Πώς λειτουργεί το νέο πρόγραμμα προστασίας από το Windows Defender (και πώς να το διαμορφώσετε)
Η ενημέρωση των δημιουργών πτώσης της Microsoft προσθέτει τελικά ολοκληρωμένη προστασία εκμετάλλευσης στα Windows. Θα έπρεπε προηγουμένως να το αναζητήσετε με τη μορφή του EMET της Microsoft. Είναι πλέον μέρος του Windows Defender και ενεργοποιείται από προεπιλογή.
Πώς λειτουργεί η Προστασία Εκμετάλλευσης του Windows Defender
Από καιρό συνιστούμε να χρησιμοποιείτε λογισμικό κατά της εκμετάλλευσης, όπως το EMET (Enhanced Mitigation Experience Toolkit) της Microsoft ή το πιο φιλικό προς το χρήστη Malwarebytes Anti-Malware, το οποίο περιέχει ένα ισχυρό χαρακτηριστικό κατά των εκμεταλλεύσεων (μεταξύ άλλων). Το EMET της Microsoft χρησιμοποιείται ευρέως σε μεγαλύτερα δίκτυα όπου μπορεί να ρυθμιστεί από διαχειριστές συστημάτων, αλλά ποτέ δεν ήταν εγκατεστημένο από προεπιλογή, απαιτεί διαμόρφωση και έχει μια σύγχυση για τους μέσους χρήστες.
Τα τυπικά προγράμματα αντιμετώπισης ιών, όπως το ίδιο το Windows Defender, χρησιμοποιούν τους ορισμούς ιών και τα ευρετικά για να συλλαμβάνουν επικίνδυνα προγράμματα προτού να μπορούν να τρέξουν στο σύστημά σας. Τα εργαλεία κατά της εκμετάλλευσης αποτρέπουν πραγματικά τη λειτουργία πολλών δημοφιλών τεχνικών επίθεσης, έτσι ώστε αυτά τα επικίνδυνα προγράμματα να μην πέσουν στο σύστημά σας στην πρώτη θέση. Ενεργοποιούν ορισμένες προστασίες λειτουργικού συστήματος και εμποδίζουν τις τεχνικές εκμετάλλευσης κοινής μνήμης, έτσι ώστε αν εντοπιστεί συμπεριφορά παρόμοια με την εκμετάλλευση, θα τερματίσει τη διαδικασία πριν συμβεί κάτι κακό. Με άλλα λόγια, μπορούν να προστατεύσουν από πολλές επιθέσεις με μηδέν ημέρες πριν να επιδιορθωθούν.
Εντούτοις, ενδέχεται να προκαλέσουν προβλήματα συμβατότητας και οι ρυθμίσεις τους ίσως χρειαστεί να τροποποιηθούν για διαφορετικά προγράμματα. Αυτός είναι ο λόγος για τον οποίο το EMET χρησιμοποιήθηκε γενικά σε δίκτυα επιχειρήσεων, όπου οι διαχειριστές συστημάτων θα μπορούσαν να τροποποιήσουν τις ρυθμίσεις και όχι στους οικιακούς υπολογιστές.
Το Windows Defender περιλαμβάνει τώρα πολλές από αυτές τις ίδιες προστασίες, οι οποίες εντοπίστηκαν αρχικά στο EMET της Microsoft. Είναι ενεργοποιημένες από προεπιλογή για όλους και αποτελούν μέρος του λειτουργικού συστήματος. Το Windows Defender ρυθμίζει αυτόματα τους κατάλληλους κανόνες για διαφορετικές διαδικασίες που εκτελούνται στο σύστημά σας. (Το Malwarebytes εξακολουθεί να ισχυρίζεται ότι το χαρακτηριστικό του κατά της εκμετάλλευσης είναι ανώτερο και εξακολουθούμε να συνιστούμε να χρησιμοποιείτε το Malwarebytes, αλλά είναι καλό που το Windows Defender έχει ενσωματωθεί και αυτή μερικά από αυτά.)
Αυτή η δυνατότητα ενεργοποιείται αυτόματα αν έχετε αναβαθμίσει την ενημερωμένη έκδοση των Windows 10 Fall Creators και το EMET δεν υποστηρίζεται πλέον. Το EMET δεν μπορεί να εγκατασταθεί ακόμη και σε υπολογιστές που εκτελούν την Ενημέρωση Δημιουργών Φθορών. Εάν έχετε ήδη εγκαταστήσει το EMET, θα καταργηθεί από την ενημερωμένη έκδοση.
Η ενημερωμένη έκδοση για τους δημιουργούς πτώσης των Windows 10 περιλαμβάνει επίσης ένα σχετικό χαρακτηριστικό ασφαλείας με την επωνυμία Ελεγχόμενη πρόσβαση φακέλων. Έχει σχεδιαστεί για να σταματήσει το κακόβουλο λογισμικό επιτρέποντας μόνο σε αξιόπιστα προγράμματα να τροποποιούν αρχεία στους φακέλους προσωπικών σας δεδομένων, όπως τα Έγγραφα και οι Εικόνες. Και οι δύο λειτουργίες αποτελούν μέρος του "Windows Defender Exploit Guard". Ωστόσο, η πρόσβαση στον ελεγχόμενο φάκελο δεν είναι ενεργοποιημένη από προεπιλογή.
Τρόπος επιβεβαίωσης της λειτουργίας Exploit Protection είναι ενεργοποιημένη
Αυτή η λειτουργία ενεργοποιείται αυτόματα για όλους τους υπολογιστές Windows 10. Ωστόσο, μπορεί επίσης να μετατραπεί σε "λειτουργία ελέγχου", επιτρέποντας στους διαχειριστές συστημάτων να παρακολουθούν ένα αρχείο καταγραφής του τι θα έκανε η Exploit Protection για να επιβεβαιώσει ότι δεν θα προκαλέσει προβλήματα πριν την ενεργοποίηση σε κρίσιμους υπολογιστές.
Για να επιβεβαιώσετε ότι η λειτουργία αυτή είναι ενεργοποιημένη, μπορείτε να ανοίξετε το Κέντρο ασφαλείας του Windows Defender. Ανοίξτε το μενού Έναρξη, αναζητήστε το Windows Defender και κάντε κλικ στη συντόμευση του Κέντρου ασφαλείας του Windows Defender.
Κάντε κλικ στο εικονίδιο με το παράθυρο "Εφαρμογή και έλεγχος προγράμματος περιήγησης" στην πλευρική γραμμή. Κάντε κύλιση προς τα κάτω και θα δείτε την ενότητα "Προστασία από εκμετάλλευση". Θα σας ενημερώσει ότι αυτή η λειτουργία είναι ενεργοποιημένη.
Αν δεν βλέπετε αυτήν την ενότητα, ο υπολογιστής σας πιθανώς δεν έχει ενημερωθεί στην ενημερωμένη έκδοση για τους δημιουργούς πτώσης.
Τρόπος ρύθμισης παραμέτρων της προστασίας κατάχρησης του Windows Defender
Προειδοποίηση: Μάλλον δεν θέλετε να διαμορφώσετε αυτή τη λειτουργία. Το Windows Defender προσφέρει πολλές τεχνικές επιλογές που μπορείτε να προσαρμόσετε και οι περισσότεροι άνθρωποι δεν θα ξέρουν τι κάνουν εδώ. Αυτή η δυνατότητα έχει ρυθμιστεί με έξυπνες προεπιλεγμένες ρυθμίσεις που θα αποτρέπουν την πρόκληση προβλημάτων και η Microsoft μπορεί να ενημερώνει τους κανόνες της με την πάροδο του χρόνου. Οι επιλογές εδώ φαίνεται κυρίως να βοηθήσουν τους διαχειριστές συστημάτων να αναπτύξουν κανόνες για το λογισμικό και να τις αναπτύξουν σε ένα επιχειρηματικό δίκτυο.
Αν θέλετε να ρυθμίσετε την Προστασία Exploit, κατευθυνθείτε στο Κέντρο ασφαλείας του Windows Defender> Έλεγχος εφαρμογών & προγράμματος περιήγησης, κάντε κύλιση προς τα κάτω και κάντε κλικ στην επιλογή "Χρήση ρυθμίσεων προστασίας" στην ενότητα Προστασία απόρριψης.
Θα δείτε δύο καρτέλες εδώ: Ρυθμίσεις συστήματος και Ρυθμίσεις προγράμματος. Οι ρυθμίσεις συστήματος ελέγχουν τις προεπιλεγμένες ρυθμίσεις που χρησιμοποιούνται για όλες τις εφαρμογές, ενώ οι ρυθμίσεις προγράμματος ρυθμίζουν τις μεμονωμένες ρυθμίσεις που χρησιμοποιούνται για διάφορα προγράμματα. Με άλλα λόγια, οι ρυθμίσεις του Προγράμματος μπορούν να αντικαταστήσουν τις ρυθμίσεις συστήματος για μεμονωμένα προγράμματα. Θα μπορούσαν να είναι πιο περιοριστικές ή λιγότερο περιοριστικές.
Στο κάτω μέρος της οθόνης, μπορείτε να κάνετε κλικ στην επιλογή "Εξαγωγή ρυθμίσεων" για να εξαγάγετε τις ρυθμίσεις σας ως αρχείο .xml που μπορείτε να εισαγάγετε σε άλλα συστήματα. Η επίσημη τεκμηρίωση της Microsoft προσφέρει περισσότερες πληροφορίες σχετικά με την ανάπτυξη κανόνων με την πολιτική ομάδας και το PowerShell.
Στην καρτέλα System settings (Ρυθμίσεις συστήματος), θα δείτε τις ακόλουθες επιλογές: Προστασία ροής ελέγχου (CFG), Πρόληψη εκτέλεσης δεδομένων (DEP), Τυχαία εκτύπωση εικόνων (Υποχρεωτική ASLR), Τυχαία κατανομή μνήμης (Bottom-up ASLR) (SEHOP) και την επικύρωση της ακεραιότητας σωρού. Είναι όλες ενεργοποιημένες από προεπιλογή εκτός από την επιλογή Randomization Force for images (Υποχρεωτική ASLR). Αυτό είναι πιθανό επειδή η Υποχρεωτική ASLR προκαλεί προβλήματα με ορισμένα προγράμματα, επομένως ενδέχεται να αντιμετωπίσετε προβλήματα συμβατότητας αν την ενεργοποιήσετε, ανάλογα με τα προγράμματα που εκτελείτε.
Και πάλι, δεν πρέπει να αγγίξετε αυτές τις επιλογές εκτός αν ξέρετε τι κάνετε. Οι προεπιλογές είναι λογικές και επιλέγονται για κάποιο λόγο.
Η διεπαφή παρέχει μια πολύ σύντομη περίληψη του τι κάνει κάθε επιλογή, αλλά θα πρέπει να κάνετε κάποια έρευνα εάν θέλετε να μάθετε περισσότερα. Έχουμε εξηγήσει στο παρελθόν τι κάνουν DEP και ASLR εδώ.
Κάντε κλικ στην καρτέλα "Ρυθμίσεις προγράμματος" και θα δείτε μια λίστα διαφορετικών προγραμμάτων με προσαρμοσμένες ρυθμίσεις. Οι επιλογές εδώ επιτρέπουν την υπέρβαση των συνολικών ρυθμίσεων του συστήματος. Για παράδειγμα, εάν επιλέξετε "iexplore.exe" από τη λίστα και πατήσετε "Επεξεργασία", θα δείτε ότι ο κανόνας εδώ ενεργοποιεί δυναμικά Υποχρεωτική ASLR για τη διαδικασία Internet Explorer, παρόλο που δεν είναι ενεργοποιημένη από προεπιλογή σε ολόκληρο το σύστημα.
Δεν πρέπει να παραβιάζετε αυτούς τους ενσωματωμένους κανόνες για διαδικασίες όπως runtimebroker.exe και spoolsv.exe. Η Microsoft τα πρόσθεσε για κάποιο λόγο.
Μπορείτε να προσθέσετε προσαρμοσμένους κανόνες για μεμονωμένα προγράμματα κάνοντας κλικ στο "Προσθήκη προγράμματος για να προσαρμόσετε". Μπορείτε να προσθέσετε είτε "Προσθέστε με όνομα προγράμματος" είτε "Επιλέξτε ακριβή διαδρομή αρχείου", αλλά ο προσδιορισμός μιας ακριβούς διαδρομής αρχείου είναι πολύ πιο ακριβής.
Μόλις προστεθεί, μπορείτε να βρείτε μια μακρά λίστα ρυθμίσεων που δεν θα έχουν νόημα για τους περισσότερους ανθρώπους. Ο πλήρης κατάλογος των ρυθμίσεων που είναι διαθέσιμες εδώ είναι: Προφύλαξη από την παράκαμψη κώδικα (ACG), Αποκλεισμός εικόνων χαμηλής ακεραιότητας, Αποκλεισμός απομακρυσμένων εικόνων, Αποκλεισμός εμπιστευτικών γραμματοσειρών, Προστασία ακεραιότητας κώδικα, Προστασία ροής ελέγχου (CFG), Αποτροπή εκτέλεσης δεδομένων (DEP) , Απενεργοποίηση κλήσεων συστήματος Win32k, Μην επιτρέπετε διεργασίες παιδιού, Εξαγωγή φιλτραρίσματος διευθύνσεων (EAF), Δυνατότητα τυχαιοποίησης εικόνων (Υποχρεωτική ASLR), Εισαγωγή διεύθυνσης διεύθυνσης (IAF), Τυχαία κατανομή μνήμης (Bottom-up ASLR) , Επικύρωση επικλήσεων API (CallerCheck), Επικύρωση αλυσίδων εξαίρεσης (SEHOP), Επικύρωση χρήσης χειρισμού, Επικύρωση ακεραιότητας σωρού, Επικύρωση ακεραιότητας εξάρτησης εικόνας και Ακεραιότητα στοιβής Validate (StackPivot).
Και πάλι, δεν πρέπει να αγγίζετε αυτές τις επιλογές εκτός εάν είστε διαχειριστής συστήματος που θέλει να κλειδώσει μια εφαρμογή και γνωρίζετε πραγματικά τι κάνετε.
Ως δοκιμή, ενεργοποιήσαμε όλες τις επιλογές για το iexplore.exe και προσπαθήσαμε να το ξεκινήσουμε. Ο Internet Explorer μόλις έδειξε ένα μήνυμα σφάλματος και αρνήθηκε να ξεκινήσει. Δεν παρατηρήσαμε ακόμη και μια ειδοποίηση του Windows Defender που εξηγεί ότι ο Internet Explorer δεν λειτουργούσε εξαιτίας των ρυθμίσεών μας.
Μην επιχειρήσετε μόνο τυφλά να περιορίσετε τις εφαρμογές ή θα προκαλέσετε παρόμοια προβλήματα στο σύστημά σας. Θα είναι δύσκολο να αντιμετωπίσετε προβλήματα, αν δεν θυμάστε ότι αλλάξατε και τις επιλογές.
Εάν εξακολουθείτε να χρησιμοποιείτε μια παλαιότερη έκδοση των Windows, όπως τα Windows 7, μπορείτε να εκμεταλλευτείτε τις δυνατότητες προστασίας εγκαθιστώντας το EMET ή Malwarebytes της Microsoft. Ωστόσο, η υποστήριξη για το EMET θα σταματήσει στις 31 Ιουλίου 2018, καθώς η Microsoft θέλει να ωθήσει τις επιχειρήσεις προς τα Windows 10 και την Exploit Protection του Windows Defender.
