Cara Kerja Perlindungan Eksploitasi New Defender Windows (dan Cara Mengonfigurasinya)

Daftar Isi:

Cara Kerja Perlindungan Eksploitasi New Defender Windows (dan Cara Mengonfigurasinya)
Cara Kerja Perlindungan Eksploitasi New Defender Windows (dan Cara Mengonfigurasinya)

Video: Cara Kerja Perlindungan Eksploitasi New Defender Windows (dan Cara Mengonfigurasinya)

Video: Cara Kerja Perlindungan Eksploitasi New Defender Windows (dan Cara Mengonfigurasinya)
Video: Share Folder in Windows 10 / 8 / 7 | Network File Access Sharing in 4 Steps - YouTube 2024, November
Anonim
Microsoft Fall Creators Update akhirnya menambahkan perlindungan eksploit terintegrasi ke Windows. Sebelumnya Anda harus mencari ini dalam bentuk alat EMET Microsoft. Sekarang bagian dari Windows Defender dan diaktifkan secara default.
Microsoft Fall Creators Update akhirnya menambahkan perlindungan eksploit terintegrasi ke Windows. Sebelumnya Anda harus mencari ini dalam bentuk alat EMET Microsoft. Sekarang bagian dari Windows Defender dan diaktifkan secara default.

Cara Kerja Perlindungan Eksploitasi Windows

Kami telah lama merekomendasikan penggunaan perangkat lunak anti-eksploitasi seperti Tool Experience Enhanced Mitigation Microsoft (EMET) atau Malwarebytes Anti-Malware yang lebih ramah pengguna, yang berisi fitur anti-eksploitasi yang kuat (antara lain). Microsoft EMET secara luas digunakan pada jaringan yang lebih besar yang dapat dikonfigurasi oleh administrator sistem, tetapi EMET itu tidak pernah diinstal secara default, memerlukan konfigurasi, dan memiliki antarmuka yang membingungkan bagi pengguna rata-rata.

Program antivirus yang khas, seperti Windows Defender itu sendiri, menggunakan definisi virus dan heuristik untuk menangkap program berbahaya sebelum mereka dapat berjalan di sistem Anda. Alat anti-exploit sebenarnya mencegah banyak teknik serangan populer berfungsi sama sekali, sehingga program berbahaya tersebut tidak ada di sistem Anda sejak awal. Mereka mengaktifkan perlindungan sistem operasi tertentu dan memblokir teknik mengeksploitasi memori umum, sehingga jika perilaku mirip eksploit terdeteksi, mereka akan menghentikan proses sebelum hal buruk terjadi. Dengan kata lain, mereka dapat melindungi dari banyak serangan zero-day sebelum mereka ditambal.

Namun, mereka berpotensi menyebabkan masalah kompatibilitas, dan pengaturannya mungkin harus disesuaikan untuk berbagai program. Itu sebabnya EMET umumnya digunakan di jaringan perusahaan, di mana administrator sistem dapat menyesuaikan pengaturan, dan bukan pada PC rumahan.

Windows Defender sekarang mencakup banyak dari perlindungan yang sama ini, yang awalnya ditemukan di EMET Microsoft. Mereka diaktifkan secara default untuk semua orang, dan merupakan bagian dari sistem operasi. Windows Defender secara otomatis mengkonfigurasi aturan yang sesuai untuk berbagai proses yang berjalan pada sistem Anda. (Malwarebytes masih mengklaim fitur anti-exploit-nya lebih unggul, dan kami masih menyarankan untuk menggunakan Malwarebytes, tetapi baguslah bahwa Windows Defender memiliki beberapa fitur bawaan ini sekarang juga.)

Fitur ini diaktifkan secara otomatis jika Anda telah meningkatkan ke Pembaruan Jatuh Pencipta Musim Panas 10, dan EMET tidak lagi didukung. EMET bahkan tidak dapat dipasang di PC yang menjalankan Pembaruan Pembuat Konten Musim Gugur. Jika Anda sudah menginstal EMET, itu akan dihapus oleh pembaruan.

Pembaruan Jatuh Pembuat Versi Musim Panas Windows 10 juga mencakup fitur keamanan terkait bernama Akses Folder Terkendali. Ini dirancang untuk menghentikan malware dengan hanya mengizinkan program tepercaya memodifikasi file di folder data pribadi Anda, seperti Dokumen dan Gambar. Kedua fitur ini adalah bagian dari "Windows Defender Exploit Guard". Namun, Akses Folder Terkendali tidak diaktifkan secara default.

Cara Mengonfirmasi Perlindungan Eksploitasi Diaktifkan

Fitur ini secara otomatis diaktifkan untuk semua PC Windows 10. Namun, ini juga dapat dialihkan ke "Mode audit", memungkinkan administrator sistem untuk memantau log dari apa yang akan dilakukan oleh Exploit Protection untuk mengonfirmasi hal itu tidak akan menyebabkan masalah sebelum mengaktifkannya pada PC penting.

Untuk mengonfirmasi bahwa fitur ini diaktifkan, Anda dapat membuka Pusat Keamanan Windows Defender. Buka menu Start Anda, cari Windows Defender, dan klik pintas Windows Defender Security Center.

Klik ikon "Aplikasi & kontrol browser" berbentuk jendela di bilah sisi. Gulir ke bawah dan Anda akan melihat bagian "Exploit protection". Ini akan memberi tahu Anda bahwa fitur ini diaktifkan.
Klik ikon "Aplikasi & kontrol browser" berbentuk jendela di bilah sisi. Gulir ke bawah dan Anda akan melihat bagian "Exploit protection". Ini akan memberi tahu Anda bahwa fitur ini diaktifkan.

Jika Anda tidak melihat bagian ini, PC Anda mungkin belum diperbarui ke Pembaruan Musim Gugur Pembuat.

Image
Image

Cara Mengonfigurasi Perlindungan Exploit Windows Defender

Peringatan: Anda mungkin tidak ingin mengonfigurasi fitur ini. Windows Defender menawarkan banyak opsi teknis yang dapat Anda sesuaikan, dan kebanyakan orang tidak akan tahu apa yang mereka lakukan di sini. Fitur ini dikonfigurasi dengan pengaturan default cerdas yang akan menghindari masalah, dan Microsoft dapat memperbarui aturannya dari waktu ke waktu. Opsi di sini tampaknya terutama ditujukan untuk membantu administrator sistem mengembangkan aturan untuk perangkat lunak dan meluncurkannya di jaringan perusahaan.

Jika Anda ingin mengonfigurasi Perlindungan Eksploitasi, buka Windows Defender Security Center> Kontrol aplikasi & browser, gulir ke bawah, dan klik “Eksploitasi pengaturan perlindungan” di bawah Perlindungan exploes.

Anda akan melihat dua tab di sini: Pengaturan sistem dan pengaturan Program. Pengaturan sistem mengontrol pengaturan default yang digunakan untuk semua aplikasi, sementara pengaturan Program mengontrol pengaturan individu yang digunakan untuk berbagai program. Dengan kata lain, pengaturan Program dapat menggantikan pengaturan Sistem untuk masing-masing program. Mereka bisa lebih membatasi atau kurang membatasi.
Anda akan melihat dua tab di sini: Pengaturan sistem dan pengaturan Program. Pengaturan sistem mengontrol pengaturan default yang digunakan untuk semua aplikasi, sementara pengaturan Program mengontrol pengaturan individu yang digunakan untuk berbagai program. Dengan kata lain, pengaturan Program dapat menggantikan pengaturan Sistem untuk masing-masing program. Mereka bisa lebih membatasi atau kurang membatasi.

Di bagian bawah layar, Anda dapat mengklik "Pengaturan ekspor" untuk mengekspor pengaturan Anda sebagai file.xml yang dapat Anda impor pada sistem lain. Dokumentasi resmi Microsoft menawarkan informasi lebih lanjut tentang penerapan aturan dengan Kebijakan Grup dan PowerShell.

Pada tab Pengaturan sistem, Anda akan melihat opsi berikut: Pelindung alur kontrol (CFG), Pencegahan Eksekusi Data (DEP), Paksa pengacakan untuk gambar (ASLR Wajib), Acak alokasi memori (Bottom-up ASLR), rantai pengecualian Validasi (SEHOP), dan Validasi integritas tumpukan. Semuanya aktif secara default kecuali opsi Force randomization untuk gambar (Mandatory ASLR). Itu mungkin karena ASLR Wajib menyebabkan masalah dengan beberapa program, sehingga Anda mungkin mengalami masalah kompatibilitas jika Anda mengaktifkannya, tergantung pada program yang Anda jalankan.
Pada tab Pengaturan sistem, Anda akan melihat opsi berikut: Pelindung alur kontrol (CFG), Pencegahan Eksekusi Data (DEP), Paksa pengacakan untuk gambar (ASLR Wajib), Acak alokasi memori (Bottom-up ASLR), rantai pengecualian Validasi (SEHOP), dan Validasi integritas tumpukan. Semuanya aktif secara default kecuali opsi Force randomization untuk gambar (Mandatory ASLR). Itu mungkin karena ASLR Wajib menyebabkan masalah dengan beberapa program, sehingga Anda mungkin mengalami masalah kompatibilitas jika Anda mengaktifkannya, tergantung pada program yang Anda jalankan.

Sekali lagi, Anda benar-benar tidak boleh menyentuh opsi ini kecuali Anda tahu apa yang Anda lakukan. Defaultnya masuk akal dan dipilih karena suatu alasan.

Antarmuka memberikan ringkasan yang sangat singkat tentang apa yang masing-masing opsi lakukan, tetapi Anda harus melakukan penelitian jika Anda ingin tahu lebih banyak. Kami sebelumnya telah menjelaskan apa yang DEP dan ASLR lakukan di sini.

Klik ke tab "Pengaturan program", dan Anda akan melihat daftar program yang berbeda dengan pengaturan khusus. Opsi di sini memungkinkan pengaturan sistem secara keseluruhan untuk ditimpa. Misalnya, jika Anda memilih "iexplore.exe" dalam daftar dan mengklik "Edit", Anda akan melihat bahwa aturan di sini secara paksa mengaktifkan Wajib ASLR untuk proses Internet Explorer, meskipun itu tidak diaktifkan secara default di seluruh sistem.
Klik ke tab "Pengaturan program", dan Anda akan melihat daftar program yang berbeda dengan pengaturan khusus. Opsi di sini memungkinkan pengaturan sistem secara keseluruhan untuk ditimpa. Misalnya, jika Anda memilih "iexplore.exe" dalam daftar dan mengklik "Edit", Anda akan melihat bahwa aturan di sini secara paksa mengaktifkan Wajib ASLR untuk proses Internet Explorer, meskipun itu tidak diaktifkan secara default di seluruh sistem.

Anda tidak boleh mengutak-atik aturan bawaan ini untuk proses seperti runtimebroker.exe dan spoolsv.exe. Microsoft menambahkannya karena suatu alasan.

Anda dapat menambahkan aturan kustom untuk masing-masing program dengan mengklik "Tambahkan program untuk menyesuaikan". Anda dapat "Tambahkan berdasarkan nama program" atau "Pilih jalur file yang tepat", tetapi menentukan jalur file yang tepat jauh lebih tepat.

Setelah ditambahkan, Anda dapat menemukan daftar panjang pengaturan yang tidak akan berarti bagi kebanyakan orang. Daftar lengkap pengaturan yang tersedia di sini adalah: Penjaga kode sewenang-wenang (ACG), Blokir gambar berintegritas rendah, Blokir gambar jarak jauh, Blokir font yang tidak dipercaya, penjaga integritas kode, Pengarah aliran kontrol (CFG), Pencegahan Eksekusi Data (DEP), Nonaktifkan titik ekstensi, Nonaktifkan panggilan sistem Win32k, Jangan izinkan proses anak, penyaringan alamat Ekspor (EAF), Paksa pengacakan untuk gambar (Mandatory ASLR), Penyaringan Alamat Impor (IAF), Acak alokasi memori (Bottom-up ASLR), Simulasikan eksekusi (SimExec), Validasi pemanggilan API (CallerCheck), rantai pengecualian Validasi (SEHOP), penanganan penggunaan Validasi, Validasi integritas tumpukan, integritas ketergantungan gambar Validasi, dan integritas tumpukan Validasi (StackPivot).
Setelah ditambahkan, Anda dapat menemukan daftar panjang pengaturan yang tidak akan berarti bagi kebanyakan orang. Daftar lengkap pengaturan yang tersedia di sini adalah: Penjaga kode sewenang-wenang (ACG), Blokir gambar berintegritas rendah, Blokir gambar jarak jauh, Blokir font yang tidak dipercaya, penjaga integritas kode, Pengarah aliran kontrol (CFG), Pencegahan Eksekusi Data (DEP), Nonaktifkan titik ekstensi, Nonaktifkan panggilan sistem Win32k, Jangan izinkan proses anak, penyaringan alamat Ekspor (EAF), Paksa pengacakan untuk gambar (Mandatory ASLR), Penyaringan Alamat Impor (IAF), Acak alokasi memori (Bottom-up ASLR), Simulasikan eksekusi (SimExec), Validasi pemanggilan API (CallerCheck), rantai pengecualian Validasi (SEHOP), penanganan penggunaan Validasi, Validasi integritas tumpukan, integritas ketergantungan gambar Validasi, dan integritas tumpukan Validasi (StackPivot).

Sekali lagi, Anda tidak boleh menyentuh opsi ini kecuali Anda adalah administrator sistem yang ingin mengunci aplikasi dan Anda benar-benar tahu apa yang Anda lakukan.

Sebagai ujian, kami mengaktifkan semua opsi untuk iexplore.exe dan mencoba meluncurkannya. Internet Explorer hanya menunjukkan pesan kesalahan dan menolak untuk diluncurkan. Kami bahkan tidak melihat pemberitahuan Pembela Windows yang menjelaskan bahwa Internet Explorer tidak berfungsi karena pengaturan kami.
Sebagai ujian, kami mengaktifkan semua opsi untuk iexplore.exe dan mencoba meluncurkannya. Internet Explorer hanya menunjukkan pesan kesalahan dan menolak untuk diluncurkan. Kami bahkan tidak melihat pemberitahuan Pembela Windows yang menjelaskan bahwa Internet Explorer tidak berfungsi karena pengaturan kami.

Jangan hanya membabi buta untuk membatasi aplikasi, atau Anda akan menyebabkan masalah serupa pada sistem Anda. Mereka akan sulit untuk memecahkan masalah jika Anda tidak ingat Anda mengubah opsi juga.

Direkomendasikan: