โฮมเพจ » ทำอย่างไร » การป้องกันการใช้ประโยชน์ใหม่ของ Windows Defender ทำงานอย่างไร (และวิธีการกำหนดค่า)

    การป้องกันการใช้ประโยชน์ใหม่ของ Windows Defender ทำงานอย่างไร (และวิธีการกำหนดค่า)

    การปรับปรุง Fall Creators ของ Microsoft ในที่สุดก็เพิ่มการป้องกันการหาประโยชน์แบบเบ็ดเสร็จให้กับ Windows ก่อนหน้านี้คุณต้องค้นหาสิ่งนี้ในรูปแบบของเครื่องมือ EMET ของ Microsoft ตอนนี้เป็นส่วนหนึ่งของ Windows Defender และเปิดใช้งานตามค่าเริ่มต้น.

    การป้องกันการใช้ประโยชน์ของ Windows Defender ทำงานอย่างไร

    เราแนะนำให้ใช้ซอฟต์แวร์ต่อต้านการใช้ประโยชน์อย่างยาวนานเช่น Enhanced Mitigation Experience Toolkit (EMET) ของ Microsoft หรือ Malwarebytes Anti-Malware ที่เป็นมิตรต่อผู้ใช้มากกว่าซึ่งมีคุณสมบัติต่อต้านการใช้ประโยชน์ที่มีประสิทธิภาพ (เหนือสิ่งอื่น) EMET ของ Microsoft ใช้กันอย่างแพร่หลายในเครือข่ายขนาดใหญ่ซึ่งผู้ดูแลระบบสามารถกำหนดค่าได้ แต่ไม่เคยติดตั้งโดยค่าเริ่มต้นต้องมีการกำหนดค่าและมีส่วนต่อประสานที่สับสนสำหรับผู้ใช้ทั่วไป.

    โปรแกรมป้องกันไวรัสทั่วไปเช่น Windows Defender ใช้คำจำกัดความของไวรัสและการวิเคราะห์พฤติกรรมเพื่อจับโปรแกรมที่เป็นอันตรายก่อนที่จะสามารถทำงานบนระบบของคุณ เครื่องมือต่อต้านการเอารัดเอาเปรียบจะป้องกันไม่ให้มีเทคนิคการโจมตีที่ได้รับความนิยมมากมายดังนั้นโปรแกรมอันตรายเหล่านั้นจึงไม่เข้าสู่ระบบของคุณตั้งแต่แรก พวกเขาเปิดใช้งานการป้องกันระบบปฏิบัติการบางอย่างและปิดกั้นเทคนิคการใช้ประโยชน์หน่วยความจำทั่วไปดังนั้นหากตรวจพบพฤติกรรมที่เหมือนการใช้ประโยชน์พวกเขาจะยุติกระบวนการก่อนที่จะเกิดเหตุการณ์ไม่ดีขึ้น กล่าวอีกนัยหนึ่งพวกเขาสามารถป้องกันการโจมตีแบบ zero-day จำนวนมากก่อนที่จะทำการปะแก้.

    อย่างไรก็ตามพวกเขาอาจทำให้เกิดปัญหาความเข้ากันได้และการตั้งค่าอาจต้อง tweaked สำหรับโปรแกรมที่แตกต่างกัน นั่นเป็นเหตุผลว่าทำไม EMET จึงถูกใช้งานบนเครือข่ายองค์กรซึ่งผู้ดูแลระบบสามารถปรับแต่งการตั้งค่าและไม่ใช้กับพีซีในบ้าน.

    ขณะนี้ Windows Defender มีการป้องกันเดียวกันหลายประการซึ่งเดิมพบใน EMET ของ Microsoft พวกเขากำลังเปิดใช้งานโดยค่าเริ่มต้นสำหรับทุกคนและเป็นส่วนหนึ่งของระบบปฏิบัติการ Windows Defender กำหนดค่ากฎที่เหมาะสมโดยอัตโนมัติสำหรับกระบวนการต่าง ๆ ที่ทำงานบนระบบของคุณ (Malwarebytes ยังคงอ้างว่าคุณสมบัติการต่อต้านการใช้ประโยชน์ของมันนั้นเหนือกว่าและเรายังแนะนำให้ใช้ Malwarebytes แต่ก็ดีที่ Windows Defender มีคุณสมบัติในตัวนี้อยู่ด้วย)

    คุณลักษณะนี้เปิดใช้งานโดยอัตโนมัติหากคุณอัปเกรดเป็น Fall Creators Update ของ Windows 10 และ EMET ไม่ได้รับการสนับสนุนอีกต่อไป EMET ไม่สามารถแม้แต่จะติดตั้งบนพีซีที่ใช้งาน Fall Creators Update หากคุณติดตั้ง EMET แล้วการอัปเดตจะถูกลบออก.

    การปรับปรุง Fall Creators ของ Windows 10 ยังรวมถึงคุณสมบัติความปลอดภัยที่เกี่ยวข้องที่ชื่อว่าการเข้าถึงโฟลเดอร์ควบคุม มันถูกออกแบบมาเพื่อหยุดมัลแวร์โดยอนุญาตให้โปรแกรมที่เชื่อถือได้เพื่อแก้ไขไฟล์ในโฟลเดอร์ข้อมูลส่วนบุคคลของคุณเช่นเอกสารและรูปภาพ ฟีเจอร์ทั้งสองเป็นส่วนหนึ่งของ“ Windows Defender Exploit Guard” อย่างไรก็ตามการเข้าถึงโฟลเดอร์ที่ควบคุมไม่ได้เปิดใช้งานตามค่าเริ่มต้น.

    วิธีการยืนยันการป้องกันการใช้ประโยชน์ถูกเปิดใช้งาน

    คุณสมบัตินี้เปิดใช้งานโดยอัตโนมัติสำหรับพีซี Windows 10 ทุกเครื่อง อย่างไรก็ตามมันยังสามารถเปลี่ยนเป็น“ โหมดการตรวจสอบ” ที่อนุญาตให้ผู้ดูแลระบบตรวจสอบบันทึกการใช้ประโยชน์จากการป้องกันที่จะทำเพื่อยืนยันว่าจะไม่ทำให้เกิดปัญหาใด ๆ ก่อนเปิดใช้งานบนพีซีที่สำคัญ.

    เพื่อยืนยันว่าเปิดใช้งานคุณสมบัตินี้แล้วคุณสามารถเปิด Windows Defender Security Center เปิดเมนูเริ่มของคุณค้นหา Windows Defender และคลิกทางลัด Windows Defender Security Center.

    คลิกไอคอนรูป "การควบคุมแอพ & เบราว์เซอร์" ในแถบด้านข้าง เลื่อนลงมาและคุณจะเห็นส่วน“ ใช้ประโยชน์จากการป้องกัน” จะแจ้งให้คุณทราบว่าเปิดใช้งานคุณสมบัตินี้แล้ว.

    หากคุณไม่เห็นหัวข้อนี้แสดงว่าพีซีของคุณอาจยังไม่ได้อัปเดตเป็น Fall Creators Update.

    วิธีกำหนดค่าการป้องกันการใช้ประโยชน์ของ Windows Defender

    การเตือน: คุณอาจไม่ต้องการกำหนดค่าคุณสมบัตินี้ Windows Defender มีตัวเลือกด้านเทคนิคมากมายที่คุณสามารถปรับได้และคนส่วนใหญ่ไม่รู้ว่าพวกเขากำลังทำอะไรที่นี่ คุณลักษณะนี้ได้รับการกำหนดค่าด้วยการตั้งค่าเริ่มต้นอัจฉริยะที่จะหลีกเลี่ยงปัญหาและ Microsoft สามารถปรับปรุงกฎเมื่อเวลาผ่านไป ตัวเลือกที่นี่มีจุดประสงค์เพื่อช่วยผู้ดูแลระบบในการพัฒนากฎสำหรับซอฟต์แวร์และนำเสนอในเครือข่ายองค์กร.

    หากคุณต้องการกำหนดค่าการป้องกันการใช้ประโยชน์ให้ไปที่ศูนย์รักษาความปลอดภัยของ Windows Defender> การควบคุมแอปและเบราว์เซอร์เลื่อนลงและคลิก“ การตั้งค่าการป้องกันการใช้ประโยชน์” ภายใต้การป้องกันการใช้ประโยชน์.

    คุณจะเห็นสองแท็บได้ที่นี่: การตั้งค่าระบบและการตั้งค่าโปรแกรม การตั้งค่าระบบควบคุมการตั้งค่าเริ่มต้นที่ใช้สำหรับแอปพลิเคชันทั้งหมดในขณะที่การตั้งค่าโปรแกรมควบคุมการตั้งค่าแต่ละรายการที่ใช้สำหรับโปรแกรมต่างๆ กล่าวอีกนัยหนึ่งการตั้งค่าโปรแกรมสามารถแทนที่การตั้งค่าระบบสำหรับแต่ละโปรแกรม พวกเขาอาจมีข้อ จำกัด มากขึ้นหรือ จำกัด น้อยลง.

    ที่ด้านล่างของหน้าจอคุณสามารถคลิก“ ส่งออกการตั้งค่า” เพื่อส่งออกการตั้งค่าของคุณเป็นไฟล์. xml ที่คุณสามารถนำเข้าในระบบอื่น ๆ เอกสารทางการของ Microsoft ให้ข้อมูลเพิ่มเติมเกี่ยวกับการปรับใช้กฎด้วยนโยบายกลุ่มและ PowerShell.

    บนแท็บการตั้งค่าระบบคุณจะเห็นตัวเลือกต่อไปนี้: ตัวควบคุมโฟลว์การ์ด (CFG), การป้องกันการดำเนินการข้อมูล (DEP), การบังคับใช้การสุ่มสำหรับรูปภาพ (Mandatory ASLR), การจัดสรรหน่วยความจำแบบสุ่ม (ASLR จากล่าง) (SEHOP) และตรวจสอบความสมบูรณ์ของฮีป โดยค่าเริ่มต้นทั้งหมดยกเว้นตัวเลือก Force Randomization for images (Mandatory ASLR) อาจเป็นเพราะ Mandatory ASLR ทำให้เกิดปัญหากับบางโปรแกรมดังนั้นคุณอาจพบปัญหาความเข้ากันได้ถ้าคุณเปิดใช้งานขึ้นอยู่กับโปรแกรมที่คุณใช้.

    คุณไม่ควรแตะต้องตัวเลือกเหล่านี้อีกเว้นแต่คุณจะรู้ว่ากำลังทำอะไรอยู่ ค่าเริ่มต้นมีเหตุผลและถูกเลือกด้วยเหตุผล.

    อินเทอร์เฟซให้ข้อมูลสรุปสั้น ๆ เกี่ยวกับสิ่งที่แต่ละตัวเลือกทำ แต่คุณจะต้องทำวิจัยหากคุณต้องการทราบข้อมูลเพิ่มเติม ก่อนหน้านี้เราได้อธิบายสิ่งที่ DEP และ ASLR ทำที่นี่.

    คลิกที่แท็บ“ การตั้งค่าโปรแกรม” แล้วคุณจะเห็นรายการโปรแกรมต่าง ๆ พร้อมการตั้งค่าแบบกำหนดเอง ตัวเลือกที่นี่ช่วยให้การตั้งค่าระบบโดยรวมจะถูกแทนที่ ตัวอย่างเช่นหากคุณเลือก“ iexplore.exe” ในรายการและคลิก“ แก้ไข” คุณจะเห็นว่ากฎที่นี่เปิดใช้งาน Mandatory ASLR สำหรับกระบวนการ Internet Explorer แม้ว่าจะไม่ได้เปิดใช้งานตามค่าเริ่มต้นทั้งระบบ.

    คุณไม่ควรยุ่งเกี่ยวกับกฎในตัวสำหรับกระบวนการเช่น runtimebroker.exe และ spoolsv.exe Microsoft เพิ่มพวกเขาด้วยเหตุผล.

    คุณสามารถเพิ่มกฎที่กำหนดเองสำหรับแต่ละโปรแกรมได้โดยคลิก“ เพิ่มโปรแกรมเพื่อปรับแต่ง” คุณสามารถ“ เพิ่มด้วยชื่อโปรแกรม” หรือ“ เลือกพา ธ ไฟล์ที่แน่นอน” แต่การระบุพา ธ ไฟล์ที่แน่นอนนั้นแม่นยำมากขึ้น.

    เมื่อเพิ่มแล้วคุณสามารถค้นหารายการการตั้งค่าแบบยาวที่ไม่มีความหมายสำหรับคนส่วนใหญ่ รายการการตั้งค่าเต็มรูปแบบที่มีอยู่ที่นี่คือ: ตัวป้องกันรหัสโดยพลการ (ACG), บล็อกภาพที่มีความไม่สมบูรณ์ต่ำ, บล็อกภาพระยะไกล, บล็อกแบบอักษรที่ไม่น่าเชื่อถือ, ตัวป้องกันความสมบูรณ์ของรหัส, ตัวป้องกันความสมบูรณ์ของรหัส, CFG), Data Execution Prevention (DEP) , ปิดใช้งานการเรียกระบบ Win32k, ไม่อนุญาตให้มีกระบวนการลูก, ส่งออกการกรองที่อยู่ (EAF), การสุ่มบังคับให้ใช้รูปภาพ (บังคับ ASLR), การนำเข้าที่อยู่การกรอง (IAF), การจัดสรรหน่วยความจำแบบสุ่ม (ASLR จากล่าง), จำลองการดำเนินการ ตรวจสอบการร้องขอ API (CallerCheck), ตรวจสอบความถูกต้องของเครือข่ายข้อยกเว้น (SEHOP), ตรวจสอบการใช้การจัดการ, ตรวจสอบความสมบูรณ์ของฮีป, ตรวจสอบความสมบูรณ์ของการพึ่งพารูปภาพและตรวจสอบความสมบูรณ์ของสแต็ก (StackPivot).

    อีกครั้งคุณไม่ควรแตะตัวเลือกเหล่านี้นอกจากคุณจะเป็นผู้ดูแลระบบที่ต้องการล็อคแอปพลิเคชันและคุณรู้ว่ากำลังทำอะไรอยู่.

    จากการทดสอบเราเปิดใช้งานตัวเลือกทั้งหมดสำหรับ iexplore.exe และพยายามเปิดใช้งาน Internet Explorer เพิ่งพบข้อผิดพลาดและปฏิเสธที่จะเปิด เราไม่เห็นแม้แต่การแจ้งเตือนของ Windows Defender ที่อธิบายว่า Internet Explorer ไม่ทำงานเนื่องจากการตั้งค่าของเรา.

    อย่าพยายาม จำกัด แอปพลิเคชั่นอย่างสุ่มสี่สุ่มห้าไม่เช่นนั้นคุณจะก่อให้เกิดปัญหาที่คล้ายกันในระบบของคุณ พวกเขาจะแก้ไขปัญหาได้ยากหากคุณจำไม่ได้ว่าคุณเปลี่ยนตัวเลือกเช่นกัน.

    หากคุณยังคงใช้ Windows รุ่นที่เก่ากว่าเช่น Windows 7 คุณสามารถใช้ประโยชน์จากคุณสมบัติการป้องกันโดยการติดตั้ง EMET หรือ Malwarebytes ของ Microsoft อย่างไรก็ตามการสนับสนุน EMET จะหยุดในวันที่ 31 กรกฎาคม 2018 เนื่องจาก Microsoft ต้องการผลักดันธุรกิจไปสู่ ​​Windows 10 และ Windows Defender ของ Exploit Protection แทน.