كيف تعمل حماية استغلال Windows Defender الجديد (وكيفية تكوينها)
يضيف تحديث Microsoft Fall Creators أخيرا الحماية الكاملة للاستغلال إلى Windows. في السابق ، كان عليك البحث عن ذلك على شكل أداة EMET من Microsoft. إنه الآن جزء من Windows Defender ويتم تنشيطه بشكل افتراضي.
كيف تعمل حماية استغلال Windows Defender
لقد أوصينا منذ فترة طويلة باستخدام برامج مكافحة الاستغلال ، مثل مجموعة أدوات تجربة تخفيف الأثر من Microsoft (EMET) أو برنامج Malwarebytes Anti-Malware الأكثر سهولة في الاستخدام ، والذي يحتوي على ميزة قوية مضادة للاستغلال (ضمن أشياء أخرى). يتم استخدام Microsoft على نطاق واسع على الشبكات الكبيرة حيث يمكن تكوينه من قبل مسؤولي النظام ، ولكن لم يتم تثبيته بشكل افتراضي بشكل افتراضي ، يتطلب التكوين ، ولديه واجهة محيرة للمستخدمين العاديين.
تستخدم برامج مكافحة الفيروسات النموذجية ، مثل Windows Defender نفسه ، تعريفات الفيروسات و heuristics للقبض على البرامج الخطيرة قبل تشغيلها على النظام الخاص بك. تمنع أدوات مكافحة الاستغلال في الواقع العديد من تقنيات الهجوم الشعبي من العمل على الإطلاق ، لذلك لا تحصل تلك البرامج الخطيرة على نظامك في المقام الأول. وهي تمكّن بعض أنظمة حماية نظام التشغيل وتحظر تقنيات استغلال الذاكرة الشائعة ، بحيث إذا تم اكتشاف سلوك شبيه بالاستغلال ، فستقوم بإنهاء العملية قبل حدوث أي شيء سيء. بعبارة أخرى ، يمكنهم أن يحموا من العديد من هجمات يوم الصفر قبل أن يتم تصحيحها.
ومع ذلك ، يمكن أن تتسبب في حدوث مشكلات في التوافق ، وقد يلزم تعديل إعداداتها لبرامج مختلفة. ولهذا السبب تم استخدام تقنية EMET بشكل عام على شبكات المؤسسات ، حيث يمكن لمسؤولي النظام تعديل الإعدادات ، وليس على أجهزة الكمبيوتر المنزلية.
يحتوي Windows Defender الآن على العديد من وسائل الحماية نفسها ، والتي تم العثور عليها في الأصل في برنامج Microsoft الخاص بـ EMET. يتم تمكينها افتراضيًا للجميع ، وتعد جزءًا من نظام التشغيل. يقوم Windows Defender تلقائيًا بتكوين القواعد المناسبة لعمليات مختلفة تعمل على النظام الخاص بك. (لا تزال شركة Malwarebytes تدعي أن ميزة مكافحة الاستغلال الخاصة بها متفوقة ، وما زلنا نوصي باستخدام برنامج Malwarebytes ، ولكن من الجيد أن يحتوي Windows Defender على بعض هذه البرامج المضمنة الآن أيضًا.)
يتم تمكين هذه الميزة تلقائيًا إذا قمت بالترقية إلى Windows 10's Fall Creators Update ، ولم يعد EMET مدعومًا. لا يمكن حتى تثبيت EMET على أجهزة الكمبيوتر التي تعمل على تحديث Fall Creators. إذا كان لديك بالفعل EMET مثبتًا ، فستتم إزالته من خلال التحديث.
يتضمن Windows 10's Fall Creators Update أيضًا ميزة أمان مرتبطة باسم "الوصول إلى مجلد التحكم". وهو مصمم لإيقاف البرامج الضارة عن طريق السماح للبرامج الموثوقة فقط بتعديل الملفات في مجلدات البيانات الشخصية ، مثل المستندات والصور. كلا الميزتين جزء من "Windows Defender Exploit Guard". ومع ذلك ، لا يتم تمكين الوصول إلى مجلد التحكم بشكل افتراضي.
كيفية التأكد من استغلال الحماية ممكن
يتم تمكين هذه الميزة تلقائيًا لجميع أجهزة الكمبيوتر التي تعمل بنظام Windows 10. ومع ذلك ، يمكن أيضًا تحويله إلى "وضع التدقيق" ، مما يسمح لمسؤولي النظام بمراقبة سجل لما قد يفعله حماية Exploit للتأكيد على أنه لن يسبب أي مشاكل قبل تمكينه على أجهزة الكمبيوتر الهامة.
للتأكد من تمكين هذه الميزة ، يمكنك فتح مركز أمان Windows Defender. افتح قائمة ابدأ وابحث عن Windows Defender ، وانقر فوق اختصار Windows Defender Security Center.
انقر على رمز "App & browser control" على شكل نافذة في الشريط الجانبي. مرر لأسفل وسترى قسم "الحماية من الاستغلال". سوف يعلمك أن هذه الميزة ممكنة.
إذا لم ترَ هذا القسم ، فربما لم يتم تحديث جهاز الكمبيوتر الخاص بك حتى تحديث Creatronors بعد.
كيفية تكوين حماية استغلال Windows Defender
تحذير: ربما لا تريد تكوين هذه الميزة. يقدم Windows Defender (Beta 2) العديد من الخيارات الفنية التي يمكنك ضبطها ، ولن يعرف معظم الأشخاص ما يقومون به هنا. يتم تكوين هذه الميزة مع الإعدادات الافتراضية الذكية التي ستتجنب حدوث مشكلات ، ويمكن لـ Microsoft تحديث قواعدها بمرور الوقت. يبدو أن الخيارات هنا تهدف في المقام الأول إلى مساعدة مسؤولي النظام على تطوير قواعد للبرامج وإصدارها على شبكة مؤسسة.
إذا كنت ترغب في تكوين الحماية من Exploit ، فانتقل إلى Windows Defender Security Center> التحكم في التطبيقات والمستعرض ، ثم قم بالتمرير لأسفل ، وانقر فوق "استغلال إعدادات الحماية" تحت حماية Exploit.
سترى علامتي تبويب هنا: إعدادات النظام وإعدادات البرنامج. تتحكم إعدادات النظام في الإعدادات الافتراضية المستخدمة في جميع التطبيقات ، بينما تتحكم إعدادات البرنامج في الإعدادات الفردية المستخدمة في البرامج المختلفة. بمعنى آخر ، يمكن أن تتجاوز إعدادات البرنامج إعدادات النظام للبرامج الفردية. يمكن أن تكون أكثر تقييدًا أو أقل تقييدًا.
في الجزء السفلي من الشاشة ، يمكنك النقر على "تصدير الإعدادات" لتصدير إعداداتك كملف xml. يمكنك الاستيراد على أنظمة أخرى. تقدم الوثائق الرسمية لشركة Microsoft مزيدًا من المعلومات حول نشر القواعد مع Group Policy و PowerShell.
في علامة التبويب إعدادات النظام ، سترى الخيارات التالية: التحكم في تدفق الحراسة (CFG) ، منع تنفيذ البيانات (DEP) ، فرض العشوائية للصور (إلزامي ASLR) ، تخصيص عشوائية الذاكرة (ASLR من أسفل إلى أعلى) ، التحقق من صحة سلاسل الاستثناءات (SEHOP) ، والتحقق من سلامة الكومة. انهم جميعا على افتراضيا باستثناء خيار العشوائية للقوة للصور (إلزامي ASLR) الخيار. من المحتمل أن يكون ذلك بسبب أن ASLR إلزامي يسبب مشاكل مع بعض البرامج ، لذلك قد تواجه مشكلات في التوافق إذا قمت بتمكينها ، وذلك وفقًا للبرامج التي تقوم بتشغيلها.
مرة أخرى ، يجب عليك عدم لمس هذه الخيارات إلا إذا كنت تعرف ما تفعله. الافتراضيات هي معقولة ويتم اختيارها لسبب ما.
توفر الواجهة ملخصًا قصيرًا لما يفعله كل خيار ، ولكن سيتعين عليك إجراء بعض الأبحاث إذا كنت تريد معرفة المزيد. سبق وشرحنا ما يفعله DEP و ASLR هنا.
انقر فوق علامة التبويب "إعدادات البرنامج" ، وستظهر قائمة بالبرامج المختلفة ذات الإعدادات المخصصة. تسمح الخيارات هنا بإلغاء إعدادات النظام العامة. على سبيل المثال ، إذا قمت بتحديد "iexplore.exe" في القائمة ، ثم انقر فوق "تحرير" ، سترى أن القاعدة هنا تعمل بقوة على تمكين ASLR إلزامي لعملية Internet Explorer ، على الرغم من عدم تمكينها بشكل افتراضي على مستوى النظام.
يجب عدم العبث بهذه القواعد المضمنة لعمليات مثل runtimebroker.exe و spoolsv.exe. أضافتها مايكروسوفت لسبب ما.
يمكنك إضافة قواعد مخصصة للبرامج الفردية بالنقر فوق "إضافة برنامج لتخصيص". يمكنك إما "إضافة حسب اسم البرنامج" أو "اختيار مسار الملف الدقيق" ، ولكن تحديد مسار دقيق للملف يكون أكثر دقة.
بمجرد إضافتك ، يمكنك العثور على قائمة طويلة من الإعدادات التي لن تكون ذات معنى لمعظم الناس. القائمة الكاملة للإعدادات المتوفرة هنا هي: حماية التعليمة البرمجية العشوائية (ACG) ، حظر الصور ذات التكامل المنخفض ، حظر الصور عن بُعد ، حظر الخطوط غير الموثوق بها ، حامية تكامل الرمز ، التحكم في تدفق الحراسة (CFG) ، منع تنفيذ البيانات (DEP) ، تعطيل نقاط الامتدادات ، تعطيل مكالمات نظام Win32k ، لا تسمح عمليات الطفل ، تصفية عنوان التصدير (EAF) ، فرض العشوائية للصور (ASLR إلزامي) ، تصفية عنوان الاستيراد (IAF) ، عشوائية تخصيصات الذاكرة (ASLR من أسفل إلى أعلى) ، محاكاة التنفيذ (SimExec) التحقق من صحة واجهة API (CallerCheck) ، التحقق من صحة سلاسل الاستثناءات (SEHOP) ، التحقق من صحة استخدام المقبض ، التحقق من سلامة الكومة ، التحقق من سلامة تكامل الصورة ، التحقق من سلامة التكديس (StackPivot).
مرة أخرى ، لا يجب عليك لمس هذه الخيارات إلا إذا كنت مسؤولاً عن النظام الذي يريد تأمين تطبيق وأنت تعرف بالفعل ما تفعله.
كاختبار ، قمنا بتمكين كافة الخيارات لـ iexplore.exe وحاولت تشغيله. أظهر Internet Explorer رسالة خطأ ورفض إطلاقها. لم نشاهد حتى إشعار Windows Defender يشرح أن Internet Explorer لا يعمل بسبب إعداداتنا.
لا تحاول فقط تقييد التطبيقات بشكل أعمى ، أو سوف تتسبب في مشاكل مماثلة على نظامك. سيكون من الصعب تحري الخلل وإصلاحه إذا كنت لا تتذكر أنك غيرت الخيارات أيضًا.
إذا كنت لا تزال تستخدم إصدارًا قديمًا من Windows ، مثل Windows 7 ، فيمكنك الحصول على ميزات الحماية من خلال تثبيت Microsoft أو EMET أو Malwarebytes. ومع ذلك ، سيتوقف الدعم لـ EMET في 31 يوليو 2018 ، حيث ترغب Microsoft في دفع الأنشطة التجارية نحو Windows 10 و Windows Defender's Exploit Protection بدلاً من ذلك.