Hemsida » hur » Hur Windows Defender nytt exploateringsskydd fungerar (och hur man konfigurerar det)

    Hur Windows Defender nytt exploateringsskydd fungerar (och hur man konfigurerar det)

    Microsofts Fall Creators Update lägger till slut ett integrerat exploitskydd till Windows. Du måste tidigare söka detta i form av Microsofts EMET-verktyg. Det är nu en del av Windows Defender och aktiveras som standard.

    Hur Windows Defender exploaterar skydd

    Vi har länge rekommenderat att använda anti-exploit programvara som Microsofts Enhanced Mitigation Experience Toolkit (EMET) eller den mer användarvänliga Malwarebytes Anti-Malware, som innehåller en kraftfull anti-exploit-funktion (bland annat). Microsofts EMET används ofta i större nätverk där det kan konfigureras av systemadministratörer, men det installerades aldrig som standard, kräver konfiguration och har ett förvirrande gränssnitt för genomsnittliga användare.

    Typiska antivirusprogram, som Windows Defender själv, använder virusdefinitioner och heuristics för att fånga farliga program innan de kan köras på ditt system. Anti-utnyttjande verktyg hindrar faktiskt många populära attacktekniker från att fungera alls, så de farliga programmen kommer inte på ditt system i första hand. De möjliggör vissa operativsystemskydd och blockerar vanliga minnesutnyttjande tekniker, så att om exploaterande beteende detekteras, kommer de att avsluta processen innan någonting dåligt händer. Med andra ord kan de skydda mot många nolldagsattacker innan de patchas.

    Men de kan eventuellt orsaka kompatibilitetsproblem, och deras inställningar kan behöva tweaked för olika program. Det var därför EMET brukar användas på företagsnätverk, där systemadministratörer kan anpassa inställningarna och inte på hem-datorer.

    Windows Defender innehåller nu många av samma skydd, som ursprungligen hittades i Microsofts EMET. De är aktiverade som standard för alla, och ingår i operativsystemet. Windows Defender konfigurerar automatiskt lämpliga regler för olika processer som körs på ditt system. (Malwarebytes hävdar fortfarande att deras anti-exploits-funktion är överlägsen, och vi rekommenderar fortfarande att använda Malwarebytes, men det är bra att Windows Defender har en del av den här inbyggda nu också.)

    Den här funktionen aktiveras automatiskt om du har uppgraderat till Windows 10: s Fall Creators Update, och EMET stöds inte längre. EMET kan inte ens installeras på datorer som kör Fall Creators Update. Om du redan har EMET installerad, kommer den att tas bort av uppdateringen.

    Windows 10: s Fall Creators Update innehåller också en relaterad säkerhetsfunktion som heter Kontrollerad mappåtkomst. Det är utformat för att stoppa skadlig kod genom att bara tillåta betrodda program att ändra filer i dina personliga mappar, till exempel Dokument och Bilder. Båda funktionerna ingår i "Windows Defender Exploit Guard". Kontrollerad mappåtkomst är dock inte aktiverad som standard.

    Hur man bekräftar exploateringsskydd är aktiverat

    Den här funktionen aktiveras automatiskt för alla Windows 10-datorer. Det kan dock också bytas till "Audit mode", så att systemadministratörer kan övervaka en logg om vad Exploit Protection skulle ha gjort för att bekräfta att det inte kommer att orsaka några problem innan den aktiveras på kritiska datorer.

    För att bekräfta att den här funktionen är aktiverad kan du öppna Windows Defender Security Center. Öppna din Start-meny, sök efter Windows Defender och klicka på genvägssystemet för Windows Defender Security Center.

    Klicka på den fönsterformade ikonen "App & browser control" i sidofältet. Bläddra ner och du får se avsnittet "Exploit Protection". Det kommer att informera dig om att den här funktionen är aktiverad.

    Om du inte ser det här avsnittet har din dator förmodligen inte uppdaterats till Fall Creators Update än.

    Så här konfigurerar du Windows Defender Exploit Protection

    Varning: Du vill förmodligen inte konfigurera den här funktionen. Windows Defender erbjuder många tekniska alternativ du kan anpassa, och de flesta vet inte vad de gör här. Den här funktionen är konfigurerad med smarta standardinställningar som undviker att orsaka problem, och Microsoft kan uppdatera sina regler över tiden. Alternativen här verkar främst vara avsedda att hjälpa systemadministratörer att utveckla regler för programvara och rulla ut dem på ett företagsnätverk.

    Om du vill konfigurera Exploit Protection, gå till Windows Defender Security Center> App & Browser Control, rulla ner och klicka på "Exploit Protection Settings" under Exploit Protection.

    Du får se två flikar här: Systeminställningar och Programinställningar. Systeminställningarna styr standardinställningarna som används för alla program, medan Programinställningar styr de enskilda inställningarna som används för olika program. Programinställningarna kan med andra ord åsidosätta systeminställningarna för enskilda program. De kan vara mer restriktiva eller mindre restriktiva.

    Nederst på skärmen kan du klicka på "Exportera inställningar" för att exportera dina inställningar som en .xml-fil som du kan importera på andra system. Microsofts officiella dokumentation innehåller mer information om hur man använder regler med grupppolicy och PowerShell.

    På fliken Systeminställningar ser du följande alternativ: Kontrollflödesvakten (CFG), Data Execution Prevention (DEP), Force-randomisering för bilder (Obligatorisk ASLR), Randomize Memory Allocation (Bottom-Up ASLR), Validera undantagskedjor (SEHOP), och validera heapintegritet. De är alla på som standard, förutom Force randomization för bilder (Obligatorisk ASLR) alternativ. Det är troligt att Obligatorisk ASLR orsakar problem med vissa program, så du kan stöta på kompatibilitetsproblem om du aktiverar det, beroende på vilka program du kör.

    Återigen borde du inte röra dessa alternativ om du inte vet vad du gör. Standardinställningarna är förnuftiga och väljs av en anledning.

    Gränssnittet ger en mycket kort sammanfattning av vad varje alternativ gör, men du måste göra lite forskning om du vill veta mer. Vi har tidigare förklarat vad DEP och ASLR gör här.

    Klicka över till fliken Programinställningar och du får se en lista över olika program med anpassade inställningar. Alternativen här tillåter att övergripande systeminställningar överstyrs. Om du till exempel väljer "iexplore.exe" i listan och klickar på "Redigera" ser du att regeln här kraftfullt aktiverar Obligatorisk ASLR för Internet Explorer-processen, även om den inte är aktiverad som standard över hela systemet.

    Du bör inte manipulera med dessa inbyggda regler för processer som runtimebroker.exe och spoolsv.exe. Microsoft lade till dem av en anledning.

    Du kan lägga till anpassade regler för enskilda program genom att klicka på "Lägg till program för att anpassa". Du kan antingen "Lägg till enligt programnamn" eller "Välj exakt filväg", men specificera en exakt filväg är mycket mer exakt.

    När du väl har lagt till kan du hitta en lång lista med inställningar som inte kommer att vara meningsfulla för de flesta. Den fullständiga listan med inställningar som finns här är: Godkänd kodskydd (ACG), Blockera bilder med låg integritet, Blockera avlägsna bilder, Blockera otillförlitliga teckensnitt, Kodintegritetsskydd, Kontrollflödesskydd (CFG), Förhindrande av datautförande (DEP) , Inaktivera Win32k-systemsamtal, Tillåt inte barnprocesser, Export adressfiltrering (EAF), Force-randomisering för bilder (Obligatorisk ASLR), Import Adressfiltrering (IAF), Randomize Memory Allocation (Bottom-Up ASLR), Simulera exekvering (SimExec) , Validera API-anrop (CallerCheck), Validera undantagskedjor (SEHOP), Validera hanteringsanvändning, Validera heapintegritet, Validera bildberoendeintegritet och Validate stack integrity (StackPivot).

    Återigen bör du inte röra dessa alternativ om du inte är systemadministratör som vill låsa ner ett program och du vet verkligen vad du gör.

    Som ett test aktiverade vi alla alternativ för iexplore.exe och försökte starta det. Internet Explorer visade bara ett felmeddelande och vägrade att starta. Vi såg inte ens en Windows Defender-anmälan som förklarar att Internet Explorer inte fungerade på grund av våra inställningar.

    Gör inte bara blint försök att begränsa program, eller det kommer att orsaka liknande problem på ditt system. De kommer vara svåra att felsöka om du inte kommer ihåg att du ändrade alternativen också.

    Om du fortfarande använder en äldre version av Windows, som Windows 7, kan du utnyttja skyddsfunktioner genom att installera Microsofts EMET eller Malwarebytes. Stöd för EMET kommer dock att sluta den 31 juli 2018, eftersom Microsoft vill driva företag mot Windows 10 och Windows Defender Exploit Protection istället.