Jak funguje nová ochrana proti zneužití aplikace Windows Defender (a jak ji konfigurovat)
Aktualizace Microsoft Fall Creators Update konečně přidává integrovanou ochranu exploit do Windows. Museli jste to dříve hledat ve formě nástroje EMET společnosti Microsoft. Nyní je součástí programu Windows Defender a ve výchozím nastavení je aktivována.
Jak funguje ochrana systému Windows Defender
Dlouho jsme doporučovali používat software proti zneužití, jako je nástroj Microsoft Enhanced Mitigation Experience Toolkit (EMET) nebo uživatelsky přívětivější Malwarebytes Anti-Malware, který obsahuje mimo jiné silnou funkcionalitu proti zneužití. Microsoft EMET je široce používán ve větších sítích, kde může být nakonfigurován správci systému, ale nikdy nebyl instalován ve výchozím nastavení, vyžaduje konfiguraci a má pro uživatele průměrné rozhraní.
Typické antivirové programy, jako například samotný program Windows Defender, používají definice virů a heuristiku k zachycení nebezpečných programů dříve, než mohou fungovat ve vašem systému. Nástroje zabraňující zneužití skutečně zabraňují tomu, aby mnoho funkčních útoků fungovalo vůbec, takže se tyto nebezpečné programy nedostanou do vašeho systému. Umožňují ochranu určitých operačních systémů a zabraňují technikám využívajícím společnou paměť, takže pokud je zjištěno zneužití, ukončí proces předtím, než se něco cítí špatně. Jinými slovy, mohou chránit před mnoha útoky za nulové dny, než budou opravovány.
Mohly by však způsobit problémy s kompatibilitou a jejich nastavení by mohlo být vylepšeno pro různé programy. Proto se EMET obecně používal v podnikových sítích, kde správci systému mohli upravovat nastavení, a nikoli na domácím počítači.
Windows Defender nyní obsahuje mnoho stejných ochran, které byly původně nalezeny v EMET společnosti Microsoft. Jsou povoleny ve výchozím nastavení pro všechny a jsou součástí operačního systému. Program Windows Defender automaticky konfiguruje příslušná pravidla pro různé procesy spuštěné ve vašem systému. (Malwarebytes stále tvrdí, že jejich funkce proti zneužití je nadřazená a stále doporučujeme používat Malwarebytes, ale je dobré, že Windows Defender obsahuje i některé z těchto funkcí nyní.)
Tato funkce je automaticky aktivována, pokud jste inovovali na aktualizaci Fall Creators Windows 10 a EMET již není podporován. EMET nelze dokonce nainstalovat ani na počítačích s aktualizací Fall Creators Update. Pokud jste již nainstalovali EMET, bude tato aktualizace odebrána.
Aktualizace Windows 10 pro tvorbu podzimu obsahuje také související bezpečnostní funkci s názvem Přístup ke složce s řízeným přístupem. Je určen k zastavení malwaru tím, že dovoluje důvěryhodným programům pouze modifikovat soubory ve složkách osobních dat, například Dokumenty a Obrázky. Obě funkce jsou součástí programu Windows Defender Exploit Guard. Však výchozí přístup k řízené složce není povolen.
Jak je potvrzena funkce Exploit Protection je povoleno
Tato funkce je automaticky povolena pro všechny počítače se systémem Windows 10. Může se však také přepnout do režimu Audit, což umožňuje správcům systému sledovat protokol o tom, co by aplikace Exploit Protection udělala, aby potvrdilo, že nezpůsobí žádné problémy, než ji povolí na kritických počítačích.
Chcete-li potvrdit, že je tato funkce povolena, můžete otevřít Centrum zabezpečení služby Windows Defender. Otevřete nabídku Start, vyhledejte program Windows Defender a klepněte na zástupce programu Windows Defender Security Center.
V bočním panelu klikněte na ikonu "App & browser control" ve tvaru okna. Přejděte dolů a uvidíte část "Ochrana proti explozi". Informuje vás, že je tato funkce povolena.
Pokud tuto sekci neuvidíte, počítač pravděpodobně ještě neaktualizoval aktualizaci Fall Creators.
Jak konfigurovat ochranu aplikace Windows Defender
Varování: Pravděpodobně nechcete nakonfigurovat tuto funkci. Program Windows Defender nabízí mnoho technických možností, které můžete upravit, a většina lidí neví, co zde dělají. Tato funkce je nakonfigurována s inteligentními výchozími nastaveními, která vyloučí problémy a společnost Microsoft může aktualizovat pravidla v průběhu času. Možnosti zde se zdají primárně za účelem pomoci správcům systému při vývoji pravidel pro software a jejich zavedení do podnikové sítě.
Chcete-li nakonfigurovat funkci Exploit Protection, přejděte na Centrum zabezpečení aplikace Windows Defender> Ovládání aplikací a prohlížeče, přejděte dolů a v části Ochrana explozí.
Zobrazí se zde dvě karta: Nastavení systému a Nastavení programu. Systémová nastavení ovládá výchozí nastavení používaná pro všechny aplikace, zatímco nastavení programu řídí jednotlivé nastavení používaná pro různé programy. Jinými slovy, nastavení programu mohou změnit nastavení systému pro jednotlivé programy. Mohly by být restriktivnější nebo méně restriktivní.
V dolní části obrazovky můžete k exportu nastavení exportovat jako soubor XML, který můžete importovat do jiných systémů. Oficiální dokumentace společnosti Microsoft nabízí více informací o nasazení pravidel s zásadami skupiny a PowerShell.
Na kartě Nastavení systému se zobrazí následující možnosti: Ovládací prvek řízení průtoku (CFG), Prevence spouštění dat (DEP), Randomizace síly pro obrazy (Povinná ASLR), Randomize alokace paměti (Bottom-up ASLR) (SEHOP) a ověřte integritu haldy. Všichni jsou ve výchozím nastavení ve výchozím nastavení s výjimkou volby Randomization Force for images (Povinná ASLR). To je pravděpodobné, protože povinné ASLR způsobuje potíže s některými programy, takže v závislosti na spuštěných programech můžete spustit problémy s kompatibilitou.
Opět byste se neměli dotýkat těchto možností, pokud nevíte, co děláte. Výchozí hodnoty jsou rozumné a jsou zvoleny z nějakého důvodu.
Rozhraní poskytuje velmi stručný přehled o tom, co každá možnost dělá, ale pokud budete chtít vědět víc, budete muset udělat nějaký výzkum. Předtím jsme vysvětlili, co dělá DEP a ASLR.
Klepněte na kartu Nastavení programu a zobrazí se seznam různých programů s vlastními nastaveními. Možnosti zde umožňují přepsat celkové nastavení systému. Pokud například v seznamu vyberete "iexplore.exe" a kliknete na tlačítko "Upravit", uvidíte, že toto pravidlo zde násilně povoluje povinnou ASLR pro proces Internet Explorer, i když není ve výchozím nastavení povoleno pro celý systém.
Neměli byste manipulovat s těmito vestavěnými pravidly pro procesy jako runtimebroker.exe a spoolsv.exe. Microsoft je přidal z nějakého důvodu.
Můžete přidat vlastní pravidla pro jednotlivé programy klepnutím na "Přidat program k přizpůsobení". Můžete buď přidat "podle názvu programu" nebo "vybrat přesnou cestu k souboru", ale specifikovat přesnou cestu k souboru je mnohem přesnější.
Po přidání najdete dlouhý seznam nastavení, která nebude většině lidí smysluplná. Úplný seznam nastavení, který je k dispozici zde, je: Kolektivní arbitrární kód (ACG), Blokovat snímky s nízkou integritou, Blokovat vzdálené obrázky, Blokovat nedůvěryhodné písma, Zabezpečení integrity kódu, Ochrana proti průtoku (CFG) , Zakázat systémová volání systému Win32k, nepovolovat podřízené procesy, filtrování adres exportovat (EAF), vynucovat randomizaci pro obrazy (povinné ASLR), import filtrování adres (IAF), náhodně rozdělit paměť (ASLR zdola), simulovat provedení (SimExec) , Potvrzení vyvolání rozhraní API (CallerCheck), validace výjimkových řetězců (SEHOP), ověření využití ovladače, ověření integrity haldy, ověření integrity závislostí obrazu a ověření integrity zásobníku (StackPivot).
Opět byste se neměli dotknout těchto možností, pokud nejste systémový administrátor, který chce uzamknout aplikaci a opravdu víte, co děláte.
Jako test jsme aktivovali všechny možnosti pro program iexplore.exe a pokusili jsme se spustit. Aplikace Internet Explorer právě zobrazila chybovou zprávu a odmítla spustit. Dokonce ani jsme neviděli upozornění programu Windows Defender, které vysvětluje, že aplikace Internet Explorer nefungovala z důvodu našich nastavení.
Nepoužívejte jen slepě pokoušet se omezit aplikace nebo způsobit podobné problémy ve vašem systému. Pokud si nepamatujete, že jste změnili možnosti, budou obtížné řešit problémy.
Pokud stále používáte starší verzi systému Windows, jako je systém Windows 7, můžete využít funkce ochrany instalací aplikace Microsoft EMET nebo Malwarebytes. Podpora EMET se však zastaví 31. července 2018, neboť společnost Microsoft chce podnikům posunout směrem k Windows 10 a Windows Exploit Protection.