Malwarebytes Anti-Exploit është mbrojtja juaj efektive kundër shfrytëzimeve. Mbrojtja e shfrytëzimit për përdoruesit e Windows Mbrojtje e fortë nga shfrytëzimi

Exploit Guard është një veçori e re e sigurisë e Windows që u prezantua për herë të parë nga Microsoft në përditësimin e Windows 10 Fall Creators.

Mbrojtja e shfrytëzimit ofrohet nga një version i integruar i Microsoft EMET (Enhanced Mitigation Experience Toolkit), i cili pritet të përfundojë në mesin e 2018.

Mbrojtja kundër derdhjes është për shkak të aktivizimit të Windows Defender. Ky funksion është një funksion i vetëm i Exploit Guard, por nuk kërkon mbrojtje shtesë në modalitetin në kohë reale.

Kjo veçori mund të konfigurohet në Qendrën e Sigurisë së Mbrojtjes së Windows, duke përdorur politikat e grupit ose komandat PowerShell.

Qendra e Sigurisë së Windows Defender

Përdoruesit e Windows 10 mund të konfigurojnë mbrojtjen e shfrytëzimit në Qendrën e Sigurisë së Windows Defender.

  1. Përdorni tastin Windows + I për të nisur programin Cilësimet.
  2. Shkoni te "Përditësimet dhe Siguria" dhe më pas zgjidhni "Siguria e Windows".
  3. Shtyp butonin Hapni Qendrën e Sigurisë së Windows Defender.
  4. Zgjidhni panelin "Programet aktuale dhe shfletuesi".
  5. Në faqen që u shfaq, zgjidhni mesazhin Parametrat e mbrojtjes për shfrytëzimet.

Të gjitha cilësimet ndahen në dy kategori: Parametrat e sistemitі Parametrat e programit.

Në depozitë Parametrat e sistemit Një listë e të gjithë mekanizmave mbrojtës të disponueshëm shfaqet në varësi të statusit të tyre. Përditësimi i Windows 10 Fall Creators ka këto mbrojtje të disponueshme:

  • Kontrolli i rrjedhës së kontrollit (CFG) – uvmk. për përgatitjen.
  • Ruajtja e të dhënave (DEP) - uvіmk. për përgatitjen.
  • Imazhet Primus vipadkovy rospodіv (obov'yazkovy ASLR) - vimk. për përgatitjen.
  • Kujtesa video me definicion të lartë (ASLR e ulët) - e ndezur. për përgatitjen.
  • Kontrolloni vidhat (SEHOP) - uvіmk. për përgatitjen.
  • Kontrolloni integritetin e blerjes – përfshirë. për përgatitjen.

Parametrat e programit Ju jep mundësinë për të personalizuar mbrojtjen për një sërë programesh dhe shtesash. Ky opsion funksionon në mënyrë të ngjashme me funksionin e çaktivizimit në Microsoft EMET për programet e këngëve. Kjo mundësi do të jetë veçanërisht problematike, pasi programi do të funksionojë në heshtje kur moduli i këngës është i ndezur.

Për promovimin e një numri programesh, ju lutemi kontaktoni Vynyatka, duke përfshirë svchost.exe, spools.exe, runtimebroker.exe, iexplore.exe dhe programe të tjera kryesore të Windows. Ju lutemi vini re se mund t'i rivlerësoni gabimet duke zgjedhur skedarin dhe duke klikuar butonin "Ndrysho".

Ju mund të vendosni statusin përfundimtar të të gjitha produkteve të kujdesit të lëkurës që keni shtuar në programin tuaj. Përveç ricaktimit të parametrit të sistemit për ndezjen ose fikjen, është e mundur të vendosni parametrin vetëm për auditim. Në rastin e mbetur, do të ketë një regjistrim të të dhënave që janë regjistruar, si dhe statusin e mbrojtjes së njoftimeve, në regjistrin e sistemit të Windows.

Lista "Opsionet e programit" liston parametra shtesë të mbrojtjes që nuk mund të rregullohen sipas parametrave të sistemit, por disa janë rregulluar për punë të ndryshme nga programet.

Midis tyre:

  • Mbrojtje kundër një kodi të vlefshëm (ACG)
  • Bllokimi i imazheve me forcë të ulët
  • Bllokimi i imazheve në distancë
  • Bllokimi i shkronjave të pabesueshme
  • Mbrojtja e integritetit të kodit
  • Pika e zgjerimit Vimknennya
  • Thirrjet e sistemit Win32k
  • Mos lejoni proceset e fëmijëve
  • Eksporto filtrimin e adresave (EAF)
  • Importo filtrimin e adresës (IAF)
  • Simulimi i Vikonanny (SimExec)
  • Kontrollimi i thirrjeve API (CallerCheck)
  • Verifikimi i përshkruesit të vikoristanit
  • Kontrollimi i integritetit të depozitave të imazhit
  • Kontrollimi i integritetit të pirgut (StackPivot)

PowerShell

Ju mund të përdorni linjën e komandës PowerShell për të instaluar, fshirë ose ndryshuar listën e hyrjeve. Komandat e mëposhtme janë të disponueshme:

Për të parë të gjitha hyrjet më të fundit në proces: Get-ProcessMitigation -Name processName.exe

Për të vendosur një hyrje të thatë: Set-ProcessMitigation - - ,

Zona: -Sistemi ose -Emri.

Veprimi: ose -Aktivizo ose -Çaktivizo.

Mira: emri i një bote të thatë. Kthehuni te tabela në faqen e internetit të Microsoft për të parë listën e hyrjeve të disponueshme. Ju mund të rrisni numrin e herëve që shkoni.

  • Set-Processmitigation -System -Aktivizo DEP
  • Set-Processmitigation -Emri test.exe -Hiq -Disable DEP
  • Set-Process Mitigation -Emri processName.exe -Aktivizo EnableExportAddressFilterPlus -EAFModules dllName1.dll, dllName2.dll

Importi dhe eksporti i konfigurimeve

Konfigurimet mund të importohen dhe eksportohen. Këto operacione mund të kryhen në faqen "Exploit Protection Settings" të Qendrës së Sigurisë së Windows Defender, si dhe duke përdorur PowerShell ose Redaktuesin e Politikave të Grupit.

Përveç kësaj, konfigurimet EMET mund të konvertohen për import të mëtejshëm.

Mbrojtja e akordimit të Vikoristannya nga shfrytëzimet

Ju mund të eksportoni konfigurime nga Qendra e Sigurisë së Windows në vend që t'i importoni ato. Eksporti përfshin të gjitha hyrjet e nivelit të sistemit dhe të nivelit të programit.

Wiki PowerShell për eksportimin e skedarit të konfigurimit

  1. Ekzekutoni komandën: Get-ProcessMitigation -RegistryConfigFilePath filename.xml

Wiki PowerShell për importimin e një skedari konfigurimi

  1. Hapni Powershell me të drejtat e administratorit të pajisjes.
  2. Ekzekutoni komandën: Set-ProcessMitigation -PolicyFilePath filename.xml

Politikat e grupit Vikoristana për instalimin e një skedari konfigurimi

Ju mund të instaloni skedarë konfigurimi duke përdorur Redaktorin e Politikave të Grupit:

  1. Shtypni tastin Windows, hyni gpedit.msc Dhe zgjidhni objektin që përfaqëson shërbimin e kërkimit të Windows.
  2. Shko tek Konfigurimi i kompjuterit > Modelet administrative > Komponentët e Windows > Windows Security Exploit Guard > Exploit Guard.
  3. Zgjidhni politikën "Fitorizoni numrin e fshehur për mbrojtje nga shfrytëzimet".
  4. Zgjidhni "Disabled".
  5. Shtoni shtigje dhe emra në skedarin e konfigurimit XML në fushën "Parametrat".

Ripërpunimi i skedarit EMET

  1. Hapni Powershell me të drejtat e administratorit të pajisjes.
  2. Ekzekutoni komandën: ConvertTo-ProcessMitigationPolicy -EMETFilePath emetFile.xml -OutputFilePath filename.xml

Ndryshoni emetFile.xml gjatë rrugës dhe zgjeroni skedarin e konfigurimit EMET.

Ndryshoni shtegun dhe emrin e skedarit.xml, duke treguar modifikimin e nevojshëm të emrit të skedarit.

A e dinit mëshirën e Drukarit? Shihni dhe klikoni Ctrl+Enter

Numri i viruseve shkatërruese u trefishua gjatë lumit të kaluar, dhe numri i shpërblimeve u rrit me 266% dhe mesatarja botërore ishte 1000 dollarë për viktimë.

YakovGrodzensky, kerivnik direkt në IB "System Software"

Përdorimi i pajisjeve terminale, duke përfshirë telefonat celularë, është rritur në të gjithë bizneset gjatë dekadës së fundit. Kjo rritje është e dukshme në peizazhin shtypës të kërcënimeve: Telefononi Symantec Sot ka mbi një milion infeksione virusale në mbarë botën. Për shembull, numri i viruseve me qëllim të keq u trefishua gjatë vitit të kaluar, dhe numri i shpërblimeve u rrit me 266% dhe mesatarja botërore ishte 1000 dollarë për viktimë.

Duket se detyra e sigurisë kibernetike për pikat fundore sot është bërë titanike dhe vështirë se mund të zbatohet manualisht ose me ndihmën e një antivirusi.

Është efektive, Analistët e Gartner tregojnë një prirje të qëndrueshme të rritjes së mbrojtjes së pajisjeve fundore, duke përfshirë krijimin e listave të bardha dhe të zeza të programeve, nyjeve dhe programeve dhe mjeteve të tjera të kontrollit si pjesë e ciklit të përgjithshëm të mbrojtjes. Çfarë do të thotë të garantosh sigurinë e bizneseve dhe të shmangësh vërtet mungesën e antivirusëve të mirë të vjetër?

Le të përpiqemi të kthehemi së bashku.

Çfarë është Endpoint Security për kompaninë dhe tregun?

Cila është strategjia e pjekur për mbrojtjen e pajisjeve fundore, të tilla si pajisjet, lidhjen me rrjetin tuaj të korporatës, në thelb "derën" e të dhënave të vlefshme personale dhe të biznesit?

Së pari, le të kuptojmë se administrimi i IB është më kompleks dhe pajisjet fundore janë një element i infrastrukturës IT (domethënë IB) dhe dallojnë se ku mbaron mbrojtja dhe fillon mbrojtja, në fund, masat, në fakt të ngathët dhe budallenj.

Politikat administrative dhe vetë protokolli i sigurisë mund të dëmtojnë mbrojtjen e të gjithë elementëve të infrastrukturës së TI-së. Dhe rrjeti aktual lidh një gamë të gjerë pajisjesh fundore, duke përfshirë PC, laptopë, smartfonë, tablet, terminale POS... dhe pajisje të tilla mund të ofrojnë akses në rrjet. Kjo do të thotë që ky specialist i sigurisë kibernetike ka një minimum automatizimi. Për më tepër, politika ekzistuese e sigurisë së pikës fundore për të adresuar kërcënimet në rritje sot kërkon vikorystvovayutsya si minimum:

  1. mure zjarri për lloje të ndryshme pajisjesh;
  2. antivirus për postën elektronike;
  3. monitorimi, filtrimi dhe mbrojtja e trafikut në ueb;
  4. menaxhimin e sigurisë dhe zgjidhjet e sigurisë për pajisjet mobile;
  5. kontrolli i aksesorëve robotikë;
  6. enkriptimi i të dhënave;
  7. krijoni një pushtim.

Në këtë rast, tregu ofron tre zgjidhje kryesore për mbrojtjen e pajisjeve fundore dhe kombinimet e tyre:

1. Antivirusët tradicionalë që bazohen në nënshkrime. Ata japin një rezultat të qëndrueshëm - por vetëm brenda kornizës së nënshkrimeve. Për shkak të numrit tepër të madh të imazheve të korruptuara, nuk është e mundur që ju të jeni 100% të përditësuar në çdo kohë të caktuar, plus që mund të aktivizoni antivirusin në kompjuterin tuaj.
2. Zbulimi dhe reagimi i pikës së fundit (EDR) ose zbulimi dhe reagimi ndaj incidenteve. Zgjidhje të tilla, për shembull, KEDR nga Kaspersky Lab, njihen nga treguesit. bëni kompromis në pajisjen terminale dhe bllokoni dhe/ose gëzohuni yogo. Konsideroni që këto sisteme të funksionojnë vetëm pas faktit të së keqes (ndërhyrjes) në nivelin e pajisjes ose të korporatës.
3. Advanced Endpoint Protection (AEP) ose mbrojtje e avancuar e pajisjeve fundore, e cila përfshin metoda parandaluese të mbrojtjes nga shfrytëzimet dhe softuerët keqdashës, kontrollin e pajisjeve dhe porteve, muret e zjarrit personal, etj. Kjo është arsyeja pse AEP vendos të luftojë kërcënimet: kërcënimi njihet dhe reduktohet në një kërcënim të keq, si p.sh., Palo Alto Networks Traps, Check Point SandBlast Agent (ai vendos të ekzekutojë kopje rezervë kur zbulohen aktivitete të dyshimta) ose Forticlient .

Pavarësisht nga shitësi ose kombinimi i shërbimeve që keni zgjedhur, është e rëndësishme të njihni rregullat bazë për vlerësimin e zgjidhjeve të tilla dhe përcaktimin e një strategjie efektive të sigurisë kibernetike për pajisjet fundore që keni në dispozicion.

Këto janë rregullat bazë të mbrojtjes kibernetike Endpoints

Rregulli i parë. Zakhist është fajtor për zneshkodzhuvati të gjitha sulmet lanzyuzhok.

Sipas analistëve dhe përfaqësuesve të tregut të sigurisë kibernetike, mbështetja te “viruset dhe antiviruset” është një strategji e dështuar për bizneset që duan të mbrojnë biznesin e tyre. Infeksioni dhe vetë virusi janë vetëm një vrimë në hendekun shumë të gjatë që çon në masa të liga korporative.

Dhe fillon përpjekja për të pushtuar infrastrukturën tuaj. Me sa duket, një mbrojtje efektive kundër pushtimit sot është të hakmerresh:

  1. metodat e verifikimit të kujdesshëm të shtesave postare (posta elektronike, si më parë, çon si një "mjet për dërgimin e malware" në pajisjen e klientit);
  2. Si të mbroheni nga tërheqja e programeve të padëshiruara nga Interneti - 76% e faqeve janë të prirura ndaj derdhjeve të padëshiruara. Këtu, teknologjia do të ndihmojë që analizon të gjithë trafikun hyrës dhe dalës dhe zbaton mbrojtjen e shfletuesit për të bllokuar kërcënime të tilla përpara se të ekzekutohet në pajisjen fundore;
  3. mbrojtje e kujdesshme e vetë pajisjeve terminale, në mënyrë që shërbimi të kontrollohet si nga aksesorët ashtu edhe nga vetë pajisja.
  1. analiza e reputacionit të skedarëve dhe identifikimi i atributeve kryesore të tyre (rritja në rritje e skedarit dhe numri i ndikimeve të tij). Në mënyrë ideale, sistemi monitoron qindra mesazhe dhe miliarda lidhje midis tregtarëve, faqeve dhe skedarëve në mënyrë që të parandalojë zgjerimin dhe mutacionin e malware dhe të shmangë sulmet;
  2. elemente të futura të teknologjisë së makinerive. Kjo është një teknologji vërtet funksionale dhe pa nënshkrime që mund të analizojë triliona skedarë nga një rrjet global, të ndajë në mënyrë të pavarur skedarët "të mirë" nga ata "të këqij" dhe të bllokojë programet e këqija të sigurisë derisa ato të vendosen;
  3. mbrojtje nga shfrytëzimet, veçanërisht sulmet e ditës zero dhe sulmet e leximit të kujtesës;
  4. monitorimi i sjelljes për të identifikuar sjelljen "të pasigurt" të skripteve, shtesave, pajisjeve dhe nyjeve në skaj - dhe eliminimin e kërcënimeve të tilla;
  5. emulim i qartë, ose suedezët krijoi një "sandbox" për të zbuluar dhe bllokuar softuerin e padobishëm në pajisje.

Rregulli i miqve. Zbulimi dhe reagimi i pikës së fundit (EDR) ose hetimi dhe reagimi ndaj incidenteve janë përgjegjës për rezultatet.

Problemi qëndron në faktin se 82% e kriminelëve të sotëm kibernetikë për statistikat Këto të dhëna tregojnë të dhëna të vlefshme biznesi për një pjesë të kohës ose më pak, pasi 75% e kompanive nuk u përgjigjen incidenteve të të paktën disa viteve. Është shumë turp të flitet për të vërtetën e rreziqeve të larta në zonën e sigurisë së strukturave të terminalit.

Zgjidhjet e prezantuara EDR mund të izolojnë pajisjen tuaj terminale për hetim efektiv të virusit keqdashës, të zbulojnë përhapjen e virusit dhe të përditësojnë pajisjen përmes kopjes së saj të painfektuar të të dhënave.

Rregulli i të tretave. Sistemi nuk është fajtor për biznesin, por edhe:

a) Po aq e rëndësishme është produktiviteti dhe shkallëzueshmëria e sistemeve tuaja të sigurisë. Pra, mbrojtja juaj nuk është fajtore për vonesën në efikasitetin e proceseve të biznesit dhe shkëmbimin e shpejtë të të dhënave gjatë periudhës. Plus, është e rëndësishme të aktivizoni shpejt sistemin e sigurisë kibernetike në vendet e reja të punës, për shembull, në një degë rajonale ose të huaja.

b) Performanca e përgjithshme e transferimit dhe vikoristannya mund të jetë optimale.

Rregulli i tremujorit. Siguria kibernetike është centralizuar. Të prera, të gdhendura me dorë nga pika të ndryshme, merret vendimi për shtimin e kompromiseve, njoftimeve të tepërta dhe kërkesave të pavërteta, pa përmendur as pretendimet për kohë dhe kosto financiare për banjën e administratorit për “kopshtin zoologjik”.

Rregulla p'yate. Integrim pa probleme me zgjidhjet softuerike dhe harduerike mbi bazën lëkurë më lëkurë për funksionimin efikas të të gjithë infrastrukturës së Sigurisë së Internetit, duke përfshirë mbrojtjen e portave për në sistemet SIEM. Është e rëndësishme që zgjidhjet e sigurisë së pikës fundore të integrohen me Control Access Network (NAC) në mënyrë që kompjuteri të mund të izolohet në masën më të plotë. Është gjithashtu e rëndësishme që produktet Endpoint të punojnë në lidhje me zgjidhjet e portës IB që mbështesin analizën e thellë të paketave dhe inspektimin e trafikut SSL.

Rregulli Shoste. Duke mbuluar të gjitha sistemet e mundshme operative, duke përfshirë serverët dhe celularët - mbani mend bollëkun e pajisjeve "të ndryshme" që kompjuterët sjellin me vete ose zgjedhin për punë në zyrë.

Rregulli Syome. Posileniy zakhist danikh. Në këtë pikë, mos u kapni në mbrojtjen e pajisjeve fundore, përndryshe, pa të, në parim, është e pamundur të zhvillohet një strategji efektive IB. Këto të dhëna përfshijnë:

  1. enkriptim;
  2. ndarja (nëndarja) e parcelave dhe nyjeve në kufi, grupe fermerësh pranë kufirit;
  3. mbrojtje nga humbja e të dhënave; veçoritë e rinovimit;
  4. monitorimi i integritetit të skedarëve dhe sistemit të skedarëve.

… dhe tre të tjera

Perçe. Vëmendje e veçantë i kushtohet eliminimit të kërcënimeve kibernetike në pajisjet mobile. Konceptet BYOD/CYOD/COPE po bëhen më pak të njohura dhe numri i pajisjeve celulare në cilësimet e korporatave është ende në rritje.
Ato kërkojnë respekt të veçantë, edhe nëse pajisje të tilla përdoren jo vetëm për punë dhe jo vetëm në zyrë, por edhe rreziku i infektimit të rrjeteve të korporatave nëpërmjet tyre është edhe i lartë.

Në mënyrë ideale, strategjia e "menaxhimit celular të IT" mund të:

  1. VPS celular;
  2. autentifikimi i përmirësuar i pajisjeve nga rrjeti i korporatës;
  3. kontrollin dhe monitorimin e përmbajtjes së palëve të treta;
  4. kontejnerizimi i aditivëve.

Shoku. Analiza e KPI-ve të maturimit në mbrojtjen e pajisjeve terminale.

Analistët e Forrester Research klasifikojnë pesë (ose gjashtë) faza të pjekurisë së strategjisë së sigurisë së informacionit të një ndërmarrje:

Dita zero e ditës- Nuk ka konsum, nuk ka mirëkuptim, nuk ka përfitime të formalizuara.

AdHoc është spontan- Nevoja për siguri kibernetike ndryshon nga ora në orë, nuk ka planifikim të burimeve të sigurisë së informacionit, proceset nuk janë të dokumentuara.

Vimushena- intuitiv, i padokumentuar, josistematik, bazuar në kërkesë.

jam i informuar- proceset dokumentohen, vetë strategjia kuptohet dhe transferohet dhe vlerësimi i aktiviteteve dhe burimeve kryhet çdo orë.

Vivirena- Janë futur mjete të qarta menaxhimi, janë futur një nivel i lartë i formalizimit dhe (shpesh) automatizimi i procedurave, vlerësimi i rregullt i aktiviteteve, proceseve dhe investimeve.

E optimizuar- proceset dhe mbrojtja e barabartë bëhen të automatizuara, dhe vetë strategjia është krijuar për të siguruar mbrojtje afatgjatë, efektive dhe projektuese të biznesit. Niveli i lartë i integrimit të shërbimeve dhe sistemeve IB.

Me sa duket, është më e lirë dhe më e sigurt për të vazhduar në tre fazat e mbetura. Me këtë gradim, është gjithashtu më e lehtë të vendosni synime për të përmirësuar strategjinë tuaj të sigurisë së informacionit nëse jeni në tre të parët.

Së treti. Dhe me shpresë, përdoruesit tuaj të pajisjeve fundore do ta dinë se çfarë është një mbrojtje kibernetike dhe gradualisht do të rrisin njohuritë dhe aftësitë e tyre. Zyrtari më i rëndësishëm është ai njerëzor dhe pa personel kompetent ka shumë gjasa të dështojë. Askush nuk ka mësuar se si të përballojë faktorin njerëzor pa dëmtuar punën operative. Është më e lehtë dhe shumë më lirë t'u mësosh njerëzve bazat e sjelljes së sigurt dhe të përdorin pajisjet e tyre.

Zëvendësimi i antivirusëve tradicionalë të bazuar në nënshkrime, si më parë, është më i rëndësishëm. Viruset e vjetra, trojanët dhe llojet e tjera të programeve të dëmshme nuk janë shpërndarë askund. Ky antivirus nuk mjafton për t'u mbrojtur nga shfrytëzimet e reja, të ashtuquajturat kërcënime "zero-day". Këta malware nuk janë parë më parë dhe nuk kanë asnjë nënshkrim. një version pa kosto të Malwarebytes Anti-Exploit Premium. Mjeti është i lehtë për t'u rezistuar shfrytëzimeve dhe nuk kërkon ndonjë nënshkrim me qëllim të keq.

Mbrojtësi i shfletuesit

Versioni pa kosto mbrohet nga Chrome, Firefox, Internet Explorer dhe Opera. Anti-Exploit mbron jo vetëm vetë shfletuesin, por edhe shtojcat dhe ato shtesë, si dhe programin e mesëm Java. Duke blerë versionin Premium për 24,95 dollarë RUR, nuk do të keni akses në dokumentet e Microsoft Office, shikuesit PDF dhe luajtësit e mediave.

Në versionin me pagesë, përdoruesit mund të aktivizojnë dhe çaktivizojnë mbrojtjen për programe të caktuara, si dhe të çaktivizojnë mburojat. Rregullimi i versionit pa kosto është fiks, mbrojtja zgjerohet me vetëm 5 programe, as më shumë e as më pak.

Gjithçka po funksionon!

Shfrytëzimi synon një version specifik të programit të viktimës dhe nuk mund të përdoret me versione të tjera. Ky fakt sjell përparime në mendjet e testimit. Malwarebytes nuk do t'i përgjigjet shfrytëzimit sepse nuk ka potencialin të shkaktojë dëm. Malwarebytes mori pjesë në testet e blogerit të famshëm Kafeine. Në testet e tyre, ata gjetën 11 nga shfrytëzimet më të avancuara dhe programi i bllokoi me sukses të gjitha.

Për të kryer teste zyrtare të pavarura, eksperti i sigurisë kompjuterike Neil J. Rubenking shkoi në laboratorin MRG-Effitas. Drejtori teknik i organizatës siguroi me mirësi një koleksion shfrytëzimesh të ruajtura nga Fiddler Web Debugger. Sistemi i testimit u rregullua me kujdes, u instaluan versionet e sakta të programit, pas së cilës filluan të zbulohen sulmet. Produkti Malwarebytes bllokoi me sukses absolutisht të gjitha kërcënimet.

Kafeine ka publikuar një listë të sajteve që janë korruptuar nga shfrytëzimet, duke përfshirë burimin e një shitësi të madh me pakicë. Një pjesë e vogël e sajteve në listë tashmë janë korrigjuar dhe shumë të tjera janë bllokuar përgjithmonë nga Malwarebytes.

Provoni Varto

Malwarebytes Anti-Exploit Free nuk bllokon kanalin e transmetimit të të dhënave në skaj dhe përditësimi merr vetëm 3 megabajt në disk. Programi ka shtesa të mrekullueshme në koleksionin tuaj të shërbimeve shtesë mbrojtëse. Nëse nuk e shënoni aktivitetin e programit, shfrytëzimi nuk do të bllokohet. Për përdoruesit që janë veçanërisht të ndjeshëm ndaj sulmeve në internet, zbatimi i mbrojtjes së shfletuesit mund të jetë i mjaftueshëm. Nëse keni nevojë gjithashtu për mbrojtje nga dokumentet MS Office dhe PDF, si dhe mbrojtje nga sulmet e drejtpërdrejta që synohen, duhet të konsideroni të kontrolloni Malwarebytes Anti-Exploit Premium.

Një vështrim në Malwarebytes Anti-Exploit Free:

Përparësitë

  • mbron shfletuesit dhe programin e mesëm Java nga shfrytëzimet;
  • Roboti nuk kërkon nënshkrime;
  • programi është i vogël dhe me burime intensive;
  • Versioni Premium përfshin mbrojtjen e dokumenteve të Microsoft Office, programet për shikimin e skedarëve PDF dhe luajtësit e mediave;
  • Efektiviteti i produktit konfirmohet nga testet;
  • Unë do të prezantoj një produkt pa kosto.

Nedoliky

  • është e vështirë të vlerësohet efektiviteti.

Vlerësimi Zagalna

Malwarebytes Anti-Exploit Free mbron shfletuesit tuaj kundër sulmeve nga shfrytëzimet e njohura dhe kërcënimet e reja të ditës zero. Provoni këtë mjet shtesë sigurie plotësisht pa kosto.

Këtë vjeshtë, Windows 10 u përditësua në versionin 1709, me emrin e koduar Fall Creators Update ose Redstone 3. Në mes të shumë ndryshimeve, ne u fokusuam menjëherë në uljen e mbrojtjes kundër malware të panjohur. Microsoft ka zbatuar qasje të nivelit të ulët për të luftuar trojanët dhe shfrytëzimet e enkriptimit. Deri në çfarë mase ishin të suksesshme erërat?

Zahisnik i vjetër i ri

Gjithçka është e re - jo e vjetra e mirë e riemërtuar. Në "Fall Update for Designers", komponentët e mbrojtjes u prezantuan në Qendrën e Sigurisë së Windows Defender. Firewall-i i softuerit tani do të quhet "Windows Firewall Firewall", por ndryshimet janë thjesht kozmetike. Më e rëndësishmja, ka funksione të reja, të cilat do t'i shikojmë më poshtë.

Një tjetër komponent i ri i vjetër që vjen në Redstone 3 quhet Exploit Defense. Windows Defender Exploit Guard, ose thjesht EG, aktivizohet përmes "Windows Security Center" nën seksionin "Programet aktuale dhe shfletuesi".

Teknikisht, Exploit Guard është një Instrument i fuqishëm i Përparuar për Zbutjen me një sërë veçorish me viruse të ulëta dhe një ndërfaqe të re. EMET u shfaq brenda disa orësh nga Windows Vista, tani mbështetja e tij është shtuar dhe Exploit Guard ka zënë vendin e saj. Duhet të shqetësoheni për veçoritë e Mbrojtjes së Përparuar nga Kërcënimet, të tilla si menaxheri i pajisjes së Gardës së pajisjes me të cilin lidheni dhe menaxheri i shtesës Application Guard. Ju mund të thoni se Microsoft fillimisht donte të zbulonte komponentin e fshehur të Advanced System Security Guard, por akronimi doli të ishte krejtësisht disonant.

Shfrytëzoni mbrojtjen

Exploit Guard është thjesht një mjet për reduktimin e rrezikut; ai nuk eliminon nevojën për të mbyllur derdhjet në softuer, por përkundrazi e ndërlikon rikuperimin e tyre. Parimi kryesor i Exploit Guard është të mbrojë ato operacione që abuzohen më shpesh nga hajdutët.

Problemi është se ka shumë programe legjitime që janë gjithashtu vikoriste. Për më tepër, programet e vjetra (ose më saktë bibliotekat dinamike) thjesht ndalojnë së punuari kur Windows përdor funksione të reja të kontrollit të kujtesës dhe veçori të tjera të mbrojtjes ditore.

Prandaj, konfigurimi i Exploit Guard është i njëjtë me atë të përdorur më parë nga EMET. Në kujtesën time, shumë administratorë kaluan muaj të tërë duke u thelluar në rregullime delikate, dhe më pas thjesht kryenin funksione ndërmjetësuese vikoriste nëpërmjet skafeve të shumta të koristuvaçëve.

Nëse duhet të jeni të kujdesshëm dhe duhet t'i shtrëngoni më fort dadot, veçoritë më të njohura të Exploit Guard (përfshirë EMET) do të humbasin:

  • DEP(Data Execution Prevention) – mbrojtja e të dhënave. Nuk ju lejon të ekzekutoni një pjesë të kodit në llogarinë tuaj që nuk është menduar për atë zonë memorie (për shembull, si rezultat i një tejmbushjeje të pirgut);
  • rigjenerimi konvulsiv i kujtesës- shmang sulmet ndaj adresave të njohura;
  • zgjerimi i pikës së lidhjes- ajo anashkalon DLL-në në procesin që po lansohet (kapitulli për anashkalimin e UAC, kjo metodë është abuzuar gjerësisht);
  • ekipi AllowedChildProcessCreation- parandalon aditivin e caktuar të krijojë procese fëmijësh;
  • Adresa e tabelës së filtrimit për import (IAF) dhe eksport (EAF)- nuk lejon që procesi (scrappy) të hapë tabelën e adresave dhe të zgjerohet në anën e memories së bibliotekave të sistemit;
  • Kontrolli i telefonuesit- kontrollon disponueshmërinë e të drejtave për të klikuar në API-të konfidenciale;
  • SimExec- Imitim i Viconn. Ai kontrollon kodin përpara Wikonian-it të vërtetë kujt t'i drejtojë thirrjet konfidenciale API.

Komandat mund të dërgohen përmes PowerShell. Për shembull, pengesa për krijimin e proceseve të fëmijëve duket si kjo:

Set-ProcessMitigation -Emri wiki_file.exe -Aktivizo DisallowChildProcessCreation

Të gjithë procesorët x86 dhe çipet e dhjetë versioneve të mbetura mbështesin DEP në nivelin e harduerit, dhe për më të vjetrit, zbatimi i softuerit të këtij funksioni është i disponueshëm. Megjithatë, për t'u siguruar që versionet e reja të Windows funksionojnë mirë me softuerët më të vjetër, Microsoft ende rekomandon aktivizimin e DEP në modalitetin "vetëm për proceset e sistemit". Për këto arsye, ishte e pamundur të aktivizohej DEP për çdo proces. E gjithë kjo bëhet me sukses në teknikat e anashkalimit të sistemit të ruajtjes së të dhënave.

Prandaj, përfitimi i Exploit Guard do të jetë i favorshëm për faktin se është e mundur të përdoren vetëm disa funksione të rëndësishme pa shkaktuar probleme me programet kryesore. E vërteta rrallë del në shesh. Boshti është profili EG, i konvertuar nga EMET, i cili menjëherë thërret emrin e Windows 10 nga BSoD. Nëse "Hakerët" do të kishin një seksion "Intruder", dhe Exploit Guard do të përshtatej për mrekulli.

Shtesa nuk është më e disponueshme për pjesëmarrësit

Opsioni 1. Shkoni në "faqe" për të lexuar të gjitha materialet në sajt

Anëtarësimi me të gjithë afatin e caktuar do t'ju japë akses në TË GJITHA materialet e Hakerëve, do të rrisë kursimet tuaja personale dhe do t'ju lejojë të grumbulloni një vlerësim profesional të pikëve të Xakep!

Shfrytëzoni mbrojtjen (Garda e shfrytëzimit) është një veçori e re në Windows Defender në Windows 10 1709, e cila është një version i konsoliduar dhe më i shkurtër i mjetit EMET të Microsoft. Exploit Guard është krijuar për të mbrojtur kompjuterin tuaj nga shfrytëzimet dhe infektimi i sistemit tuaj me programe me qëllim të keq. Nuk ka nevojë të aktivizoni në mënyrë specifike Exploit Protection, por do të aktivizohet automatikisht, ose edhe nëse Windows është i çaktivizuar.

Mund të ndryshoni cilësimet e Exploit Guard në Windows Defender Security Center.

Në përgjithësi, ekzistojnë dy kategori kryesore të ndryshimit të konfigurimit në një kompjuter. Le të hedhim një vështrim në lëkurën e raportit të tyre.

Këtu mund të shihni një listë të mekanizmave të disponueshëm të mbrojtjes së Windows. Udhëzoni statusin që do të tregohet - i paaftë, i paaftë. Në dispozicion:

  1. C.F.G. Mbroni rrjedhën e keruvanisë dhe siguroni integritetin e saj për krijimin e thirrjeve indirekte (të përfshira në pastrim).
  2. SEHOP. Kontrollimi i verërave të litarit dhe sigurimi i integritetit të tyre gjatë orës së dorëzimit.
  3. DEP. Zabogannya vykonannyu danikh (për umovchannyam).
  4. Obov'yakovy ASLR. Shpërndarja Primus vapadkovy për imazhet që nuk korrespondojnë me /DYNAMICBASE (shënuar për larje).
  5. ASLR e ulët. Ndarja Vypadkovyy e kujtesës vizion. (marrë për t'u veshur).
  6. Kontrolloni integritetin e blerjes. Pasi të zbulohet një problem, procesi përfundon automatikisht. (marrë për t'u veshur).

Koristuvach mund t'i marrë ato një nga një.

Në këtë seksion mund të modifikoni gjithashtu parametra shtesë të mbrojtjes për skedarin e lëkurës dhe t'i shtoni ato në listën e gabimeve. Nëse softueri bie ndesh me ndonjë modul të aktivizuar në parametrat e sistemit, ai mund të çaktivizohet. Në këtë rast, rregullimi i programeve të tjera do të bëhet i pandryshueshëm.

Ky opsion funksionon në të njëjtën mënyrë si kur çaktivizohet në mjetin EMET të Microsoft. Ka tashmë disa programe standarde të Windows që funksionojnë këtu.

Mund të shtoni një skedar të ri që do të shtohet në listë menjëherë duke klikuar në butonin "Shto programe për personalizim individual". Për këtë, ju lutemi tregoni emrin e programit ose rrugën e saktë drejt tij. Ju lutemi kontaktoni listën.

Mjeku mund të modifikojë parametrat e programit të acarimit të lëkurës. Për ta bërë këtë, zgjidhni nga lista dhe klikoni "Ndrysho", më pas shtypni/rritni opsionin e kërkuar. Ju mund ta fshini programin nga lista e gabimeve.

Ekzistojnë vetëm disa parametra të disponueshëm për redaktim, të cilët nuk mund të rregullohen përmes kategorisë "System". Këto opsione janë vendosur në "Audit". Pas aktivizimit, Windows do të regjistrojë të dhëna në regjistrin e sistemit, gjë që është e lehtë për analiza të mëtejshme.

Rregullimi i importit dhe eksportit

Mund të eksportoni cilësime të hollësishme të Exploit Guard përmes Windows Security Center. Për ta bërë këtë, thjesht klikoni në butonin e duhur dhe ruani skedarin në formatin XML.

Mund të eksportoni cilësime përmes linjës së komandës Windows PowerShell. Për kë është urdhri:

Get-ProcessMitigation -RegistryConfigFilePath C:\Users\Alex\Desktop\Settings.xml

Për të importuar, duhet të zëvendësoni cmdlet MarrSet Dhe për analogji me prapanicën, shkruani emrin e shtegut të skedarit.

Mund të instaloni skedarin ekzistues XML nga cilësimet përmes redaktuesit të politikave të grupit lokal gpedit.msc:

  1. Në anën e majtë të ekranit, shkoni te skeda e redaktuesit Konfigurimi i kompjuterit -> Modelet administrative -> Komponentët e Windows -> Exploit Guard në Sigurinë e Windows -> Mbrojtja e shfrytëzimit. Hapni politikën Wikorist për t'u mbrojtur nga shfrytëzimet.
  2. Ndryshoni vlerën në "Njoftuar" dhe në fushën që shfaqet, futni shtegun drejt URL-së në skedarin origjinal XML me konfigurimin.

Ruani ndryshimet tuaja duke klikuar "Ruaj". Është shumë e lehtë për të rregulluar rendin, kështu që nuk është e detyrueshme të ri-inxhinieroni kompjuterin tuaj.

Konfigurimi i Exploit Guard për ndihmë shtesë për PowerShell

Për të modifikuar listën e moduleve të mbrojtjes, mund të përdorni linjën e komandës Windows PowerShell.

Komandat e mëposhtme janë të disponueshme këtu:

  1. Get-ProcessMitigation -Emri iexplore.exe – merrni një listë të të gjitha thirrjeve të suksesshme për procesin e zgjedhur. Cili aplikacion ka iexplore.exe, mund të specifikoni diçka tjetër. Në vend të emrit të programit, mund të futni rrugën e saktë.
  2. Mulliri E PAVENDOSUR(jo i instaluar) për kategorinë e parametrave të sistemit do të thotë që janë instaluar vlerat për cilësimet, për kategorinë e programeve këtu duhet të vendosni parametrin para të cilit hyrja do t'i caktohet kontrollit.
  3. Set me ekip shtesë Zbutja e procesit Vikorist përdoret për të modifikuar vlerën e edemës së lëkurës. Për të aktivizuar SEHOP për një skedar specifik të konfiguruar (në aplikacionin tonë test.exe) në adresën C:\Users\Alex\Desktop\test.exe, përdorni komandën PowerShell: Set-ProcessMitigation -Emri C:\Users\Alex\Desktop \test exe -Aktivizo SEHOP
  4. Për të vendosur këtë hyrje për të gjithë skedarët, dhe jo për një program specifik, përdorni komandën e mëposhtme: Set-Processmitigation -System -Aktivizo SEHOP
  5. - Aktivizo- hesht, - Çaktivizo- Vimknuti.
  6. Cmdlet - Hiq Vikorist për të përditësuar cilësimet standarde dhe për të treguar menjëherë pas - Emri.
  7. - Aktivizo ose - Çaktivizo AuditDynamicCode- Aktivizoni ose aktivizoni auditimin.

Kur futni komanda, sigurohuni që lëkura dhe parametri mund të bëhen kremoze gjatë hyrjes. Ju mund ta admironi listën e tyre këtu, PowerShell. Erë e keqe shfaqet pas futjes së komandës Get-ProcessMitigation -Name process_name.exe.

Aplikimi © 2024 Pajisje celulare dhe kompjuterike