Tìm hiểu về Windows Security: Kẻ “gác đền” cho Windows OS

Nguồn bài viết: Tìm hiểu về Windows Security: Kẻ “gác đền” cho Windows OS

Hầu hết các cuộc tấn công vào Windows đều bắt nguồn từ việc khai thác các lỗ hổng trong quản lý bộ nhớ của phần mềm mà người dùng tự cài đặt.

Vì vậy, Microsoft không thể để phần mềm mà họ không làm ra ảnh hưởng đến người dùng và uy tín của Microsoft.

Đó là lý do tại sao, thay vì chờ các nhà phát triển phần mềm tích hợp bảo mật bộ nhớ vào sản phẩm của họ, Microsoft đã đi trước một bước bằng cách tạo ra một lớp bảo mật ở cấp hệ điều hành (không phải vậy). là một phần mềm bảo mật mà chúng tôi phải cài đặt hoặc có thể gỡ bỏ).

Công cụ bảo mật này có lẽ ai sử dụng Windows cũng đã biết, nó có tên là Windows Security (hay tên cũ là Windows Defender)!

#Đầu tiên. Thông tin thêm về Bảo mật Windows

tim-hieu-ve-windows-security-1

Trước đây, Windows Security được biết đến như một phần mềm diệt virus miễn phí và thường được xếp hạng thấp hơn so với các chương trình bảo mật thương mại khác như Kaspersky, ESET, AVG, Symatec, v.v.

Nhưng kể từ khi hệ điều hành Windows 10 xuất hiện cho đến nay, Windows Security dần trở thành một thành phần cốt lõi của hệ điều hành Windows (bài viết này mình đang đề cập đến Windows Defender Exploit Guard, một thành phần của Windows Security). Chỉ dành cho phiên bản Windows Pro / Enterprise).

Nói thêm một chút về Exploit Guard trên Windows, nó là một tập hợp các cơ chế bảo mật để giảm khả năng người dùng Windows bị tấn công:

  1. Quy tắc giảm bề mặt tấn công: Giúp ngăn chặn virus / phần mềm độc hại ngay từ khi nó được gửi đến máy tính (chẳng hạn như các macro độc hại của bộ Office được gửi đến hộp thư Email của người dùng).
  2. Bảo vệ mạng: Quét lưu lượng mạng để phát hiện các hoạt động gửi / nhận phần mềm độc hại.
  3. Quyền truy cập thư mục được kiểm soát: Hỗ trợ phát hiện và ngăn chặn các thay đổi đối với các tệp tin quan trọng (như tệp tài liệu, tệp word, hình ảnh, tệp hệ thống, …) từ các loại virus như Ransomeware ransomware.
  4. Bảo vệ khai thác (EP): Thay thế Bộ công cụ trải nghiệm giảm thiểu nâng cao (EMET) cũ, EP bổ sung thêm các biện pháp ngăn chặn khai thác, ví dụ: đối với “bảo vệ khai thác bộ nhớ”, bao gồm: DEP (Ngăn chặn thực thi dữ liệu) và ASLR (Ngẫu nhiên hóa bố cục không gian địa chỉ).

Ngoài những cải tiến về cơ chế bảo mật so với người tiền nhiệm EMET, Exploit Protection còn tích hợp với GPO, giúp ích rất nhiều cho người quản trị vì GPO là công cụ hữu hiệu để quản lý toàn bộ hệ thống mạng. Các cửa sổ.

Bởi admin sẽ chủ động đưa ra các phương pháp xử lý khi phát hiện phần mềm độc hại lợi dụng lỗi “tràn bộ đệm” để thực thi mã độc, giải pháp được thực hiện thông qua “chính sách”.

Sau khi cài đặt các thành phần của Bảo vệ khai thác: DEP, ASLR, SEHOP trên máy tính mẫu, quản trị viên có thể xuất các cài đặt này thành tệp. xml sau đó sử dụng triển khai GPO để cài đặt mẫu có trong tệp xml điều này cho tất cả các máy mong muốn.

Ngoài ra, với Windows PowerShell, admin có thể kết nối trực tiếp với máy của người dùng và điều chỉnh cài đặt cực kỳ nhanh chóng.

# 2. Các thành phần ngăn chặn Giảm thiểu Khai thác Bộ nhớ (MEM)

tim-hieu-ve-windows-security-2

+) Ngăn chặn thực thi dữ liệu

Hầu hết các phần mềm độc hại đều khai thác lỗ hổng bộ nhớ bằng cách chèn mã độc vào vùng bộ nhớ RAM của các ứng dụng thông thường.

Cuộc tấn công này rất khó theo dõi vì sau khi khởi động lại máy tính, nó sẽ biến mất.

DEP giúp giảm thiểu rủi ro của kiểu tấn công này bằng cách giới hạn Phạm vi bộ nhớ khả dụng mà phần mềm độc hại có thể truy cập cũng như không cho phép các tệp thực thi chỉ hoạt động trong các vùng bộ nhớ được khai báo-sử dụng-lưu trữ-thông tin.

Kết hợp với các CPU hỗ trợ công nghệ này, DEP đánh dấu vùng lưu trữ này bằng các bit không thực thi (NX) hoặc chỉ đọc, vì vậy các CPU này sẽ từ chối các tệp thực thi trên vùng bộ nhớ khác.

+) Ngẫu nhiên hóa bố cục không gian địa chỉ

Ngoài việc khai thác các ứng dụng do người dùng cài đặt, phần mềm độc hại có thể tấn công các quy trình của hệ thống Windows để xác định nơi quy trình này chứa mã / dữ liệu thực thi trong bộ nhớ RAM và sau đó ghi đè lên mã thực. thi độc vào đó.

“Việc rải đống” là một trong những kỹ thuật tấn công mã thực thi tùy ý phổ biến khi ASLR chưa được phát triển.

ASLR giúp hệ điều hành Windows tránh được kiểu tấn công này bằng cách ngẫu nhiên hóa (ngẫu nhiên) các địa chỉ bộ nhớ (nơi chứa dữ liệu / mã thực thi) của các thành phần hệ thống Windows đang được sử dụng.

+) Bảo vệ ghi đè xử lý ngoại lệ có cấu trúc

Windows SEHOP giúp ngăn chặn phần mềm độc hại tấn công SEH (Structured Exception Processing), một thành phần của hệ thống bảo mật chịu trách nhiệm xử lý các ngoại lệ (exceptions) từ phần cứng đến phần mềm của máy.

Xin lưu ý rằng khi SEHOP được bật, một số ứng dụng không tương thích sẽ bị lỗi!

# 3. Phần kết

Mặc dù bài viết này rất hiểu biết đối với các quản trị viên mạng (quản trị viên) Windows, nhưng bạn cũng phải thấy rằng những “bộ óc nứt đố đổ vách” của Microsoft đang cố gắng nâng cao tính bảo mật của Windows với từng phiên bản. .

(Windows bị tấn công nhiều nhất do số lượng lớn người dùng đi kèm với số lượng ứng dụng / phần mềm khổng lồ, cùng với các thành phần bổ trợ đa dạng).

Microsoft cảnh báo rằng chỉ những Quản trị viên am hiểu về phần mềm độc hại tấn công bộ nhớ sẽ tự điều chỉnh cài đặt “Bảo vệ khai thác” của Bộ bảo vệ khai thác Windows Defender, yêu cầu kiểm tra trong môi trường thử nghiệm trước khi triển khai rộng rãi trong mạng công ty, tránh gây “sập” các ứng dụng quan trọng của hệ thống.

Bạn cũng phải cảnh giác khi một số bài báo khuyên nên tắt các tính năng này để game hay sử dụng ứng dụng không bị treo, lỗi không tương thích,… Đây nên là biện pháp cuối cùng vì sẽ rất nguy hiểm. Trong thời đại mà phần mềm độc hại, virus ransomware rất nhiều như hiện nay.

Cách tốt nhất để vẫn chạy các trò chơi và ứng dụng cũ mà vẫn đảm bảo an toàn cho máy tính hiện tại của bạn là sử dụng một máy tính ảo hoặc thuê một VPS Windows rồi từ xa vào, sử dụng thoải mái mà không lo bị mã hóa. file đính kèm để giải nén bitcoin nhé các bạn!

CTV: Dương Minh Thắng – Blogchiasekienthuc.com
Chỉnh sửa của Kiên Nguyễn

Bài viết đạt: 5/5 sao – (Có 1 đánh giá)

Ghi chú: Bài viết này có hữu ích cho bạn không? Đừng quên đánh giá bài viết, thích và chia sẻ nó với bạn bè và gia đình của bạn!

Bản quyền thuộc: tinthuthuat.com



from tinthuthuat.com https://ift.tt/gmFclpZ
via tinthuthuat.com

Nhận xét

Đăng nhận xét