksjonen er konfigurert med smarte standardinnstillinger som unngår å forårsake problemer, og Microsoft kan oppdatere reglene over tid. Alternativene her virker primært ment å hjelpe systemadministratorer til å utvikle regler for programvare og rulle dem ut på et bedriftsnettverk.

Hvis du vil konfigurere Exploit Protection, kan du gå til Windows Defender Security Center> App og nettleserkontroll, bla ned og klikk på "Exploit Protection Settings" under Exploit Protection.

Du får se to faner her: Systeminnstillinger og Programinnstillinger. Systeminnstillinger styrer standardinnstillingene som brukes for alle applikasjoner, mens Programinnstillinger styrer de enkelte innstillingene som brukes for ulike programmer. Programinnstillingene kan med andre ord overstyre systeminnstillingene for individuelle programmer. De kan være mer restriktive eller mindre restriktive.
Du får se to faner her: Systeminnstillinger og Programinnstillinger. Systeminnstillinger styrer standardinnstillingene som brukes for alle applikasjoner, mens Programinnstillinger styrer de enkelte innstillingene som brukes for ulike programmer. Programinnstillingene kan med andre ord overstyre systeminnstillingene for individuelle programmer. De kan være mer restriktive eller mindre restriktive.

Nederst på skjermen kan du klikke på "Eksporter innstillinger" for å eksportere innstillingene som en.xml-fil du kan importere på andre systemer. Microsofts offisielle dokumentasjon inneholder mer informasjon om distribusjon av regler med gruppepolicy og PowerShell.

På fanen Systeminnstillinger ser du følgende alternativer: Kontrollflytvakt (CFG), Datateknisk forebygging (DEP), Force randomisering for bilder (Obligatorisk ASLR), Randomize minneallokeringer (Bunn-up ASLR), Bekreft unntakskjeder (SEHOP), og Validate heap integritet. De er alle på som standard bortsett fra Force randomization for images (Obligatorisk ASLR) alternativ. Det er sannsynligvis fordi Obligatorisk ASLR forårsaker problemer med enkelte programmer, slik at du kan løse kompatibilitetsproblemer hvis du aktiverer det, avhengig av programmene du kjører.
På fanen Systeminnstillinger ser du følgende alternativer: Kontrollflytvakt (CFG), Datateknisk forebygging (DEP), Force randomisering for bilder (Obligatorisk ASLR), Randomize minneallokeringer (Bunn-up ASLR), Bekreft unntakskjeder (SEHOP), og Validate heap integritet. De er alle på som standard bortsett fra Force randomization for images (Obligatorisk ASLR) alternativ. Det er sannsynligvis fordi Obligatorisk ASLR forårsaker problemer med enkelte programmer, slik at du kan løse kompatibilitetsproblemer hvis du aktiverer det, avhengig av programmene du kjører.

Igjen, bør du ikke røre disse alternativene med mindre du vet hva du gjør. Standardene er fornuftige og velges av en grunn.

Grensesnittet gir en veldig kort oppsummering av hva hvert alternativ gjør, men du må gjøre noen undersøkelser hvis du vil vite mer. Vi har tidligere forklart hva DEP og ASLR gjør her.

Klikk over til "Programinnstillinger" -fanen, og du vil se en liste over forskjellige programmer med egendefinerte innstillinger. Alternativene her tillater at de generelle systeminnstillingene overskrides. Hvis du for eksempel velger "iexplore.exe" i listen og klikker "Rediger", ser du at regelen her kraftig aktiverer Obligatorisk ASLR for Internet Explorer-prosessen, selv om den ikke er aktivert som standard hele systemet.
Klikk over til "Programinnstillinger" -fanen, og du vil se en liste over forskjellige programmer med egendefinerte innstillinger. Alternativene her tillater at de generelle systeminnstillingene overskrides. Hvis du for eksempel velger "iexplore.exe" i listen og klikker "Rediger", ser du at regelen her kraftig aktiverer Obligatorisk ASLR for Internet Explorer-prosessen, selv om den ikke er aktivert som standard hele systemet.

Du bør ikke tukle med disse innebygde reglene for prosesser som runtimebroker.exe og spoolsv.exe. Microsoft la dem med en grunn.

Du kan legge til tilpassede regler for individuelle programmer ved å klikke på "Legg til program for å tilpasse". Du kan enten "Legg til ved programnavn" eller "Velg nøyaktig filsti", men å angi en nøyaktig filbane er mye mer presis.

Når du har lagt til, kan du finne en lang liste over innstillinger som ikke vil være meningsfylte for de fleste. Den fullstendige listen over innstillinger som er tilgjengelige her, er: Vilkårlig kodevern (ACG), Blokker bilder med lav integritet, Blokker fjernbilder, Blokker ufeilbare skrifttyper, Kodeintegritetsvakt, Kontrollflytvakt (CFG), Datateknisk forebygging (DEP), Deaktiver utvidelsespunkter, Slå av Win32k-systemanrop, Ikke tillat barnprosesser, Eksporter adressefiltering (EAF), Force-randomisering for bilder (Obligatorisk ASLR), Importadressefiltrering (IAF), Randomize memory allocations (Bottom-up ASLR), Simulere kjøring (SimExec), Validate API invocation (CallerCheck), Bekreft unntaks kjeder (SEHOP), Validate handle usage, Validate heap integritet, Validate image dependence integrity, og Validate stack integrity (StackPivot).
Når du har lagt til, kan du finne en lang liste over innstillinger som ikke vil være meningsfylte for de fleste. Den fullstendige listen over innstillinger som er tilgjengelige her, er: Vilkårlig kodevern (ACG), Blokker bilder med lav integritet, Blokker fjernbilder, Blokker ufeilbare skrifttyper, Kodeintegritetsvakt, Kontrollflytvakt (CFG), Datateknisk forebygging (DEP), Deaktiver utvidelsespunkter, Slå av Win32k-systemanrop, Ikke tillat barnprosesser, Eksporter adressefiltering (EAF), Force-randomisering for bilder (Obligatorisk ASLR), Importadressefiltrering (IAF), Randomize memory allocations (Bottom-up ASLR), Simulere kjøring (SimExec), Validate API invocation (CallerCheck), Bekreft unntaks kjeder (SEHOP), Validate handle usage, Validate heap integritet, Validate image dependence integrity, og Validate stack integrity (StackPivot).

Igjen, bør du ikke berøre disse alternativene med mindre du er systemadministrator som ønsker å låse ned et program, og du vet virkelig hva du gjør.

Som en test, aktiverte vi alle mulighetene for iexplore.exe og prøvde å starte den. Internet Explorer viste bare en feilmelding og nektet å starte. Vi så ikke engang Windows Defender-varsling som forklarte at Internet Explorer ikke fungerte på grunn av våre innstillinger.
Som en test, aktiverte vi alle mulighetene for iexplore.exe og prøvde å starte den. Internet Explorer viste bare en feilmelding og nektet å starte. Vi så ikke engang Windows Defender-varsling som forklarte at Internet Explorer ikke fungerte på grunn av våre innstillinger.

Ikke bare blindt forsøk å begrense applikasjoner, eller du vil forårsake lignende problemer på systemet ditt. De vil være vanskelig å feilsøke hvis du ikke husker at du endret alternativene også.

Anbefalt:

Slik sjekker du om TRIM er aktivert for SSD (og aktiver det hvis det ikke er det)

Slik sjekker du om TRIM er aktivert for SSD (og aktiver det hvis det ikke er det)

Windows 7 og over er satt til å aktivere TRIM automatisk på solid state-stasjoner. Du bør ikke bekymre deg for å aktivere TRIM selv. Men hvis du vil dobbeltsjekke at Windows har aktivert TRIM, kan du.

Slik konfigurerer du og konfigurerer brukerkontoer på Windows 10

Slik konfigurerer du og konfigurerer brukerkontoer på Windows 10

Windows 8 introduserte Microsoft-kontoer, som hovedsakelig er roaming-kontoer som lar deg synkronisere innstillinger og filer fra datamaskin til datamaskin. I dag vil vi diskutere hva Windows 10 bringer til brukerkontostyring, og de tilgjengelige alternativene.

Hvordan AutoRun Malware ble et problem på Windows, og hvordan det var (for det meste) Fast

Hvordan AutoRun Malware ble et problem på Windows, og hvordan det var (for det meste) Fast

Takket være dårlige designbeslutninger var AutoRun en gang et stort sikkerhetsproblem på Windows. AutoRun hjelpelig lovlig skadelig programvare å starte så snart du setter inn plater og USB-stasjoner i datamaskinen.

Slik konfigurerer og konfigurerer du ruterinnstillingene for brannmur

Slik konfigurerer og konfigurerer du ruterinnstillingene for brannmur

Lær hvordan du konfigurerer rutem brannmuren, få tilgang til maskinvareruter siden, konfigurer rutemannbrannmurinnstillinger. Finn ut hvilke porter som er nødvendige på datamaskinen.

Hva er WannaCrypt ransomware, hvordan fungerer det og hvordan man holder seg trygt

Hva er WannaCrypt ransomware, hvordan fungerer det og hvordan man holder seg trygt

Hva er WannaCry eller WannaCrypt ransomware? Hvordan infiserer det en datamaskin? Er du også på trusselisten? Hvordan beskytter du ditt Windows-system best? Få alle spørsmålene besvart her.