Hoe de nieuwe Exploit-bescherming van Windows Defender werkt (en hoe u deze moet configureren)
Microsoft's Fall Creators Update voegt eindelijk geïntegreerde exploitbescherming toe aan Windows. U moest dit eerder opzoeken in de vorm van de EMET-tool van Microsoft. Het maakt nu deel uit van Windows Defender en is standaard geactiveerd.
Hoe de Exploit Protection van Windows Defender werkt
We hebben lang aanbevolen anti- exploit-software te gebruiken, zoals de Enhanced Mitigation Experience Toolkit (EMET) van Microsoft, of de gebruiksvriendelijkere Malwarebytes Anti-Malware, die onder andere een krachtige anti-misbruikfunctie bevat. Microsoft's EMET wordt veel gebruikt op grotere netwerken waar het kan worden geconfigureerd door systeembeheerders, maar het is nooit standaard geïnstalleerd, vereist configuratie en heeft een verwarrende interface voor gemiddelde gebruikers.
Typische antivirusprogramma's, zoals Windows Defender zelf, gebruiken virusdefinities en heuristieken om gevaarlijke programma's te vangen voordat ze op uw systeem kunnen worden uitgevoerd. Anti-misbruiktools voorkomen eigenlijk dat veel populaire aanvalstechnieken helemaal niet meer werken, dus deze gevaarlijke programma's komen in de eerste plaats niet op uw systeem. Ze maken bepaalde beveiligingen van het besturingssysteem mogelijk en blokkeren technieken voor gemeenschappelijk geheugengebruik, zodat als exploit-achtig gedrag wordt gedetecteerd, ze het proces beëindigen voordat er iets ergs gebeurt. Met andere woorden, ze kunnen beschermen tegen vele zero-day-aanvallen voordat ze worden gepatcht.
Ze kunnen echter compatibiliteitsproblemen veroorzaken en hun instellingen moeten mogelijk worden aangepast voor verschillende programma's. Daarom werd EMET over het algemeen gebruikt op bedrijfsnetwerken, waar systeembeheerders de instellingen konden aanpassen en niet op thuiscomputers.
Windows Defender bevat nu veel van deze zelfde beveiligingen, die oorspronkelijk werden gevonden in EMET van Microsoft. Ze zijn standaard voor iedereen ingeschakeld en maken deel uit van het besturingssysteem. Windows Defender configureert automatisch de juiste regels voor verschillende processen die op uw systeem worden uitgevoerd. (Malwarebytes claimt nog steeds dat hun anti-exploit-functie superieur is, en we raden nog steeds aan om Malwarebytes te gebruiken, maar het is goed dat Windows Defender ook een deel van deze ingebouwde heeft.)
Deze functie wordt automatisch ingeschakeld als u een upgrade naar de Fall Creators-update van Windows 10 hebt uitgevoerd en EMET niet langer wordt ondersteund. EMET kan zelfs niet worden geïnstalleerd op pc's waarop de Fall Creators Update wordt uitgevoerd. Als EMET al is geïnstalleerd, wordt het door de update verwijderd.
De Fall Creators Update van Windows 10 bevat ook een gerelateerde beveiligingsfunctie met de naam Controlled Folder Access. Het is ontworpen om malware te stoppen door alleen vertrouwde programma's toe te staan bestanden in uw persoonlijke gegevensmappen aan te passen, zoals Documenten en Afbeeldingen. Beide functies maken deel uit van "Windows Defender Exploit Guard". Toegang tot beheerde mappen is echter niet standaard ingeschakeld.
Hoe te bevestigen dat Exploit Protection is ingeschakeld
Deze functie wordt automatisch ingeschakeld voor alle Windows 10-pc's. Het kan echter ook worden omgeschakeld naar "Auditmodus", waardoor systeembeheerders een logboek kunnen bijhouden van wat Exploit Protection zou hebben gedaan om te bevestigen dat het geen problemen zal veroorzaken voordat het op kritieke pc's wordt ingeschakeld.
Om te bevestigen dat deze functie is ingeschakeld, kunt u het Windows Defender Security Center openen. Open uw menu Start, zoek naar Windows Defender en klik op de snelkoppeling van Windows Defender Security Center.
Klik in de zijbalk op het venstervormige pictogram 'App en browserbeheer'. Blader naar beneden en u ziet het gedeelte 'Exploitebescherming'. Het zal u informeren dat deze functie is ingeschakeld.
Als u dit gedeelte niet ziet, is uw pc waarschijnlijk nog niet bijgewerkt naar de Fall Creators-update.
Hoe u de Exploit Protection van Windows Defender configureert
Waarschuwing: U wilt deze functie waarschijnlijk niet configureren. Windows Defender biedt vele technische opties die u kunt aanpassen en de meeste mensen zullen niet weten wat ze hier doen. Deze functie is geconfigureerd met slimme standaardinstellingen die geen problemen veroorzaken en Microsoft kan zijn regels in de loop van de tijd bijwerken. De opties lijken hier vooral bedoeld om systeembeheerders te helpen bij het ontwikkelen van regels voor software en deze uit te rollen in een bedrijfsnetwerk.
Als u Exploit Protection wilt configureren, ga dan naar Windows Defender Security Center> App- en browserbeheer, scrol omlaag en klik op "Exploit Protection Settings" onder Exploit-bescherming..
Je ziet hier twee tabbladen: Systeeminstellingen en Programma-instellingen. Systeeminstellingen bestuurt de standaardinstellingen die voor alle toepassingen worden gebruikt, terwijl Programma-instellingen de individuele instellingen besturen die voor verschillende programma's worden gebruikt. Met andere woorden, programma-instellingen kunnen de systeeminstellingen voor afzonderlijke programma's overschrijven. Ze kunnen beperkter of minder beperkend zijn.
Klik onder aan het scherm op "Instellingen exporteren" om uw instellingen te exporteren als een XML-bestand dat u op andere systemen kunt importeren. De officiële documentatie van Microsoft biedt meer informatie over het implementeren van regels met Groepsbeleid en PowerShell.
Op het tabblad Systeeminstellingen ziet u de volgende opties: Control flow guard (CFG), Preventie van gegevensuitvoering (DEP), Force randomization for images (verplichte ASLR), Willekeurig geheugen toewijzen (Bottom-up ASLR), uitzonderingsketens valideren (SEHOP) en Valideer de integriteit van de heap. Ze zijn standaard allemaal ingeschakeld, behalve de optie Force randomization for images (Mandatory ASLR). Dat komt waarschijnlijk omdat verplichte ASLR problemen met sommige programma's veroorzaakt, dus u kunt compatibiliteitsproblemen tegenkomen als u deze inschakelt, afhankelijk van de programma's die u uitvoert.
Nogmaals, je moet deze opties echt niet aanraken tenzij je weet wat je doet. De standaardinstellingen zijn verstandig en worden met een reden gekozen.
De interface geeft een zeer korte samenvatting van wat elke optie doet, maar je zult wat onderzoek moeten doen als je meer wilt weten. We hebben eerder uitgelegd wat DEP en ASLR hier doen.
Klik op het tabblad 'Programma-instellingen' en u ziet een lijst met verschillende programma's met aangepaste instellingen. Met de opties hier kunnen de algemene systeeminstellingen worden opgeheven. Als u bijvoorbeeld "iexplore.exe" in de lijst selecteert en op "Bewerken" klikt, ziet u dat de regel hier verplicht Mandatory ASLR voor het proces van Internet Explorer inschakelt, hoewel het standaard niet voor het hele systeem is ingeschakeld.
U moet niet knoeien met deze ingebouwde regels voor processen zoals runtimebroker.exe en spoolsv.exe. Microsoft heeft ze om een bepaalde reden toegevoegd.
U kunt aangepaste regels voor afzonderlijke programma's toevoegen door te klikken op "Programma toevoegen om aan te passen". U kunt "Toevoegen op programmanaam" of "Kies het exacte bestandspad", maar het opgeven van een exact pad is veel preciezer.
Na het toevoegen kunt u een lange lijst met instellingen vinden die voor de meeste mensen niet zinvol zijn. De volledige lijst met instellingen die hier beschikbaar is, is: Arbitrary code guard (ACG), afbeeldingen met lage integriteit blokkeren, externe images blokkeren, niet-vertrouwde lettertypen blokkeren, code-integriteitsbescherming, control flow guard (CFG), Preventie van gegevensuitvoering (DEP), Uitbreidingspunten uitschakelen , Win32k systeemoproepen uitschakelen, Kinderprocessen niet toestaan, Adres filteren (EAF) exporteren, Willekeurige volgorde voor afbeeldingen dwingen (verplichte ASLR), Adres filteren (IAF) importeren, Geheugentoewijzingen willekeurig maken (Bottom-up ASLR), Simulatie uitvoeren (SimExec) , Valideer API-aanroep (CallerCheck), Valideer uitzonderingsketens (SEHOP), Valideer het gebruik van de hendel, Valideer de heap-integriteit, Valideer de integriteit van de afbeeldingsafhankelijkheid en Valideer de integriteit van de stapel (StackPivot).
Nogmaals, u moet deze opties niet aanraken tenzij u een systeembeheerder bent die een applicatie wil vergrendelen en u weet echt wat u doet.
Als test hebben we alle opties voor iexplore.exe ingeschakeld en geprobeerd deze te starten. Internet Explorer liet net een foutmelding zien en weigerde te starten. We hebben zelfs geen melding van Windows Defender gezien waarin werd uitgelegd dat Internet Explorer niet functioneerde vanwege onze instellingen.
Probeer niet blindelings te proberen applicaties te beperken, anders krijg je vergelijkbare problemen op je systeem. Ze zullen moeilijk op te lossen zijn als je niet meer weet dat je ook de opties hebt gewijzigd.
Als u nog steeds een oudere versie van Windows gebruikt, zoals Windows 7, kunt u exploitbeschermingsfuncties krijgen door Microsoft's EMET of Malwarebytes te installeren. De ondersteuning voor EMET stopt echter op 31 juli 2018, omdat Microsoft bedrijven liever naar Windows 10 en Windows Defender's Exploit Protection wil duwen.