Funktionsweise des neuen Exploit-Schutzes von Windows Defender (und dessen Konfiguration)
Das Herbst-Schöpfer-Update von Microsoft erweitert Windows endlich um einen integrierten Schutz vor Angriffen. Sie mussten dies zuvor in Form des EMET-Tools von Microsoft suchen. Es ist jetzt Teil von Windows Defender und ist standardmäßig aktiviert.
Funktionsweise des Exploit Protection von Windows Defender
Wir empfehlen schon seit langem, Anti-Exploit-Software wie das Enhanced Mitigation Experience Toolkit (EMET) von Microsoft oder die benutzerfreundlichere Malwarebytes Anti-Malware zu verwenden, die unter anderem eine leistungsstarke Anti-Exploit-Funktion enthält. Das EMET von Microsoft wird häufig in größeren Netzwerken eingesetzt, in denen es von Systemadministratoren konfiguriert werden kann. Es wurde jedoch nie standardmäßig installiert, erfordert eine Konfiguration und verfügt über eine verwirrende Benutzeroberfläche für durchschnittliche Benutzer.
Typische Antivirenprogramme wie Windows Defender verwenden Virendefinitionen und Heuristiken, um gefährliche Programme abzufangen, bevor sie auf Ihrem System ausgeführt werden können. Anti-Exploit-Tools verhindern eigentlich das Funktionieren vieler beliebter Angriffstechniken, sodass gefährliche Programme nicht von vornherein auf Ihr System gelangen. Sie ermöglichen bestimmte Schutzvorrichtungen für das Betriebssystem und blockieren gängige Arbeitsspeicherausnutzungsverfahren. Wenn ein ausnutzungsähnliches Verhalten entdeckt wird, beenden sie den Prozess, bevor etwas Schlimmes passiert. Mit anderen Worten, sie können sich vor vielen Zero-Day-Angriffen schützen, bevor sie gepatcht werden.
Sie können jedoch möglicherweise zu Kompatibilitätsproblemen führen, und ihre Einstellungen müssen möglicherweise für verschiedene Programme angepasst werden. Aus diesem Grund wurde EMET im Allgemeinen in Unternehmensnetzwerken verwendet, in denen Systemadministratoren die Einstellungen anpassen konnten, und nicht auf Heim-PCs.
Windows Defender enthält jetzt viele dieser Schutzfunktionen, die ursprünglich in Microsoft EMET gefunden wurden. Sie sind standardmäßig für alle aktiviert und Teil des Betriebssystems. Windows Defender konfiguriert automatisch die entsprechenden Regeln für die verschiedenen auf Ihrem System ausgeführten Prozesse. (Malwarebytes behauptet immer noch, dass die Anti-Exploit-Funktion überlegen ist, und wir empfehlen weiterhin die Verwendung von Malwarebytes, aber es ist gut, dass Windows Defender jetzt auch einige dieser integrierten Funktionen enthält.)
Diese Funktion wird automatisch aktiviert, wenn Sie ein Upgrade auf das Herbst-Ersteller-Update von Windows 10 durchgeführt haben und EMET nicht mehr unterstützt wird. EMET kann nicht einmal auf PCs installiert werden, auf denen das Fall Creators Update ausgeführt wird. Wenn Sie bereits EMET installiert haben, wird es vom Update entfernt.
Das Fall Creators Update von Windows 10 enthält auch eine verwandte Sicherheitsfunktion namens Controlled Folder Access. Es dient dazu, Malware zu stoppen, indem nur vertrauenswürdige Programme Dateien in Ihren persönlichen Datenordnern wie Dokumente und Bilder ändern. Beide Funktionen sind Bestandteil von "Windows Defender Exploit Guard". Kontrollierter Ordnerzugriff ist jedoch nicht standardmäßig aktiviert.
So stellen Sie sicher, dass der Exploit-Schutz aktiviert ist
Diese Funktion wird automatisch für alle Windows 10-PCs aktiviert. Es kann jedoch auch in den "Überwachungsmodus" umgeschaltet werden, sodass Systemadministratoren ein Protokoll darüber überwachen können, was Exploit Protection getan hätte, um zu bestätigen, dass es vor der Aktivierung auf kritischen PCs keine Probleme gibt.
Um zu bestätigen, dass diese Funktion aktiviert ist, können Sie das Windows Defender Security Center öffnen. Öffnen Sie Ihr Startmenü, suchen Sie nach Windows Defender und klicken Sie auf die Verknüpfung Windows Defender Security Center.
Klicken Sie in der Seitenleiste auf das fensterförmige Symbol „App- und Browsersteuerung“. Scrollen Sie nach unten und sehen Sie den Abschnitt "Exploit-Schutz". Sie werden informiert, dass diese Funktion aktiviert ist.
Wenn Sie diesen Abschnitt nicht sehen, hat Ihr PC das Update für das Herbsterstellungsprogramm wahrscheinlich noch nicht aktualisiert.
So konfigurieren Sie den Exploit-Schutz von Windows Defender
Warnung: Sie möchten diese Funktion wahrscheinlich nicht konfigurieren. Windows Defender bietet viele technische Optionen, die Sie anpassen können. Die meisten Benutzer wissen nicht, was sie hier tun. Diese Funktion ist mit intelligenten Standardeinstellungen konfiguriert, die Probleme vermeiden, und Microsoft kann seine Regeln im Laufe der Zeit aktualisieren. Diese Optionen scheinen in erster Linie dazu gedacht zu sein, Systemadministratoren dabei zu helfen, Regeln für Software zu entwickeln und sie in einem Unternehmensnetzwerk bereitzustellen.
Wenn Sie den Exploit-Schutz konfigurieren möchten, navigieren Sie zu Windows Defender-Sicherheitscenter> App- und Browsersteuerung, scrollen Sie nach unten und klicken Sie unter Exploit-Schutz auf "Einstellungen für Exploit-Schutz".
Hier werden zwei Registerkarten angezeigt: Systemeinstellungen und Programmeinstellungen. Systemeinstellungen steuert die Standardeinstellungen für alle Anwendungen, während Programmeinstellungen die einzelnen Einstellungen für verschiedene Programme steuern. Mit anderen Worten, Programmeinstellungen können die Systemeinstellungen für einzelne Programme überschreiben. Sie könnten restriktiver oder weniger restriktiv sein.
Am unteren Bildschirmrand können Sie auf "Einstellungen exportieren" klicken, um Ihre Einstellungen als XML-Datei zu exportieren, die Sie auf anderen Systemen importieren können. Die offizielle Dokumentation von Microsoft enthält weitere Informationen zum Bereitstellen von Regeln mit Gruppenrichtlinien und PowerShell.
Auf der Registerkarte Systemeinstellungen werden die folgenden Optionen angezeigt: Control Flow Guard (CFG), Data Execution Prevention (DEP), Erzwingen der Zufallsgenerierung für Bilder (Obligatorische ASLR), Randomize-Speicherzuordnungen (Bottom-up-ASLR), Ausnahmeketten überprüfen (SEHOP) und Validieren der Heap-Integrität. Sie sind standardmäßig aktiviert, mit Ausnahme der Option "Zufallsgenerierung für Bilder erzwingen" (Obligatorische ASLR). Dies ist wahrscheinlich darauf zurückzuführen, dass die obligatorische ASLR Probleme mit einigen Programmen verursacht. Wenn Sie diese Option aktivieren, kann es zu Kompatibilitätsproblemen kommen, abhängig von den von Ihnen ausgeführten Programmen.
Sie sollten diese Optionen wirklich nicht berühren, wenn Sie nicht wissen, was Sie tun. Die Standardeinstellungen sind sinnvoll und werden aus einem bestimmten Grund ausgewählt.
Die Benutzeroberfläche bietet eine sehr kurze Zusammenfassung der einzelnen Optionen. Sie müssen jedoch etwas recherchieren, wenn Sie mehr erfahren möchten. Wir haben zuvor erklärt, was DEP und ASLR tun.
Klicken Sie auf die Registerkarte "Programmeinstellungen", um eine Liste verschiedener Programme mit benutzerdefinierten Einstellungen anzuzeigen. Mit den Optionen hier können die allgemeinen Systemeinstellungen überschrieben werden. Wenn Sie beispielsweise "iexplore.exe" in der Liste auswählen und auf "Bearbeiten" klicken, werden Sie feststellen, dass die hier vorgeschriebene Regel die obligatorische ASLR zwingend für den Internet Explorer-Prozess aktiviert, obwohl sie nicht systemweit standardmäßig aktiviert ist.
Sie sollten diese integrierten Regeln für Prozesse wie runtimebroker.exe und spoolsv.exe nicht manipulieren. Microsoft hat sie aus einem bestimmten Grund hinzugefügt.
Sie können benutzerdefinierte Regeln für einzelne Programme hinzufügen, indem Sie auf "Programm zum Anpassen hinzufügen" klicken. Sie können entweder „Nach Programmname hinzufügen“ oder „Exakten Dateipfad auswählen“ auswählen, die Angabe eines genauen Dateipfads ist jedoch viel genauer.
Nach dem Hinzufügen können Sie eine lange Liste von Einstellungen finden, die für die meisten Menschen nicht von Bedeutung sind. Die vollständige Liste der verfügbaren Einstellungen ist: Arbitrary Code Guard (ACG), Blockieren von Images mit niedriger Integrität, Blockieren von Remote-Images, Blockieren von nicht vertrauenswürdigen Schriftarten, Code Integrity Guard, Steuerungsflusswächter (CFG), Data Execution Prevention (DEP), Deaktivieren von Erweiterungspunkten , Win32k-Systemaufrufe deaktivieren, Keine untergeordneten Prozesse zulassen, Adressfilterung (EAF) exportieren, Randomisierung für Bilder erzwingen (obligatorische ASLR), Adressfilterung importieren (IAF), Speicherzuordnungen zufällig bestimmen (Bottom-up-ASLR), Ausführung simulieren (SimExec). , Überprüfen des API-Aufrufs (CallerCheck), Überprüfen der Ausnahmeketten (SEHOP), Überprüfen der Verwendung des Handles, Überprüfen der Heap-Integrität, Überprüfen der Integrität der Image-Abhängigkeit und Überprüfen der Stack-Integrität (StackPivot)..
Sie sollten diese Optionen nicht berühren, es sei denn, Sie sind ein Systemadministrator, der eine Anwendung sperren möchte, und wissen wirklich, was Sie tun.
Als Test haben wir alle Optionen für iexplore.exe aktiviert und versucht, es zu starten. Internet Explorer hat gerade eine Fehlermeldung angezeigt und den Start verweigert. Es wurde nicht einmal eine Windows Defender-Benachrichtigung angezeigt, die besagt, dass Internet Explorer aufgrund unserer Einstellungen nicht funktioniert.
Versuchen Sie nicht einfach, Anwendungen blind einzuschränken, oder Sie verursachen ähnliche Probleme auf Ihrem System. Wenn Sie sich nicht erinnern, dass Sie auch die Optionen geändert haben, ist die Problembehandlung schwierig.
Wenn Sie noch eine ältere Windows-Version wie Windows 7 verwenden, können Sie Schutzfunktionen für Exploits erhalten, indem Sie EMET oder Malwarebytes von Microsoft installieren. Die Unterstützung für EMET wird jedoch am 31. Juli 2018 eingestellt, da Microsoft die Unternehmen stattdessen in Richtung Windows 10 und Exploit Protection von Windows Defender vorstoßen möchte.