Что делает «блокировать подозрительное поведение»?
Эта функция имеет довольно расплывчатое имя. Однако в документации Microsoft разъясняется, что «Block Suspicious Behaviors» - это просто дружественное имя для «технологии защиты поверхности атаки Windows Defender Exploit Guard». Эта функция безопасности была внедрена в обновлении Fall Creators, но была доступна только в Windows 10 Enterprise. В октябрьском обновлении 2018 года он теперь доступен всем через опцию в Windows Security.
Когда вы включаете эту функцию, Windows 10 активирует различные правила безопасности. Эти правила отключают функции, обычно используемые только вредоносными программами, помогая защитить ваш компьютер от атак.
Вот некоторые из правил сокращения поверхности атаки:
- Блокировать исполняемый контент из почтового клиента и веб-почты
- Блокировать приложения Office от создания дочерних процессов
- Блокировать приложения Office от создания исполняемого содержимого
- Блокировать приложения Office от ввода кода в другие процессы
- Блокировать JavaScript или VBScript из запуска загруженного исполняемого содержимого
- Блокировать выполнение потенциально запутанных скриптов
- Блокировать вызовы API Win32 из макроса Office
- Блокировать кражи учетных данных из локальной системы безопасности Windows (lsass.exe)
- Создание блочных процессов, созданных командами PSExec и WMI
- Блокируйте ненадежные и неподписанные процессы, которые запускаются с USB
- Блокировать приложения связи Office от создания дочерних процессов
Это подозрительные действия, которые могут быть использованы вредоносными приложениями. Например, эти правила блокируют исполняемые файлы, которые поступают по электронной почте, не позволяют приложениям Office выполнять определенные действия и останавливать опасные макропомощи. Когда эти правила включены, Windows защищает учетные данные от кражи, прекращает работу подозрительных исполняемых файлов на USB-накопителях и отказывается запускать скрипты, которые выглядят замаскированными, чтобы обойти антивирусное программное обеспечение.
Вы найдете полный список правил сокращения поверхности атаки на сайте поддержки Microsoft. Организации могут настраивать, какие правила используются в групповой политике, но средние потребительские ПК получают единый набор правил для всех размеров. Непонятно, какие именно правила используются при включении этой опции в Windows Security.
Это часть защиты от защитника Windows
Attack Surface Reduction является частью Защитника Защиты Windows Defender, который также включает защиту от взрывов, защиту сети и доступ к контролируемым папкам.
Важно уточнить: «Блокировать подозрительные действия» - это не та же функция, что и Exploit Protection, которая защищает ваш компьютер от множества распространенных методов использования. Например, Exploit Protection защищает от методов использования общей памяти, используемых атак с нулевым днем, и завершает любой процесс, который их использует. Exploit Protection работает так же, как и программное обеспечение Microsoft Enhanced Mitigation Experience Toolkit (EMET). Attack Surface Reduction отключает потенциально опасные функции на более высоком уровне.
По умолчанию функция Exploit Protection включена, и вы можете настроить ее в другом месте в приложении Windows Security. Уменьшение поверхности атаки или «Блокировать подозрительные действия» по умолчанию пока не включено.
Как включить «Блокировать подозрительные действия»
Вы можете включить эту функцию из приложения Windows Security, ранее называвшегося Windows Defender Security Center.
Чтобы найти его, откройте «Настройки»> «Обновление и безопасность»> «Безопасность Windows»> «Открыть безопасность Windows» или просто запустите ярлык «Безопасность Windows» в меню «Пуск».
