cs.phhsnews.com


cs.phhsnews.com / Jak funguje nová ochrana před zneužíváním systému Windows Defender (a jak ji konfigurovat)

Jak funguje nová ochrana před zneužíváním systému Windows Defender (a jak ji konfigurovat)


Aktualizace Microsoft Fall Creators Update konečně přidává integrovanou ochranu exploit do systému Windows. Museli jste to dříve hledat ve formě nástroje EMET společnosti Microsoft. Nyní je součástí programu Windows Defender a je aktivována ve výchozím nastavení.

Jak funguje služba Windows Defender Exploit Protection

SOUVISEJÍCÍ: Co je nového v aktualizaci Windows 10, která je k dispozici

-exploit software, jako je Microsoft Enhanced Mitigation Experience Toolkit (EMET) nebo uživatelsky přívětivější Malwarebytes Anti-Malware, který obsahuje mimo jiné silnou funkcionalitu proti zneužití. Microsoft EMET je široce používán ve větších sítích, kde jej mohou konfigurovat administrátoři systému, ale nikdy nebyl instalován ve výchozím nastavení, vyžaduje konfiguraci a má pro uživatele průměrné rozhraní.

Typické antivirové programy, například Windows Defender, používají definice virů a heuristiky zachytit nebezpečné programy předtím, než budou moci běžet na vašem systému. Nástroje zabraňující zneužití skutečně zabraňují tomu, aby mnoho funkčních útoků fungovalo vůbec, takže se tyto nebezpečné programy nedostanou do vašeho systému na prvním místě. Umožňují určité ochrany operačního systému a zabraňují technikám využívajícím společnou paměť, takže pokud je zjištěno zneužití podobného chování, ukončí proces dříve, než se něco zhorší. Jinými slovy, mohou chránit před mnoha útoky za nulové dny, než jsou zpoplatněny.

Mohly by však způsobit problémy s kompatibilitou a jejich nastavení by mohlo být vylepšeno pro různé programy. To je důvod, proč byl EMET obecně používán v podnikových sítích, kde administrátoři systému mohli upravovat nastavení, a nikoli na domácím PC.

Windows Defender nyní obsahuje mnoho stejných ochran, které byly původně nalezeny v EMET společnosti Microsoft. Jsou povoleny ve výchozím nastavení pro všechny a jsou součástí operačního systému. Program Windows Defender automaticky konfiguruje příslušná pravidla pro různé procesy spuštěné ve vašem systému. (Malwarebytes stále tvrdí, že jejich funkce proti zneužití je nadřazená a stále doporučujeme používat Malwarebytes, ale je dobré, že Windows Defender obsahuje i některé z těchto funkcí.)

Tato funkce je automaticky povolena, pokud jste inovovali na aktualizaci Fall Creators Windows 10 a EMET již není podporována. EMET nelze dokonce instalovat na počítačích s aktualizací Fall Creators Update. Pokud jste již nainstalovali EMET, bude tato aktualizace odebrána.

SOUVISEJÍCÍ: Jak chránit soubory z Ransomware S novým přístupem "Controlled Folder Access" programu Windows Defender

Aktualizace Windows 10 Fall Creators Update také obsahuje související s bezpečnostní funkcí s názvem Přístup k řízené složce. Je určen k zastavení malwaru tím, že umožňuje důvěryhodným programům pouze modifikovat soubory ve složkách osobních údajů, například Dokumenty a Obrázky. Obě funkce jsou součástí programu Windows Defender Exploit Guard. Přístup k řízené složce však není ve výchozím nastavení povolen.

Jak povolit ochranu proti explozi je povoleno

Tato funkce je automaticky povolena pro všechny počítače se systémem Windows 10. Může se však také přepnout do režimu "Audit", což umožňuje správcům systému sledovat protokol o tom, co by Exploit Protection udělala, aby potvrdili, že před zapnutím na kritických počítačích nebude způsobovat žádné potíže.

Potvrďte, že toto je povolena, můžete otevřít Centrum zabezpečení aplikace Windows Defender. Otevřete nabídku Start, vyhledejte program Windows Defender a klepněte na zástupce programu Windows Defender Security Center.

Klikněte na ikonu "App & browser control" ve tvaru okna v postranním panelu. Přejděte dolů a uvidíte část "Ochrana proti explozi".

Pokud tuto sekci neuvidíte, počítač pravděpodobně není aktualizován na aktualizaci Fall Creators

Jak konfigurovat ochranu aplikace Windows Defender

Upozornění : Tuto funkci pravděpodobně nechcete nakonfigurovat. Program Windows Defender nabízí mnoho technických možností, které můžete upravit, a většina lidí nebude vědět, co zde dělají. Tato funkce je nakonfigurována s inteligentními výchozími nastaveními, která zabrání problémům a společnost Microsoft může aktualizovat pravidla v průběhu času. Možnosti zde se zdají primárně určeny k tomu, aby správcům systému pomohli vytvořit pravidla pro software a zavést je do podnikové sítě.

Chcete-li nakonfigurovat ochranu Exploit Protection, přejděte do části Centrum zabezpečení aplikace Windows Defender> Ovládání aplikací a prohlížeče, přejděte dolů a klikněte na možnost Ochrana zabezpečení v části Ochrana proti explozi

Zde uvidíte dvě karty: Nastavení systému a Program nastavení. Systémová nastavení kontroluje výchozí nastavení používaná pro všechny aplikace, zatímco nastavení programu řídí jednotlivé nastavení používaná pro různé programy. Jinými slovy, nastavení programu mohou změnit nastavení systému pro jednotlivé programy. Mohou být restriktivnější nebo méně restriktivní.

V dolní části obrazovky můžete klepnutím na tlačítko Exportovat nastavení exportovat nastavení jako soubor XML, který můžete importovat do jiných systémů. Oficiální dokumentace společnosti Microsoft nabízí další informace o zavádění pravidel s zásadami skupiny a PowerShell

Na kartě System settings (Systémové nastavení) se zobrazí následující možnosti: Ovládací prvek (CFG), Data Execution Prevention (DEP) (Povinné ASLR), Randomize alokace paměti (dolní-up ASLR), ověřte výjimky řetězy (SEHOP) a ověřte integrita haldy. Všichni jsou ve výchozím nastavení ve výchozím nastavení s výjimkou volby Randomizing for Samples (Povinná ASLR). To je pravděpodobné, protože povinná ASLR způsobuje problémy s některými programy, takže v závislosti na spuštěných programech může dojít k problémům s kompatibilitou.

Opět byste se neměli dotýkat těchto možností, pokud nevíte, co jste dělat. Výchozí hodnoty jsou rozumné a jsou zvoleny z důvodu

SOUVISEJÍCÍ: Proč je 64bitová verze systému Windows bezpečnější

Rozhraní poskytuje velmi stručný přehled o tom, co dělá každá možnost, ale vy budete musíte udělat nějaký výzkum, pokud chcete vědět víc. Již jsme vysvětlili, co DEP a ASLR děláte zde.

Klepněte na kartu "Nastavení programu" a zobrazí se seznam různých programů s vlastními nastaveními. Možnosti zde umožňují přepsat celkové nastavení systému. Pokud například v seznamu vyberete "iexplore.exe" a kliknete na tlačítko "Upravit", uvidíte, že toto pravidlo tudíž silně povoluje povinnou ASLR pro proces Internet Explorer, i když není ve výchozím nastavení povoleno pro celý systém.

Neměli byste manipulovat s těmito vestavěnými pravidly pro procesy jako runtimebroker.exe a spoolsv.exe. Microsoft je přidal z nějakého důvodu.

Kliknutím na "Přidat program k přizpůsobení" můžete přidat vlastní pravidla pro jednotlivé programy. Můžete buď "přidat podle názvu programu" nebo "vybrat přesnou cestu k souboru", ale specifikovat přesnou cestu k souboru je mnohem přesnější.

Po přidání můžete najít dlouhý seznam nastavení, která nebude mít smysl pro většinu lidé. Úplný seznam nastavení, který je k dispozici zde, je: Občasný kódový kód (ACG), Zablokování obrazů s nízkou odolností, Blokování vzdálených obrazů, Blokování nedůvěryhodných písem, Zabezpečení integrity kódu, Řízení průtoku (CFG) , Zakázat systémová volání Win32k, Nepovolovat podřízené procesy, Exportovat filtrování adres (EAF), Vynutit náhodnost pro obrazy (Povinné ASLR), Filtrování adres IAF, Randomize alokace paměti (ASLR zespodu), Simulate execution (SimExec) , Ověřte vyvolání API (CallerCheck), ověřte řetězec výjimek (SEHOP), ověřte použití ručičky, ověřte integritu haldy, ověřte integritu závislostí obrazu a ověřte integritu zásobníku (StackPivot).

Opět byste se neměli dotknout těchto možností, je správcem systému, který chce uzamknout aplikaci a opravdu ví, co děláte.

Jako test jsme povolili všechny možnosti pro iexplore.exe a pokusili jsme se spustit. Aplikace Internet Explorer právě zobrazila chybovou zprávu a odmítla spustit. Ani jsme neviděli upozornění programu Windows Defender, které vysvětluje, že program Internet Explorer nefunguje kvůli našim nastavením.

Nepoužívejte pouze slepě pokusit se omezit aplikace nebo způsobit podobné problémy ve vašem systému. Pokud si nepamatujete, že jste také změnili možnosti, bude obtížné tyto problémy vyřešit.

Pokud stále používáte starší verzi systému Windows, například systém Windows 7, můžete využít funkce ochrany pomocí instalace aplikace EMET nebo Malwarebytes společnosti Microsoft. Podpora pro EMET se však zastaví 31. července 2018, neboť společnost Microsoft chce podnikům směřovat k systému Windows 10 a ochraně Windows Defender Exploit Protection.


Okamžitě vyhledejte historii terminálu pomocí klávesové zkratky

Okamžitě vyhledejte historii terminálu pomocí klávesové zkratky

Každý, kdo pravidelně používá příkazový řádek, má alespoň jeden dlouhý řetězec, který pravidelně píše. Místo toho, aby jste zadali vše znovu a znovu, můžete rychle vyhledat svou historii a najít kompletní příkaz. SOUVISEJÍCÍ: Použití vaší historie basů v terminálu Linux nebo MacOS I když víte, v terminálu Linux nebo MacOS možná nebudete vědět o integrované funkci vyhledávání, která vám umožní rychle najít nejnovější příkaz, který jste zadali pomocí libovolné série znaků.

(how-top)

Jak snímat a sdílet Snapchat Snaps

Jak snímat a sdílet Snapchat Snaps

Snapchat byl postaven na myšlence zmizení fotografií. Kdykoli jste poslali jeden, myšlenka byla, že zmizí do etheru, než aby byl uložen na server nebo vaši přátelé telefon navždy. S VZTAHUJÍCÍM: Snapchat skutečně vymaže můj snap? změněna. Nejde jen o zasílání soukromých obrázků. Je to mediální platforma, aplikace pro zasílání zpráv a mnoho dalšího.

(how-top)