Как работает новая защита защиты Windows Defender (и как ее настроить)

2024 Автор: Geoffrey Carr | [email protected]. Последнее изменение: 2024-01-12 05:24

Обновление Fall Creators от Microsoft наконец добавляет интегрированную защиту от эксплойтов в Windows. Ранее вам приходилось искать это в форме инструмента EMET Microsoft. Теперь он входит в Защитник Windows и активируется по умолчанию.

Как работает защита защитника Windows Defender

Мы долгое время рекомендовали использовать анти-эксплоиттное программное обеспечение, такое как Microsoft Enhanced Mitigation Experience Toolkit (EMET) или более дружественный к пользователю Malwarebytes Anti-Malware, который содержит мощную антиисключительную функцию (среди прочего). EMET Microsoft широко используется в больших сетях, где его можно настроить системными администраторами, но он никогда не был установлен по умолчанию, требует конфигурации и имеет запутанный интерфейс для обычных пользователей.

Типичные антивирусные программы, такие как Windows Defender, используют определения вирусов и эвристики для обнаружения опасных программ, прежде чем они смогут запускаться в вашей системе. Анти-эксплоитные инструменты фактически предотвращают многие популярные методы атаки, поэтому эти опасные программы не попадают в вашу систему в первую очередь. Они обеспечивают защиту определенных операционных систем и блокируют общие методы использования памяти, поэтому, если обнаружено поведение, подобное эксплуатации, они прекратят процесс до того, как произойдет что-либо плохое. Другими словами, они могут защитить от многих атак с нулевым днем, прежде чем они будут исправлены.

Тем не менее, они могут потенциально вызвать проблемы совместимости, и их настройки, возможно, придется настраивать для разных программ. Именно поэтому EMET обычно использовался в корпоративных сетях, где системные администраторы могли настраивать настройки, а не на домашних ПК.

Защитник Windows теперь включает в себя многие из этих же защит, которые были первоначально обнаружены в EMET Microsoft. Они включены по умолчанию для всех и являются частью операционной системы. Защитник Windows автоматически настраивает соответствующие правила для разных процессов, запущенных в вашей системе. (Malwarebytes по-прежнему утверждает, что их функция защиты от эксплойта превосходит, и мы по-прежнему рекомендуем использовать Malwarebytes, но хорошо, что Windows Defender также имеет некоторые из этих встроенных функций.)

Эта функция автоматически активируется, если вы обновили обновление Fall Creators для Windows 10, и EMET больше не поддерживается. EMET даже не может быть установлен на ПК с обновлением Fall Autodesk. Если у вас уже установлен EMET, он будет удален обновлением.

Обновление осенних создателей Windows 10 также включает связанную функцию безопасности с именем Controlled Folder Access. Он предназначен для остановки вредоносного ПО, только позволяя доверенным программам изменять файлы в ваших личных папках данных, например Documents and Pictures. Обе функции являются частью «Защитника безопасности Windows Defender». Однако доступ к контролируемой папке по умолчанию не включен.

Как подтвердить защиту от взрывов включена

Эта функция автоматически включена для всех ПК с Windows 10. Тем не менее, его также можно переключить в «Режим аудита», чтобы системные администраторы могли отслеживать журнал того, что Exploit Protection сделала бы, чтобы подтвердить, что это не вызовет никаких проблем, прежде чем включать его на критичных компьютерах.

Чтобы подтвердить, что эта функция включена, вы можете открыть Центр безопасности Windows Defender. Откройте меню «Пуск», найдите Защитника Windows и щелкните ярлык Центра безопасности Windows Defender.

Нажмите на оконную кнопку «Управление приложениями и браузером» на боковой панели. Прокрутите вниз, и вы увидите раздел «Защита от взрывов». Он сообщит вам, что эта функция включена.

Если вы не видите этот раздел, ваш ПК, вероятно, еще не обновился до обновления разработчиков Fall.

Как настроить защиту от использования защитника Windows

Предупреждение: Вероятно, вы не хотите настраивать эту функцию. Защитник Windows предлагает множество технических параметров, которые вы можете настроить, и большинство людей не будет знать, что они здесь делают. Эта функция настроена с использованием интеллектуальных настроек по умолчанию, которые позволят избежать проблем, и Microsoft может обновлять свои правила с течением времени. Возможности здесь в первую очередь направлены на то, чтобы помочь системным администраторам разработать правила для программного обеспечения и развернуть их в корпоративной сети.

Если вы хотите настроить защиту от взлома, зайдите в Центр защиты Windows Defender> Управление приложениями и браузерами, прокрутите вниз и нажмите «Использовать параметры защиты» в разделе «Защита от использования».

Здесь вы увидите две вкладки: «Системные настройки» и «Настройки программы». Системные настройки управляют настройками по умолчанию, используемыми для всех приложений, в то время как параметры программы управляют отдельными настройками, используемыми для различных программ. Другими словами, настройки программы могут переопределять параметры системы для отдельных программ. Они могут быть более ограничительными или менее ограничительными.

В нижней части экрана вы можете нажать «Экспортировать настройки», чтобы экспортировать ваши настройки в виде XML-файла, который вы можете импортировать в другие системы. Официальная документация Microsoft предлагает дополнительную информацию о развертывании правил с помощью групповой политики и PowerShell.

На вкладке «Системные настройки» вы увидите следующие опции: «Контроль потока потока» (CFG), «Предотвращение выполнения данных» (DEP), «Рандомизация последовательности для изображений» (Обязательный ASLR), «Ранжирование памяти» (снизу вверх ASLR), Проверка цепочек исключений (SEHOP) и проверить целостность кучи. Все они включены по умолчанию, за исключением варианта рандомизации Force для изображений (обязательный ASLR). Скорее всего, потому, что Mandatory ASLR вызывает проблемы с некоторыми программами, поэтому при включении вы можете столкнуться с проблемами совместимости, в зависимости от программ, которые вы запускаете.

Опять же, вы действительно не должны касаться этих параметров, если не знаете, что делаете. По умолчанию разумны и выбраны по какой-то причине.

Интерфейс дает очень краткое изложение того, что делает каждый вариант, но вам нужно будет провести некоторое исследование, если вы хотите узнать больше. Ранее мы объяснили, что здесь делают DEP и ASLR.

Перейдите на вкладку «Настройки программы», и вы увидите список различных программ с пользовательскими настройками. Параметры здесь позволяют переопределить общие системные настройки. Например, если в списке выбрать «iexplore.exe» и нажать «Изменить», вы увидите, что здесь правило принудительно включает обязательный ASLR для процесса Internet Explorer, хотя он по умолчанию не включен в систему.

Вы не должны вмешиваться в эти встроенные правила для процессов, таких как runtimebroker.exe и spoolsv.exe. Microsoft добавила их по какой-то причине.

Вы можете добавить пользовательские правила для отдельных программ, нажав «Добавить программу для настройки». Вы можете либо «Добавить по имени программы», либо «Выбрать точный путь к файлу», но уточнение точного пути к файлу намного точнее.

После добавления вы можете найти длинный список настроек, который не будет значимым для большинства людей. Полный список доступных здесь настроек: Защитный код (ACG), Блокировать изображения с низкой целостностью, Блокировать удаленные изображения, Блокировать ненадежные шрифты, Защитить целостность кода, Защитить контроль потока (CFG), Предотвращение выполнения данных (DEP), Отключить точки расширения, Отключить системные вызовы Win32k, Не разрешать дочерние процессы, Экспортировать фильтрацию адресов (EAF), Форсировать рандомизацию изображений (Обязательный ASLR), Импортировать фильтрацию адресов (IAF), Ранжировать распределение памяти (снизу вверх ASLR), Имитировать выполнение (SimExec), Проверять вызов API (CallerCheck), Проверять цепи исключений (SEHOP), Проверять использование дескриптора, Проверять целостность кучи, Проверять целостность зависимостей изображения и Проверять целостность стека (StackPivot).

Опять же, вы не должны касаться этих параметров, если вы не системный администратор, который хочет заблокировать приложение, и вы действительно знаете, что делаете.

В качестве теста мы включили все опции iexplore.exe и попытались запустить его. Internet Explorer просто показал сообщение об ошибке и отказался запускать. Мы даже не видели уведомления Windows Defender, объясняющие, что Internet Explorer не работает из-за наших настроек.

Не слепо пытайтесь ограничивать приложения, иначе вы столкнетесь с подобными проблемами в своей системе. Их будет сложно устранить, если вы не помните, что вы тоже изменили параметры.