Як працює новий захисник Windows Defender (і як його налаштувати)

Оновлення Microsoft Fall Creators остаточно додає інтегровану захист для Windows. Раніше вам доводилося шукати це у вигляді інструмента EMET від Microsoft. Тепер вона є частиною Windows Defender і активована за замовчуванням.

Як працює Захисник Windows

Ми давно рекомендуємо використовувати анти-експлуатуюче програмне забезпечення, як Microsoft Enhanced Mitigation Experience Toolkit (EMET), або більш зручний для користувача Malwarebytes Anti-Malware, який містить потужну анти-експлуатаційну функцію (серед іншого). Microsoft EMET широко використовується у великих мережах, де його можна налаштувати системними адміністраторами, але він не був встановлений за замовчуванням, вимагає конфігурації та має заплутаний інтерфейс для середніх користувачів.

Типові антивірусні програми, такі як Windows Defender, використовують визначення вірусів і евристику для лову небезпечних програм, перш ніж вони можуть працювати у вашій системі. Засоби анти-експлуатації фактично запобігають функціонуванню багатьох популярних методів атаки, так що ці небезпечні програми не потрапляють у вашу систему в першу чергу. Вони забезпечують певні захисти операційної системи та блокують звичайні методи використання пам'яті, так що, якщо виявлено поведінку, подібну до експлуатата, вони припинять процес, перш ніж станеться щось погане. Іншими словами, вони можуть захистити від багатьох атак на нульовий день, перш ніж вони будуть виправлені.

Проте вони можуть призвести до проблем із сумісністю, і їхні налаштування можуть бути налаштовані на різні програми. Ось чому EMET в основному використовується на корпоративних мережах, де системні адміністратори можуть налаштувати параметри, а не на домашніх ПК.

Захисник Windows тепер включає в себе багато з тих самих засобів захисту, які спочатку були знайдені в EMET корпорації Майкрософт. Вони включені за замовчуванням для всіх і є частиною операційної системи. Windows Defender автоматично налаштовує відповідні правила для різних процесів, запущених у вашій системі. (Malwarebytes як і раніше стверджує, що їхня анти-експлуатаційна функція є вищою, і ми все ще рекомендуємо використовувати Malwarebytes, але добре, що Windows Defender теж має деякі вбудовані функції).

Ця функція автоматично активується, якщо ви оновили до оновлення Windows Fall Creators Update, і EMET більше не підтримується. EMET навіть не може бути встановлений на комп'ютерах, що працюють з оновленням Fall Creators. Якщо у вас вже встановлено програму EMET, оновлення буде видалено.

Оновлення Fall Creators для Windows 10 також включає в себе відповідну функцію безпеки під назвою Controlled Folder Access. Він призначений для зупинки шкідливих програм, дозволяючи лише довіреним програмам змінювати файли в папках особистих даних, наприклад, Documents and Pictures. Обидві функції є частиною “Windows Defender Exploit Guard”. Тим не менш, керований доступ до папок не ввімкнено за замовчуванням.

Як підтвердити захист від експлуатації ввімкнено

Ця функція автоматично увімкнена для всіх комп'ютерів Windows 10. Проте його можна також переключити на режим "Аудит", що дозволяє системним адміністраторам контролювати журнал того, що б зробила захист Exploit, щоб підтвердити, що вона не викличе жодних проблем, перш ніж увімкнути його на критичних ПК..

Щоб підтвердити, що ця функція активована, можна відкрити Центр захисту Windows. Відкрийте меню "Пуск", знайдіть Windows Defender і клацніть ярлик "Центр захисту Windows Defender".

Натисніть на бічній панелі піктограму "App & browser control" у формі вікна. Прокрутіть вниз і ви побачите розділ "Захист від використання". Він повідомить, що ця функція активована.

Якщо ви не бачите цей розділ, ваш комп'ютер, ймовірно, ще не оновився до оновлення "Творці падіння".

Як налаштувати захист Windows Defender

Увага: Ви, напевно, не хочете налаштовувати цю функцію. Windows Defender пропонує багато технічних параметрів, які ви можете налаштувати, і більшість людей не знатимуть, що вони роблять тут. Ця функція налаштована за допомогою розумних налаштувань за промовчанням, що запобігає виникненню проблем, і корпорація Майкрософт може з часом оновити свої правила. Параметри тут, здається, в першу чергу призначені для того, щоб допомогти системним адміністраторам розробити правила для програмного забезпечення та вивести їх на корпоративну мережу.

Якщо ви бажаєте налаштувати захист Exploit, перейдіть до Центру захисту Windows Defender> Керування додатками та веб-переглядачем, прокрутіть вниз і натисніть "Налаштувати параметри захисту" під захистом.

Тут ви побачите дві вкладки: Системні настройки та Налаштування програми. Системні налаштування керують типовими налаштуваннями, які використовуються для всіх програм, тоді як налаштування програми контролюють індивідуальні параметри, які використовуються для різних програм. Іншими словами, налаштування програми можуть перевизначити параметри системи для окремих програм. Вони можуть бути більш обмежувальними або менш обмежувальними.

У нижній частині екрана можна натиснути кнопку "Експортувати налаштування", щоб експортувати налаштування як файл .xml, який можна імпортувати в інші системи. Офіційна документація корпорації Майкрософт надає більше інформації про розгортання правил за допомогою групової політики та PowerShell.

На вкладці Системні налаштування ви побачите наступні параметри: Захист потоку керування (CFG), Запобігання виконанню даних (DEP), Примусове дозвіл для зображень (Обов'язковий ASLR), Виділення пам'яті (знизу вгору), Перевірка ланцюгів виключень (SEHOP), і Перевірити цілісність купи. Всі вони включені за замовчуванням, за винятком опції Force randomization for images (Обов'язковий ASLR). Це ймовірно, тому що обов'язковий ASLR викликає проблеми з деякими програмами, тому ви можете зіткнутися з проблемами сумісності, якщо ви включите його, залежно від запущених програм.

Знову ж таки, ви дійсно не повинні торкатися цих варіантів, якщо ви не знаєте, що ви робите. Дефолти розумні і вибрані з причини.

Інтерфейс надає короткий підсумок того, що робить кожен варіант, але вам доведеться провести дослідження, якщо ви хочете дізнатися більше. Ми раніше пояснювали, що роблять DEP та ASLR.

Натисніть на вкладку "Налаштування програми", і ви побачите список різних програм з налаштуваннями користувача. Параметри тут дозволяють перевизначити загальні параметри системи. Наприклад, якщо ви вибрали "iexplore.exe" у списку та клацніть "Редагувати", ви побачите, що правило тут насильно вмикає обов'язковий ASLR для процесу Internet Explorer, навіть якщо він не включений за замовчуванням загальносистемно.

Ви не повинні втручатися в ці вбудовані правила для таких процесів, як runtimebroker.exe і spoolsv.exe. Microsoft додала їх з розуму.

Додаткові правила для окремих програм можна додати, натиснувши кнопку "Додати програму для налаштування". Можна або "Додати за назвою програми", або "Вибрати точний шлях до файлу", але визначення точного шляху до файлу є набагато більш точним.

Після додавання можна знайти довгий список налаштувань, який не має значення для більшості користувачів. Повний список налаштувань, доступних тут, є: Довільний код (ACG), Блокування зображень з низькою цілісністю, Блокування віддалених зображень, Блокування ненадійних шрифтів, Захист цілісності коду, Захист потоку керування (CFG), Запобігання виконанню даних (DEP), Вимкнення точок розширення , Вимкнути системні виклики Win32k, Не дозволяти дочірні процеси, Експортувати фільтрацію адрес (EAF), Примусово дозвіл для зображень (Обов'язковий ASLR), Імпортувати фільтрацію адрес (IAF), Виділити розподіл пам'яті (знизу вгору), Симулювати виконання (SimExec) , Перевірка виклику API (CallerCheck), Перевірка ланцюгів виключень (SEHOP), Використання перевірки ручки, Перевірка цілісності купи, Перевірка цілісності залежностей зображення та Перевірка цілісності стека (StackPivot).

Знову ж таки, ви не повинні торкатися цих параметрів, якщо ви не системний адміністратор, який хоче заблокувати програму, і ви дійсно знаєте, що ви робите.

Як тест, ми включили всі опції для iexplore.exe і спробували його запустити. Internet Explorer просто показав повідомлення про помилку і відмовився запустити. Ми навіть не бачили сповіщення Windows Defender про те, що Internet Explorer не працює через наші налаштування.

Не сліпо спробуйте обмежити програми, або ви спричините подібні проблеми в системі. Їм буде важко усунути неполадки, якщо ви не пам'ятаєте, що ви також змінили параметри.

Якщо ви все ще використовуєте стару версію Windows, наприклад Windows 7, ви можете отримати функції захисту від експлуатації, встановивши Microsoft EMET або Malwarebytes. Проте підтримка EMET припиниться 31 липня 2018 року, оскільки корпорація Майкрософт хоче замінити бізнес на захист Windows 10 і Windows Defender.