Как функционира защитата на Windows Defender за експлоатиране
От дълго време препоръчваме използването на софтуер за борба с експлоатирането, като инструмента за подобряване на опитите за смекчаване (EMET) на Microsoft или по-лесния за използване Malwarebytes Anti-Malware, който съдържа мощна анти-експлоатирана функция (между другото). ЕМЕТ на Microsoft е широко използван в по-големи мрежи, където може да бъде конфигуриран от системни администратори, но той никога не е инсталиран по подразбиране, изисква конфигурация и има объркващ интерфейс за средните потребители.
Типичните антивирусни програми, като самия Windows Defender, използват вирусни дефиниции и евристики, за да ловят опасни програми, преди да могат да работят на вашата система. Инструментите за борба с експлоатацията всъщност пречат на функционирането на много популярни техники за атака, така че тези опасни програми не се появяват на вашата система на първо място. Те дават възможност за защита на някои операционни системи и блокират техники за използване на обща памет, така че ако бъде открито подобно на експлоатиране поведение, те ще прекратят процеса, преди да се случи нещо лошо. С други думи, те могат да защитят срещу много нападения с нулеви дни, преди да бъдат защитени.
Възможно е обаче те да причинят проблеми със съвместимостта и настройките им може да се променят за различни програми. Ето защо EMET обикновено се използва в корпоративни мрежи, където системните администратори могат да променят настройките, а не на домашните персонални компютри.
Windows Defender вече включва много от същите защити, които първоначално бяха намерени в EMET на Microsoft. Те са разрешени по подразбиране за всички и са част от операционната система. Windows Defender автоматично конфигурира подходящи правила за различните процеси, които се изпълняват на вашата система. (Malwarebytes все още твърди, че тяхната функция за борба с експлоатацията е по-добра и все пак препоръчваме да използвате Malwarebytes, но е добре, че Windows Defender има и някои от тези вградени програми).
Тази функция автоматично се активира, ако сте надстроили Windows Update на Fall Creators Update и EMET вече не се поддържа. ЕМЕТ дори не може да бъде инсталирана на компютри, които изпълняват актуализацията на създателите на есента. Ако вече сте инсталирали EMET, той ще бъде премахнат от актуализацията.
Актуализацията на Windows 10 за създаване на падащи създатели включва също свързана функция за сигурност, наречена "Достъп до контролирана папка". Тя е предназначена да спре злонамерен софтуер, като позволява на доверени програми да променят файлове в папките ви с лични данни, като например документи и снимки. И двете функции са част от "Windows Defender Exploit Guard". Достъпът на контролирана папка обаче не е разрешен по подразбиране.
Как се потвърждава защитата при експлозия е активирана
Тази функция автоматично се активира за всички Windows 10 компютри. Въпреки това, той може да бъде превключен в режим "Одит", което позволява на системните администратори да следят дневника на това, което би направила Exploit Protection, за да потвърди, че няма да създаде никакви проблеми, преди да го разреши на критични компютри.
За да потвърдите, че тази функция е активирана, можете да отворите Центъра за защита на Windows Defender. Отворете менюто "Старт", потърсете Windows Defender и кликнете върху прекия път на Windows Defender Security Center.
Ако не виждате тази секция, компютърът ви все още не е актуализиран до актуализацията на създателите на есента.
Как да конфигурирате защитата от експлоатиране на Windows Defender
Внимание: Вероятно не искате да конфигурирате тази функция. Windows Defender предлага много технически опции, които можете да настроите, и повечето хора няма да знаят какво правят тук. Тази функция е конфигурирана с интелигентни настройки по подразбиране, които ще избегнат проблеми и Microsoft може да актуализира правилата си с течение на времето. Опциите тук изглеждат главно предназначени да помогнат на системните администратори да разработят правила за софтуера и да ги включат в корпоративната мрежа.
Ако искате да конфигурирате Exploit Protection, отидете в Центъра за защита на Windows Defender> Контрол на приложението и браузъра, превъртете надолу и кликнете върху "Настройки за защита от експлозия" под защита Exploit.
В долната част на екрана можете да кликнете върху "Експортиране на настройки", за да експортирате настройките си като.xml файл, който можете да импортирате на други системи. Официалната документация на Microsoft предлага повече информация за разгръщането на правила с Group Policy и PowerShell.
Отново, наистина не трябва да докосвате тези опции, освен ако не знаете какво правите. Неизправностите са разумни и са избрани по някаква причина.
Интерфейсът предоставя много кратко обобщение на това, което прави всеки вариант, но ще трябва да направите някои изследвания, ако искате да знаете повече. По-рано сме обяснили какво правят тук DEP и ASLR.
Не трябва да нарушавате тези вградени правила за процеси като runtimebroker.exe и spoolsv.exe. Microsoft ги добави по някаква причина.
Можете да добавите персонализирани правила за отделни програми, като кликнете върху "Добавяне на програма за персонализиране". Можете да "Добавите по име на програмата" или "Изберете точен път на файла", но уточняването на точния път на файла е много по-точен.
Отново не трябва да докосвате тези опции, освен ако не сте системен администратор, който иска да блокира приложението и наистина знаете какво правите.
Не се опитвайте само сляпо да ограничите приложенията или ще предизвикате подобни проблеми на системата си. Те ще бъдат трудни за отстраняване на неизправности, ако не помните, че сте променили опциите също.