Exploity to specjalny rodzaj złośliwego oprogramowania wykorzystywanego przez osoby atakujące do instalowania różnych Programy trojańskie lub backdoory na komputerze użytkownika. Ta operacja instalacji przy użyciu exploitów jest przeprowadzana niezauważona przez użytkownika, co daje atakującym niezaprzeczalne korzyści. Exploit próbuje wykorzystać lukę w konkretnym komponencie systemu operacyjnego w celu przeprowadzenia podobnej operacji.
Dla użytkownika najbardziej niebezpiecznym scenariuszem jest wykorzystanie exploita umożliwiającego zdalną instalację kodu w systemie operacyjnym. W takim przypadku wystarczy odwiedzić zaatakowany zasób sieciowy, aby zainfekować złośliwym kodem (drive-by). Jeżeli na Twoim komputerze zainstalowana jest podatna na ataki wersja oprogramowania: przeglądarka lub wtyczki do niej, wówczas prawdopodobieństwo, że możesz zostać zainfekowany złośliwym kodem jest bardzo wysokie.
Dobrą praktyką jest aktualizacja systemu operacyjnego, a także zainstalowanego oprogramowania, gdyż producenci regularnie zamykają w nim pojawiające się luki. Komponenty, które narażają użytkownika na szczególne ryzyko, obejmują:
Produkty antywirusowe potrafią wykrywać exploity na podstawie sygnatur. W ten sposób pozwala na bieżąco chronić użytkownika przed złośliwą zawartością, blokując odpowiednią stronę internetową zawierającą złośliwą treść.
Nowoczesne wydania Microsoft Windows: Windows 7, 8 i 8.1 mają wbudowane mechanizmy chroniące użytkownika przed destrukcyjnym działaniem exploitów. Opcje te obejmują:
Pliki PDF
Pliki przeznaczone do otwierania w programach Czytnik Adobe, Acrobat są w formacie PDF i są dość niebezpieczne, szczególnie jeśli pochodzą z niewiarygodnych źródeł. Adobe rozszerzyło PDF do maksymalnego możliwego poziomu, umożliwiając osadzanie w nim wszelkiego rodzaju treści. Jedną z głównych zalet korzystania z dokumentów w formacie PDF jest wieloplatformowy, pod warunkiem dostępności czytnika (Adobe Reader) dla potrzebnej platformy.
W wielu przypadkach osoby atakujące wykorzystują do dostarczania złośliwe pliki PDF złośliwe oprogramowanie użytkownikowi. Jeśli wersja programu Adobe Reader, której używasz, jest podatna na ataki, istnieje duże prawdopodobieństwo zainfekowania komputera.
Ze względu na wysokie ryzyko korzystania z dokumentów PDF pochodzących z niebezpiecznych źródeł, a także opieszałość użytkowników w kwestiach bezpieczeństwa, nowoczesne Wersje Adobe Czytnik posiada specjalny „Tryb chroniony” do przeglądania dokumentów lub „sandboxing” (Ochrona w izolowanym środowisko oprogramowania). Podczas korzystania z tego trybu kod z Plik PDF Niektóre potencjalnie niebezpieczne funkcje są całkowicie zabronione.
Ryż. Ustawienia trybu piaskownicy w programie Adobe Reader.
Domyślnie tryb chroniony jest wyłączony. Pomimo aktywnego pola wyboru „Włącz tryb chroniony przy uruchomieniu”, jest ono wyłączone, ponieważ możliwość korzystania z tego trybu jest w stanie „Wyłączone”. W związku z tym po zainstalowaniu programu zdecydowanie zaleca się przeniesienie tego ustawienia do trybu „W przypadku plików z potencjalnie niebezpiecznych źródeł” lub „Wszystkie pliki”.
Należy pamiętać, że po włączeniu trybu chronionego program Adobe Reader wyłącza wiele funkcji, których można używać w plikach PDF. Dlatego po otwarciu pliku możesz otrzymać następujące powiadomienie.
Ryż. Etykietka wskazująca, że widok chroniony jest aktywny.
Jeśli jesteś pewien pochodzenia tego pliku, możesz aktywować wszystkie jego funkcje, klikając odpowiedni przycisk.
Adobe Flash Playerze
Atakujący bardzo lubią Adobe Flash Player. Ponieważ wtyczki do odtwarzania treści są używane we wszystkich przeglądarkach, wyszukiwanie w nich luk w zabezpieczeniach i późniejsze wykorzystanie ich w złośliwych celach ma dla atakujących wysoki priorytet.
Podobnie jak inne oprogramowanie firmy Adobe, Flash Player jest regularnie aktualizowany w ramach serii aktualizacji firmy (Adobe Security Bulletins). Większość z tych luk to luki typu Remote Code Execution, co oznacza, że osoby atakujące mogą wykorzystać tę lub inną lukę w celu zdalnego wykonania kodu.
Producenci przeglądarek internetowych, tacy jak Adobe, nie siedzą w miejscu i budują specjalne mechanizmy chroniące przed exploitami wykorzystującymi wtyczki Flash Player. Przeglądarki takie jak MS Internet Explorer (v10 na Windows 8), Google Chrome i Safari OS X (najnowsza wersja) uruchamiają Flash Playera w kontekście procesu piaskownicy, ograniczając dostęp tego procesu do wielu zasobów systemowych, lokalizacji V system plików i pracy z siecią.
Bardzo ważną funkcją jest terminowa aktualizacja Wtyczka Flasha Odtwarzacz dla przeglądarki. Przeglądarki takie jak Google Chrome i Internet Explorer 10 są automatycznie aktualizowane wraz z wydaniem nowej wersji Flash Playera, więc odtwarzacz dla nich zostanie zaktualizowany automatycznie.
Aby sprawdzić swoją wersję programu Adobe Flash Player, skorzystaj z oficjalnej. źródło: Adobe.
Ponadto przeglądarki obsługują możliwość całkowitego wyłączenia wtyczki Flash Player, aby uniemożliwić przeglądarce odtwarzanie takich treści. O problemach związanych z używaniem wtyczki Java w przeglądarkach pisaliśmy już szczegółowy artykuł. Wyłączenie wtyczki Flash Player odbywa się w ten sam sposób.
Dla przeglądarki Google Chrome.
„Ustawienia” -> „Pokaż dodatkowe ustawienia” -> „Ustawienia treści” -> „Wyłącz poszczególne moduły”.
Dla Internet Explorera.
„Serwis” -> „Konfiguruj dodatki”.
Blokada exploitów ESET
Jest to dodatek do proaktywnej obrony najnowsze wersje Produkty antywirusowe ESET siódmej generacji Inteligentne bezpieczeństwo oraz program antywirusowy ESET NOD32. W przeciwieństwie do konwencjonalnej detekcji statycznej opartej na sygnaturach, moduł Exploit Blocker analizuje zachowanie aplikacji, aby określić, czy wykonuje ona podejrzane działania i techniki wykorzystywane przez exploity. Po wykryciu takich działań są one analizowane, a szkodliwy proces jest natychmiast blokowany. Niektóre podobne działania podlegają dodatkowa analiza w naszej chmurze, która zapewnia dodatkowe funkcje w celu ochrony użytkowników przed atakami ukierunkowanymi i atakami wykorzystującymi exploity 0day.
MS Internet Explorer i Google Chrome
Pisaliśmy już na początku naszego materiału, że najbardziej preferowaną przez atakujących metodą atakowania użytkowników jest zdalne wykonanie kodu za pośrednictwem przeglądarki (drive-by download). Tak czy inaczej, nieważne zainstalowane wtyczki sama przeglądarka może zawierać i potencjalnie zawiera pewną liczbę luk w zabezpieczeniach. Jeśli programiści zbadali już lukę i wydano dla niej aktualizację, użytkownik może zainstalować aktualizację i nie martwić się, że atakujący złamią bezpieczeństwo jego systemu operacyjnego. Z drugiej strony, jeśli napastnicy wykorzystają nieznaną jeszcze podatność, czyli taką, która nie została zamknięta (0day), sytuacja użytkownika staje się bardziej skomplikowana.
Wiele nowoczesnych przeglądarek internetowych i systemów operacyjnych zawiera technologię izolowania procesu aplikacji, uniemożliwiając mu w ten sposób wykonywanie jakichkolwiek działań, których przeglądarka nie powinna wykonywać. Ogólnie rzecz biorąc, technika ta nazywa się sandboxingiem i pozwala nałożyć ograniczenia na działania wykonywane przez proces. Jednym z przykładów takiej izolacji jest fakt, że nowoczesne przeglądarki(na przykład Internet Explorer i Chrome) wykonują swoje karty jako osobne procesy w systemie operacyjnym, umożliwiając w ten sposób ustawienie uprawnień do wykonywania określonych działań na określonej karcie, a także zapewniając stabilność samej przeglądarki. Jeśli jedna z zakładek się zawiesi, użytkownik może ją zamknąć, nie kończąc pozostałych.
Nowoczesne wersje przeglądarki MS Internet Explorer (IE10 i 11) posiadają specjalną technologię piaskownicy zwaną „Rozszerzonym trybem chronionym”. Ten tryb pozwala ograniczyć działanie procesu karty lub wtyczki, a tym samym utrudnić atakującym wykorzystanie przeglądarki.
Ryż. Tryb piaskownicy dla przeglądarki Internet Explorer, który stał się dostępny od wersji 10.
Rozszerzony tryb chroniony (EPM) został udoskonalony dla systemu Windows 8. Jeśli używasz EPM w systemie Windows 7 x64, ta funkcja gwarantuje, że karty przeglądarki będą działać jako procesy 64-bitowe (IE domyślnie uruchamia swoje karty jako procesy 32-bitowe). Należy pamiętać, że funkcja EPM jest domyślnie wyłączona.
Ryż. Demonstracja EPM działającego w systemie Windows 7 x64 [przy użyciu MS Process Explorer]. Po włączeniu tej opcji procesy na karcie przeglądarki działają w trybie 64-bitowym, co utrudnia wykorzystanie ich do zainstalowania złośliwego kodu.
Począwszy od systemu Windows 8, Microsoft wprowadził obsługę piaskownicy procesów na poziomie systemu operacyjnego. Technologia nosi nazwę „AppContainer” i pozwala zmaksymalizować korzyści płynące z tego trybu dla EPM. Procesy na karcie przeglądarki Internet Explorer z włączoną funkcją EPM działają w trybie AppContainer. Ponadto w systemie Windows 8 tryb EPM jest domyślnie włączony.
Ryż. Demonstracja działania EPM w systemie Windows 8, AppContainer (inaczej piaskownica) jest włączony dla kart.
Ryż. Różnice w działaniu EPM w Windows 7 i 8.
Google Chrome, podobnie jak IE, również ma tę funkcję specjalne funkcje aby zapobiec atakom typu drive-by download. Ale w przeciwieństwie do tego, tryb piaskownicy dla Chrome działa stale i nie wymaga dodatkowych działań, aby go włączyć ze strony użytkownika.
Tryb piaskownicy w przeglądarce Chrome oznacza, że procesy na kartach działają z ograniczonymi uprawnieniami, uniemożliwiając im wykonywanie różnych działań systemowych.
Ryż. Tryb piaskownicy zaimplementowany w przeglądarce Google Chrome. Prawie wszystkie identyfikatory SID grup użytkowników w tokenie dostępu mają status Odmów, który uniemożliwia procesowi wykonywanie ważnych funkcji systemowych dozwolonych przez te grupy.
Ryż. Chrome używa specjalnego obiektu zadania, który obejmuje wszystkie procesy przeglądarki. Obiekt umożliwia ograniczenie działań aplikacji w odniesieniu do zasobów systemu operacyjnego, uniemożliwiając atakującym wykorzystanie przeglądarki.
Oprócz tego trybu przeglądarka Google Chrome ma możliwość blokowania złośliwych adresów URL lub witryn, które zostały umieszczone na czarnej liście Google jako rozpowszechniające złośliwe oprogramowanie (Google Safe Browsing). Ta funkcja jest podobna do bazy danych URL w programie Internet Explorer SmartScreen.
Ryż. Bezpieczne przeglądanie Google w przeglądarce Google Chrome w akcji.
Jeśli chodzi o przeglądarkę i system operacyjny, tak maszyna wirtualna(lub JRE) do uruchamiania aplikacji Java. Niezależność platformowa takich aplikacji sprawia, że Java jest dziś bardzo popularna w użyciu; jest ona używana na ponad trzech miliardach urządzeń.
Podobnie jak inne wtyczki do przeglądarek, wtyczka Java jest dość atrakcyjna w użyciu dla atakujących, a biorąc pod uwagę ich wcześniejsze doświadczenia w wykorzystywaniu luk, możemy powiedzieć, że Java jest najniebezpieczniejszym składnikiem wszystkich innych wtyczek do przeglądarek.
W naszym wcześniej opublikowanym materiale na temat problemów związanych z używaniem Javy w Twoim systemie pisaliśmy, w jaki sposób możesz wyłączyć tę wtyczkę różne przeglądarki na wypadek, gdybyś nie korzystał Aplikacje Java i nie chcesz narażać się na niebezpieczeństwo.
Jeśli używasz języka Java w systemie Windows, ustawienia zabezpieczeń programu można dostosować za pomocą apletu Panelu sterowania. Ponadto jego najnowsze wersje pozwalają na bardziej szczegółową konfigurację ustawień zabezpieczeń, co pozwala na uruchamianie wyłącznie zaufanych aplikacji.
Ryż. Ustawienia aktualizacji Java. Sprawdzanie dostępności aktualizacji jest domyślnie włączone, a użytkownik jest powiadamiany przed ich pobraniem.
Aby całkowicie wyłączyć Javę we wszystkich przeglądarkach używanych w systemie, należy odznaczyć opcję „Włącz zawartość Java w przeglądarce” w aplecie Java.
Ryż. Odznaczenie opcji „Włącz zawartość Java w przeglądarce” całkowicie wyłącza możliwość korzystania z wtyczek w zainstalowanych przeglądarkach.
Firma Microsoft udostępnia użytkownikom bezpłatne narzędzie pomagające chronić system operacyjny przed metodami ataków wykorzystywanymi w exploitach.
Ryż. Interfejs EMET.
Zestaw narzędzi Enhanced Mitigation Experience Toolkit (EMET) wykorzystuje techniki proaktywne do blokowania różnych exploitów w celu ochrony aplikacji przed atakami. Pomimo tego, że współczesne systemy Windows 7 i Windows 8 mają wbudowane, domyślnie włączone funkcje DEP i ASLR mające na celu łagodzenie skutków exploitów, EMET pozwala wprowadzić nowe możliwości blokowania działań exploitów, a także wymusić włączenie DEP lub ASLR dla niezbędnych procesów (wzmocnienie ochrony systemu w starszych wersjach systemu operacyjnego).
EMET jest konfigurowany osobno dla każdej aplikacji, tzn. aby chronić aplikację za pomocą tego narzędzia należy ustawić go na odpowiedniej liście. Ponadto istnieje lista aplikacji, dla których EMET jest domyślnie włączony, na przykład Internet Explorer, Java, programy Pakiety Microsoftu Biuro.
Więcej szczegółowe informacje o korzystaniu z EMET i przegląd jego możliwości, zobacz nasz blog firmowy.
Niektóre składniki systemu Windows, na których nie skupiliśmy się powyżej, mogą również zostać wykorzystane przez osoby atakujące do zdalnego wykonania kodu lub eskalacji uprawnień.
Ryż. Statystyki poprawek dla różnych komponentów systemu Windows w ramach comiesięcznych wtorkowych aktualizacji łatek. W rankingu wskazano komponenty, które w pierwszej połowie 2013 roku były aktualizowane częściej niż pozostałe.
Z powyższej oceny wynika, że dla przeglądarki Internet Explorer została ona zamknięta największa liczba luk, w ciągu dwunastu aktualizacji zamknięto ponad pięćdziesiąt luk, a sześć z nich w momencie zamknięcia miało status is-being-exploited-in-the-wild, co oznacza, że były aktywnie wykorzystywane przez atakujących.
Drugim najczęściej naprawianym elementem jest słynny kierowca podsystem Windows – win32k.sys, który zapewnia działanie systemu graficznego systemu operacyjnego w trybie jądra. Luki w tym komponencie są wykorzystywane przez osoby atakujące do eskalacji uprawnień w systemie, np. poprzez przekroczenie uprawnień. omijając ograniczenia nałożone przez UAC.
Należy pamiętać, że domyślnie w Windows 7 i 8 dostępna jest opcja dostawa automatyczna aktualizacje dla użytkownika. Możesz także sprawdzić dostępność aktualizacji za pomocą panelu sterowania.
Link do architektury bezpieczeństwa przeglądarki Chromium
Zrozumienie łącza do rozszerzonego trybu chronionego przeglądarki IE
Tagi: Dodaj tagi
Na etapie rozwoju we wszystkie programy i sieci wbudowane są mechanizmy ochrony przed hakerami, podobne do blokad chroniących przed nieautoryzowanymi atakami z zewnątrz. Podatność jest podobna do otwarte okno, przez który atakujący nie będzie miał trudności. W przypadku komputera lub sieci osoby atakujące mogą zainstalować złośliwe oprogramowanie, wykorzystując lukę w zabezpieczeniach, aby przejąć kontrolę lub zainfekować system dla własnych egoistycznych celów, co wiąże się z odpowiednimi konsekwencjami. Najczęściej wszystko to dzieje się bez wiedzy użytkownika.
Exploity powstają na skutek błędów w procesie rozwoju oprogramowanie, w wyniku czego w systemie ochrony programu pojawiają się luki, które cyberprzestępcy z powodzeniem wykorzystują do uzyskania nieograniczonego dostępu do samego programu, a za jego pośrednictwem dalej do całego komputera. Exploity są klasyfikowane w zależności od rodzaju podatności wykorzystanej przez hakera: zero-day, DoS, spoofing lub XXS. Oczywiście twórcy programu wkrótce wypuszczą aktualizacje zabezpieczeń, aby wyeliminować wykryte defekty, ale do tego czasu program nadal jest podatny na ataki.
Ponieważ exploity wykorzystują luki w mechanizmach bezpieczeństwa oprogramowania, przeciętny użytkownik nie ma praktycznie żadnych szans na wykrycie ich obecności. Dlatego niezwykle ważne jest wsparcie zainstalowane programy aktualizowane, zwłaszcza w celu szybkiego instalowania aktualizacji zabezpieczeń wydanych przez twórców programów. Jeśli twórca oprogramowania wypuści aktualizację zabezpieczeń mającą na celu naprawienie znanej luki w swoim oprogramowaniu, ale użytkownik jej nie zainstaluje, wówczas program niestety nie otrzyma niezbędnych najnowszych definicji wirusów.
Ze względu na to, że exploity są konsekwencją błędów, za ich eliminację bezpośrednio odpowiadają twórcy, więc to autorzy będą musieli przygotować i rozpowszechnić poprawki błędów. Jednakże odpowiedzialność za aktualizowanie zainstalowanych programów i terminowe instalowanie pakietów aktualizacji, aby uniemożliwić hakerom wykorzystanie luk, spoczywa wyłącznie na użytkowniku programu. Jeden z możliwe sposoby Nie przegap najnowszych aktualizacji - skorzystaj z menadżera aplikacji, który zadba o to, aby wszystkie zainstalowane programy zostały zaktualizowane, lub - jeszcze lepiej - skorzystaj z narzędzia automatyczne wyszukiwanie i instalowanie aktualizacji.
Kieruj się zdrowym rozsądkiem i przestrzegaj podstawowych zasad bezpieczną pracę w Internecie. Hakerzy mogą wykorzystać tę lukę tylko wtedy, gdy uda im się uzyskać dostęp do Twojego komputera. Nie otwieraj załączników do podejrzanych wiadomości ani nie pobieraj plików z nieznane źródła. Aktualizuj zainstalowane programy i niezwłocznie instaluj aktualizacje zabezpieczeń. Jeśli chcesz maksymalnie ułatwić sobie to zadanie, pobierz Antywirus Avasta, które nie tylko zapewnią niezawodna ochrona przed wszystkimi rodzajami złośliwego oprogramowania, ale pomoże także w instalacji większości najnowsze aktualizacje dla programów stron trzecich.
Tej jesieni system Windows 10 został zaktualizowany do wersji 1709 o nazwie kodowej Fall. Aktualizacja twórców czy Redstone 3. Wśród wielu zmian interesowała nas przede wszystkim ulepszona ochrona przed nieznanym złośliwym oprogramowaniem. Firma Microsoft podjęła szereg działań w celu zwalczania trojanów i exploitów ransomware. Jak bardzo odnieśli sukces?
Wszystko, co nowe, jest starym, dobrze odnowionym brandem. W „jesiennej aktualizacji dla projektantów” wbudowane komponenty ochrony zostały połączone w „Centrum zabezpieczeń Windows Defender”. Nawet zapora programowa zaczęła nazywać się „Zapora systemu Windows Defender”, ale zmiany te są czysto kosmetyczne. Te ważniejsze dotyczą nowych funkcji, którym przyjrzymy się bardziej szczegółowo poniżej.
Kolejny stary-nowy komponent wprowadzony w Redstone 3 nazywa się Ochrona przed exploitami. Obrońca Windowsa Exploit Guard, czyli po prostu EG, jest włączany w Windows Defender Security Center w sekcji Kontrola aplikacji i przeglądarek.
Technicznie rzecz biorąc, Exploit Guard to dawny zestaw narzędzi Enhanced Mitigation Experience Toolkit z nieco zwiększonym zestawem funkcji i nowym interfejsem. EMET pojawił się ponownie Czasy Windowsa Vista została wycofana, a jej miejsce zajęła Exploit Guard. Należy do Advanced Threat Protection, wraz z Device Guard Connected Device Manager i Application Guard. Złe języki mówią, że Microsoft początkowo chciał wprowadzić wspólny komponent Advanced System Security Guard, ale skrót okazał się całkowicie dysonansowy.
Exploit Guard to tylko narzędzie ograniczające ryzyko; nie eliminuje konieczności zamykania luk w oprogramowaniu, ale utrudnia ich użycie. Ogólnie rzecz biorąc, zasadą działania Exploit Guard jest zakazanie tych operacji, które są najczęściej wykorzystywane przez złośliwe oprogramowanie.
Problem w tym, że wiele legalnych programów również z nich korzysta. Co więcej, istnieją stare programy (a raczej biblioteki dynamiczne), które po prostu przestaną działać, jeśli zostaną użyte Okna nowe funkcje kontroli pamięci i inne nowoczesne środki ochrona.
Dlatego konfiguracja funkcji Exploit Guard odbywa się w taki sam sposób, jak w przypadku wcześniejszego korzystania z narzędzia EMET. W mojej pamięci wielu administratorów spędziło miesiące na zagłębianiu się w zawiłości ustawień, a następnie po prostu zaprzestało korzystania z restrykcyjnych funkcji z powodu licznych skarg użytkowników.
Jeśli bezpieczeństwo jest najważniejsze i trzeba dokręcić śruby, to najpopularniejszymi funkcjami Exploit Guard były (od czasów EMET) i pozostają:
Polecenia można przekazywać za pośrednictwem programu PowerShell. Przykładowo zakaz tworzenia procesów potomnych wygląda następująco:
Set-ProcessMitigation -Nazwa pliku wykonywalnego.exe -Włącz DisallowChildProcessCreation
Wszystkie procesory i chipsety x86 z ostatnich dziesięciu lat obsługują DEP na poziomie sprzętowym, a dla bardzo starych dostępna jest programowa implementacja tej funkcji. Jednak ze względu na kompatybilność nowego Wersje Windowsa ze starym Oprogramowanie Microsoftu nadal zaleca włączenie funkcji DEP w opcji „tylko dla procesy systemowe" Z tego samego powodu możliwe było wyłączenie funkcji DEP dla dowolnego procesu. Wszystko to zostało z powodzeniem wykorzystane w technikach obejścia DEP.
Dlatego użycie Exploit Guard ma sens tylko wtedy, gdy możliwe jest użycie kilku funkcji ochronnych jednocześnie, nie powodując awarii przynajmniej w działaniu głównych aplikacji. W praktyce jest to rzadko możliwe. Oto przykład profilu EG przekonwertowanego z EMET, który zazwyczaj powoduje awarię systemu Windows 10 i przejście do BSoD. Dawno, dawno temu Hacker miał sekcję „Konstrukcja zachodnia”, a Exploit Guard idealnie do niej pasował.
Członkostwo w społeczności w określonym terminie zapewni Ci dostęp do WSZYSTKICH materiałów Hackera, zwiększy Twoją osobistą zniżkę kumulacyjną i pozwoli Ci zgromadzić profesjonalną ocenę Xakep Score!
Centrum ochrony programu Windows Defender w systemie Windows 10 v1709 wprowadza teraz nową funkcję ochrony o nazwie Ochrona przed exploitami, który pomaga chronić komputer lub laptop z systemem Windows przed złośliwym oprogramowaniem infekującym system. Obejmuje środki łagodzące, które można zastosować na poziomie system operacyjny lub na poziomie aplikacji. Dzięki wprowadzeniu tej funkcji Użytkownicy Windowsa 10 nie trzeba już instalować zestawu narzędzi Enhanced Mitigation Experience Toolkit (EMET). Właściwie już podczas samego procesu Aktualizacje systemu Windows 10 aktualizacji Fall Creators Update, które EMET usuwa.
Ochrona przed exploitami jest częścią tej funkcji Exploit Guard V Obrońca Windowsa. Aby uzyskać dostęp do tej funkcji, otwórz „ Centrum ochrony Windows Defender" > "Zarządzanie aplikacjami i przeglądarką" > "Ustawienia ochrony przed exploitami„. Otworzy się nowy panel. Przewiń nieco w dół, a zobaczysz tutaj opcje ochrony użytkowania. Ustawienia podzielone są na dwie zakładki:
W dziale „ Parametry systemu" zobaczysz następujące opcje:
W dziale „ Ustawienia programu" zobaczysz możliwość dodania programu. Naciśnij przycisk " Dodaj programskonfigurować" zaoferuje dwie opcje:
Możesz także kliknąć program poniżej na wstępnie wypełnionej liście, aby go dodać. Istnieje funkcja eksportu ustawień do pliku XML, dzięki czemu można zapisać ustawienia, skorzystaj z linku „ Opcje eksportu".
Exploit Guard nowa funkcja Zabezpieczenia Windows Defender, które Microsoft po raz pierwszy wprowadził w aktualizacji Windows 10 Fall Creators Update.
Exploit Protection to zintegrowana wersja zestawu narzędzi Enhanced Mitigation Experience Toolkit (EMET) firmy Microsoft, którego wsparcie zakończy się w połowie 2018 roku.
Ochrona przed lukami w zabezpieczeniach jest domyślnie włączona, gdy aktywny jest program Windows Defender. Ta funkcja jest jedyną funkcją Exploit Guard, która nie wymaga włączenia ochrony w czasie rzeczywistym.
Tę funkcję można skonfigurować w Centrum zabezpieczeń Windows Defender za pomocą zasady grupowe lub polecenia PowerShell.
Użytkownicy systemu Windows 10 mogą skonfigurować ochronę przed exploitami w Centrum zabezpieczeń Windows Defender.
Wszystkie ustawienia są podzielone na dwie kategorie: Parametry systemu I Ustawienia programu.
Na karcie Parametry systemu wyświetlana jest lista wszystkich dostępnych mechanizmów ochronnych wraz z ich statusem. W aktualizacji Windows 10 Fall Creators Update dostępne są następujące zabezpieczenia:
Ustawienia programu daje możliwość dostosowania ochrony programy indywidualne i aplikacje. Ta opcja działa podobnie do funkcji wyjątków w Microsoft EMET dla niektórych programów. Ta szansa będzie szczególnie przydatny, jeśli program błędnie działa po włączeniu niektórych modułów bezpieczeństwa.
Domyślnie do wyjątków dodawanych jest kilka programów, w szczególności svchost.exe, spools.exe, runtimebroker.exe, iexplore.exe i inne główne Programy Windowsowe. Pamiętaj, że możesz zastąpić te wykluczenia, wybierając pliki i klikając przycisk „Edytuj”.
Dla każdego programu, który dodałeś w ustawieniach programu, możesz ustawić oddzielny stan wszystkich obsługiwanych zabezpieczeń. Oprócz zastąpienia domyślnych ustawień systemowych i wymuszenia ich włączenia lub wyłączenia, istnieje również opcja ustawienia ustawienia jako tylko do audytu. W tym drugim przypadku zdarzenia, które miałyby miejsce, gdyby stan ochrony został włączony, zostaną zapisane w dzienniku systemu Windows.
Lista Ustawienia programu zawiera dodatkowe ustawienia zabezpieczeń, których nie można skonfigurować w Ustawieniach systemu, ponieważ są skonfigurowane do działania tylko na poziomie aplikacji.
Wśród nich:
Możesz użyć wiersz poleceń PowerShell, aby zainstalować, usunąć lub zmienić listę miar. Dostępne są następujące polecenia:
Aby wyświetlić wszystkie środki ochronne określonego procesu: Get-ProcessMitigation -Name nazwaprocesu.exe
Aby ustawić środek ochronny: Set-ProcessMitigation - - ,
Zakres: -System lub -Nazwa.
Akcja: albo -Włącz, albo -Wyłącz.
Środek: nazwa środka ochronnego. Listę dostępnych środków można znaleźć w tabeli w witrynie internetowej firmy Microsoft. Poszczególne miary można oddzielić przecinkiem.
Konfiguracje można importować i eksportować. Operacje te można wykonać na stronie „Ustawienia ochrony przed exploitami” w Windows Defender Security Center, a także z poziomu za pomocą PowerShella lub Edytor zasad grupy.
Dodatkowo konfiguracje EMET można konwertować w celu późniejszego importu.
Konfiguracje można eksportować w aplikacji Windows Defender Security Center, ale nie można ich importować. Eksport dodaje wszystkie miary na poziomie systemu i aplikacji.
Pliki konfiguracyjne można zainstalować za pomocą Edytora zasad grupy:
Zmień plik emetFile.xml na ścieżkę i lokalizację pliku konfiguracyjnego EMET.
Zmień ścieżkę i nazwę pliku.xml na żądaną lokalizację i nazwę pliku.
Znalazłeś literówkę? Zaznacz i naciśnij Ctrl + Enter
