Введение
Защита Windows 10 устроена интересным образом и делится на 3 больших параметра:
- Управление идентификацией и доступом
- Защита от угроз
- Защита информации
Если полностью описать весь набор правил, настроек и функций безопасности Windows 10, то придется написать книгу. Даже если детально присмотреться к пункту «Защита от угроз» в локальной политике, то сразу станет понятно, что все не так просто. Существует масса ключевых моментов при настройке как «Защитника Windows», так и всех его ответвлений. Поэтому придется коснуться частных случаев целевых атак, и показать опции и функции, которые нам любезно предоставили разработчики Windows 10, чтобы помочь сохранить время, деньги и нервы в подобных случаях.
Сравнение средств защиты
Средства устранения, доступные в EMET, изначально включены в Windows 10 (начиная с версии 1709), Windows 11 и Windows Server (начиная с версии 1803) в разделе Защита от эксплойтов.
В таблице в этом разделе указана доступность и поддержка встроенных средств защиты от эксплойтов и EMET.
| Смягчение последствий | Доступно с защитой от эксплойтов | Доступно в EMET |
|---|---|---|
| Защита от произвольного кода (ACG ) | Да | ДаКак «Проверка защиты памяти» |
| Блокировать удаленные изображения | Да | ДаКак «Проверка загрузки библиотеки» |
| Блокировать ненадежные шрифты | Да | Да |
| Предотвращение выполнения данных (DEP) | Да | Да |
| Фильтрация адресов экспорта (EAF) | Да | Да |
| Принудительная рандомизация изображений (обязательный ASLR) | Да | Да |
| Снижение безопасности NullPage | ДаПо умолчанию включено в Windows 10 и Windows 11 Дополнительную информацию см. в разделе Снижение угроз с помощью функций безопасности Windows 10 | Да |
| Случайное распределение памяти (ASLR снизу вверх) | Да | Да |
| Имитация выполнения (SimExec) | Да | Да |
| Подтвердить вызов API (CallerCheck) | Да | Да |
| Проверить цепочки исключений (SEHOP) | Да | Да |
| Проверка целостности стека (StackPivot) | Да | Да |
| Доверие сертификата (настраиваемое закрепление сертификата) | Windows 10 и Windows 11 обеспечивают закрепление корпоративных сертификатов | Да |
| Распределение Heap spray | Неэффективен против новых эксплойтов на основе браузера; более новые средства защиты обеспечивают лучшую защитудополнительную информацию см. в разделе Устранение угроз с помощью функций безопасности Windows 10 | Да |
| Блокировать изображения с низкой целостностью | Да | Нет |
| Защита целостности кода | Да td> | Нет |
| Отключить точки расширения | Да | Нет |
| Отключить системные вызовы Win32k | Да | Нет |
| Не разрешать дочерние процессы | Да | Нет |
| Фильтрация адресов импорта (IAF) | Да | Нет |
| Подтвердить использование дескриптора | Да | Нет |
| Проверить целостность кучи | Да | Нет |
| Проверить целостность зависимостей изображения | Да | Нет |
Защита от эксплойтов автоматически применяет ряд методов предотвращения эксплойтов как к процессам операционной системы, так и к отдельным приложениям.
Настройте эти параметры с помощью приложения «Безопасность Windows» на отдельном устройстве. Затем экспортируйте конфигурацию в виде XML-файла, чтобы ее можно было развернуть на других устройствах. Используйте групповую политику для одновременного распространения XML-файла на несколько устройств.Вы также можете настроить меры по снижению риска с помощью PowerShell.
В этой статье перечислены все средства защиты от эксплойтов. В нем указано, можно ли применить средство защиты в масштабах всей системы или к отдельным приложениям, а также краткое описание того, как оно работает.
В нем также описывается, как включить или настроить меры по снижению риска с помощью Windows Security, PowerShell и поставщиков услуг настройки (CSP) для управления мобильными устройствами (MDM). Это первый шаг в создании конфигурации, которую вы можете развернуть в своей сети. Следующий шаг включает создание, экспорт, импорт и развертывание конфигурации на нескольких устройствах.
Некоторые технологии снижения безопасности могут иметь проблемы совместимости с некоторыми приложениями. Вы должны протестировать защиту от эксплойтов во всех сценариях целевого использования, используя режим аудита, прежде чем развертывать конфигурацию в производственной среде или в остальной части вашей сети.
PowerShell
Вы можете использовать глагол PowerShell Get или Set с помощью ProcessMitigation команды. Использование будет перечислять текущее состояние конфигурации любых смягчений, которые были включены на устройстве — добавьте Get cmdlet и exe приложения, чтобы увидеть смягчения только для -Name этого приложения:
Не настроенные на системном уровне меры по смягчению последствий будут показывать состояние NOTSET .
- Для параметров системного уровня указывается параметр по умолчанию для этого NOTSET смягчения.
- Для параметров уровня приложения указывается, что параметр системного уровня для смягчения будет NOTSET применен. Параметр по умолчанию для каждого смягчения на уровне системы можно увидеть в Безопасность Windows.
Используйте Set для настройки каждого смягчения в следующем формате:
Например, чтобы включить смягчение меры по предотвращению выполнения данных (DEP) с помощью эмуляции thunk ATL и для исполняемого под названием testing.exe в папке C:\Apps\LOB\tests, а также предотвратить создание детских процессов, необходимо использовать следующую команду:
Разделите каждый вариант смягчения с запятой.
Если вы хотите применить DEP на уровне системы, вы используете следующую команду:
Чтобы отключить смягчение последствий, можно -Enable заменить -Disable . Однако для смягчения последствий на уровне приложений это действие заставляет отключить смягчение только для этого приложения.
Если требуется восстановить смягчение до системного по умолчанию, необходимо также включить этот список, как в -Remove следующем примере:
В следующей таблице перечислены отдельные меры по смягчению последствий (и аудиты, если это доступно), которые будут использоваться с параметрами -Enable или -Disable параметров cmdlet.
| Тип смягчения | Сфера применения | Ключевое слово параметра cmdlet mitigation | Параметр cmdlet режима аудита |
|---|---|---|---|
| Диспетчерская система потока (CFG) | Системный и app-level | CFG , StrictCFG , SuppressExports | Аудит не доступен |
| Предотвращение выполнения данных (DEP) | Системный и app-level | DEP , EmulateAtlThunks | Аудит не доступен |
| Принудительный случайный выбор изображений (обязательный ASLR) | Системный и app-level | ForceRelocateImages | Аудит не доступен |
| Случайные выделения памяти (ASLR снизу вверх) | Системный и app-level | BottomUp , HighEntropy | Аудит не доступен |
| Проверка цепочек исключений (SEHOP) | Системный и app-level | SEHOP , SEHOPTelemetry | Аудит не доступен |
| Проверка целостности кучи | Системный и app-level | TerminateOnError | Аудит не доступен |
| Механизм Arbitrary code guard (ACG) | Только на уровне приложений | DynamicCode | AuditDynamicCode |
| Блокировать изображений с низкой целостностью | Только на уровне приложений | BlockLowLabel | AuditImageLoad |
| Блокировать удаленные изображения | Только на уровне приложений | BlockRemoteImages | Аудит не доступен |
| Блокировка ненадежные шрифты | Только на уровне приложений | DisableNonSystemFonts | AuditFont , FontAuditOnly |
| Защита целостности кода | Только на уровне приложений | BlockNonMicrosoftSigned , AllowStoreSigned | AuditMicrosoftSigned, AuditStoreSigned |
| Отключить точки расширения | Только на уровне приложений | ExtensionPoint | Аудит не доступен |
| Отключить системные вызовы Win32k | Только на уровне приложений | DisableWin32kSystemCalls | AuditSystemCall |
| Не разрешать дочерние процессы | Только на уровне приложений | DisallowChildProcessCreation | AuditChildProcess |
| Фильтрация адресов экспорта (EAF) | Только на уровне приложений | EnableExportAddressFilterPlus , EnableExportAddressFilter | Аудит не доступен |
| Фильтрация адресов импорта (IAF) | Только на уровне приложений | EnableImportAddressFilter | Аудит не доступен |
| Имитация выполнения (SimExec) | Только на уровне приложений | EnableRopSimExec | Аудит не доступен |
| Проверка вызова API (CallerCheck) | Только на уровне приложений | EnableRopCallerCheck | Аудит не доступен |
| Проверка использования дескриптора | Только на уровне приложений | StrictHandle | Аудит не доступен |
| Проверка целостности зависимостей изображения | Только на уровне приложений | EnforceModuleDepencySigning | Аудит не доступен |
| Проверка целостности стека (StackPivot) | Только на уровне приложений | EnableRopStackPivot | Аудит не доступен |
Используйте следующий формат, чтобы включить модули EAF для DLLs для процесса:
Аудит для этого смягчения не доступен с помощью cmdlets PowerShell.
Способы защиты от бесфайловых вредоносных программ в Microsoft 365
Microsoft 365
Windows Defender Antivirus
Windows Defender Antivirus (WDAV)
- Обнаружение атак, использующих сценарии, при помощи интерфейса противовредоносного сканирования AMSI, который позволяет проверять сценарии PowerShell и других типов даже при нескольких уровнях маскировки.
- Обнаружение и удаление вредоносного ПО, пытающегося сохраняться через WMI, посредством сканирования репозитория WMI — как периодического, так и при регистрации аномального поведения.
- Обнаружение рефлексивного внедрения библиотек DLL при помощи методов углубленной проверки памяти и мониторинга поведения.
Windows Defender Exploit Guard
Windows Defender Exploit Guard (WDEG)
- Защита от эксплойтов ядра памяти, таких как EternalBlue, при помощи службы целостности кода гипервизора (HVCI), которая с высокой эффективностью препятствует внедрению вредоносного кода через уязвимости программного обеспечения, работающего в режиме ядра
- Предотвращение эксплойтов памяти в режиме пользователя при помощи модуля защиты от эксплойтов, который включает ряд средств для предотвращения эксплойтов, применяемых на уровне операционной системы или на уровне отдельных приложений
- Защита (в числе прочего) от различных бесфайловых атак, использующих сценарии, посредством правил уменьшения уязвимой зоны (ASR), которые блокируют определенное поведение приложений
Windows Defender Advanced Threat Protection
Windows Defender Advanced Threat Protection (WDATP)
- Выявление при помощи специальных инструментов, которые регистрируют аномальное выделение памяти, скрытых атак, использующих такие бесфайловые методы, как рефлексивное внедрение библиотек DLL.
- Обнаружение бесфайловых атак на основе сценариев при помощи интерфейса противовредоносного сканирования AMSI, который осуществляет проверку при выполнении PowerShell и других компонентов, использующих сценарии, и применение моделей машинного обучения.
Браузер Microsoft Edge
NSS Labsблокирует больше фишинговых сайтов и вредоносного ПОзащиты от произвольного кодаWindows Defender Application GuardЗаид Арафех (Zaid Arafeh)Старший менеджер программы, исследовательская группа Windows DefenderПервоисточник
Включить и использовать Exploit Protection в Windows 10
Центр защиты Windows Defender в Windows 10 v1709 теперь представляет новую функцию защиты, называемую Exploit Protection, которая помогает защитить ваш компьютер или ноутбук на системе Windows от вредоносных программ, заражения вашей системы. Он включает смягчение, которое можно применять на уровне операционной системы или на уровне приложения. Благодаря внедрению этой функции пользователям Windows 10 теперь больше не нужно устанавливать Enhanced Mitigation Experience Toolkit (EMET). Фактически, во время самого процесса обновления Windows 10 Fall Creators Update EMET удаляет.
Целостность памяти
Windows 10 версии 1803 или более поздней обладает встроенной функцией под названием «Изоляция ядра», которая обеспечивает дополнительную защиту от вредоносных программ и хакерских атак. С помощью нее пользователь способен изолировать компьютерные процессы Windows 10 и устройства, а также обеспечить дополнительный уровень безопасности от сложноустроенных атак.
Целостность памяти является частью изоляции ядра и гарантирует, что код, запущенный в ядре Windows, надежно спроектирован и безопасен. Здесь используется аппаратная виртуализация и Hyper-V для предотвращения попыток внедрения и запуска вредоносных файлов в процессах режима ядра Windows.
Целостность памяти — это мощная функция безопасности, но по умолчанию она отключена. Чтобы использовать ее, следует выполнить следующий порядок действий:
1. Откройте «Настройки».
2. Перейдите в раздел «Обновление и безопасность» > «Безопасность Windows».
3. Нажмите на кнопку «Безопасность устройства».
4. В разделе «Изоляция ядра» включите тумблер у параметра «Целостность памяти».
5. Перезагрузите Windows, чтобы принятые изменения вступили в силу.
История сканирования и угрозы, перенесенные в карантин
При обнаружении (хотя бы потенциально) опасного файла операционная система перемещает его в отдельный каталог (карантин). Там он огражден от случайного запуска, поэтому компьютер не заразится, даже если в код действительно проник вирус. Хранится такой архив в течение трех месяцев, после чего удаляется, минуя корзину.
Последовательность действий при открытии журнала:
- Запустить модуль «Защита от вирусов и угроз».
- Выбрать пункт «Журнал защиты» и кликнуть по нему.
- Просмотреть список угроз и указать действие для каждой.
Возможно ручное удаление, перенос в «карантин», если этого еще не было сделано, и отключение контроля конкретного файла. Последнее часто необходимо, если запускается программа, взятая из сети, например, игра с торрента. Предлагаемые действия обычно выбираются сразу, при обнаружении угрозы.
Параметры программ
В этом разделе можно отдельно редактировать дополнительные настройки защиты для каждого исполняемого файла, добавлять их в список исключений. Если ПО конфликтует при каком-либо активированном в системных параметрах модуле, то его можно отключить. При этом настройки других программ останутся прежними.
Опция работает по тому же принципу, что и исключения в инструменте EMET от Microsoft. По умолчанию здесь уже находятся некоторые штатные программы Windows.
Добавить новый исполняемый файл в список можно здесь же, нажав на кнопку «Добавление программы для индивидуальной настройки». Для этого укажите название программы или точный путь к ней. После этого он отобразится в списке.
Пользователь может редактировать параметры для каждой отдельной программы. Для этого выберите ее из списка, и кликните «Редактировать», после чего принудительно выключите/ включите нужную опцию. По желанию программу можно удалить из списка исключений.
Для редактирования доступны только те параметры, которые невозможно настроить через категорию «Системные». Для некоторых опций доступно значение «Аудит». После его активации Windows будет записывать события в системный журнал, что удобно для дальнейшего анализа.
Центр безопасности Защитника Windows
Пользователи Windows 10 могут настроить защиту от эксплойтов в Центре безопасности Защитника Windows.
- Используйте сочетание клавиша Windows + I для запуска приложения “Параметры”.
- Перейдите в “Обновление и безопасность”, затем выберите пункт “Защитник Windows”.
- Нажмите кнопку Открыть Центр безопасности Защитника Windows
. - Выберите панель “Управление приложениями и браузером”.
- На открывшейся странице выберите ссылку Параметры защиту от эксплойтов
.
Все настройки разделены на две категории: Системные параметры
и Параметры программ
.
На вкладке Системные параметры
выводится список всех доступных механизмов защиту с их статусом. В Windows 10 Fall Creators Update доступны следующие защиты:
- Защита потока управления (CFG) — вкл. по умолчанию.
- Предотвращение выполнения данных (DEP) — вкл. по умолчанию.
- Принудительное случайное распределение для образов (обязательный ASLR) — выкл. по умолчанию.
- Случайное распределение выделения памяти (низкий ASLR) — вкл. по умолчанию.
- Проверить цепочки исключений (SEHOP) — вкл. по умолчанию.
- Проверка целостности кучи — вкл. по умолчанию.
Параметры программ
дают вам возможность настраивать защиту для отдельных программ и приложений. Данная опция работает аналогично функции исключений в Microsoft EMET для определенных программ. Данная возможность будет особо полезной, если программа ошибочно работает, когда включены определенные защитные модули.
По умолчанию несколько программ добавлены в исключения, в частности svchost.exe, spools.exe, runtimebroker.exe, iexplore.exe и другие основные программы Windows
Обратите внимание, что вы можете переопределить эти исключения, выбрав файлы и нажав кнопку “Редактировать”
Вы можете установить отдельный статус всех поддерживаемых защит для каждой программы, которую вы добавили в настройках программы. Помимо переопределения системного параметра по умолчанию и принудительного его включения или отключения, существует также возможность установить параметр только для аудита. В последнем случае будет происходить запись событий, которые происходили, если бы статус защиты был включен, в системный журнал Windows.
В списке “Параметры программ” перечислены дополнительные параметры защиты, которые невозможно настроить под системными параметрами, поскольку они настроены для работы только на уровне приложения.
Среди них:
- Защита от произвольного кода (ACG)
- Блокировка образов низкой целостности
- Блокировка удаленных образов
- Блокировка ненадежных шрифтов
- Защита целостности кода
- Отключение точек расширения
- Отключение вызовов системы Win32k
- Не разрешать дочерние процессы
- Фильтрация адресов экспорта (EAF)
- Фильтрация адресов импорта (IAF)
- Имитация выполнения (SimExec)
- Проверка вызовов API (CallerCheck)
- Проверка использования дескриптора
- Проверка целостности зависимостей образа
- Проверка целостности стека (StackPivot)
Приложение «Безопасность Windows»
-
Откройте приложение «Безопасность Windows», выбрав значок щита на панели задач или открыв меню «Пуск» и выбрав параметр Безопасность.
-
Выберите плитку Элемент управления браузером приложения & (или значок приложения в левой строке меню), а затем выберите Параметры защиты от эксплойтов.
-
Перейдите в Параметры программы и выберите приложение, к которому вы хотите применить меры.
- Если приложение, которое вы хотите настроить, уже указано в списке, выберите его и нажмите Изменить.
- Если приложение отсутствует в списке, в верхней части списка выберите Добавить программу для настройки , а затем выберите способ добавления приложения.
- Используйте Добавить по имени программы, чтобы применить меры к любым запущенным процессам с таким именем. Укажите файл с расширением. Вы можете ввести полный путь, чтобы ограничить применение мер только приложением с таким именем в этом расположении.
- Нажмите Выбрать точный путь файла, чтобы использовать стандартное окно выбора файлов проводника Windows Explorer для поиска и выбора нужного файла.
-
После выбора приложения вы увидите список всех мер, которые можно применить. При выборе параметра Аудит применяется меры только в режиме аудита. Вы получите уведомление, если вам нужно перезапустить процесс или приложение, или если вам нужно перезапустить Windows.
-
Повторите шаги 3–4 для всех приложений и мер, которые вы хотите настроить.
-
В разделе Параметры системы найдите меры, которые необходимо настроить, и укажите один из следующих параметров. Приложения, которые не настроены индивидуально в разделе Параметры программы, используют параметры, настроенные здесь.
- Включено по умолчанию: эта мера включена для приложений, для которых она не задана в разделе Параметры программы для конкретного приложения
- Выключено по умолчанию: эта мера выключена для приложений, для которых она не задана в разделе Параметры программы для конкретного приложения
- Использовать значение по умолчанию: эта мера включена или отключена в зависимости от конфигурации по умолчанию, настроенной при установке Windows 10 или Windows 11; значение по умолчанию (вкл. или выкл.) всегда указывается рядом с меткой Использовать по умолчанию для каждой меры
-
Повторите шаг 6 для всех приложений и мер, которые вы хотите настроить. После настройки конфигурации выберите Применить.
Если добавить приложение в раздел Параметры программы и настроить там отдельные параметры защиты, они будут учитываться выше конфигурации для устранения рисков, указанных в разделе Параметры системы . В следующей матрице и примерах показано, как работают значения по умолчанию:
| Включено в Параметрах программы | Включено в Параметрах системы | Поведение |
|---|---|---|
| Да | Нет | Как определено в Параметрах программы |
| Да | Да | Как определено в Параметрах программы |
| Нет | Да | Как определено в Параметрах системы |
| Нет | Нет | По умолчанию, как определено в параметре Использовать по умолчанию |
Майкл добавляет приложение test.exe в раздел Параметры программы. В параметрах этого приложения для предотвращения выполнения данных (DEP) Майкл включает параметр Переопределение параметров системы и устанавливает переключатель на Включено. В разделе Параметры программы нет других приложений.
В результате предотвращение выполнения данных (DEP) включено только для test.exe Для всех остальных приложений не будет применяться DEP.
Центр безопасности Защитника Windows
Пользователи Windows 10 могут настроить защиту от эксплойтов в Центре безопасности Защитника Windows.
- Используйте сочетание клавиша Windows + I для запуска приложения “Параметры”.
- Перейдите в “Обновление и безопасность”, затем выберите пункт “Защитник Windows”.
- Нажмите кнопку Открыть Центр безопасности Защитника Windows.
- Выберите панель “Управление приложениями и браузером”.
- На открывшейся странице выберите ссылку Параметры защиту от эксплойтов.
Все настройки разделены на две категории: Системные параметры и Параметры программ.
На вкладке Системные параметры выводится список всех доступных механизмов защиту с их статусом. В Windows 10 Fall Creators Update доступны следующие защиты:
- Защита потока управления (CFG) — вкл. по умолчанию.
- Предотвращение выполнения данных (DEP) — вкл. по умолчанию.
- Принудительное случайное распределение для образов (обязательный ASLR) — выкл. по умолчанию.
- Случайное распределение выделения памяти (низкий ASLR) — вкл. по умолчанию.
- Проверить цепочки исключений (SEHOP) — вкл. по умолчанию.
- Проверка целостности кучи — вкл. по умолчанию.
Параметры программ дают вам возможность настраивать защиту для отдельных программ и приложений. Данная опция работает аналогично функции исключений в Microsoft EMET для определенных программ. Данная возможность будет особо полезной, если программа ошибочно работает, когда включены определенные защитные модули.
По умолчанию несколько программ добавлены в исключения, в частности svchost.exe, spools.exe, runtimebroker.exe, iexplore.exe и другие основные программы Windows
Обратите внимание, что вы можете переопределить эти исключения, выбрав файлы и нажав кнопку “Редактировать”
Нажмите ссылку “Добавление программы для индивидуальной настройки”, чтобы добавить приложение в список исключений.
Вы можете установить отдельный статус всех поддерживаемых защит для каждой программы, которую вы добавили в настройках программы. Помимо переопределения системного параметра по умолчанию и принудительного его включения или отключения, существует также возможность установить параметр только для аудита. В последнем случае будет происходить запись событий, которые происходили, если бы статус защиты был включен, в системный журнал Windows.
В списке “Параметры программ” перечислены дополнительные параметры защиты, которые невозможно настроить под системными параметрами, поскольку они настроены для работы только на уровне приложения.
- Защита от произвольного кода (ACG)
- Блокировка образов низкой целостности
- Блокировка удаленных образов
- Блокировка ненадежных шрифтов
- Защита целостности кода
- Отключение точек расширения
- Отключение вызовов системы Win32k
- Не разрешать дочерние процессы
- Фильтрация адресов экспорта (EAF)
- Фильтрация адресов импорта (IAF)
- Имитация выполнения (SimExec)
- Проверка вызовов API (CallerCheck)
- Проверка использования дескриптора
- Проверка целостности зависимостей образа
- Проверка целостности стека (StackPivot)
Настройка защиты сети Exploit Guard
Настройка защиты сети Exploit Guard с помощью групповой политики
Используя групповые политики Windows, вы можете настроить защиту сети как для клиентских компьютеров Windows, так и для серверов. Выполните следующие действия, чтобы настроить эту функцию для клиентских компьютеров Windows.
-
Откройте редактор групповой политики, введя «gpedit.msc» в поле «Выполнить команду».
Откройте редактор групповой политики
-
Перейдите к следующему на левой панели:
Конфигурация компьютера >> Административные шаблоны >> Компоненты Windows >> Антивирусная программа Microsoft Defender >> Microsoft Defender Exploit Guard >> Защита сети
-
Откройте политику «Запретить пользователям и приложениям доступ к опасным веб-сайтам».
Открытая политика защиты сети для клиентского ПК с Windows
-
Выберите «Включено», а затем выберите один из следующих вариантов в раскрывающемся меню в Параметры раздел:
- Блокировать -Пользователю не будет разрешен доступ к веб-сайту
- Режим аудита — Пользователь будет уведомлен об опасности, когда он может выбрать выход или продолжить работу с веб-сайтом.
Настройте политику защиты сети на аудит или блокировку
-
Когда выбрано, нажмите Применять и Хорошо.
-
Теперь запустите следующий командлет в командной строке с повышенными привилегиями, чтобы применить изменения политики:
GPUUpdate/Force
Применить изменения политики
Exploit Guard в Защитнике Windows теперь будет настроен для защиты сети. Вам либо будет предложено открыть вредоносный веб-сайт, либо он будет заблокирован, в зависимости от того, что вы выбрали на шаге 4 выше.
Если вы хотите настроить защиту сети на Windows Server 2016 или более поздней версии, вам необходимо включить политику «Этот параметр определяет, разрешено ли настраивать Network Protection в блочном режиме или в режиме аудита в Windows Server.» вместо.
Политика, разрешающая настройку защиты сети на Windows Server
Настройка защиты сети Exploit Guard с помощью PowerShell
Управление защитой сети с помощью Windows PowerShell дает администраторам больше контроля, поскольку позволяет им управлять различными функциями по отдельности.
Примечание: Все следующие команды и шаги должны выполняться в экземпляре PowerShell с повышенными правами.
Начнем с проверки текущего состояния функции защиты сети. Это можно сделать, выполнив следующий командлет в PowerShell:
Get-MpPreference | выберите *Защита сети* | Список форматов
Проверьте статус Exploit Guard с помощью PowerShell
На изображении выше показано, что защита сети отключена
Что еще более важно, он также показывает 4 различных атрибута. Вот что означают эти различные атрибуты:
- Алловнетворкпротектиондаунлевел — Используется в Windows 10 1809 и старше, теперь устарело.
- Алловнетворкпротектиононвинсервер – Позволяет настраивать защиту сети на Windows Server.
- Дисабленетворкпротектионперфтелеметрия — отправляет анонимные данные о производительности, относящиеся к отслеживаемым соединениям, в Microsoft
- ВключитьНетворкпротектион – Сообщает статус функции защиты сети
Теперь, когда мы понимаем, что это за атрибуты, вы можете использовать следующую команду для настройки атрибутов Network Protection для различных режимов работы:
-
Чтобы включить защиту сети и блокировать вредоносные веб-сайты:
Set-MpPreference-EnableNetworkProtection включен
-
Чтобы включить защиту сети в режим аудита:
Set-MpPreference-EnableNetworkProtection AuditMode
-
К отключить защиту сети:
Set-MpPreference -EnableNetworkProtection отключен
-
К разрешить настройку защиты сети на Windows Server:
Set-MpPreference -AllowNetworkProtectionOnWinServer $true
Замените «true» на «false», чтобы запретить его.
-
К включить телеметрию:
Set-MpPreference-DisableNetworkProtectionPerfTelemetry $true
Замените «true» на «false», чтобы отключить телеметрию.
Настройка защиты сети Exploit Guard с помощью PowerShell
Это все, что вам нужно знать о том, что такое Microsoft Defender Exploit Guard и как его можно использовать для обеспечения вашей безопасности в Интернете.
Защита от потенциально нежелательных приложений (PUA)
Начиная с обновления Windows 10 в мае 2020, иначе еще известного как обновление версии 2004, Microsoft упрощает обнаружение потенциально нежелательных приложений с помощью особой утилиты Microsoft Defender (ранее известной как Защитник Windows).
Потенциально нежелательные приложения (PUA) — это категория программ, которые могут тормозить работу компьютера или выводить на экран неожиданную рекламу. PUA не считаются вирусами или вредоносными программами, но они могут изменять веб-браузеры, установленные по умолчанию приложения, загружать расширения и выполнять другие действия, которые негативно влияют на производительность вашей машины.
Обновление, увидевшее свет в мае 2020 года, добавило в систему безопасности Windows новый раздел настроек под названием «Reputation-based protection» или «Защита на основе репутации». Это позволяет вам управлять своими потенциально нежелательными приложениями и разрешать или блокировать работу определенных PUA/PUP.
Чтобы активировать безопасность и проверку PUA/PUP для Windows 10, выполните следующие действия:
1. Откройте раздел «Настройки».
2. Перейдите в раздел «Обновления и безопасность» > «Безопасность Windows» > «Управление приложениями и браузерами».
3. Поищите новый раздел под названием «Защита на основе репутации».
Следует нажать на кнопку «Включить», чтобы активировать данную функцию. Если вы хотите настроить PUA/PUP, вы также можете воспользоваться меню «Настройки защиты на основе репутации».
Это позволит пользователю получить доступ к следующим функциям:
· проверка приложений и файлов на безопасность;
· активация SmartScreen для Microsoft Edge;
· активация SmartScreen для приложений из Microsoft Store.
Бонусный трюк: блокируйте предложения и рекламу
Microsoft выбрала самое распространенное из всех мест для размещения рекламы и предложений — меню «Пуск» Windows. Хотя это действительно помогает вам открыть для себя некоторые удивительные продукты, в большинстве случаев это просто раздражает.
К счастью, создатели включили способ заблокировать их. Перейдите в «Настройки»> «Персонализация»> «Пуск» и отключите параметр «Иногда показывать предложения в меню «Пуск».
Более того, если вы хотите очистить меню «Пуск» от всех последних приложений или наиболее часто используемых приложений, это меню также позволяет вам сделать это. Круто, да?