Slik fungerer Windows Defender's New Exploit Protection (og hvordan du konfigurerer den)
Microsofts Fall Creators Update legger til slutt integrert utnyttelsesbeskyttelse til Windows. Du måtte tidligere søke dette i form av Microsofts EMET-verktøy. Det er nå en del av Windows Defender og er aktivert som standard.
Hvordan Windows Defender's Exploit Protection fungerer
Vi har lenge anbefalt å bruke anti-exploit programvare som Microsofts Enhanced Mitigation Experience Toolkit (EMET) eller den mer brukervennlige Malwarebytes Anti-Malware, som inneholder en kraftig anti-utnyttelse funksjon (blant annet). Microsofts EMET er mye brukt på større nettverk der det kan konfigureres av systemadministratorer, men det ble aldri installert som standard, krever konfigurasjon, og har et forvirrende grensesnitt for gjennomsnittlige brukere.
Typiske antivirusprogrammer, som Windows Defender selv, bruker virusdefinisjoner og heuristikk til å fange farlige programmer før de kan kjøre på systemet. Anti-utnyttelsesverktøy hindrer faktisk mange populære angrepsteknikker fra å fungere i det hele tatt, slik at de farlige programmene ikke kommer på systemet ditt i utgangspunktet. De aktiverer visse operativsystembeskyttelser og blokkerer vanlige hukommelsesutnyttelsesteknikker, slik at hvis bruksaktig oppførsel blir oppdaget, vil de avslutte prosessen før noe skjer dårlig. Med andre ord kan de beskytte mot mange nulldagsangrep før de lappes.
Imidlertid kan de potensielt forårsake kompatibilitetsproblemer, og deres innstillinger må kanskje tweaked for forskjellige programmer. Derfor var EMET vanligvis brukt på bedriftsnettverk, hvor systemadministratorer kunne tilpasse innstillingene, og ikke på hjemme-PCer.
Windows Defender inneholder nå mange av de samme beskyttelsene, som opprinnelig ble funnet i Microsofts EMET. De er aktivert som standard for alle, og er en del av operativsystemet. Windows Defender konfigurerer automatisk passende regler for forskjellige prosesser som kjører på systemet. (Malwarebytes fortsatt hevder at deres anti-utnyttelsesfunksjon er overlegen, og vi anbefaler fortsatt å bruke Malwarebytes, men det er bra at Windows Defender også har noe av dette innebygd nå.)
Denne funksjonen aktiveres automatisk hvis du har oppgradert til Windows 10s Fall Creators Update, og EMET støttes ikke lenger. EMET kan ikke engang installeres på PCer som kjører Fall Creators Update. Hvis du allerede har EMET installert, vil den bli fjernet av oppdateringen.
Windows 10s Fall Creators Update inneholder også en relatert sikkerhetsfunksjon som heter Kontrollert mappetilgang. Den er utformet for å stoppe skadelig programvare ved bare å tillate klarerte programmer å endre filer i dine personlige data mapper, for eksempel Dokumenter og bilder. Begge funksjonene er en del av "Windows Defender Exploit Guard". Men kontrollert mappetilgang er ikke aktivert som standard.
Slik bekrefter du Exploit Protection er aktivert
Denne funksjonen er automatisk aktivert for alle Windows 10-PCer. Det kan imidlertid også byttes til "Revisjonsmodus", slik at systemadministratorer kan overvåke en logg av hva Exploit Protection ville ha gjort for å bekrefte at det ikke vil føre til noen problemer før det blir mulig på kritiske PCer.
For å bekrefte at denne funksjonen er aktivert, kan du åpne Windows Defender Security Center. Åpne Start-menyen, søk etter Windows Defender, og klikk på snarveien til Windows Defender Security Center.
Klikk på det vinduformede "App & browser control" -ikonet i sidefeltet. Rull ned og du vil se delen "Utnyttelsesbeskyttelse". Det vil informere deg om at denne funksjonen er aktivert.
Hvis du ikke ser denne delen, har PCen trolig ikke oppdatert til Fall Creators Update ennå.
Slik konfigurerer du Windows Defender's Exploit Protection
Advarsel: Du vil sannsynligvis ikke konfigurere denne funksjonen. Windows Defender tilbyr mange tekniske alternativer du kan justere, og de fleste vil ikke vite hva de gjør her. Denne funksjonen er konfigurert med smarte standardinnstillinger som unngår å forårsake problemer, og Microsoft kan oppdatere reglene over tid. Alternativene her synes hovedsakelig ment å hjelpe systemadministratorer til å utvikle regler for programvare og rulle dem ut på et bedriftsnettverk.
Hvis du vil konfigurere Exploit Protection, kan du gå til Windows Defender Security Center> App og nettleserkontroll, bla ned og klikk på "Exploit Protection Settings" under Exploit Protection.
Du får se to faner her: Systeminnstillinger og Programinnstillinger. Systeminnstillinger styrer standardinnstillingene som brukes for alle programmer, mens Programinnstillinger styrer de enkelte innstillingene som brukes for ulike programmer. Programinnstillingene kan med andre ord overstyre systeminnstillingene for individuelle programmer. De kan være mer restriktive eller mindre restriktive.
Nederst på skjermen kan du klikke på "Eksporter innstillinger" for å eksportere innstillingene som en .xml-fil du kan importere på andre systemer. Microsofts offisielle dokumentasjon gir mer informasjon om distribusjon av regler med gruppepolicy og PowerShell.
På fanen Systeminnstillinger ser du følgende alternativer: Kontrollflytvakt (CFG), Forbedring av dataforebygging (DEP), Force-randomisering for bilder (Obligatorisk ASLR), Randomize memory allocations (Bottom-up ASLR), Validere unntakskjeder (SEHOP), og Validate heap integritet. De er alle på som standard, bortsett fra Force randomization for images (Obligatorisk ASLR) alternativ. Det er sannsynligvis fordi Obligatorisk ASLR forårsaker problemer med enkelte programmer, slik at du kan komme inn i kompatibilitetsproblemer hvis du aktiverer det, avhengig av programmene du kjører.
Igjen, du burde virkelig ikke berøre disse alternativene med mindre du vet hva du gjør. Standardene er fornuftige og velges av en grunn.
Grensesnittet gir en veldig kort oppsummering av hva hvert alternativ gjør, men du må gjøre noen undersøkelser hvis du vil vite mer. Vi har tidligere forklart hva DEP og ASLR gjør her.
Klikk over til "Programinnstillinger" -fanen, og du vil se en liste over forskjellige programmer med egendefinerte innstillinger. Alternativene her tillater at de generelle systeminnstillingene overstyres. Hvis du for eksempel velger "iexplore.exe" i listen og klikker "Rediger", ser du at regelen her kraftig aktiverer Obligatorisk ASLR for Internet Explorer-prosessen, selv om den ikke er aktivert som standard hele systemet.
Du bør ikke tukle med disse innebygde reglene for prosesser som runtimebroker.exe og spoolsv.exe. Microsoft la dem med en grunn.
Du kan legge til egendefinerte regler for individuelle programmer ved å klikke på "Legg til program for å tilpasse". Du kan enten "Legg til ved programnavn" eller "Velg nøyaktig filsti", men å angi en nøyaktig filbane er mye mer presis.
Når du har lagt til, kan du finne en lang liste over innstillinger som ikke vil være meningsfylte for de fleste. Den fullstendige listen over innstillinger som er tilgjengelig her, er: Vilkårlig kodevern (ACG), Blokker bilder med lav integritet, Blokker fjernbilder, Blokker ufeilbare skrifttyper, Kodeintegritetsvakt, Kontrollflytvakt (CFG), Datateknisk forebygging (DEP), Deaktiver utvidelsespunkter , Slå av Win32k-systemanrop, Ikke tillat barnprosesser, Eksporter adressefiltrering (EAF), Force-randomisering for bilder (Obligatorisk ASLR), Importadressefiltrering (IAF), Randomize memory allocations (Bottom-up ASLR), Simulere kjøring (SimExec) , Validate API invocation (CallerCheck), Bekreft unntaks kjeder (SEHOP), Validate handle usage, Validate heap integritet, Validate image dependence integrity, og Validate stack integrity (StackPivot).
Igjen, bør du ikke berøre disse alternativene med mindre du er systemadministrator som vil låse ned et program og du virkelig vet hva du gjør.
Som en test, aktiverte vi alle mulighetene for iexplore.exe og prøvde å starte den. Internet Explorer viste bare en feilmelding og nektet å starte. Vi så ikke engang Windows Defender-varsling som forklarte at Internet Explorer ikke fungerte på grunn av våre innstillinger.
Ikke bare blindt forsøk å begrense applikasjoner, eller du vil forårsake lignende problemer på systemet ditt. De vil være vanskelig å feilsøke hvis du ikke husker at du endret alternativene også.
Hvis du fortsatt bruker en eldre versjon av Windows, som Windows 7, kan du få utnyttelsesbeskyttelsesfunksjoner ved å installere Microsofts EMET eller Malwarebytes. Imidlertid vil støtte for EMET stoppe 31. juli 2018, ettersom Microsoft ønsker å presse bedrifter mot Windows 10 og Windows Defender's Exploit Protection i stedet.