Come funziona la protezione degli exploit di Windows Defender
Da tempo raccomandiamo l'utilizzo di software anti-exploit come il Enhanced Mitigation Experience Toolkit (EMET) di Microsoft o il Malwarebytes Anti-Malware più user-friendly, che contiene una potente funzionalità anti-exploit (tra le altre cose). L'EMET di Microsoft è ampiamente utilizzato su reti più grandi in cui può essere configurato dagli amministratori di sistema, ma non è mai stato installato per impostazione predefinita, richiede la configurazione e presenta un'interfaccia confusa per gli utenti medi.
Tipici programmi antivirus, come Windows Defender stesso, utilizzano le definizioni dei virus e l'euristica per rilevare programmi pericolosi prima che possano essere eseguiti sul sistema. Gli strumenti anti-exploit in realtà impediscono a molte tecniche di attacco popolari di funzionare, quindi quei programmi pericolosi non entrano nel sistema in primo luogo. Abilitano alcune protezioni del sistema operativo e bloccano le tecniche di exploit della memoria comune, in modo che se viene rilevato un comportamento simile a exploit, interromperanno il processo prima che accada qualcosa di brutto. In altre parole, possono proteggersi da molti attacchi zero-day prima che vengano riparati.
Tuttavia, potrebbero potenzialmente causare problemi di compatibilità e le loro impostazioni potrebbero dover essere ottimizzate per programmi diversi. Ecco perché EMET è stato generalmente utilizzato nelle reti aziendali, dove gli amministratori di sistema potevano modificare le impostazioni e non i PC di casa.
Windows Defender ora include molte di queste stesse protezioni, che erano state originariamente trovate in EMET di Microsoft. Sono abilitati di default per tutti e fanno parte del sistema operativo. Windows Defender configura automaticamente le regole appropriate per i diversi processi in esecuzione sul tuo sistema. (Malwarebytes sostiene ancora che la loro funzione anti-exploit è superiore, e raccomandiamo comunque di usare Malwarebytes, ma è bene che Windows Defender abbia ora anche un po 'di questo built-in.)
Questa funzionalità è abilitata automaticamente se hai eseguito l'aggiornamento a Fall Creators Update di Windows 10 e EMET non è più supportato. EMET non può nemmeno essere installato su PC che eseguono l'aggiornamento dei creativi autunnali. Se hai già installato EMET, verrà rimosso dall'aggiornamento.
L'aggiornamento dei creativi autunnali di Windows 10 include anche una funzionalità di sicurezza correlata denominata Controlled Folder Access. È progettato per bloccare il malware consentendo solo ai programmi attendibili di modificare i file nelle cartelle di dati personali, come Documenti e Immagini. Entrambe le funzionalità fanno parte di "Windows Defender Exploit Guard". Tuttavia, l'accesso alle cartelle controllate non è abilitato per impostazione predefinita.
Come confermare la protezione degli exploit è abilitato
Questa funzione è abilitata automaticamente per tutti i PC Windows 10. Tuttavia, può anche essere commutato su "Modalità Audit", consentendo agli amministratori di sistema di monitorare un registro di ciò che la Protezione exploit avrebbe fatto per confermare che non causerà alcun problema prima di abilitarlo su PC critici.
Per confermare che questa funzione è abilitata, è possibile aprire Windows Defender Security Center. Aprire il menu Start, cercare Windows Defender e fare clic sul collegamento Windows Defender Security Center.
Se non vedi questa sezione, probabilmente il tuo PC non è ancora aggiornato per l'aggiornamento dei creativi autunnali.
Come configurare Protezione exploit di Windows Defender
avvertimento: Probabilmente non vuoi configurare questa funzione. Windows Defender offre molte opzioni tecniche che puoi adattare e molte persone non sapranno cosa stanno facendo qui. Questa funzione è configurata con impostazioni predefinite intelligenti che eviteranno di causare problemi e Microsoft potrà aggiornare le sue regole nel tempo. Le opzioni qui sembrano principalmente intese ad aiutare gli amministratori di sistema a sviluppare regole per il software ea distribuirle su una rete aziendale.
Se si desidera configurare Exploit Protection, accedere a Windows Defender Security Center> Controllo app e browser, scorrere verso il basso e fare clic su "Impostazioni protezione exploit" in Protezione exploit.
Nella parte inferiore dello schermo, puoi fare clic su "Esporta impostazioni" per esportare le tue impostazioni come file.xml che puoi importare su altri sistemi. La documentazione ufficiale di Microsoft offre ulteriori informazioni sulla distribuzione di regole con Criteri di gruppo e PowerShell.
Ancora una volta, non dovresti toccare queste opzioni a meno che tu non sappia cosa stai facendo. I valori predefiniti sono sensibili e vengono scelti per una ragione.
L'interfaccia fornisce un riassunto molto breve di ciascuna opzione, ma dovrai fare qualche ricerca se vuoi saperne di più. Abbiamo già spiegato cosa fanno DEP e ASLR qui.
Non dovresti manomettere queste regole integrate per processi come runtimebroker.exe e spoolsv.exe. Microsoft li ha aggiunti per un motivo.
È possibile aggiungere regole personalizzate per singoli programmi facendo clic su "Aggiungi programma per personalizzare". Puoi "Aggiungi per nome programma" o "Scegli percorso file esatto", ma specificare un percorso file esatto è molto più preciso.
Ancora una volta, non dovresti toccare queste opzioni a meno che tu non sia un amministratore di sistema che vuole bloccare un'applicazione e sai davvero cosa stai facendo.
Non tentare solo ciecamente di limitare le applicazioni, o causerai problemi simili sul tuo sistema. Saranno difficili da risolvere se non ricordi di aver modificato anche le opzioni.