Защитник Windows: от запоздалого антивируса к многогранному решению

Опубликовано: 3 Апреля, 2023
Защитник Windows: от запоздалого антивируса к многогранному решению

Microsoft придерживается этого с Защитником Windows. В течение нескольких лет он как бы сидел там и мало что делал. (Я уверен, что кто-то из Microsoft просто съежился.) Но теперь это полноценный антивирус, защита от вредоносных программ и программ-вымогателей, встроенная и бесплатная. Он специально разработан для защиты Windows 10 и делает это, защищая не только от попутных загрузок, определений и отслеживания поведения без определений, но также защищает от бесфайловых вредоносных программ, работающих в памяти с помощью плохих WMI, PowerShell, vbscript и DLL. Я собираюсь утверждать, что это лучший способ защитить ваши компьютеры с Windows 10 — в моей практике MSP мы приняли решение не устанавливать сторонние аудио/видео на компьютеры с Windows 10. На самом деле, Defender недавно приписали предотвращение того, что могло бы стать масштабной всемирной кибератакой.

Для тех из вас, кто еще не там, вы должны знать, что Microsoft сделала большое дело о том, что Защитник хорошо работает с другими антивирусными приложениями, но это означает, что Защитник отходит на второй план, и вы теряете некоторые важные функции безопасности. Давайте посмотрим, что происходит, когда вы устанавливаете другой аудио/видеопродукт в Windows 10.

Пассивный режим Защитника Windows

Изображение 10202
Майкрософт

Защитник Windows имеет два режима: активный и пассивный. Режим переключается автоматически в зависимости от того, присутствует ли на машине другой аудио/видео или нет. Этот другой аудио/видео должен быть осведомлен о Защитнике. Конечно, к настоящему времени они все должны быть, но вы можете столкнуться с некоторыми, которых нет. Я бы поставил под сомнение их современность, если это так.

Активный режим: это когда Защитник включен и сторонние аудио/видео не установлены. Вы получаете улучшенное обнаружение руткитов и буткитов, автономное сканирование и очистку, онлайн-сканирование и очистку, защиту в реальном времени от вирусов, вредоносных программ, руткитов и шпионских программ. Он также имеет облачную защиту для почти мгновенных обновлений и специальную защиту, основанную на изучении больших данных Microsoft.

Пассивный режим: это когда установлен сторонний антивирусный продукт. Когда это произойдет, аудио- и видеозащита Защитника Windows будет отключена. Однако у вас есть один вариант. Вы можете вручную включить так называемое «ограниченное периодическое сканирование». Считай это отказоустойчивым. Если этот параметр включен, Защитник время от времени будет выполнять быстрое сканирование. Чтобы включить этот открытый Защитник Windows, перейдите в «Настройки антивирусной защиты». Здесь вы увидите свое антивирусное программное обеспечение в списке. Разверните параметры Защитника Windows и включите периодическое сканирование.

Во многих блогах, которые вы увидите в Интернете, говорится, что антивирус Защитника Windows автоматически отключается при установке сторонних аудио- и видеопродуктов. Это правда, но это не так просто, как кажется. Что часто упускается из виду, так это понимание того, что другие защитные функции также отключены, поскольку они являются частью набора функций аудио/видео в Защитнике.

Защита от вредоносных программ также отключается

Ниже приведена диаграмма, показывающая, что уменьшение уязвимой зоны, защита сети и контролируемый доступ к папкам также отключаются, когда не включена защита в реальном времени. (Это еще один способ сказать, что Защитник находится в пассивном режиме.)

В приведенной выше таблице вы увидите, что Defender выпускается в двух вариантах. Это либо с ATP (Advanced Threat Protection), либо без (стандартно). Чтобы получить версию ATM, вам необходимо иметь один из следующих типов лицензий. Для остальных из нас это стандартная версия Defender, о которой я буду говорить до конца этой статьи, потому что ATM — это действительно другое животное, которое включает в себя единую панель управления, поиск угроз, исправление., и более.

  • Windows 10 Корпоративная E5
  • Windows 10 для образовательных учреждений E5
  • Microsoft 365 E5 (M365 E5), который включает Windows 10 Корпоративная E5
  • Дополнение к банкомату

Настоящий вопрос, конечно, в том, что я на самом деле потерял? Чтобы ответить на этот вопрос, вам нужно понять, как сокращение уязвимой зоны, защита сети и контролируемый доступ к папкам защищают Windows 10. У нас есть следующие определения:

Меры по уменьшению поверхности атаки включают:

  • Блокировать исполняемый контент из почтового клиента и веб-почты.
  • Блокировать приложения Office от создания дочерних процессов.
  • Блокировать приложения Office от внедрения в другие процессы.
  • Препятствовать запуску исполняемых файлов JavaScript и VBScript.
  • Блокировать выполнение потенциально запутанных скриптов.
  • Блокировать импорт Win32 из кода макроса в Office.

Контролируемый доступ к папкам — это ответ Microsoft на постоянно растущее число заражений программами-вымогателями. Контролируемый доступ к папкам позволяет только список известных приложений записывать в пользовательские папки, такие как «Документы», «Изображения» и т.п. Пользователи могут расширить список папок для защиты и внести в белый список приложения, которым разрешено создавать или редактировать файлы.

Сетевая защита Защитника Windows использует технологию SmartScreen для блокировки любого исполняемого файла от подключения к потенциально вредоносным источникам на основе HTTP в Интернете. Сетевая защита расширяет SmartScreen от решения Internet Explorer и Edge до системного уровня, обеспечивая защиту других браузеров и потенциальных вредоносных программ.

А также потенциально AMSI тоже

Интерфейс сканирования защиты от вредоносных программ также будет отключен. Ваш антивирусный продукт может быть достаточно современным, чтобы использовать эту функцию самостоятельно. Microsoft предполагала, что любой сторонний инструмент для защиты от вредоносных программ может использовать этот интерфейс. Но если нет, то вы также потеряли очень важный инструмент. AMSI защищает вас от вредоносного кода. Пока я это печатаю, возникает множество так называемых бесфайловых заражений. Бесфайловое заражение — это когда злоумышленник получает доступ к машине (с помощью грубой силы, фишинга, социальной инженерии… обычных виновников), запускает PowerShell (например) и загружает свой код в память. Ни один файл не был записан, на вашей машине нет ничего, кроме оперативной памяти, откуда он выполняет свою грязную работу. AMSI разработан специально для защиты от сценариев PowerShell, вызовов групповой политики WMI и сценариев VB, которые замаскированы, чтобы скрыться от основных аудио- и видеопродуктов. AMSI просматривает их в их простом состоянии, когда они пытаются запуститься, пропускает их через фильтр для выявления плохого поведения и останавливает их выполнение.

Тестовый защитник

Если вы любознательны и хотите протестировать Защитник, чтобы увидеть, что отключено, что включено и в чем разница в поведении, у Microsoft есть веб-сайт, на котором вы можете протестировать различные функции, чтобы убедиться, что они работают правильно. Здесь вы можете протестировать антивирус, попутные загрузки, облачную защиту в реальном времени и многое другое.

Все еще не убеждены?

Теперь вопрос в том, следует ли отключать службы Защитника? Черт возьми нет! Защитник Windows — это одна из тех интегрированных функций, что и IE в свое время, поэтому, если вы отключите его в службах, Windows станет нестабильной. Избавь себя от горя. Защитник поддерживает сторонние антивирусы. Позвольте этим приложениям настроить Защитника для вас. Они переведут его в пассивный режим для вас. Если они этого не делают, то это явный признак того, что ваше программное обеспечение не идет в ногу со временем.

Пришло время дать Defender шанс. Я знаю, что читал там много всякой ерунды про защитников. Пришло время взглянуть на это снова с ясным умом и увидеть направление, в котором Microsoft берет этот продукт. Это уже не тот старый Defender, который вы ненавидели последние десять лет. Теперь это действительно интегрированная система безопасности. Дни сравнения одного A/V с другим по скорости захвата вируса или троянской программы прошли. Это уже не лучшая мера. Нападающие умнее. Атаки разнообразны и идут со всех сторон. Defender — это интегрированное решение, которое, как мы надеялись, появится, и Microsoft действительно взяла на себя ответственность за это. Они всегда были отличной компанией, пришедшей из-за спины, и они сделали это снова с Защитником в Windows 10, а также в Server 2016. Они построены на одном и том же коде, поэтому Windows Server теперь также имеет улучшенную встроенную систему безопасности.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023