Čo znamená "Blokovať podozrivé správanie"?
Táto funkcia má dosť nejasný názov. Dokumentácia spoločnosti Microsoft však vysvetľuje, že blokovanie podozrivých správaní je len priateľským názvom pre technológiu "Redukcia povrchu útoku Windows Defender Exploit Guard". Táto bezpečnostná funkcia bola predstavená v programe Update Fall Creators, ale bola dostupná iba v systéme Windows 10 Enterprise. V aktualizácii v októbri 2018 je teraz k dispozícii všetkým prostredníctvom možnosti Windows Security.
Po povolení tejto funkcie systém Windows 10 aktivuje rôzne bezpečnostné pravidlá. Tieto pravidlá zakazujú funkcie, ktoré bežne používajú iba škodlivý softvér a pomáhajú chrániť počítač pred útokom.
Tu sú niektoré z pravidiel znižovania povrchových útokov:
- Zablokovať spustiteľný obsah z e-mailového klienta a webovej pošty
- Blokovať aplikácie Office z vytvárania detských procesov
- Blokovať aplikácie Office z vytvárania spustiteľného obsahu
- Blokovať aplikácie Office z injekčného kódu do iných procesov
- Zablokujte JavaScript alebo VBScript od spustenia spusteného spustiteľného obsahu
- Zablokovanie vykonávania potenciálne zamlžovaných skriptov
- Blokujte volania API Win32 z makra Office
- Zablokovanie odcudzenia poverení z podsystému miestnych bezpečnostných autorít systému Windows (lsass.exe)
- Vytvárajte blokové procesy pochádzajúce z príkazov PSExec a WMI
- Blokovať nedôveryhodné a nepodpísané procesy, ktoré bežia cez USB
- Aplikácie Block Office komunikujú pri vytváraní detských procesov
Ide o podozrivé akcie, ktoré môžu používať škodlivé aplikácie. Tieto pravidlá napríklad zablokujú spustiteľné súbory, ktoré prichádzajú e-mailom, bránia aplikáciám Office vykonávať konkrétne veci a zastavujú nebezpečné správanie makier. S týmito pravidlami umožňuje systém Windows chrániť poverenia pred krádežou, zastaví podozrivé hľadanie spustiteľných súborov na diskoch USB a odmieta spustiť skryty, ktoré vyzerajú skryté, aby získali antivírusový softvér.
Úplný zoznam pravidiel týkajúcich sa znižovania počtu útokov nájdete na lokalite podpory spoločnosti Microsoft. Organizácie si môžu prispôsobiť, ktoré pravidlá sa používajú v rámci skupinových pravidiel, ale priemerné spotrebiteľské počítače dostanú jeden súbor pravidiel. Nie je jasné, ktoré pravidlá sa používajú pri povolení tejto možnosti v systéme Windows Security.
Toto je súčasť programu Windows Defender Exploit Guard
Útok Surface Reduction je súčasťou programu Windows Defender Exploit Guard, ktorý zahŕňa aj ochranu Exploit Protection, ochranu siete a prístup k riadeným priechodom.
To je dôležité pre objasnenie - "Block Suspicious Behaviors" nie je tá istá vlastnosť ako Exploit Protection, ktorá chráni váš počítač pred rôznymi bežnými technikami využívania. Napríklad Exploit Protection chráni pred bežnými technológiami používajúcimi nulové útoky a ukončuje akýkoľvek proces, ktorý ich používa. Exploit Protection funguje ako softvér Microsoft Enhanced Mitigation Experience Toolkit (EMET). Funkcia Redukcia povrchu útoku zakazuje potenciálne nebezpečné funkcie na vyššej úrovni.
Funkcia Exploit Protection je predvolene povolená a môžete ju vyladiť inde z aplikácie Windows Security. Útoková zmena povrchu alebo "Blokovať podozrivé správanie" ešte nie je povolená.
Ako povoliť blokovanie podozrivých správania
Túto funkciu môžete povoliť v aplikácii Windows Security - predtým s názvom Windows Defender Security Center.
Nototot notky nototototky
