Microsoft как крупнейшая компания по обеспечению безопасности в мире и ее участие в предотвращении программ-вымогателей
В обновлении Fall Creators для Windows 10 Microsoft включила несколько очень интересных инструментов безопасности. Прежде чем я объясню эти инструменты, давайте проведем черту между тем, что будет у большинства людей, выпуском Pro, и тем, что продвигает Microsoft, выпуском Enterprise с подпиской Advanced Threat Management (ATM). Являясь компанией SMB MSP, ни у одного из моих клиентов в настоящее время нет корпоративной версии Windows 10, и никто еще не подписался на ATM. Поэтому ставлю вопрос: какие новые возможности есть у моих клиентов? И как мне их реализовать?
Четыре больших проблемных области
Четыре большие области, вызывающие озабоченность, — это Edge, Защитник Windows, контролируемый доступ к папкам и отказ от набора инструментов Enhanced Mitigation Experience Toolkit (EMET).
Edge: я должен убедить своих клиентов как можно чаще использовать Edge для защиты от вредоносных веб-сайтов. Конечно, будут приложения и веб-страницы, которые еще не совместимы, но их становится все меньше и меньше по мере того, как разработчики создают новейшие браузерные технологии. В настоящее время Edge является самым безопасным браузером. Исторически новейший браузер всегда был самым быстрым и безопасным, и здесь ничего не изменилось (за исключением его нового конкурента, Firefox Quantum). Edge в настоящее время является лучшим в этих областях.
В версии Pro Windows 10 мы не получаем преимущества Application Guard, который виртуализирует Edge, чтобы изолировать его от пространства памяти операционной системы и других открытых приложений, но мы получаем Code Integrity Guard (CIG) и произвольный код. Guard (ACG) для выполнения этих задач для нас. Для этого требуется, чтобы библиотеки DLL были подписаны Microsoft, Windows Store или WHQL, и в случае нарушения ядро не сможет загрузить библиотеку DLL. Это также предотвращает создание браузером приложений и создание кода, хранящегося в памяти, доступным для записи. Это отличная защита от вредоносных веб-сайтов. Кроме того, Защитник Windows может распространить свою защиту и на Edge.
Хорошей новостью является то, что эти параметры настроены по умолчанию, поэтому ничего не нужно делать. Чтобы убедиться, что защита Защитника Windows включена, щелкните многоточие (три точки) на панели инструментов Edge, перейдите в раздел «Дополнительные параметры», прокрутите вниз и убедитесь, что «Помогите защитить меня от вредоносных сайтов и загрузок с помощью SmartScreen Защитника Windows». ” включен.
Наконец, если ваши пользователи все еще очень привязаны к Internet Explorer, запустите план обучения, чтобы они освоились с Edge. IE находится на жизнеобеспечении и на самом деле существует только для целей обратной совместимости. У Microsoft даже есть вкладка в IE, которая открывает Edge. Если это не надпись на стене, то я не знаю, что это.
Контролируемый доступ к папкам: я должен включить контролируемый доступ к папкам, чтобы предотвратить вымогателей, но мне действительно нужно тщательно спланировать его конфигурацию. Контролируемый доступ к папкам защищает документы, изображения, видео, музыку, избранное и рабочий стол от записи ненадежными приложениями. Я также могу добавить другие папки, которые нужно защитить моим пользователям. Это отлично подходит для предотвращения программ-вымогателей, но это очень навязчиво для пользователей и приводит к большому количеству всплывающих сообщений, пока вы не настроите его правильно. Сделайте это неправильно, и ваши пользователи взбунтуются, и вы больше никогда не сможете получить эту защиту в действии. Я смотрю немного сбоку на контролируемый доступ к папкам, и вы тоже, потому что это похоже на настройки контроля учетных записей несколько лет назад, когда они впервые были развернуты. Помните, как это было больно?
Защита управления учетными записями фантастическая, но пользователи ненавидели ее, потому что они слишком часто получали всплывающие окна. В наши дни он включен по умолчанию, и ваши пользователи даже не знают, что он их защищает. Я ожидаю, что доступ к контролируемой папке в конечном итоге тоже будет таким, но сейчас нам нужно его настроить. Хотя Microsoft заявляет, что у них есть алгоритм, который решает, следует ли доверять приложению, по иронии судьбы даже его собственные приложения Office не являются доверенными по умолчанию. Мои самостоятельные эксперименты с этой функцией сразу раздражали меня тем, что не позволяли мне сохранять документы Word в папку «Документы». После некоторого белого списка я создал список, который я могу передать своим клиентам, и в соответствии с политикой правильно настроить для них контролируемый доступ к папкам. Я настолько уверен в важности этой функции, что собираюсь добавить ее в свой комплект для защиты от программ-вымогателей в качестве основного инструмента для защиты Windows 10.
Как настроить контролируемый доступ к папкам
Контролируемый доступ к папкам немного скрыт. Вы найдете его в Защитнике Windows > Защита от вирусов и угроз > Параметры защиты от вирусов и угроз. Нажмите на нее и прокрутите вниз до нижней части страницы. Теперь вы должны увидеть то, что изображено на рисунке выше. По умолчанию отключено. Чтобы включить этот параметр, переведите его в положение «Вкл.».
Чтобы начать настройку, щелкните ссылку «Защищенные папки». Здесь вы видите список защищенных папок. Эта защита позволяет только авторизованным приложениям записывать в папку. С этим ограничением программа-вымогатель и другие вредоносные файлы не смогут сохранить свои изменения в ваших данных. Нажмите знак +, чтобы добавить новое местоположение данных. Они даже не должны быть местными!
Если позже вы захотите снять папку с защиты, просто нажмите на нее, после чего появится кнопка «Удалить», которую вы можете выбрать.
Как только вы выбрали защиту папки, вы сразу же обнаружите, что не можете сохранять какие-либо файлы, а приложения не могут сохранять какие-либо личные конфигурации. Произойдут две вещи: появится всплывающее окно приложения с сообщением «файл не найден», что является его способом сказать «я не могу сохранить этот файл», и Защитник покажет уведомление о несанкционированном изменении вашего защищенного файла. папка.
В приведенном выше случае я добавил OneDrive в свои защищенные папки. Конечно, OneDrive хранит предыдущие версии ваших файлов, но к ним сложно вернуться, если все они будут зашифрованы. После того, как я защитил эту папку, я решил сохранить в ней новое изображение из моего инструмента для обрезки и получил вышеуказанное уведомление. Это моя подсказка для внесения в белый список SnippingTool.exe. Для этого нажмите «Разрешить приложение» по ссылке «Контролируемый доступ к папке». Он находится прямо под той ссылкой, которую вы использовали для защиты папки (см. выше). Это белый список для контролируемого доступа к папкам, и теперь вы можете понять, почему вам придется делать это для своих пользователей, и тщательно спланировать развертывание.
Нажмите +, чтобы добавить приложение. Я рекомендую использовать уведомление для определения местоположения.exe. После того, как вы создали свой разрешенный список, вы будете готовы создать такой список для групповой политики или Powershell, чтобы настроить компьютеры ваших пользователей и избавить их от боли, через которую вы только что прошли. Мой план состоит в том, чтобы собрать стандартный набор, передать его нескольким людям, которые будут его тестировать, и использовать их результаты для создания белых списков на уровне отдела. У каждого отдела в бизнесе, вероятно, есть специальные приложения, которые необходимо добавить в белый список.
Защитник Windows: мне нужно сделать Защитник Windows основным антивирусом на компьютере, чтобы предотвратить запуск не-exe-инфекций, таких как некоторые новые варианты программ-вымогателей. Защитник использует Attack Surface Reduction, чтобы предотвратить запуск вредоносного кода сценариями, электронной почтой и приложениями Office, и он делает это, сравнивая поведение с глобальным графиком Microsoft такой информации, полученной от других пользователей этих приложений. Защитник Windows также позволяет предотвращать фишинговые входящие сетевые подключения, но опять же, для этого он должен быть основным антивирусом на компьютере.
Это подводит меня к предложению, которое бросает вызов всему, что мы, ИТ-специалисты, сделали к этому моменту. Я больше не буду рекомендовать сторонние антивирусы. Защитник Windows настроен на работу в фоновом режиме и обеспечивает минимальную защиту только в том случае, если у вас установлен другой продукт, поэтому, чтобы получить эти отличные средства защиты, Защитник должен быть основным антивирусным инструментом на вашем компьютере. Microsoft наконец заняла место водителя, и я решил порекомендовать своим клиентам позволить им это.
ЭМЕТ: Наконец, важно отметить еще одну вещь. ЭМЕТ ушел. В моей практике мы использовали EMET для защиты компьютеров, на которых использовалось бухгалтерское программное обеспечение и производились платежи. В основном это было сделано для улучшения Internet Explorer. Однако теперь Microsoft встроила эти средства защиты в Windows 10 и назвала их «Exploit Guard в Защитнике Windows». Вы можете прочитать все о том, что это значит, на TechNet. Настройки длинные и сложные, но важно отметить, что если вы уже использовали EMET, при обновлении Windows 10 он будет удален. Это сделано для того, чтобы не возникало конфликта между новым средством Exploit Guard и EMET. Существует процесс преобразования ваших настроек EMET в Device Guard, которому вы должны следовать. Однако, если вам удалось перевести своих пользователей на Edge, вы уже далеко продвинулись. На самом деле, если вы сможете избавиться от IE, то вам, скорее всего, не понадобится переносить текущие настройки.
Большинству людей неизвестно, что Microsoft является крупнейшей компанией по обеспечению безопасности в мире, но они слишком долго держали это в секрете для предприятий. В Windows 10 мы, наконец, видим, что отличные инструменты и средства безопасности доступны «обычному» пользователю Windows 10. Это очень хорошая новость для малых предприятий, которые обычно не участвуют в корпоративных соглашениях. Microsoft пытается изменить это с помощью новых подписок Microsoft 365, но им потребуется много времени, чтобы перевести своих клиентов на эту модель. Между тем, они проделали отличную работу, предоставив нам более безопасную платформу для начала.