Pregúntele a alguien qué software antivirus está usando y probablemente obtendrá una discusión casi religiosa sobre cuál instaló. Las opciones de antivirus a menudo dependen de en qué confiamos, o no, de nuestro sistema operativo. He visto a algunos usuarios de Windows indicar que preferirían un proveedor externo para monitorear y proteger sus sistemas. Otros, como yo, ven el software antivirus como menos importante en estos días; Es más importante que su proveedor de antivirus pueda manejar la actualización de Windows correctamente y no cause problemas.
Другие полагаются на Microsoft Defender. В той или иной форме он существовал со времен Windows XP. Недавно в Defender возникла проблема нулевого дня, которая была незаметно решена. В результате я попросил многих пользователей проверить, какая версия Defender у них установлена. (Для проверки: нажмите «Пуск», затем «Настройки», затем «Обновление и безопасность», затем «Безопасность Windows», затем «Откройте безопасность Windows». Теперь найдите шестеренку (настройки) и выберите «О программе». Вот четыре строки информации. Первая дает вам номер версии клиент защиты от вредоносных программ. Второй дает вам версию ядра. Третий дает вам номер версии антивируса. И последнее число - это номер версии антишпионского ПО. Но что это означает, когда Защитник говорит вашу версию ядра, версию антивируса и антишпионское ПО? версия 0.0.0.0? Это может означать, что вы установили сторонний антивирус; он заменяет Defender, который поэтому закрывается правильно. Некоторые люди думали, что ваш антивирус "по требованию" - это просто инструмент сканирования, а Defender по-прежнему является основным антивирусным инструментом.Но если сторонний инструмент сканирования считается антивирусом реального времени, это будет программное обеспечение, которое работает в вашей системе. Defender — это нечто большее, чем просто проверка на наличие поврежденных файлов и загрузок. Он предлагает множество настроек, которые большинство пользователей не проверяют регулярно или даже не знают о них. Некоторые из них отображаются в графическом интерфейсе. Другие полагаются на сторонних разработчиков, которые предоставят дополнительные рекомендации и понимание. Одним из таких вариантов является инструмент ConfigurationDefender на сайте загрузки GitHub. (ConfigureDefender предоставляет все параметры, которые вы можете использовать через PowerShell или реестр.)
![ConfigureDefender]()
Конфигуредефендер Инструмент Конфигуредефендер. Как отмечается на сайте ConfigurationDefender, разные версии Windows 10 предоставляют разные инструменты для Защитника. Все версии Windows 10 включают мониторинг в реальном времени; Мониторинг поведения; сканировать все загруженные файлы и вложения; Уровень отчетности (уровень членства в MAPS); Средняя загрузка процессора при сканировании; Автоматическая отправка образцов; Проверяет наличие потенциально нежелательных приложений (так называемая защита PUA); базовый уровень облачной защиты (по умолчанию); и базовый срок проверки в облаке. С выпуском Windows 10 1607 была введена настройка «блокировка с первого взгляда». В версии 1703 были добавлены более детальные уровни защиты облака и ограничение времени проверки облака. А начиная с 1709 года была уменьшена поверхность атаки, уровень облачной защиты (с расширенными уровнями для Windows Pro и Enterprise), контролируемый доступ к папкам и защита сети. Прокрутив вниз, вы увидите раздел, посвященный управлению правилами Microsoft Attack Surface Reduction (ASR). Вы также заметите, что многие из них отключены. Это одни из наиболее игнорируемых настроек Microsoft Defender. Хотя вам нужна лицензия Enterprise, чтобы полностью обеспечить мониторинг в вашей сети, даже автономные компьютеры и малые предприятия могут воспользоваться этими настройками и средствами защиты. Как отмечается в недавнем документе «Рекомендации по уменьшению поверхности атаки Microsoft Defender», существует несколько конфигураций, которые должны быть безопасными для большинства сред. Рекомендуемые настройки для включения включают:
- Блокируйте ненадежные и неподписанные процессы, запущенные с USB.
- Запретить Adobe Reader создавать дочерние процессы.
- Блокирует исполняемый контент из почтового клиента и веб-почты.
- Запретите JavaScript или VBScript запускать загруженный исполняемый контент.
- Блокируйте кражу учетных данных в подсистеме локального администратора безопасности Windows (lsass.exe).
- Запретите приложениям Office создавать исполняемый контент.
Включение этого параметра, то есть блокировка действия, как правило, не оказывает негативного влияния даже на автономные компьютеры. Вы можете использовать этот инструмент, чтобы установить эти значения и изучить любое влияние на вашу систему. Вы, наверное, даже не осознаете, что они защищают вас лучше. Кроме того, существуют конфигурации, которые необходимо просмотреть для вашей среды, чтобы убедиться, что они не мешают вашему бизнесу или ИТ-потребностям. Эти параметры:
- Запретите приложениям Office внедрять код в другие процессы.
- Блокируйте вызовы API Win32 из макросов Office.
- Запретите всем приложениям Office создавать дочерние процессы.
- Блокируйте выполнение потенциально запутанных сценариев.
В частности, в среде, включающей Outlook и Teams, регистрировалось большое количество событий, если был включен параметр «Запретить всем приложениям Office создавать дочерние процессы». Опять же, вы можете попробовать это и посмотреть, повлияет ли это на вас. Параметры для мониторинга следующие:
- Запретить запуск исполняемых файлов, если они не соответствуют критериям доминирования, возраста или списка доверия.
- Используйте расширенную защиту от программ-вымогателей.
- Блокировать создание процессов с помощью команд PSExec и WMI.
- Запретить всем коммуникационным приложениям Office создавать дочерние процессы.
Эти конфигурации следует проверить, чтобы убедиться, что они не мешают приложениям и бизнес-процессам. Например, если «Использовать расширенную защиту от программ-вымогателей» звучит как настройка, которую хотел бы каждый, в компании, где команда разработала программное обеспечение для внутреннего использования, это создало проблемы с рабочими процессами разработчиков. (Этот параметр специально анализирует исполняемые файлы, попадающие в систему, чтобы определить, заслуживают ли они доверия. Если файлы выглядят как программы-вымогатели, это правило предотвращает их запуск.) По словам авторов, особенно проблематичным оказался параметр «Блокировать создание процессов с помощью команд PSExec и WMI». Конфигурация не только привела к появлению большого количества событий в журнале аудита, но и стала несовместимой с Microsoft Endpoint Configuration Manager, поскольку для правильной работы клиента Configuration Manager требуются команды WMI. Если вы еще не просмотрели дополнительные параметры Microsoft Defender, загрузите zip-файл с github, разархивируйте его и запустите ConfigurationDefender.exe, чтобы увидеть, как эти параметры могут повлиять на ваш компьютер. Вы можете быть удивлены, обнаружив, что можете добавить немного больше защиты, не влияя на вашу работу на компьютере.
<p>Copyright © 2021 IDG Communications, Inc.</p>
Конфигуредефендер Инструмент Конфигуредефендер. Как отмечается на сайте ConfigurationDefender, разные версии Windows 10 предоставляют разные инструменты для Защитника. Все версии Windows 10 включают мониторинг в реальном времени; Мониторинг поведения; сканировать все загруженные файлы и вложения; Уровень отчетности (уровень членства в MAPS); Средняя загрузка процессора при сканировании; Автоматическая отправка образцов; Проверяет наличие потенциально нежелательных приложений (так называемая защита PUA); базовый уровень облачной защиты (по умолчанию); и базовый срок проверки в облаке. С выпуском Windows 10 1607 была введена настройка «блокировка с первого взгляда». В версии 1703 были добавлены более детальные уровни защиты облака и ограничение времени проверки облака. А начиная с 1709 года была уменьшена поверхность атаки, уровень облачной защиты (с расширенными уровнями для Windows Pro и Enterprise), контролируемый доступ к папкам и защита сети. Прокрутив вниз, вы увидите раздел, посвященный управлению правилами Microsoft Attack Surface Reduction (ASR). Вы также заметите, что многие из них отключены. Это одни из наиболее игнорируемых настроек Microsoft Defender. Хотя вам нужна лицензия Enterprise, чтобы полностью обеспечить мониторинг в вашей сети, даже автономные компьютеры и малые предприятия могут воспользоваться этими настройками и средствами защиты. Как отмечается в недавнем документе «Рекомендации по уменьшению поверхности атаки Microsoft Defender», существует несколько конфигураций, которые должны быть безопасными для большинства сред. Рекомендуемые настройки для включения включают: