Ako funguje ochrana nového programu Windows Defender (a ako ho nakonfigurovať)
Aktualizácia Microsoft Fall Creators Update konečne pridáva integrovanú ochranu systému Windows. Predtým ste to museli hľadať vo forme nástroja Microsoft EMET. Teraz je súčasťou programu Windows Defender a je predvolene aktivovaná.
Ako funguje ochrana systému Windows Defender
Dlho sme odporúčali používať softvér proti zneužitiu, ako je nástroj Microsoft Enhanced Mitigation Experience Toolkit (EMET) alebo používateľsky prívetivší Malwarebytes Anti-Malware, ktorý obsahuje okrem iného aj silnú funkciu proti zneužitiu. Aplikácia EMET spoločnosti Microsoft je široko používaná vo väčších sieťach, kde môže byť nakonfigurovaná administrátormi systému, no nikdy nebola nikdy predvolene inštalovaná, vyžaduje konfiguráciu a má matné rozhranie pre priemerných používateľov.
Typické antivírusové programy, ako napríklad samotný program Windows Defender, používajú definície vírusov a heuristiku na zachytenie nebezpečných programov skôr, ako budú môcť bežať vo vašom systéme. Nástroje zabraňujúce zneužitiu v skutočnosti zabraňujú vôbec fungovať mnoho populárnych útokových techník, takže sa tieto nebezpečné programy na prvý pohľad nedostanú do vášho systému. Umožňujú ochranu určitých operačných systémov a blokujú techniky využívania spoločnej pamäte, takže ak sa zistí správanie podobné správaniu, ukončí proces predtým, ako sa stane niečo zlé. Inými slovami, môžu chrániť proti mnohým nenávratným útokom predtým, ako budú opravené.
Môžu však spôsobiť problémy s kompatibilitou a ich nastavenia by mohli byť vylepšené pre rôzne programy. Preto sa spoločnosť EMET vo všeobecnosti používala v podnikových sieťach, kde správcovia systému mohli vylepšiť nastavenia a nie na domácich počítačoch.
Program Windows Defender teraz obsahuje veľa z tých istých ochranných prvkov, ktoré sa pôvodne nachádzali v EMET spoločnosti Microsoft. Sú štandardne povolené pre všetkých a sú súčasťou operačného systému. Program Windows Defender automaticky konfiguruje príslušné pravidlá pre rôzne procesy bežiace vo vašom systéme. (Malwarebytes stále tvrdí, že ich funkcia proti zneužitiu je vynikajúca a stále odporúčame používať program Malwarebytes, ale je dobré, že program Windows Defender obsahuje aj niektoré z týchto funkcií.)
Táto funkcia je automaticky zapnutá, ak ste inovovali na aktualizáciu Windows Fall Creators Update a systém EMET už nie je podporovaný. Aplikácia EMET nemôže byť dokonca nainštalovaná na počítačoch, na ktorých je spustený program Aktualizácia tvorcov pádov. Ak už máte EMET nainštalovanú, aktualizácia sa odstráni.
Aktualizácia tvorcov pádov v systéme Windows 10 obsahuje aj súvisiacu bezpečnostnú funkciu s názvom Prístup k ovládanému priečinku. Je určený na zastavenie škodlivého softvéru tým, že umožňuje dôveryhodným programom upravovať súbory vo vašich priečinkoch osobných údajov, napríklad Dokumenty a Obrázky. Obe funkcie sú súčasťou programu "Windows Defender Exploit Guard". Prístup k ovládanému priečinku však nie je v predvolenom nastavení povolený.
Ako potvrdiť možnosť Exploit Protection je povolená
Táto funkcia je automaticky povolená pre všetky počítače Windows 10. Môže sa však tiež prepnúť do režimu Audit, čo umožní správcom systému sledovať protokol o tom, čo by spoločnosť Exploit Protection urobila, aby potvrdila, že nespôsobí žiadne problémy pred povolením na kritických počítačoch.
Ak chcete potvrdiť, že je táto funkcia povolená, môžete otvoriť Centrum zabezpečenia programu Windows Defender. Otvorte ponuku Štart, vyhľadajte program Windows Defender a kliknite na zástupcu programu Windows Defender Security Center.
V bočnom paneli kliknite na ikonu "App & browser control" v tvare okna. Posuňte sa nadol a uvidíte sekciu "Exploit protection". Informuje vás, že táto funkcia je povolená.
Ak túto sekciu nevidíte, počítač pravdepodobne ešte nebol aktualizovaný na aktualizáciu Fall Creators.
Ako nakonfigurovať Ochrana pred zneužitím programu Windows Defender
Výstraha: Pravdepodobne nechcete nakonfigurovať túto funkciu. Program Windows Defender ponúka mnoho technických možností, ktoré môžete upraviť, a väčšina ľudí nevie, čo tu robia. Táto funkcia je nakonfigurovaná s inteligentnými predvolenými nastaveniami, ktoré zabránia vzniku problémov a spoločnosť Microsoft môže v priebehu času aktualizovať svoje pravidlá. Zdá sa, že tieto možnosti sa primárne zameriavajú na pomoc správcom systému pri vývoji pravidiel pre softvér a ich zavedení do podnikovej siete.
Ak chcete konfigurovať funkciu Exploit Protection, prejdite do aplikácie Centrum zabezpečenia programu Windows Defender> Ovládač aplikácií a prehliadača, prejdite nadol a kliknite na položku Ochrana pred zneužitím ochrany v časti Exploit ochrana.
Zobrazia sa tu dve karty: Systémové nastavenia a Nastavenia programu. Systémové nastavenia riadia predvolené nastavenia používané pre všetky aplikácie, zatiaľ čo nastavenia programu riadia individuálne nastavenia používané pre rôzne programy. Inými slovami, nastavenia programu môžu prepísať nastavenia systému pre jednotlivé programy. Mohli by byť reštriktívnejšie alebo menej reštriktívne.
V dolnej časti obrazovky môžete kliknúť na položku Exportovať nastavenia a exportovať nastavenia ako súbor .xml, ktorý môžete importovať do iných systémov. Oficiálna dokumentácia spoločnosti Microsoft ponúka viac informácií o implementácii pravidiel so zásadami skupiny a PowerShell.
Na karte Nastavenia systému uvidíte nasledujúce možnosti: Kontrola ochrany prietoku (CFG), Prevencia spustenia dát (DEP), Náhodná randomizácia obrázkov (povinné ASLR), Randomize alokácie pamäte (ASLR zdola), Overovanie reťazcov výnimiek (SEHOP) a overiť integritu haldy. V predvolenom nastavení sú všetky s výnimkou možnosti náhodného výberu sily (povinná ASLR). Je to pravdepodobne preto, lebo povinné rozhranie ASLR spôsobuje problémy s niektorými programami, takže v závislosti od programov, ktoré spustíte, môžete spustiť problémy s kompatibilitou.
Opäť by ste sa nemali dotknúť týchto možností, ak neviete, čo robíte. Predvolené hodnoty sú rozumné a vyberú sa z nejakého dôvodu.
Rozhranie poskytuje veľmi stručný prehľad o tom, čo každá možnosť robí, ale budete musieť urobiť nejaký výskum, ak chcete vedieť viac. Už sme vysvetlili, čo tu DEP a ASLR robia.
Kliknite na kartu Nastavenia programu a uvidíte zoznam rôznych programov s vlastnými nastaveniami. Možnosti tu umožňujú prepísať celkové nastavenia systému. Ak napríklad vyberiete "iexplore.exe" v zozname a kliknete na tlačidlo "Upraviť", uvidíte, že toto pravidlo nútene povoľuje povinnú ASLR pre proces Internet Explorer, aj keď to nie je štandardne povolené v celom systéme.
Nemali by ste manipulovať s týmito vstavanými pravidlami pre procesy ako runtimebroker.exe a spoolsv.exe. Spoločnosť Microsoft ich pridala z nejakého dôvodu.
Môžete pridať vlastné pravidlá pre jednotlivé programy kliknutím na "Pridať program na prispôsobenie". Môžete buď "Pridať podľa názvu programu" alebo "Vybrať presnú cestu k súboru", ale určenie presnej cesty k súboru je oveľa presnejšie.
Po pridaní nájdete dlhý zoznam nastavení, ktoré pre väčšinu ľudí nebude zmysluplné. Úplný zoznam nastavení, ktorý je k dispozícii tu, je: Obmedzený kód ochrany (ACG), Zablokovanie obrázkov s nízkou úrovňou integrity, Blokovanie vzdialených obrázkov, Blokovanie nedôveryhodných písiem, Zabezpečenie integrity kódu, Kontrola ochrany prietoku (CFG) , Zakázať systémové volania Win32k, Nepovoliť detské procesy, Export filtrovanie adries (EAF), Vynútenie randomizácie pre obrázky (Povinné ASLR), Import filtrovania adries (IAF), Randomize alokácie pamäte (ASLR zdola), Simulate execution (SimExec) , Validácia vyvolania API (CallerCheck), Validácia reťazcov výnimiek (SEHOP), Overenie používania rukoväte, Overenie integrity haldy, Overenie integrity závislosti obrazu a Kontrola integrity zásobníka (StackPivot).
Opäť by ste sa nemali dotknúť týchto možností, ak ste systémový administrátor, ktorý chce uzamknúť aplikáciu a naozaj viete, čo robíte.
Ako test sme povolili všetky možnosti pre iexplore.exe a pokúsili sme sa ich spustiť. Aplikácia Internet Explorer len zobrazila chybové hlásenie a odmietla spustiť. Ani sme neobjavili upozornenie programu Windows Defender vysvetľujúce, že program Internet Explorer nefungoval kvôli našim nastaveniam.
Nepoužívajte iba slepý pokus o obmedzenie aplikácií, alebo spôsobujete podobné problémy vo vašom systéme. Bude ťažké odstrániť problémy, ak si nepamätáte, že ste zmenili aj možnosti.
Ak stále používate staršiu verziu systému Windows, napríklad Windows 7, môžete získať funkcie ochrany pomocou inštalácie aplikácie Microsoft EMET alebo Malwarebytes. Podpora pre spoločnosť EMET sa však zastaví 31. júla 2018, pretože spoločnosť Microsoft chce tlačiť podniky smerom k systému Windows 10 a program Windows Defender Exploit Protection.