Cách thức bảo vệ khai thác mới của Windows Defender hoạt động (và cách định cấu hình)
Bản cập nhật Fall Creators Update của Microsoft cuối cùng cũng bổ sung tính năng bảo vệ khai thác tích hợp cho Windows. Trước đây bạn phải tìm kiếm điều này dưới dạng công cụ EMET của Microsoft. Bây giờ nó là một phần của Windows Defender và được kích hoạt theo mặc định.
Cách thức bảo vệ khai thác của Windows Defender hoạt động
Từ lâu, chúng tôi đã khuyến nghị sử dụng phần mềm chống khai thác như Bộ công cụ trải nghiệm giảm thiểu tăng cường (EMET) của Microsoft hoặc Malwarebytes Anti-Malware thân thiện hơn với người dùng, có tính năng chống khai thác mạnh mẽ (trong số những thứ khác). EMET của Microsoft được sử dụng rộng rãi trên các mạng lớn hơn, nơi nó có thể được cấu hình bởi các quản trị viên hệ thống, nhưng nó không bao giờ được cài đặt theo mặc định, yêu cầu cấu hình và có giao diện khó hiểu cho người dùng trung bình.
Các chương trình chống vi-rút điển hình, như chính Windows Defender, sử dụng các định nghĩa và chẩn đoán vi-rút để bắt các chương trình nguy hiểm trước khi chúng có thể chạy trên hệ thống của bạn. Các công cụ chống khai thác thực sự ngăn chặn nhiều kỹ thuật tấn công phổ biến hoạt động, vì vậy những chương trình nguy hiểm đó không có trên hệ thống của bạn ngay từ đầu. Chúng cho phép một số biện pháp bảo vệ hệ điều hành nhất định và chặn các kỹ thuật khai thác bộ nhớ chung, do đó, nếu phát hiện hành vi giống như khai thác, chúng sẽ chấm dứt quá trình trước khi có bất cứ điều gì xấu xảy ra. Nói cách khác, chúng có thể bảo vệ chống lại nhiều cuộc tấn công zero-day trước khi chúng được vá.
Tuy nhiên, chúng có khả năng gây ra sự cố tương thích và cài đặt của chúng có thể phải được điều chỉnh cho các chương trình khác nhau. Đó là lý do tại sao EMET thường được sử dụng trên các mạng doanh nghiệp, nơi các quản trị viên hệ thống có thể điều chỉnh các cài đặt chứ không phải trên các PC gia đình.
Windows Defender hiện bao gồm nhiều biện pháp bảo vệ tương tự, vốn được tìm thấy trong EMET của Microsoft. Chúng được bật theo mặc định cho mọi người và là một phần của hệ điều hành. Windows Defender tự động định cấu hình các quy tắc phù hợp cho các quy trình khác nhau đang chạy trên hệ thống của bạn. (Malwarebytes vẫn tuyên bố tính năng chống khai thác của họ là vượt trội và chúng tôi vẫn khuyên bạn nên sử dụng Malwarebytes, nhưng thật tốt khi Windows Defender cũng có một số tính năng tích hợp sẵn này.)
Tính năng này được bật tự động nếu bạn đã nâng cấp lên Bản cập nhật mùa thu của Windows 10 và EMET không còn được hỗ trợ. EMET thậm chí không thể được cài đặt trên PC chạy Cập nhật người tạo mùa thu. Nếu bạn đã cài đặt EMET, bản cập nhật sẽ bị xóa.
Bản cập nhật Fall Creators Update của Windows 10 cũng bao gồm một tính năng bảo mật có liên quan có tên Truy cập thư mục được kiểm soát. Nó được thiết kế để ngăn chặn phần mềm độc hại bằng cách chỉ cho phép các chương trình đáng tin cậy sửa đổi các tệp trong các thư mục dữ liệu cá nhân của bạn, như Tài liệu và Ảnh. Cả hai tính năng này đều là một phần của Windows Windows Defender Khai thác Guard Guard. Tuy nhiên, truy cập thư mục được kiểm soát không được bật theo mặc định.
Cách xác nhận bảo vệ khai thác được kích hoạt
Tính năng này được tự động kích hoạt cho tất cả các PC Windows 10. Tuy nhiên, nó cũng có thể được chuyển sang chế độ Audit của Chế độ, cho phép các quản trị viên hệ thống theo dõi nhật ký về những gì Bảo vệ khai thác đã làm để xác nhận rằng nó sẽ không gây ra bất kỳ sự cố nào trước khi bật nó trên các PC quan trọng.
Để xác nhận rằng tính năng này được bật, bạn có thể mở Trung tâm bảo mật Windows Defender. Mở menu Bắt đầu của bạn, tìm kiếm Windows Defender và nhấp vào lối tắt Windows Defender Security Center.
Nhấp vào biểu tượng ứng dụng & điều khiển trình duyệt hình chữ nhật trên cửa sổ trong thanh bên. Cuộn xuống và bạn sẽ thấy phần Bảo vệ Khai thác của Khai thác. Nó sẽ thông báo cho bạn rằng tính năng này được kích hoạt.
Nếu bạn không thấy phần này, PC của bạn có thể chưa được cập nhật lên Cập nhật người tạo mùa thu.
Cách cấu hình Bảo vệ khai thác của Windows Defender
Cảnh báo: Bạn có thể không muốn định cấu hình tính năng này. Windows Defender cung cấp nhiều tùy chọn kỹ thuật mà bạn có thể điều chỉnh và hầu hết mọi người sẽ không biết họ đang làm gì ở đây. Tính năng này được cấu hình với các cài đặt mặc định thông minh sẽ tránh gây ra sự cố và Microsoft có thể cập nhật các quy tắc của nó theo thời gian. Các tùy chọn ở đây dường như chủ yếu nhằm giúp quản trị viên hệ thống phát triển các quy tắc cho phần mềm và triển khai chúng trên mạng doanh nghiệp.
Nếu bạn muốn định cấu hình Bảo vệ khai thác, hãy đi tới Trung tâm bảo mật Windows Defender> Kiểm soát ứng dụng & trình duyệt, cuộn xuống và nhấp vào Cài đặt bảo vệ khai thác Khai thác trong phần Bảo vệ khai thác.
Bạn sẽ thấy hai tab ở đây: Cài đặt hệ thống và Cài đặt chương trình. Cài đặt hệ thống kiểm soát các cài đặt mặc định được sử dụng cho tất cả các ứng dụng, trong khi Cài đặt chương trình kiểm soát các cài đặt riêng được sử dụng cho các chương trình khác nhau. Nói cách khác, cài đặt Chương trình có thể ghi đè cài đặt Hệ thống cho từng chương trình. Họ có thể hạn chế hơn hoặc ít hạn chế hơn.
Ở dưới cùng của màn hình, bạn có thể nhấp vào Cài đặt Xuất xuất trực tiếp để xuất các cài đặt của bạn dưới dạng tệp .xml mà bạn có thể nhập trên các hệ thống khác. Tài liệu chính thức của Microsoft cung cấp thêm thông tin về việc triển khai các quy tắc với Chính sách nhóm và PowerShell.
Trên tab Cài đặt hệ thống, bạn sẽ thấy các tùy chọn sau: Bảo vệ luồng điều khiển (CFG), Ngăn chặn thực thi dữ liệu (DEP), ngẫu nhiên hóa lực lượng cho hình ảnh (ASLR bắt buộc), Phân bổ bộ nhớ ngẫu nhiên (ASLR từ dưới lên), Xác thực chuỗi ngoại lệ (SEHOP) và Xác thực tính toàn vẹn của heap. Tất cả đều được bật theo mặc định ngoại trừ tùy chọn Bắt buộc ngẫu nhiên cho hình ảnh (Bắt buộc ASLR). Điều đó có thể là do ASLR bắt buộc gây ra sự cố với một số chương trình, do đó bạn có thể gặp phải sự cố tương thích nếu bạn bật nó, tùy thuộc vào chương trình bạn chạy.
Một lần nữa, bạn thực sự không nên chạm vào các tùy chọn này trừ khi bạn biết bạn đang làm gì. Mặc định là hợp lý và được chọn vì một lý do.
Giao diện cung cấp một bản tóm tắt rất ngắn về những gì mỗi tùy chọn làm, nhưng bạn sẽ phải thực hiện một số nghiên cứu nếu bạn muốn biết thêm. Trước đây chúng tôi đã giải thích những gì DEP và ASLR làm tại đây.
Nhấp qua để cài đặt Chương trình trên tab Thẻ tab và bạn sẽ thấy danh sách các chương trình khác nhau với cài đặt tùy chỉnh. Các tùy chọn ở đây cho phép các cài đặt hệ thống tổng thể bị ghi đè. Ví dụ: nếu bạn chọn Ấn Độ iexplore.exe, trong danh sách và nhấp vào Chỉnh sửa Chỉnh sửa, bạn sẽ thấy quy tắc ở đây mạnh mẽ kích hoạt ASLR bắt buộc cho quy trình Internet Explorer, mặc dù nó không được bật bởi toàn hệ thống mặc định.
Bạn không nên can thiệp vào các quy tắc tích hợp sẵn này cho các quy trình như runtimebroker.exe và spoolsv.exe. Microsoft đã thêm chúng vì một lý do.
Bạn có thể thêm các quy tắc tùy chỉnh cho các chương trình riêng lẻ bằng cách nhấp vào chương trình Thêm Add để tùy chỉnh. Bạn có thể thêm vào Thêm tên theo tên chương trình, hoặc Chọn đường dẫn tệp chính xác, nhưng chỉ định đường dẫn tệp chính xác thì chính xác hơn nhiều.
Sau khi thêm, bạn có thể tìm thấy một danh sách dài các cài đặt sẽ không có ý nghĩa đối với hầu hết mọi người. Danh sách đầy đủ các cài đặt có sẵn ở đây là: Bảo vệ mã tùy ý (ACG), Chặn hình ảnh toàn vẹn thấp, Chặn hình ảnh từ xa, Chặn phông chữ không tin cậy, Bảo vệ toàn vẹn mã, Bảo vệ luồng điều khiển (CFG), Ngăn chặn thực thi dữ liệu (DEP), Tắt các điểm mở rộng , Vô hiệu hóa các cuộc gọi hệ thống Win32k, Không cho phép các tiến trình con, Lọc địa chỉ xuất (EAF), Bắt buộc ngẫu nhiên cho hình ảnh (Bắt buộc ASLR), Lọc địa chỉ nhập (IAF), Phân bổ bộ nhớ ngẫu nhiên (ASLR từ dưới lên), Thực thi mô phỏng (SimExec) , Xác thực lệnh gọi API (CallerCheck), Xác thực chuỗi ngoại lệ (SEHOP), Xác thực sử dụng xử lý, Xác thực tính toàn vẹn của heap, Xác thực tính toàn vẹn phụ thuộc hình ảnh và Xác thực tính toàn vẹn của ngăn xếp (StackPOLL).
Một lần nữa, bạn không nên chạm vào các tùy chọn này trừ khi bạn là quản trị viên hệ thống muốn khóa ứng dụng và bạn thực sự biết bạn đang làm gì.
Để thử nghiệm, chúng tôi đã kích hoạt tất cả các tùy chọn cho iexplore.exe và cố gắng khởi chạy nó. Internet Explorer chỉ hiển thị một thông báo lỗi và từ chối khởi chạy. Chúng tôi thậm chí không thấy thông báo Windows Defender giải thích rằng Internet Explorer không hoạt động do cài đặt của chúng tôi.
Đừng cố gắng hạn chế các ứng dụng một cách mù quáng, hoặc bạn sẽ gây ra các vấn đề tương tự trên hệ thống của mình. Họ sẽ khó khắc phục sự cố nếu bạn không nhớ bạn cũng đã thay đổi các tùy chọn.
Nếu bạn vẫn sử dụng phiên bản Windows cũ hơn, như Windows 7, bạn có thể nhận được các tính năng bảo vệ khai thác bằng cách cài đặt EMET hoặc Malwarebytes của Microsoft. Tuy nhiên, hỗ trợ cho EMET sẽ dừng vào ngày 31 tháng 7 năm 2018, vì Microsoft muốn đẩy các doanh nghiệp về phía Windows 10 và Bảo vệ khai thác của Windows Defender thay thế.