Cách bảo vệ khai thác mới của Windows Defender hoạt động (và cách cấu hình nó)

Video: Cách bảo vệ khai thác mới của Windows Defender hoạt động (và cách cấu hình nó)

Video: Cách chia sẻ dữ liệu qua mạng lan giữa 2 máy tính Win 10, 11 CHUẨN nhất - YouTube 2024, Tháng mười một

2024 Tác giả: Geoffrey Carr | [email protected]. Sửa đổi lần cuối: 2024-01-12 05:34

Bản cập nhật Fall Creators của Microsoft cuối cùng cũng bổ sung tính năng bảo vệ khai thác tích hợp vào Windows. Trước đây bạn phải tìm kiếm điều này dưới dạng công cụ EMET của Microsoft. Nó bây giờ là một phần của Windows Defender và được kích hoạt theo mặc định.

Cách hoạt động của Bảo vệ khai thác của Windows Defender

Chúng tôi đã khuyên bạn nên sử dụng phần mềm chống khai thác như Bộ công cụ giảm thiểu kinh nghiệm nâng cao của Microsoft (EMET) hoặc Malwarebytes Anti-Malware thân thiện với người dùng hơn, chứa một tính năng chống khai thác mạnh mẽ (trong số những thứ khác). EMET của Microsoft được sử dụng rộng rãi trên các mạng lớn hơn, nơi nó có thể được cấu hình bởi quản trị viên hệ thống, nhưng nó chưa bao giờ được cài đặt theo mặc định, yêu cầu cấu hình và có giao diện khó hiểu cho người dùng trung bình.

Các chương trình chống virus điển hình, giống như Windows Defender, sử dụng các định nghĩa virus và chẩn đoán để bắt các chương trình nguy hiểm trước khi chúng có thể chạy trên hệ thống của bạn. Các công cụ chống khai thác thực sự ngăn chặn nhiều kỹ thuật tấn công phổ biến không hoạt động, vì vậy những chương trình nguy hiểm đó không có trên hệ thống của bạn ngay từ đầu. Chúng cho phép bảo vệ hệ điều hành nhất định và chặn các kỹ thuật khai thác bộ nhớ phổ biến, để phát hiện hành vi giống như khai thác, chúng sẽ chấm dứt quá trình trước khi có bất kỳ điều gì xấu xảy ra. Nói cách khác, họ có thể bảo vệ chống lại nhiều cuộc tấn công zero-day trước khi chúng được vá.

Tuy nhiên, chúng có thể có khả năng gây ra các vấn đề tương thích và cài đặt của chúng có thể phải được tinh chỉnh cho các chương trình khác nhau. Đó là lý do tại sao EMET thường được sử dụng trên mạng doanh nghiệp, nơi quản trị viên hệ thống có thể tinh chỉnh cài đặt chứ không phải trên máy tính tại nhà.

Windows Defender hiện bao gồm nhiều tính năng bảo vệ tương tự, ban đầu được tìm thấy trong EMET của Microsoft. Chúng được bật theo mặc định cho mọi người và là một phần của hệ điều hành. Windows Defender tự động định cấu hình các quy tắc thích hợp cho các quy trình khác nhau đang chạy trên hệ thống của bạn. (Malwarebytes vẫn tuyên bố tính năng chống khai thác của họ là cao hơn, và chúng tôi vẫn khuyên bạn nên sử dụng Malwarebytes, nhưng cũng tốt khi Windows Defender cũng có một số tính năng này được tích hợp sẵn).

Tính năng này được bật tự động nếu bạn đã nâng cấp lên Bản cập nhật dành cho người sáng tạo mùa thu của Windows 10 và EMET không còn được hỗ trợ. EMET thậm chí không thể được cài đặt trên PC chạy Bản cập nhật dành cho người sáng tạo mùa thu. Nếu bạn đã cài đặt EMET, nó sẽ bị xóa bởi bản cập nhật.

Bản cập nhật dành cho người sáng tạo mùa thu của Windows 10 cũng bao gồm một tính năng bảo mật liên quan có tên Truy cập thư mục được kiểm soát. Nó được thiết kế để ngăn chặn phần mềm độc hại bằng cách chỉ cho phép các chương trình đáng tin cậy sửa đổi tệp trong thư mục dữ liệu cá nhân của bạn, như Tài liệu và Ảnh. Cả hai tính năng này là một phần của “Windows Defender Exploit Guard”. Tuy nhiên, quyền truy cập thư mục được kiểm soát không được bật theo mặc định.

Cách xác nhận bảo vệ khai thác được bật

Tính năng này được kích hoạt tự động cho tất cả các PC Windows 10. Tuy nhiên, nó cũng có thể được chuyển sang “Chế độ kiểm tra”, cho phép quản trị viên hệ thống theo dõi nhật ký những gì mà Khai thác bảo vệ sẽ thực hiện để xác nhận nó sẽ không gây ra bất kỳ vấn đề nào trước khi bật nó trên các PC quan trọng.

Để xác nhận rằng tính năng này được bật, bạn có thể mở Trung tâm bảo mật của Windows Defender. Mở menu Bắt đầu của bạn, tìm kiếm Windows Defender và nhấp vào lối tắt Windows Defender Security Center.

Nhấp vào biểu tượng "Điều khiển ứng dụng và trình duyệt" có hình cửa sổ ở thanh bên. Cuộn xuống và bạn sẽ thấy phần “Khai thác bảo vệ”. Nó sẽ thông báo cho bạn rằng tính năng này được kích hoạt.

Nếu bạn không thấy phần này, PC của bạn có thể chưa cập nhật cho Bản cập nhật dành cho người sáng tạo mùa thu.

Cách cấu hình bảo vệ khai thác của Windows Defender

Cảnh báo: Có thể bạn không muốn định cấu hình tính năng này. Windows Defender cung cấp nhiều tùy chọn kỹ thuật mà bạn có thể điều chỉnh và hầu hết mọi người sẽ không biết họ đang làm gì ở đây. Tính năng này được định cấu hình với cài đặt mặc định thông minh sẽ tránh gây ra sự cố và Microsoft có thể cập nhật các quy tắc của nó theo thời gian. Các tùy chọn ở đây dường như chủ yếu nhằm giúp các quản trị viên hệ thống phát triển các quy tắc cho phần mềm và cuộn chúng ra trên một mạng doanh nghiệp.

Nếu bạn muốn cấu hình Khai thác bảo vệ, hãy vào Trung tâm bảo mật của Windows Defender> Kiểm soát ứng dụng và trình duyệt, cuộn xuống và nhấp vào “Khai thác cài đặt bảo vệ” trong Bảo vệ khai thác.

Bạn sẽ thấy hai tab ở đây: Cài đặt hệ thống và cài đặt Chương trình. Cài đặt hệ thống kiểm soát cài đặt mặc định được sử dụng cho tất cả các ứng dụng, trong khi cài đặt Chương trình kiểm soát các cài đặt riêng lẻ được sử dụng cho các chương trình khác nhau. Nói cách khác, cài đặt Chương trình có thể ghi đè cài đặt Hệ thống cho từng chương trình. Chúng có thể hạn chế hơn hoặc ít hạn chế hơn.

Ở cuối màn hình, bạn có thể nhấp vào “Xuất cài đặt” để xuất cài đặt của mình dưới dạng tệp.xml mà bạn có thể nhập trên các hệ thống khác. Tài liệu chính thức của Microsoft cung cấp thêm thông tin về việc triển khai các quy tắc với Chính sách nhóm và PowerShell.

Trên tab System settings, bạn sẽ thấy các tùy chọn sau: Control flow guard (CFG), Data Execution Prevention (DEP), Phân ngẫu nhiên cho hình ảnh (Bắt buộc ASLR), Phân bổ bộ nhớ ngẫu nhiên (Bottom-up ASLR), Validate exception chains (SEHOP), và Xác nhận tính toàn vẹn heap. Theo mặc định, tất cả đều được hiển thị ngoại trừ tùy chọn Buộc ngẫu nhiên cho hình ảnh (Bắt buộc ASLR). Đó có thể là do ASLR bắt buộc gây ra sự cố với một số chương trình, do đó bạn có thể gặp sự cố tương thích nếu bạn bật nó, tùy thuộc vào các chương trình bạn chạy.

Một lần nữa, bạn thực sự không nên chạm vào các tùy chọn này trừ khi bạn biết mình đang làm gì. Mặc định là hợp lý và được chọn vì một lý do.

Giao diện cung cấp một bản tóm tắt rất ngắn về những gì từng tùy chọn, nhưng bạn sẽ phải thực hiện một số nghiên cứu nếu bạn muốn biết thêm. Trước đây chúng tôi đã giải thích những gì DEP và ASLR làm ở đây.

Nhấp vào tab "Cài đặt chương trình" và bạn sẽ thấy danh sách các chương trình khác nhau có cài đặt tùy chỉnh. Các tùy chọn ở đây cho phép các cài đặt hệ thống tổng thể được ghi đè. Ví dụ: nếu bạn chọn “iexplore.exe” trong danh sách và nhấp vào “Chỉnh sửa”, bạn sẽ thấy quy tắc ở đây cho phép ASLR bắt buộc cho quy trình Internet Explorer, mặc dù nó không được bật theo mặc định trên toàn hệ thống.

Bạn không nên giả mạo các quy tắc tích hợp này cho các quy trình như runtimebroker.exe và spoolsv.exe. Microsoft đã thêm chúng vào một lý do.

Bạn có thể thêm các quy tắc tùy chỉnh cho các chương trình riêng lẻ bằng cách nhấp vào “Thêm chương trình để tùy chỉnh”. Bạn có thể "Thêm theo tên chương trình" hoặc "Chọn đường dẫn tệp chính xác", nhưng chỉ định đường dẫn tệp chính xác chính xác hơn nhiều.

Sau khi thêm, bạn có thể tìm thấy một danh sách dài các cài đặt sẽ không có ý nghĩa đối với hầu hết mọi người. Danh sách đầy đủ các cài đặt có sẵn ở đây là: Bảo vệ mã tùy ý (ACG), Chặn hình ảnh toàn vẹn thấp, Chặn hình ảnh từ xa, Chặn phông không tin cậy, Bảo vệ toàn vẹn mã, Kiểm soát lưu lượng (CFG), Ngăn chặn thực thi dữ liệu (DEP), Vô hiệu hóa các điểm mở rộng, Vô hiệu hóa các cuộc gọi hệ thống Win32k, Không cho phép các tiến trình con, Lọc địa chỉ xuất khẩu (EAF), Phân ngẫu nhiên cho hình ảnh (Bắt buộc ASLR), Nhập địa chỉ lọc (IAF), Phân bổ bộ nhớ ngẫu nhiên (Bottom-up ASLR), Mô phỏng thực thi (SimExec), Xác thực yêu cầu API (CallerCheck), Xác thực chuỗi ngoại lệ (SEHOP), Xác thực sử dụng xử lý, Xác thực tính toàn vẹn heap, Xác thực tính toàn vẹn của phụ thuộc hình ảnh và Xác thực tính toàn vẹn của ngăn xếp (StackPivot).

Một lần nữa, bạn không nên chạm vào các tùy chọn này trừ khi bạn là quản trị viên hệ thống muốn khóa ứng dụng và bạn thực sự biết mình đang làm gì.

Như một thử nghiệm, chúng tôi đã kích hoạt tất cả các tùy chọn cho iexplore.exe và cố gắng khởi động nó. Internet Explorer vừa hiển thị thông báo lỗi và từ chối khởi chạy. Chúng tôi thậm chí không thấy thông báo Windows Defender giải thích rằng Internet Explorer không hoạt động do cài đặt của chúng tôi.

Không chỉ cố gắng hạn chế các ứng dụng một cách mù quáng, hoặc bạn sẽ gây ra các sự cố tương tự trên hệ thống của mình. Họ sẽ khó khắc phục nếu bạn không nhớ mình đã thay đổi các tùy chọn.

Đề xuất:

Khai thác Stagefright của Android: Những điều bạn cần biết và cách bảo vệ bản thân

Android có một lỗi bảo mật lớn trong một thành phần được gọi là “Stagefright.” Chỉ nhận được tin nhắn MMS độc hại có thể khiến điện thoại của bạn bị xâm phạm. Thật đáng ngạc nhiên khi chúng tôi chưa thấy một con sâu lây lan từ điện thoại đến điện thoại như sâu đã làm trong những ngày đầu Windows XP - tất cả các thành phần đều có ở đây.

Cách “Trình tự động gửi mẫu tự động” của Windows Defender và “Bảo vệ dựa trên đám mây” hoạt động như thế nào?

Tính năng chống vi-rút Windows Defender tích hợp của Windows 10 có một số tính năng "đám mây", giống như các ứng dụng chống vi-rút hiện đại khác. Theo mặc định, Windows sẽ tự động tải lên một số tệp trông đáng ngờ và báo cáo dữ liệu về hoạt động đáng ngờ để các mối đe dọa mới có thể được phát hiện và chặn nhanh nhất có thể.