Hva gjør "Blokkerende mishandling"?
Denne funksjonen har et ganske vakt navn. Imidlertid klargjør Microsofts dokumentasjon at "Block Suspicious Behaviors" bare er et vennlig navn for "Defender Defloit Guard-angrepens overflatereduksjonsteknologi." Denne sikkerhetsfunksjonen ble introdusert i Fall Creators Update, men var bare tilgjengelig i Windows 10 Enterprise. I oppdateringen til oktober 2018 er den nå tilgjengelig for alle via et alternativ i Windows Security.
Når du aktiverer denne funksjonen, aktiverer Windows 10 en rekke sikkerhetsregler. Disse reglene deaktiverer funksjoner som normalt bare brukes av skadelig programvare, og bidrar til å beskytte PCen mot angrep.
Her er noen av angrepets overflatereduksjonsregler:
- Blokker eksekverbart innhold fra e-postklient og webmail
- Blokker Office-programmer fra å lage barnprosesser
- Block Office-applikasjoner fra å opprette eksekverbart innhold
- Blokker Office-applikasjoner fra å injisere kode i andre prosesser
- Blokker JavaScript eller VBScript fra å starte nedlastet kjørbart innhold
- Blokker gjennomføring av potensielt forvirrede skript
- Blokker Win32 API-anrop fra Office-makro
- Blokker legitimasjon som stjeler fra Windows lokale sikkerhetsmyndighetens undersystem (lsass.exe)
- Blokker prosess kreasjoner som stammer fra PSExec og WMI kommandoer
- Blokker usikre og usignerte prosesser som kjører fra USB
- Blokker Office-kommunikasjonsprogrammer fra å lage barnprosesser
Dette er mistenkelige handlinger som kan brukes av ondsinnede applikasjoner. For eksempel blokkerer disse reglene kjørbare filer som kommer via e-post, hindrer Office-programmer fra å gjøre bestemte ting, og stopper farlig makroadferd. Med disse reglene aktivert, beskytter Windows legitimasjon fra tyveri, stopper mistenkelige ser kjørbare på USB-stasjoner fra å kjøre, og nekter å kjøre skript som ser forklart ut for å komme seg rundt antivirusprogramvare.
Du finner en komplett liste over regler for angrepsoverflatefjerning på Microsofts støtteside. Organisasjoner kan tilpasse hvilke regler som benyttes gjennom gruppepolitikken, men gjennomsnittlige forbruker-PCer får en one-size-passer-alle sett med regler. Det er uklart nøyaktig hvilke regler som brukes når du aktiverer dette alternativet i Windows Security.
Dette er en del av Windows Defender Exploit Guard
Attack Surface Reduction er en del av Windows Defender Exploit Guard, som også inkluderer Exploit Protection, Nettverksbeskyttelse og Kontrollert Mapptilgang.
Det er viktig å klargjøre - "Block Mistenkelig Atferd" er ikke den samme funksjonen som Exploit Protection, som beskytter PCen mot en rekke vanlige bruksmetoder. Eksempelbeskyttelse beskytter mot fellesminneutnyttelsesteknikker som brukes av nulldagsangrep og avslutter en prosess som bruker dem. Exploit Protection fungerer som Microsofts Enhanced Mitigation Experience Toolkit (EMET) programvare. Attack Surface Reduction deaktiverer potensielt farlige funksjoner på et høyere nivå.
Exploit Protection er aktivert som standard, og du kan justere det fra andre steder i Windows Security-programmet. Attack Surface Reduction, eller "Block Suspicious Behaviors," er ikke aktivert som standard enda.
Slik aktiverer du "Block Mistenkelig Atferd"
Du kan aktivere denne funksjonen fra Windows Security-programmet, tidligere kalt Windows Defender Security Center.
For å finne det, gå til Innstillinger> Oppdater og Sikkerhet> Windows Sikkerhet> Åpne Windows Security eller bare start snarveien "Windows Security" fra Start-menyen.
