Как работает новая защита от эксплойтов Защитника Windows (и как ее настроить)
Microsoft Fall Creators Update, наконец, добавляет интегрированную защиту от эксплойтов в Windows. Ранее вам приходилось искать это в форме инструмента Microsoft EMET. Теперь он является частью Защитника Windows и активирован по умолчанию..
Как работает защита от эксплойтов Защитника Windows
Мы давно рекомендуем использовать программное обеспечение для защиты от эксплойтов, такое как Microsoft Enhanced Mitigation Experience Toolkit (EMET) или более удобное для пользователя Malwarebytes Anti-Malware, которое содержит мощную функцию защиты от эксплойтов (среди прочего). EMET от Microsoft широко используется в крупных сетях, где он может быть настроен системными администраторами, но он никогда не устанавливался по умолчанию, требует настройки и имеет сложный интерфейс для обычных пользователей.
Типичные антивирусные программы, такие как сам Защитник Windows, используют определения вирусов и эвристику для обнаружения опасных программ, прежде чем они смогут работать в вашей системе. Средства защиты от эксплойтов вообще не позволяют использовать многие популярные методы атаки, поэтому эти опасные программы не попадают в вашу систему. Они активируют определенные средства защиты операционной системы и блокируют обычные методы использования памяти, поэтому, если обнаруживается поведение, подобное эксплойту, они прекращают процесс до того, как произойдет что-то плохое. Другими словами, они могут защитить от многих атак нулевого дня, прежде чем они будут исправлены.
Тем не менее, они потенциально могут вызвать проблемы совместимости, и их настройки могут быть изменены для разных программ. Вот почему EMET обычно использовался в корпоративных сетях, где системные администраторы могли настраивать параметры, а не на домашних ПК..
Защитник Windows теперь включает в себя многие из тех же защит, которые изначально были найдены в EMET от Microsoft. Они включены по умолчанию для всех и являются частью операционной системы. Защитник Windows автоматически настраивает соответствующие правила для различных процессов, запущенных в вашей системе. (Malwarebytes по-прежнему утверждает, что их функция защиты от эксплойтов превосходна, и мы по-прежнему рекомендуем использовать Malwarebytes, но хорошо, что Защитник Windows также имеет некоторые встроенные функции).
Эта функция автоматически включается, если вы обновились до Windows 10 Fall Creators Update и EMET больше не поддерживается. EMET даже не может быть установлен на ПК с обновлением Fall Creators. Если у вас уже установлен EMET, он будет удален обновлением.
Обновление Fall Creators для Windows 10 также включает связанную функцию безопасности, которая называется Доступ к управляемой папке. Он предназначен для предотвращения вредоносных программ, позволяя только доверенным программам изменять файлы в ваших папках личных данных, таких как «Документы» и «Изображения». Обе функции являются частью «Защитника эксплойтов Windows». Однако по умолчанию доступ к управляемым папкам не включен.
Как подтвердить, что защита от эксплойтов включена
Эта функция автоматически включена для всех ПК с Windows 10. Однако его также можно переключить в «режим аудита», что позволяет системным администраторам отслеживать журнал того, что бы сделала Exploit Protection, чтобы убедиться, что он не вызовет никаких проблем, прежде чем включать его на критически важных компьютерах..
Чтобы убедиться, что эта функция включена, вы можете открыть Центр безопасности Защитника Windows. Откройте меню «Пуск», найдите Защитника Windows и нажмите на ярлык Центра безопасности Защитника Windows..
Щелкните значок «Управление приложениями и браузерами» в форме окна на боковой панели. Прокрутите вниз, и вы увидите раздел «Защита от эксплойтов». Он сообщит вам, что эта функция включена.
Если вы не видите этот раздел, возможно, ваш компьютер еще не обновился до Fall Creators Update.
Как настроить защиту от эксплойтов Защитника Windows
Предупреждение: Вы, вероятно, не хотите настраивать эту функцию. Защитник Windows предлагает множество технических параметров, которые вы можете настроить, и большинство людей не будут знать, что они здесь делают. Эта функция настроена с использованием интеллектуальных настроек по умолчанию, которые позволят избежать проблем, и Microsoft может со временем обновлять свои правила. Представленные здесь параметры, по-видимому, в первую очередь предназначены для того, чтобы помочь системным администраторам разработать правила для программного обеспечения и развернуть их в сети предприятия.
Если вы хотите настроить защиту от эксплойтов, перейдите в Центр защиты защитника Windows> Управление приложениями и браузером, прокрутите вниз и нажмите «Настройки защиты от эксплойтов» в разделе «Защита от эксплойтов»..
Здесь вы увидите две вкладки: Настройки системы и Настройки программы. Системные настройки управляют настройками по умолчанию, используемыми для всех приложений, в то время как Настройки программы управляют отдельными настройками, используемыми для различных программ. Другими словами, настройки программы могут переопределять системные настройки для отдельных программ. Они могут быть более строгими или менее строгими.
В нижней части экрана вы можете нажать «Экспортировать настройки», чтобы экспортировать ваши настройки в виде XML-файла, который вы можете импортировать в другие системы. В официальной документации Microsoft содержится дополнительная информация о развертывании правил с помощью групповой политики и PowerShell..
На вкладке «Системные настройки» вы увидите следующие параметры: защита потока управления (CFG), предотвращение выполнения данных (DEP), принудительное рандомизирование для изображений (обязательный ASLR), рандомизированное распределение памяти (восходящий ASLR), проверка цепочек исключений. (SEHOP) и проверить целостность кучи. Все они включены по умолчанию, за исключением параметра «Принудительное рандомизирование для изображений» (обязательный ASLR). Это вероятно потому, что Mandatory ASLR вызывает проблемы с некоторыми программами, поэтому при включении вы можете столкнуться с проблемами совместимости, в зависимости от программ, которые вы запускаете.
Опять же, вы действительно не должны касаться этих вариантов, если вы не знаете, что делаете. Значения по умолчанию разумны и выбраны по причине.
Интерфейс предоставляет очень краткое описание того, что делает каждый параметр, но вам придется провести некоторое исследование, если вы хотите узнать больше. Ранее мы объясняли, что делают DEP и ASLR здесь..
Перейдите на вкладку «Настройки программы», и вы увидите список различных программ с пользовательскими настройками. Параметры здесь позволяют переопределить общие настройки системы. Например, если вы выберете «iexplore.exe» в списке и нажмете «Изменить», вы увидите, что правило принудительно включает обязательный ASLR для процесса Internet Explorer, даже если он не включен по умолчанию для всей системы.
Вы не должны вмешиваться в эти встроенные правила для таких процессов, как runtimebroker.exe и spoolsv.exe. Microsoft добавила их по причине.
Вы можете добавить пользовательские правила для отдельных программ, нажав «Добавить программу для настройки». Вы можете «Добавить по имени программы» или «Выбрать точный путь к файлу», но гораздо точнее указать точный путь к файлу..
После добавления вы можете найти длинный список настроек, которые не будут значимыми для большинства людей. Полный список настроек, доступных здесь: защита от произвольного кода (ACG), блокировка изображений с низкой целостностью, блокировка удаленных изображений, блокировка ненадежных шрифтов, защита целостности кода, защита потока управления (CFG), предотвращение выполнения данных (DEP), отключение точек расширения , Отключить системные вызовы Win32k, Не разрешать дочерние процессы, Экспортировать фильтрацию адресов (EAF), Принудительно рандомизировать для изображений (Обязательный ASLR), Импортировать фильтрацию адресов (IAF), Рандомизировать выделения памяти (снизу вверх ASLR), Имитировать выполнение (SimExec) , Проверка вызова API (CallerCheck), Проверка цепочек исключений (SEHOP), Проверка использования дескриптора, Проверка целостности кучи, Проверка целостности зависимостей изображений и Проверка целостности стека (StackPivot).
Опять же, вы не должны трогать эти параметры, если вы не системный администратор, который хочет заблокировать приложение, и вы действительно знаете, что делаете.
В качестве теста мы включили все параметры для iexplore.exe и попытались запустить его. Internet Explorer только что показал сообщение об ошибке и отказался запускаться. Мы даже не увидели уведомления Защитника Windows о том, что Internet Explorer не работает из-за наших настроек.
Не просто слепо пытайтесь ограничить приложения, или вы будете вызывать аналогичные проблемы в вашей системе. Их будет трудно устранить, если вы не помните, что вы также изменили параметры.
Если вы по-прежнему используете более старую версию Windows, например Windows 7, вы можете получить функции защиты от эксплойтов, установив Microsoft EMET или Malwarebytes. Однако поддержка EMET прекратится 31 июля 2018 года, так как Microsoft хочет подтолкнуть компании к Windows 10 и взамен Защиты от атак Защитника Windows..