Paano maiwasan ang mga exploit sa Windows 11 gamit ang Exploit Protection at hardening

Ang magandang balita ay ang Windows 11 ay may kasamang arsenal ng mga advanced na tampok sa seguridad (marami ang minana at pinahusay mula sa lumang EMET) at, kasama ang isang mahusay na diskarte sa pagpapatibay, ay nagbibigay-daan lubos na binabawasan ang saklaw ng pag-atake at pinipigilan kahit ang mga zero-day exploit.Sa mga sumusunod na linya, makikita mo, hakbang-hakbang, kung paano maiwasan ang mga exploit sa Windows 11 sa pamamagitan ng paggamit nang husto sa Exploit Protection, Microsoft Defender, mga access control, sandboxing, system hardening, at mga mahusay na kasanayan sa pamamahala.

Ano ang Exploit Protection sa Windows 11 at bakit ito mahalaga?

Sa Windows 11, ang tinatawag na Proteksyon sa Pagsasamantala Ito ay isang hanay ng mga pagpapagaan na inilalapat kapwa sa operating system mismo at sa mga partikular na programa. Ang layunin nito ay gawin itong pinakamahirap hangga't maaari para sa malware maaaring magsamantala sa mga depekto sa seguridad, sirain ang memorya, o magpasok ng code sa mga lehitimong proseso.

Marami sa mga kakayahang dating iniaalok ng EMET ay natively integrated na ngayon sa Windows, kaya... Hindi na kailangang mag-install ng mga panlabas na tool upang maisaaktibo ang mga high-level na mitigationBukod pa rito, maaari itong pagsamahin sa mga solusyon tulad ng Microsoft Defender para sa Endpoint upang magbigay ng detalyadong visibility sa mga kaganapan, bloke, at audit na nabuo ng mga depensang ito.

Maaaring i-configure ang Exploit Protection sa dalawang pangunahing lugar: mga pagpapagaan sa antas ng sistema (na nakakaapekto sa lahat ng prosesong walang tiyak na konpigurasyon) at mga pagpapagaan sa pamamagitan ng aplikasyon (mga pinong-tune na configuration para sa mga partikular na executable). Bukod pa rito, marami sa mga mitigasyon na ito ay sumusuporta sa mode ng pag-audit, mainam para sa pagsubok ng mga agresibong patakaran nang hindi ginugulo ang produktibong kapaligiran.

Mga kinakailangan at pinakamahusay na kasanayan para sa pag-deploy ng mga mitigasyon

Bago ka magsimulang mag-activate ng mga mitigation nang walang ingat, mahalagang ihanda nang maayos ang iyong kapaligiran. Ang hindi maayos na configuration ay maaaring humantong sa mga pag-crash, hindi pagkakatugma, o pagkawala ng produktibidad, kaya ipinapayong gawin ito. Ituring ang pag-deploy ng Exploit Protection bilang isang proyekto sa pamamahala ng peligro.

Ang unang hakbang ay ang paganahin ang isang matatag na sistema ng pagsubaybay: i-configure ang event logging gamit ang auditpol at wevtutil para makolekta niya ang mga error sa aplikasyon (ID 1000 at 1001) at mga pag-crash ng system (ID 1002)Makakatulong ito sa iyo na matukoy kung ang anumang mga pagbabago sa pagpapagaan ay nagdudulot ng mga problema sa mga partikular na programa.

Malaking tulong din ito para ma-activate ang muling pagsasama-sama ng memory dumps buong gumagamitAng mga dumps na ito ay nagbibigay-daan sa mga pangkat ng seguridad o suporta na suriin nang detalyado kung bakit nagka-crash ang isang proseso pagkatapos i-activate ang isang partikular na mitigation at, sa maraming pagkakataon, umasa sa mga tool tulad ng Iproseso ang Hacker para sa pagsasaliksik.

Isa pang matalinong hakbang ay ang pagsusuri kung aling mga kritikal na aplikasyon ang kino-compile na gamit ang mga modernong teknolohiya tulad ng Control Flow Guard (CFG)nakatuon sa pagpigil sa mga exploit na sumisira sa memory. Maaari mong gamitin ang dumpbin tool para tingnan kung ang isang binary ay may kasamang CFG. Sa marami sa mga ito app, Hindi na kakailanganing ipatupad ang mga karagdagang pagpapagaan tulad ng DEP, ASLR, SEHOP, o ACGdahil mayroon na silang mga karaniwang proteksyon.

Ang lahat ng ito ay isinama sa tinatawag ng Microsoft na mga kasanayan ng Ligtas na Pag-deploy (Mga Kasanayan sa Ligtas na Pag-deploy, SDP)Ang ideya ay ipatupad ang mga pagbabago sa seguridad nang paunti-unti, pagsubok muna sa isang maliit na grupo ng mga kagamitan upang mabawasan ang panganib ng malawakang pagsasara.

Paano i-deploy ang Exploit Protection nang hindi nasisira ang kapaligiran

Ang isang inirerekomendang paraan ay ang pumili sa pagitan ng 10 at 50 na mga aparatong Windows Pipili ka ng mga representatibong sistema at gagamitin ang mga ito bilang isang laboratoryo. Sa mga sistemang ito, susubukan mo ang 21 na magagamit na mga pagpapagaan, tutukuyin kung alin ang lumalabag sa aling aplikasyon, at pipinuhin ang patakaran para sa iyong organisasyon o sa iyong sariling daloy ng trabaho.

Ang mga pagpapagaan na napatunayang hindi tugma sa isang kritikal na app ay maaaring i-disable lang ang mga ito para sa partikular na executable na iyon.pinapanatili silang aktibo sa iba pang bahagi ng sistema. Pagkatapos ay uulitin mo ang proseso sa mga pangunahing aplikasyon (mga browser, office suite, business software, atbp.) hanggang sa magkaroon ka ng isang matatag na hanay ng mga patakaran.

Kapag hinog na ang patakaran, una itong nabubuo sa isang kapaligiran ng User Acceptance Testing (UAT) binubuo ng mga IT administrator, seguridad, at mga kawani ng suporta. Kung magiging maayos ang lahat ayon sa plano, maaari mo nang simulan ang pagtaas: 1%, 5%, 10%, 25%, 50%, 75%, at panghuli, 100% ng mga koponan.

Kung namamahala ka ng maraming device, hindi makatuwiran na manu-manong i-configure ang bawat isa. Pinapayagan ka ng Windows 11 na gawin ito. I-export ang configuration ng Exploit Protection sa isang XML file at ilapat ito nang sentralisado gamit ang Intune, Microsoft Configuration Manager, MDM, o Group Policy.

I-configure ang Exploit Protection mula sa Windows Security app

Para sa isang indibidwal na koponan o para sa pagsubok, ang pinakadirektang paraan upang makipagtulungan sa Exploit Protection ay sa pamamagitan ng app. Windows securityMula doon, maaari mong isaayos ang mga mitigasyon sa antas ng system at application, pati na rin i-export ang XML profile.

Para ma-access, buksan lang ang icon ng shield sa system tray o maghanap "Seguridad ng Windows" sa Start menu. Pagkapasok, pumasok Application at kontrol ng browser at hanapin ang link para sa Proteksyon sa kahinaan / Konpigurasyon ng proteksyon sa kahinaan.

Ang seksyon ay nahahati sa dalawang bloke: Pagsasaayos ng systemkung saan mo inaayos ang mga pandaigdigang sukat, at Mga setting ng programakung saan mo pino-fine tune ayon sa executable. Ang mga karaniwang opsyon para sa bawat mitigation ay:

• Pinagana bilang default: naaangkop sa lahat ng app na walang sariling entry.
• Hindi pinagana bilang defaultHindi ito ginagamit maliban kung ito ay ipinipilit sa isang partikular na app.
• Gamitin ang default na halaga: nirerespeto ang value na kasama ng Windows 11 mula sa factory (Pinagana o Hindi Pinagana, nakasaad sa loob ng mga panaklong).

Ang ilang mga pagpapagaan ay tumatanggap ng isang espesyal na paraan ng pagtutuos ng kuwentaSa kasong iyon, itinatala ng sistema ang mga kaganapan na parang aktibo ang pagpapagaan, ngunit Hindi talaga nito hinaharangan ang operasyonPerpekto ito para makita kung ano ang makakasira sa isang agresibong patakaran bago ito ipatupad.

Kung gusto mong isaayos ang isang partikular na aplikasyon, sa Mga Setting ng Programa, maaari kang pumili ng isa mula sa listahan o gamitin ang mga opsyon Magdagdag ng programa para i-customizealinman sa pamamagitan ng maipapatupad na pangalan (nakakaapekto sa anumang proseso na may pangalang iyon, opsyonal na nililimitahan sa pamamagitan ng landas), o sa pamamagitan ng pagpili ng eksaktong landas ng file gamit ang diyalogo ng Windows Explorer.

Kapag napili mo na ang app, makikita mo ang lahat ng available na mitigations para dito. Maaari mo itong paganahin, i-disable, o ilagay sa audit mode. Kung ie-enable mo ang checkbox para sa "I-invalidate ang configuration ng system" Para sa isang partikular na pagpapagaan, ang ipapadala mo ay palaging ang configuration ng programa, kahit na iba ang nakasaad sa configuration ng system.

Mga praktikal na halimbawa ng pagsasama-sama ng pagpapagaan

Ang paraan ng pagsasama ng mga opsyon sa sistema at programa ay maaaring medyo nakalilito. Ang pangkalahatang gawi ay Mas inuuna ang mga setting sa antas ng programa kaysa sa mga setting sa antas ng sistema Kung sakaling magkaroon ng conflict, at kung walang natukoy, ipapadala nito ang value na "Gamitin ang default value".

Isipin na may nag-configure ng Data Execution Prevention (DEP) sa antas ng sistema bilang "Disabled by default". Kung idadagdag mo ang test.exe sa Mga Setting ng Programa, lagyan ng tsek ang opsyon na i-override ang mga setting ng sistema at itakda ang DEP sa "Enabled", ang aktwal na epekto ay Tanging ang test.exe ang gagana sa DEPhabang ang iba pang mga aplikasyon ay hindi na ito mailalapat.

Sa isang medyo mas kumplikadong senaryo, isipin ang isang administrator na iniwang naka-disable ang DEP bilang default sa system, lumikha ng entry ng program para sa test.exe na pinagana ang DEP at ino-override ang global policy, at isa pa para sa miles.exe kung saan pinapagana lamang ang Control Flow Protection (CFG) nang hindi tinatablan ang DEP. Ang praktikal na resulta ay ang test.exe ay magkakaroon ng DEP na aktibo, ang miles.exe ay magkakaroon pa rin ng CFG ngunit walang DEP, at ang natitirang bahagi ng sistema ay magpapatuloy nang walang DEP.

Pinapayagan ng modelong ito pagbutihin ang proteksyon ng mga kritikal na aplikasyonnang hindi pinipilit ang parehong antas ng pagpapatigas sa mga luma o partikular na sensitibong programa.

Mga magagamit na mitigasyon at kung paano nakakatulong ang mga ito laban sa mga pagsasamantala

Kasama sa Exploit Protection ang isang napakalawak na hanay ng mga mitigasyon, marami sa mga ito ay minana mula sa EMET ngunit isinama at na-optimize sa Windows 10/11. Ang ilan ay maaaring ilapat sa buong sistema at mga aplikasyon, ang iba ay sa antas lamang ng aplikasyon.

Kabilang sa mga pinakamahalaga para sa maiwasan ang mga exploit sa Windows 11 tumayo:

• Proteksyon sa daloy ng kontrol (CFG): tinitiyak na ang mga hindi direktang tawag ay sumusunod sa mga nakaplanong ruta, na pumipigil sa mga malisyosong paglihis mula sa daloy ng pagpapatupad.
• Data Execution Prevention (DEP): pinipigilan ang code na maisagawa sa mga rehiyon ng memorya na minarkahan bilang data lamang (mga tambak, mga stack).
• ASLR at mga variant: pinipilit ang paglipat ng imahe (ForceRelocateImages) at ginagawang random ang mga alokasyon ng memorya (BottomUp, HighEntropy), na nagpapakomplikado sa mga exploit batay sa mga static address.
• SEHOP: pinapatunayan ang integridad ng mga exception handler chain, pinuputol ang isang klasikong pamamaraan ng exploitation.
• ACG (Tagapangalaga ng Kodigo ng Arbitraryo): pinipigilan ang pagpapakilala ng mga executable code na hindi nagmumula sa mga lehitimong imahe at hinaharangan ang mga pagbabago sa mga pahina ng code.
• Pagharang sa mga imaheng malayuan o mababa ang integridad: ipinagbabawal ang paglo-load ng mga binary mula sa mga mapagkukunan ng network o may mababang mga tag ng integridad, isang pamamaraang karaniwang ginagamit ng malware.
• Proteksyon sa integridad ng code: nililimitahan ang pag-upload ng mga binary sa mga nilagdaan ng Microsoft, WHQL o mga pinagkakatiwalaang mapagkukunan, na may opsyong isama ang Microsoft Store.
• I-disable ang mga system call ng Win32k: inihihiwalay ang ilang partikular na aplikasyon mula sa Win32k call table, na nagpapagaan sa mga pag-atake na nagta-target sa subsystem na iyon.
• Huwag Payagan ang Paglikha ng Proseso ng Bata: pinipigilan ang isang app sa paggawa ng mga child process, mainam para sa paglalagay ng mga macro o viewer na hindi dapat maglunsad ng iba pa.
• EAF at IAF (Pag-filter ng Address sa Pag-export/Pag-import): tumuklas ng kahina-hinalang pag-access sa mga na-export/na-import na function table, tipikal sa mga kumplikadong ROP chain.

Marami sa mga pagpapagaan na ito ay maaari ring ilagay sa mode ng pag-audittinatala ang mga bagay na sana'y hinarangan nila nang hindi talaga nakakasagabal. Ang iba, tulad ng CFG o DEP, ay gumagana lamang sa applied mode.

Sa mga kasalukuyang bersyon ng Windows 11, ang mga mas lumang EMET mitigation tulad ng NullPage o heap spray Direktang naka-integrate na ang mga ito sa kernel, kaya itinuturing silang laging aktibo at hindi nangangailangan ng karagdagang configuration.

Sentralisadong pamamahala: Intune, MDM, Configuration Manager, at GPO

Sa mga korporasyon, ang proteksyon laban sa exploit ay karaniwang pinamamahalaan nang sentralisado. Kabilang dito ang pagsisimula sa isang "master" na makina kung saan ang mga mitigation ay kino-configure gamit ang Windows Security, at pagkatapos... i-export ang configuration sa isang XML file.

Gamit ang Microsoft Intune, maaari kang pumunta sa seksyon ng Mga profile ng configuration ng deviceGumawa ng bagong profile para sa Windows 10 at mas bago, at piliin ang template mula sa Proteksyon ng endpoint Pagkatapos, i-load ang XML file gamit ang mga opsyon na Exploit Protection. Pagkatapos nito, italaga ang profile sa lahat ng user at device o sa mga partikular na grupo.

Kung nakikipagtulungan ka sa isang generic na MDM configuration service provider, maaari mong gamitin ang CSP. ./Vendor/MSFT/Patakaran/Config/ExploitGuard/Mga Setting ng ExploitProtection para ilapat o i-disable ang mga mitigasyon, pati na rin i-activate ang audit mode.

Mayroong dalawang paraan sa Microsoft Configuration Manager. Seguridad ng endpoint → Pagbawas ng ibabaw ng pag-atake Maaari kang lumikha ng patakarang "Proteksyon sa Kahinaan", piliin ang XML file, at ipamahagi ito. Mula sa lugar ng Mga Asset at Pagsunod → Endpoint Protection → Windows defender Exploit Guard Maaari mo ring i-upload ang XML, suriin ang configuration, at i-deploy ang resultang direktiba.

Ang Group Policy ay nananatiling isa pang malawakang ginagamit na pamamaraan: buksan lamang ang GPO management console, i-edit ang nais na object, at mag-navigate sa Konpigurasyon ng Computer → Mga Template ng Administrasyon → Mga Bahagi ng Windows → Windows Defender → Proteksyon sa KahinaanDoon mo makikita ang opsyon na gumamit ng isang karaniwang set ng configuration at ituro ang path kung saan matatagpuan ang XML.

PowerShell para tingnan at tumpak na isaayos ang mga mitigasyon

Bukod sa graphical interface, ang Windows 11 ay nag-aalok ng isang napakalakas na cmdlet para sa pamamahala ng mga depensang ito: Kunin-ProcessMitigation / Itakda-ProcessMitigationGamit ito, maaari mong siyasatin at baguhin ang katayuan ng bawat mitigasyon sa antas ng sistema o aplikasyon.

Kung gusto mong makita ang mga mitigasyon na nakakaapekto sa isang partikular na proseso, patakbuhin lamang ang isang utos na tulad nito: Kunin-ProcessMitigation -Pangalan processName.exePara baguhin ang mga setting, ang pangkalahatang syntax ay:

Pangkalahatang syntax: Set-ProcessMitigation -<scope> <objetivo> -<acción> <mitigation, opciones>

Saan siya saklaw Maaari itong maging -Pangalan (para sa isang partikular na app) o -System (para sa buong sistema); ang aksyon ay maaaring -Paganahin o -Huwag paganahin; at ang mga mitigasyon ay mga keyword tulad ng DEP, CFG, BottomUp, DynamicCode, DisallowChildProcessCreation, atbp.

Halimbawa, kung gusto mong paganahin ang DEP gamit ang thunks ATL emulation at pigilan ang mga child process para sa C:\Apps\LOB\tests\testing.exe, maaari kang gumamit ng katulad nito Itakda-ProcessMitigation -Pangalan c:\apps\lob\tests\testing.exe -Paganahin ang DEP, EmulateAtlThunks, DisallowChildProcessCreationPara pilitin ang DEP sa buong sistema, gagamitin mo Itakda-ProcessMitigation -System -Paganahin ang DEP.

Kung kailangan mong ibalik ang isang mitigation sa default ng system pagkatapos itong baguhin para sa isang app, dapat mong pagsamahin -Tanggalin na may aksyon at pagpapagaan, halimbawa: Set-ProcessMitigation -Name test.exe -Remove -Disable DEP.

Ang mga mitigasyon na tumatanggap ng audit mode ay gumagamit ng mga partikular na parameter, tulad ng AuditDynamicCode, AuditImageLoad, AuditFont, AuditChildProcessatbp. Para i-activate ang mga ito, isinasama ang mga ito sa listahan gamit ang -Enable; para i-deactivate ang mga ito, ipinapasa ang mga ito sa -Disable gamit ang parehong syntax.

Pagsubaybay sa mga kaganapan ng Exploit Protection sa Defender at Event Viewer

Ang isang mahalagang bahagi ng pag-iwas sa pagsasamantala ay subaybayan kung ano talaga ang nangyayariKung gumagamit ka ng Microsoft Defender para sa Endpoint, maaari mong gamitin ang advanced threat scan para makita ang lahat ng event na may kaugnayan sa Exploit Guard (kasama ang Exploit Protection).

Ang isang pangunahing query ay maaaring ganito: DeviceEvents | where ActionType startswith 'ExploitGuard' and ActionType !contains 'NetworkProtection'Ibinabalik nito sa iyo ang mga paglabag na na-audit o naharang kaugnay ng mga pagpapagaan tulad ng ACG, EAF, IAF, pagharang sa proseso ng bata, proteksyon sa integridad ng code, atbp.

Ang bawat pagpapagaan ay may mga kaugnay na hakbang. Mga Uri ng Aksyon mga partikular na tawag, halimbawa ang ExploitGuardAcgEnforced/ExploitGuardAcgAudited para sa ACG, ExploitGuardChildProcessBlocked para sa pagharang sa child process, ExploitGuardRopExploitBlocked para sa mga pagtukoy ng ROP (SimExec, CallerCheck, StackPivot), o ExploitGuardWin32SystemCallBlocked para sa mga tinanggihang tawag sa Win32k.

Kung wala kang Defender para sa Endpoint, maaari kang laging gumamit ng Windows Event ViewerSa Application log, ang provider na "Security Mitigations" ay bumubuo ng maraming ID (1-24) para sa mga audit at application event ng ACG, child process, remote images, untrusted sources, EAF, IAF, ROP, atbp.

Bukod pa rito, ang mga bahagi tulad ng WER (Diagnostics) issue ID na may kaugnayan sa Bloke ng CFGKayang i-log ng Win32K ang mga partikular na kaganapan kapag nakakita ito ng mga hindi mapagkakatiwalaang mapagkukunan. Napakahalaga ng telemetry na ito para sa pagpino ng mga patakaran at pag-unawa sa tunay na epekto ng iyong mga patakaran sa pagpapatigas.

Karagdagang pagpapatigas sa Windows 11 laban sa mga pagsasamantala at ransomware

Ang Exploit Protection ay isa lamang piraso ng palaisipan. Isinasama ng Windows 11 ang iba pang mga tampok sa seguridad na, kapag pinagsama nang epektibo, Malaki ang naitutulong ng mga ito pagdating sa pagpigil sa mga exploit, ransomware, at mga pag-atake sa browser..

Isa sa pinakamahalaga ay ang Kontroladong pag-access sa folderAng depensang ito ay partikular na idinisenyo upang harangan ang mga kahina-hinalang pagbabago sa mga kritikal na direktoryo, na nagpoprotekta laban sa ransomware at paniniktik ng datos. Gumagana ang sistema sa pamamagitan ng paggamit ng isang whitelist ng mga pinagkakatiwalaang application na pinapayagang baguhin ang ilang partikular na path (Mga Dokumento, Larawan, gumaganang folder, atbp.).

Para i-configure ito, pumunta ka sa Mga Setting → Pagkapribado at seguridad → Seguridad ng Windows → Proteksyon laban sa virus at banta At sa loob ng "Ransomware Protection", pinamamahalaan mo ang kontroladong pag-access sa mga folder at protektadong folder. Sa ganitong paraan, masisiguro mo na Tanging ang mga lehitimong programa lamang ang maaaring mag-encrypt o magbago ng iyong mga sensitibong file.

Ang isa pang key piece ay SmartScreen sa loob ng "Kontrol ng Aplikasyon at Browser"Sinusuri ng bahaging ito sa totoong oras ang descargas, ang mga executable at mga pahinang binibisita mo, kung ikukumpara sa reputasyon ng cloud upang mapigilan ang maraming pagtatangkang mag-download ng phishing o malware nang maaga.

Maipapayo na paganahin ang mga opsyon tulad ng "Suriin ang mga app at file", "SmartScreen para sa Microsoft Edge", at "Proteksyon sa Phishing", sa gayon ay mapanatili ang isang medyo agresibong filter na Pinipigilan nito ang mga exploit na dumarating sa pamamagitan ng browser o email..

Para sa mga mas mapanganib na sitwasyon, ang Windows Sandbox ay isang tagapagligtas ng buhay. Gumagana ito bilang isang ultra-lightweight virtual machine na isinama sa system (sa mga edisyong Pro/Enterprise), mainam para sa pagbubukas ng mga kahina-hinalang attachment, pagsubok ng hindi kilalang software, o pagbisita sa mga kahina-hinalang website. Lahat ng nangyayari sa loob Nawawasak ito kapag isinara ang bintana., nang hindi ginagalaw ang iyong pangunahing instalasyon.

Core isolation, VBS, HCCI at ligtas na pagsisimula

Ang Windows 11 ay labis na namuhunan sa paghihiwalay batay sa hardware. Mga pagpipilian tulad ng Core Isolation at Integridad ng Memorya Ihihiwalay nila ang mga kritikal na proseso upang hindi ito mamanipula ng arbitraryong code sa memorya, na lubos na nagpapakomplikado sa mga pagsasamantala na nagta-target sa kernel o mga mahinang driver.

Ang mga tungkuling ito ay umaasa sa mga teknolohiyang tulad ng Virtualization-Based Security (VBS) at Hypervisor-Protected Code Integrity (HVCI), na naglalagay ng mga sensitibong bahagi sa isang hiwalay na kapaligiran (Virtual Secure Mode) at nagpapatupad ng mahigpit na mga patakaran sa paglagda ng code.

Para gumana ang lahat ng ito, kailangan mo Paganahin ang virtualization ng hardware sa BIOS/UEFI at tiyaking natutugunan ng computer ang mga kinakailangan ng Windows 11, kabilang ang TPM 2.0. Magandang ideya rin na i-activate ang Boot Ligtas na Bootna nagsisiguro na tanging mga nilagdaan at pinagkakatiwalaang bahagi lamang ang nilo-load habang nagsisimula.

Ang pagsasama-sama ng Secure Boot, TPM, VBS, at HVCI ay nagbibigay ng matibay na pundasyon para maiwasan ang mga pag-atake na naglo-load ng mga rootkit, nagbabago ng firmware, o nagtatangkang magpasok ng kanilang mga sarili sa kernel. Bagama't walang tiyak na katiyakan, tinitiyak ng mga layer na ito na Ang paggamit ng mga kahinaan sa mababang antas ay mas magastos at mas kumplikado..

Kung gusto mong matuto nang higit pa tungkol sa kung paano gumagana at kung paano na-configure ang isolation na ito, tingnan ang artikulo tungkol sa paghihiwalay ng kernel sa Windows 11.

Iba pang inirerekomendang hakbang sa pagpapatigas para sa Windows 11

Bukod sa mga partikular na pagpapagaan, mayroong ilan pangkalahatang mga kasanayan na lubos na nakakatulong upang maiwasan ang mga pagsasamantala at limitahan ang kanilang epekto kung sakaling maisakatuparan ang mga ito:

Panatilihin Aktibo at na-update ang Microsoft Defender Antivirus (o Microsoft Defender para sa Endpoint) Mahalaga ito. Ang real-time na proteksyon, mga napapanahong lagda, at regular na pagsusuri ay nakakatuklas ng maraming pagtatangka ng pagsasamantala bago pa man nila matagumpay na mapag-ugnay-ugnay ang kahinaan.

ang Mga update sa Windows at mga application ng third-party Sila pa rin ang unang linya ng depensa. Ang mga kritikal na depekto tulad ng CVE-2023-28252 (isang kahinaan sa privilege escalation sa CLFS file system, na ginamit upang i-deploy ang Nokoyawa ransomware) ay nagpapakita na ang mga kriminal ay hindi nag-aatubiling gumamit ng zero-days laban sa mga katamtaman at malalaking negosyo; suriin ang iyong mga patakaran sa windows update upang balansehin ang bilis at katatagan.

Kapag naglabas ang Microsoft ng mga patch para sa mga problemang ito, mahalaga ito Ilapat ang mga ito sa lalong madaling panahon, lalo na sa mga server at kagamitan na may sensitibong data.Ang pag-iwan sa mga sistemang hindi na-patch ay nagbubukas ng pinto para sa mga pampublikong pagsasamantala o mga black market exploit na magagamit laban sa iyong organisasyon.

Sa antas ng network, ipatupad ang mahigpit na mga patakaran sa Windows Firewall Nakakatulong ito na mabawasan ang nakalantad na lawak ng ibabaw, na nagpapahintulot lamang sa mga papasok/papalabas na trapiko na talagang kailangan; tingnan din kung paano matukoy mga bukas na port ng network Para limitahan ang exposure. Ang pag-activate ng "stealth" o silent mode sa mga pampublikong network ay nagpapahirap din para sa isang attacker na madaling matukoy ka.

Sa mga propesyonal na kapaligiran, mahalagang isaalang-alang ang mas advanced na mga solusyon tulad ng EDR, Pinamamahalaang Pagtuklas at Tugon at mga plataporma ng Threat IntelligenceAng mga serbisyong ito ay nagbibigay-daan para sa pagtuklas ng mga maanomalyang aktibidad, malalimang pagsisiyasat ng mga insidente, at isang tugon bago i-encrypt o i-exfiltrate ng isang pag-atake ang impormasyon.

Mga backup, kontrol ng application, at mga minimal na serbisyo

Gaano man kahusay ang pagkakaayos ng iyong mga mitigasyon, palaging may natitirang panganib. Kaya naman mahalagang pagsamahin ang pag-iwas sa pagsasamantala sa isang matatag na patakaran sa pag-backup, sa isip ay sinusunod ang 3-2-1 na tuntunin (tatlong kopya, sa dalawang magkaibang midya, isa sa labas ng pangunahing lokasyon).

Magsagawa ng regular na pag-backup ng mga dokumento, configuration, at mahahalagang data, subukan ang mga restore paminsan-minsan, at mag-imbak ng kahit isang offline na kopya. Ito ang gumagawa ng pagkakaiba sa pagitan ng isang takot at isang ganap na sakuna. kapag may nangyaring mali; kasama rin dito ang mga backup ng registry (tingnan kung paano gumawa nito) backup ng pagpapatala) bilang bahagi ng iyong plano.

Ang isa pang napakaepektibong patong ay ang kontrol ng aplikasyonSa mga propesyonal na edisyon, maaari mong gamitin ang AppLocker o mga katumbas na patakaran upang tukuyin kung aling mga binary, script, at installer ang awtorisadong patakbuhin; suportahan ang mga patakarang ito gamit ang mga tool sa pag-awdit ng pahintulot, halimbawa. AccessChkBinabawasan nito ang posibilidad ng isang exploit na nagda-download at naglulunsad ng isang arbitraryong payload.

Panghuli, patayin mga serbisyo at tampok na hindi mo ginagamit Nakakatulong ito upang higit pang mabawasan ang mga atake. Kung mas kaunti ang mga nakalantad na serbisyo at mga pinaganang bahagi, mas kaunti ang mga pagkakataong makahanap ang isang umaatake ng mga kahinaan. Para sa mga pamamaraan at praktikal na gabay tungkol dito, tingnan kung paano Baguhin ang mga serbisyo sa Windows 11Gayunpaman, mahalagang idokumento nang lubusan ang mga pagbabago at pana-panahong suriin kung ano ang aktibo at kung ano ang hindi.

Sa pamamagitan ng matalinong pagsasama-sama ng Exploit Protection, mga advanced na tampok sa seguridad ng Windows 11, mabibilis na pag-update, modernong antivirus, pagpapatibay ng system, pagkontrol ng application, at mahusay na mga backup, makakamit mo... Ang mga pagsasamantala ay nagiging lalong mahirap na ikompromiso ang iyong koponan o organisasyon.kahit na pagdating sa mga zero-day na kahinaan o partikular na sopistikadong mga kampanya ng ransomware.