Actualizarea creatorilor de toamnă de la Microsoft adaugă în final protecție integrată în Windows. În trecut, a trebuit să căutați acest lucru sub forma instrumentului Microsoft EMET. Acum face parte din Windows Defender și este activat în mod implicit.
De mult timp am recomandat utilizarea unui program anti-exploatare, cum ar fi Microsoft Enhanced Mitigation Experience Toolkit (EMET) sau Malwarebytes Anti-Malware mai prietenos, care conține o puternică caracteristică anti-exploatare (printre altele). Microsoft EMET este utilizat pe scară largă în rețelele mai mari, unde poate fi configurat de administratorii de sistem, însă nu a fost instalat în mod implicit, necesită configurare și are o interfață confuză pentru utilizatorii obișnuiți.
Programele antivirus tipice, cum ar fi Windows Defender în sine, utilizează definiții de virusi și euristică pentru a prinde programe periculoase înainte de a putea rula pe sistemul dvs. Instrumentele anti-exploatare împiedică de fapt funcționarea multor tehnici de atac populare, astfel încât programele periculoase nu intră în sistemul dvs. în primul rând. Acestea permit anumite protecții ale sistemului de operare și blochează tehnicile de exploatare a memoriei comune, astfel încât, dacă se detectează un comportament similar exploatării, aceștia vor termina procesul înainte de a se întâmpla ceva rău. Cu alte cuvinte, ele pot proteja împotriva multor atacuri de zi zero înainte ca acestea să fie patch-uri.
Cu toate acestea, acestea ar putea provoca probleme de compatibilitate, iar setările lor ar putea fi modificate pentru diferite programe. De aceea, EMET a fost utilizat în general în rețelele de întreprinderi, unde administratorii de sistem ar putea modifica setările, și nu pe PC-urile de acasă.
Windows Defender include acum multe dintre aceleași protecții, care au fost găsite inițial în EMET. Acestea sunt activate în mod implicit pentru toată lumea și fac parte din sistemul de operare. Windows Defender configurează automat regulile corespunzătoare pentru diferite procese care rulează pe sistemul dvs. (Malwarebytes susține că caracteristica anti-exploatare este superioară și încă recomandăm să folosim Malwarebytes, dar este bine că Windows Defender are și acum unele din aceste caracteristici încorporate).
Această caracteristică este activată automat dacă ați făcut upgrade la actualizarea Fall Creators, iar EMET nu mai este acceptat. EMET nu poate fi instalat nici chiar pe PC-uri care rulează actualizarea Fall Creators. Dacă ați instalat deja EMET, acesta va fi eliminat de actualizare.
Actualizarea Fall Creators Windows 10 include, de asemenea, o funcție de securitate aferentă numită Acces controlat de foldere. Este conceput pentru a opri programele malware, permițând programelor de încredere să modifice fișierele din dosarele cu date personale, cum ar fi Documente și Imagini. Ambele caracteristici fac parte din "Windows Defender Exploit Guard". Cu toate acestea, accesul la folderul controlat nu este activat în mod implicit.
Această caracteristică este activată automat pentru toate calculatoarele Windows 10. Cu toate acestea, poate fi trecut și în modul "Audit", permițând administratorilor de sistem să monitorizeze un jurnal cu privire la ceea ce ar fi făcut Protecția Exploit pentru a confirma că nu va provoca probleme înainte de al activa pe PC-uri critice.
Pentru a confirma că această funcție este activată, puteți deschide Centrul de securitate Windows Defender. Deschideți meniul Start, căutați Windows Defender și faceți clic pe comanda rapidă Windows Center Security Center.
Faceți clic pe pictograma "Aplicație și control browser" în fereastră în bara laterală. Derulați în jos și veți vedea secțiunea "Protecție exploatație". Vă va informa că această funcție este activată.
Dacă nu vedeți această secțiune, PC-ul dvs., probabil, nu sa actualizat încă la actualizarea Fall Creators.
Avertizare: Probabil că nu doriți să configurați această caracteristică. Windows Defender oferă multe opțiuni tehnice pe care le puteți ajusta și majoritatea oamenilor nu vor ști ce fac aici. Această caracteristică este configurată cu setări implicite inteligente, care vor evita provocarea de probleme, iar Microsoft își poate actualiza regulile în timp. Opțiunile de aici par a fi intenționate, în primul rând, pentru a ajuta administratorii de sisteme să elaboreze reguli pentru software și să le deschidă pe o rețea de întreprinderi.
Dacă doriți să configurați Protecția Exploit, accesați Centrul de securitate Windows Defender> Controlul aplicațiilor și al browserului, derulați în jos și dați clic pe "Setări de protecție exploatație" din secțiunea Protecție Exploit.
Veți vedea două file: Setări de sistem și Setări program. Setările sistemului controlează setările implicite utilizate pentru toate aplicațiile, în timp ce setările programului controlează setările individuale utilizate pentru diferite programe. Cu alte cuvinte, setările programului pot înlocui setările de sistem pentru programele individuale. Acestea ar putea fi mai restrictive sau mai puțin restrictive.
În partea de jos a ecranului, puteți face clic pe "Export setări" pentru a exporta setările ca fișier .xml pe care îl puteți importa pe alte sisteme. Documentația oficială a Microsoft oferă mai multe informații despre implementarea regulilor cu Politica de grup și PowerShell.
În fila Setări sistem veți vedea următoarele opțiuni: Controlul protecției fluxului (CFG), Prevenirea execuției datelor (DEP), Randarea forțelor pentru imagini (ASLR obligatoriu), Randomizarea alocărilor de memorie (ASLR de sus), Validarea lanțurilor excepționale (SEHOP) și validarea integrității heapului. Toate acestea sunt activate în mod prestabilit, cu excepția opțiunii Force randomization for images (Obligatorie ASLR). Acest lucru este posibil deoarece ASLR obligatoriu cauzează probleme cu unele programe, astfel încât este posibil să întâmpinați probleme de compatibilitate dacă îl activați, în funcție de programele pe care le executați.
Din nou, nu trebuie să atingeți aceste opțiuni decât dacă știți ce faceți. Valorile implicite sunt sensibile și sunt alese pentru un motiv.
Interfața oferă un rezumat foarte scurt al a ceea ce face fiecare opțiune, dar va trebui să faceți niște cercetări dacă doriți să aflați mai multe. Am explicat anterior ce fac DEP și ASLR aici.
Faceți clic pe fila "Setări program" și veți vedea o listă cu diferite programe cu setări personalizate. Opțiunile de aici permit depășirea setărilor generale ale sistemului. De exemplu, dacă selectați "iexplore.exe" din listă și dați clic pe "Editați", veți vedea că această regulă activează cu forța ASLR obligatoriu pentru procesul Internet Explorer, chiar dacă nu este activat în mod implicit la nivel de sistem.
Nu trebuie să manipulați aceste reguli încorporate pentru procese precum runtimebroker.exe și spoolsv.exe. Microsoft le-a adăugat pentru un motiv.
Puteți adăuga reguli personalizate pentru programele individuale făcând clic pe "Adăugați programul pentru personalizare". Puteți să fie "Adăugați după numele programului" sau "Alegeți calea exactă a fișierului", dar specificarea unei căi exacte a fișierului este mult mai precisă.
Odată adăugat, puteți găsi o listă lungă de setări care nu vor fi semnificative pentru majoritatea oamenilor. Lista completă a setărilor disponibile aici este: Protejarea codului arbitrar (ACG), Blocarea imaginilor de integritate scăzută, Blocarea imaginilor la distanță, Blocarea fonturilor nesigure, Protejarea integrității codului, Protecția fluxului de control (CFG), Prevenirea execuției datelor (DEP) , Dezactivați apelurile de sistem Win32k, Nu permiteți procese copil, Filtrarea adreselor de export (EAF), Forțarea randomizării pentru imagini (ASLR obligatoriu), Filtrarea adreselor de import (IAF), Randomizarea alocărilor de memorie (ASLR de jos), Simularea execuției (SimExec) , Validarea invocării API (CallerCheck), Validarea lanțurilor excepționale (SEHOP), Validarea utilizării mânerului, Validarea integrității heapului, Validarea integrității dependenței de imagine și Validarea integrității stack-ului (StackPivot).
Din nou, nu trebuie să atingeți aceste opțiuni decât dacă sunteți administrator de sistem care dorește să blocheze o aplicație și chiar știți ce faceți.
Ca test, am activat toate opțiunile pentru iexplore.exe și am încercat să îl lansăm. Internet Explorer a arătat doar un mesaj de eroare și a refuzat lansarea. Nu am văzut nici măcar o notificare Windows Defender care explică faptul că Internet Explorer nu funcționa din cauza setărilor noastre.
Nu încercați orbește să restricționați aplicațiile sau veți provoca probleme similare în sistemul dvs. Va fi dificil de depanat dacă nu vă amintiți că ați schimbat și opțiunile.
Dacă utilizați în continuare o versiune mai veche a Windows, cum ar fi Windows 7, puteți obține funcții de protecție exploatați, instalând Microsoft EMET sau Malwarebytes. Cu toate acestea, suportul pentru EMET se va opri pe 31 iulie 2018, deoarece Microsoft dorește să împingă companiile spre Windows 10 și Windows Expender Protect.