Cara Kerja Perlindungan Eksploitasi Baru Windows Defender (dan Cara Mengkonfigurasinya)
Microsoft Fall Creators Update akhirnya menambahkan perlindungan eksploit terintegrasi ke Windows. Anda sebelumnya harus mencari ini dalam bentuk alat EMET Microsoft. Sekarang bagian dari Windows Defender dan diaktifkan secara default.
Bagaimana Perlindungan Eksploitasi Windows Defender Bekerja
Kami telah lama merekomendasikan menggunakan perangkat lunak anti-eksploitasi seperti Microsoft Enhanced Mitigation Experience Toolkit (EMET) atau Malwarebytes Anti-Malware yang lebih ramah pengguna, yang berisi fitur anti-eksploitasi yang kuat (antara lain). Microsoft EMET banyak digunakan pada jaringan yang lebih besar di mana ia dapat dikonfigurasi oleh administrator sistem, tetapi tidak pernah diinstal secara default, memerlukan konfigurasi, dan memiliki antarmuka yang membingungkan untuk rata-rata pengguna.
Program antivirus biasa, seperti Windows Defender sendiri, menggunakan definisi dan heuristik virus untuk menangkap program berbahaya sebelum mereka dapat berjalan di sistem Anda. Alat anti-exploit sebenarnya mencegah banyak teknik serangan populer tidak berfungsi sama sekali, jadi program berbahaya itu tidak ada di sistem Anda sejak awal. Mereka mengaktifkan perlindungan sistem operasi tertentu dan memblokir teknik eksploit memori yang umum, sehingga jika perilaku seperti eksploit terdeteksi, mereka akan menghentikan proses sebelum sesuatu yang buruk terjadi. Dengan kata lain, mereka dapat melindungi terhadap banyak serangan zero-day sebelum ditambal.
Namun, mereka berpotensi menyebabkan masalah kompatibilitas, dan pengaturannya mungkin harus disesuaikan untuk program yang berbeda. Itu sebabnya EMET umumnya digunakan pada jaringan perusahaan, di mana administrator sistem dapat mengubah pengaturan, dan bukan pada PC rumahan.
Windows Defender sekarang termasuk banyak dari perlindungan yang sama ini, yang awalnya ditemukan di Microsoft EMET. Mereka diaktifkan secara default untuk semua orang, dan merupakan bagian dari sistem operasi. Windows Defender secara otomatis mengonfigurasi aturan yang sesuai untuk berbagai proses yang berjalan pada sistem Anda. (Malwarebytes masih mengklaim fitur anti-exploit mereka lebih unggul, dan kami masih merekomendasikan menggunakan Malwarebytes, tetapi ada baiknya bahwa Windows Defender memiliki beberapa fitur bawaan ini sekarang juga.)
Fitur ini secara otomatis diaktifkan jika Anda telah ditingkatkan ke Pembaruan Musim Gugur Pencipta Windows 10, dan EMET tidak lagi didukung. EMET bahkan tidak dapat diinstal pada PC yang menjalankan Fall Creators Update. Jika Anda sudah menginstal EMET, itu akan dihapus oleh pembaruan.
Fall 10 Creators Update Windows 10 juga menyertakan fitur keamanan terkait bernama Controlled Folder Access. Ini dirancang untuk menghentikan malware dengan hanya mengizinkan program tepercaya untuk memodifikasi file di folder data pribadi Anda, seperti Dokumen dan Gambar. Kedua fitur adalah bagian dari "Windows Defender Exploit Guard". Namun, Akses Folder Terkendali tidak diaktifkan secara default.
Cara Mengonfirmasi Perlindungan Eksploitasi Diaktifkan
Fitur ini secara otomatis diaktifkan untuk semua PC Windows 10. Namun, itu juga dapat beralih ke "mode Audit", yang memungkinkan administrator sistem untuk memonitor log apa yang akan dilakukan Perlindungan Eksploitasi untuk mengonfirmasi itu tidak akan menimbulkan masalah sebelum mengaktifkannya pada PC kritis.
Untuk mengonfirmasi bahwa fitur ini diaktifkan, Anda dapat membuka Pusat Keamanan Windows Defender. Buka menu Start Anda, cari Windows Defender, dan klik pintasan Windows Defender Security Center.
Klik ikon "Aplikasi & kontrol browser" berbentuk jendela di bilah samping. Gulir ke bawah dan Anda akan melihat bagian "Eksploitasi perlindungan". Ini akan memberi tahu Anda bahwa fitur ini diaktifkan.
Jika Anda tidak melihat bagian ini, PC Anda mungkin belum diperbarui ke Fall Creators Update.
Cara Mengkonfigurasi Perlindungan Eksploitasi Windows Defender
Peringatan: Anda mungkin tidak ingin mengonfigurasi fitur ini. Windows Defender menawarkan banyak opsi teknis yang dapat Anda sesuaikan, dan kebanyakan orang tidak akan tahu apa yang mereka lakukan di sini. Fitur ini dikonfigurasi dengan pengaturan default pintar yang akan menghindari masalah, dan Microsoft dapat memperbarui aturannya dari waktu ke waktu. Opsi di sini tampaknya terutama dimaksudkan untuk membantu administrator sistem mengembangkan aturan untuk perangkat lunak dan meluncurkannya di jaringan perusahaan.
Jika Anda ingin mengonfigurasi Exploit Protection, buka Windows Defender Security Center> Kontrol aplikasi & browser, gulir ke bawah, dan klik “Exploit protection settings” di bawah Exploit protection.
Anda akan melihat dua tab di sini: Pengaturan sistem dan Pengaturan program. Pengaturan sistem mengontrol pengaturan default yang digunakan untuk semua aplikasi, sedangkan pengaturan Program mengontrol pengaturan individual yang digunakan untuk berbagai program. Dengan kata lain, pengaturan Program dapat menggantikan pengaturan Sistem untuk masing-masing program. Mereka bisa lebih membatasi atau kurang membatasi.
Di bagian bawah layar, Anda dapat mengklik "Ekspor pengaturan" untuk mengekspor pengaturan Anda sebagai file .xml yang dapat Anda impor di sistem lain. Dokumentasi resmi Microsoft menawarkan informasi lebih lanjut tentang penerapan aturan dengan Kebijakan Grup dan PowerShell.
Pada tab Pengaturan sistem, Anda akan melihat opsi berikut: Penjaga aliran kontrol (CFG), Pencegahan Eksekusi Data (DEP), Pengacakan paksa untuk gambar (Wajib ASLR), Acak alokasi memori (ASLR bottom-up), Validasi rantai pengecualian (SEHOP), dan Validasi integritas tumpukan. Semuanya aktif secara default kecuali opsi Force randomization for images (Wajib ASLR). Itu mungkin karena Wajib ASLR menyebabkan masalah dengan beberapa program, jadi Anda mungkin mengalami masalah kompatibilitas jika Anda mengaktifkannya, tergantung pada program yang Anda jalankan.
Sekali lagi, Anda benar-benar tidak boleh menyentuh opsi ini kecuali Anda tahu apa yang Anda lakukan. Defaultnya masuk akal dan dipilih karena suatu alasan.
Antarmuka menyediakan ringkasan yang sangat singkat tentang apa yang dilakukan setiap opsi, tetapi Anda harus melakukan riset jika ingin tahu lebih banyak. Kami sebelumnya telah menjelaskan apa yang dilakukan DEP dan ASLR di sini.
Klik ke tab "Pengaturan program", dan Anda akan melihat daftar program yang berbeda dengan pengaturan khusus. Opsi di sini memungkinkan pengaturan sistem secara keseluruhan ditimpa. Misalnya, jika Anda memilih "iexplore.exe" di daftar dan mengklik "Edit", Anda akan melihat bahwa aturan di sini secara paksa mengaktifkan ASLR Wajib untuk proses Internet Explorer, meskipun tidak diaktifkan secara default di seluruh sistem.
Anda tidak boleh mengutak-atik aturan bawaan ini untuk proses seperti runtimebroker.exe dan spoolsv.exe. Microsoft menambahkannya karena suatu alasan.
Anda dapat menambahkan aturan khusus untuk masing-masing program dengan mengklik "Tambah program untuk menyesuaikan". Anda dapat "Tambah berdasarkan nama program" atau "Pilih jalur file yang tepat", tetapi menentukan jalur file yang tepat jauh lebih tepat.
Setelah ditambahkan, Anda dapat menemukan daftar panjang pengaturan yang tidak akan berarti bagi kebanyakan orang. Daftar lengkap pengaturan yang tersedia di sini adalah: Penjaga kode arbitrer (ACG), Memblokir gambar berintegritas rendah, Memblokir gambar jarak jauh, Memblokir font yang tidak dipercaya, Penjaga integritas kode, Penjaga aliran kontrol (CFG), Pencegahan Eksekusi Data (DEP), Nonaktifkan titik ekstensi , Nonaktifkan panggilan sistem Win32k, Jangan izinkan proses anak, Penyaringan alamat ekspor (EAF), Pengacakan paksa untuk gambar (Wajib ASLR), Pemfilteran Alamat Impor (IAF), Acak alokasi memori (ASLR bottom-up), Eksekusi simulasi (SimExec) , Memvalidasi permohonan API (CallerCheck), memvalidasi rantai pengecualian (SEHOP), memvalidasi penggunaan pegangan, memvalidasi integritas tumpukan, memvalidasi integritas ketergantungan gambar, dan memvalidasi integritas tumpukan (StackPivot).
Sekali lagi, Anda tidak boleh menyentuh opsi ini kecuali Anda seorang administrator sistem yang ingin mengunci aplikasi dan Anda benar-benar tahu apa yang Anda lakukan.
Sebagai pengujian, kami mengaktifkan semua opsi untuk iexplore.exe dan mencoba meluncurkannya. Internet Explorer hanya menampilkan pesan kesalahan dan menolak untuk memulai. Kami bahkan tidak melihat pemberitahuan Windows Defender yang menjelaskan bahwa Internet Explorer tidak berfungsi karena pengaturan kami.
Jangan hanya secara membabi buta mencoba membatasi aplikasi, atau Anda akan menyebabkan masalah serupa pada sistem Anda. Mereka akan sulit dipecahkan jika Anda tidak ingat Anda mengubah opsi juga.
Jika Anda masih menggunakan versi Windows yang lebih lama, seperti Windows 7, Anda bisa mendapatkan fitur perlindungan exploit dengan menginstal EMET atau Malwarebytes dari Microsoft. Namun, dukungan untuk EMET akan berhenti pada 31 Juli 2018, karena Microsoft ingin mendorong bisnis ke arah Windows 10 dan Perlindungan Eksploitasi Windows Defender sebagai gantinya.