Ką "blokuoja įtartinas elgesys"?
Ši funkcija turi gana neapibrėžtą pavadinimą. Tačiau "Microsoft" dokumentuose paaiškinama, kad "Block Suspicious Behaviors" yra tik "Windows Defender Exploit Guard atakos paviršiaus mažinimo technologijos" vardas. Ši saugumo funkcija buvo pateikta "Fall Creators Update", bet ji buvo prieinama tik "Windows 10 Enterprise". 2018 m. Spalio mėn. Naujinime jis dabar yra prieinamas visiems naudojant "Windows Security" parinktį.
Kai įjungiate šią funkciją, "Windows 10" įjungia įvairias saugumo taisykles. Šios taisyklės išjungia funkcijas, kurias paprastai naudoja tik kenkėjiška programa, ir padeda apsaugoti kompiuterį nuo atakos.
Štai keletas išpuolių paviršiaus mažinimo taisyklių:
- Blokuokite vykdomąjį turinį iš el. Pašto kliento ir žiniatinklio pašto
- Blokuoti "Office" programas nuo vaikų procesų kūrimo
- Blokuoti "Office" programas kurti vykdomąjį turinį
- Blokuoti "Office" programas nuo injekcijos kodo į kitus procesus
- Blokuoti JavaScript ar VBScript paleisti atsisiųstą vykdomąjį turinį
- Blokuoti potencialiai suklastotų scenarijų vykdymą
- Blokuoti Win32 API skambučius iš "Office" makrokomandos
- Užblokuokite "Windows" vietinės saugumo institucijos posistemio (lsass.exe) pavogtus vardus
- Blokuoti proceso kūrinius, kilusius iš PSExec ir WMI komandų
- Blokuoti neuzmoningus ir nepasirašytus procesus, kurie paleidžiami iš USB
- Blokuokite biuro komunikacijos programas kurdami vaikų procesus
Tai įtartini veiksmai, kuriuos gali naudoti kenksmingos programos. Pavyzdžiui, šios taisyklės blokuoja vykdomąjį failą, kuris gaunamas el. Paštu, neleidžia "Office" programoms atlikti konkrečių dalykų ir sustabdo pavojingą makrokomandos elgesį. Suaktyvinus šias taisykles, "Windows" saugo duomenis nuo vagystės, neleidžia paleisti įtartinų ieškotinų vykdomųjų failų USB atmintinėse ir atsisako paleisti scenarijus, kurie yra paslėpti, kad apeitumėte antivirusinę programinę įrangą.
Išsamų atakų paviršiaus mažinimo taisyklių sąrašą rasite "Microsoft" palaikymo svetainėje. Organizacijos gali pritaikyti, kurios taisyklės yra naudojamos grupės politikoje, tačiau vidutiniai vartotojo kompiuteriai gauna vienodą visų taisyklių rinkinį. Neaišku, kokios taisyklės naudojamos įjungus šią parinktį "Windows Security".
Tai yra "Windows Defender Exploit Guard" dalis
Attack Surface Reduction yra "Windows Defender Exploit Guard" dalis, kuri taip pat apima "Exploit Protection", "Network Protection" ir "Controlled Folder Access".
Tai svarbu išsiaiškinti - "Blokuoti įtartinus elgesius" nėra tas pats "Exploit Protection" funkcija, kuri apsaugo jūsų kompiuterį nuo įprastų išnaudojimo būdų. Pavyzdžiui, "Exploit Protection" apsaugo nuo bendrų atminties išnaudojimo būdų, naudojamų nulinės dienos išpuolių metu, ir nutraukia bet kokį jų naudojamą procesą. "Exploit Protection" veikia kaip "Microsoft" patobulintos mažinimo patirties įrankių rinkinys (EMET). Attack Surface Reduction išjungia potencialiai pavojingas savybes aukštesniu lygiu.
"Exploit Protection" yra įjungta pagal numatytuosius nustatymus, o jūs galite ją keisti iš bet kurios kitos "Windows Security" programos taikymo vietos. Attack Surface Reduction arba "Block Suspicious Behaviors", pagal numatytuosius nustatymus dar neįjungta.
Kaip įjungti "blokuoti įtartinas elgesys"
Šią funkciją galite įjungti iš "Windows Security" programos, anksčiau vadinto "Windows Defender" saugos centru.
Norėdami tai rasti, eikite į "Settings"> "Update &Security"> "Windows Security"> "Windows Security" atidarymas arba tiesiog paleiskite "Windows Security" nuorodą iš meniu "Start".
