مای ترفند - آموزش و ترفند به زبان ساده

ویژگی جدید “مسدود کردن رفتارهای مشکوک” در ویندوز 10 چیست؟

ویندوز 10

بروزرسانی ویندوز 10 Redstone 5، که انتشار آن برای پاییز 2018 برنامه ریزی شده است شامل یک ویژگی امنیتی جدید به نام Block Suspicious Behaviors (مسدود کردن رفتارهای مشکوک) می‌شود. این مورد حفاظتی به طوز پیش فرض خاموش است اما می توانید آن را برای حفاظت در برابر تهدیدات فعال کنید.

کار مسدود کردن رفتارهای مشکوک چیست

این ویژگی نام مبهمی دارد. با این حال اسناد مایکروسافت بیان می کنند این نام، نام خودمانی برای “Windows Defender Exploit Guard attack surface reduction technology” است. این ویژگی امنیتی در بروزرسانی پاییز اضافه شد ولی تنها برای تشکیلات ویندوز 10 در دسترس بود. در Redstone 5، در حال حاضر برای همه از طریق یک گزینه در تنظیمات امنیتی ویندوز در دسترس است. وقتی این ویژگی را فعال کنید، ویندوز 10 چند قانون امنیتی را فعال می‌کند. این قوانین ویژگی های که به طور معمول توسط نرم افزار های مخرب استفاده می شوند را غیرفعال می‌کند و از رایانه شما در برابر حملات محافظت می‌کند.

برخی از قوانین کاهش سطح حمله عبارتند از:

  • انسداد محتوای قابل اجرا از سرویس ایمیل و وب میل
  • انسداد برنامه های آفیس از ایجاد فرآیند های کودک
  • انسداد برنامه های آفیس از ایجاد محتوای قابل اجرا
  • انسداد برنامه های آفیس تزریق کد به فرآیندهای دیگر
  • انسداد جاوا اسکریپت یا وی بی اسکریپت از راه اندازی محتوا دانلود شده قابل اجرا
  • انسداد اجرای اسکریپت های مبهم احتمالی
  • انسداد تماس های API Win32 از آفیس ماکرو
  • انسداد گواهی نامه سرقت از قدرت زیرسیستم ویندوز محلی (Isass.exe)
  • انسداد تولیدات فرآیند دستورات PSExes و WMI
  • انسداد فرآیندهای نامعلوم و غیرقانونی که از USB اجرا می شوند
  • انسداد برنامه های ارتباطی آفیس از ایجاد فرآیندهای کودک

این اقدامات مشکوک ممکن است توسط برنامه های مخرب مورد استفاده قرار گیرند. برای مثال این قوانین فایل های اجرایی که توسط ایمیل می رسند را مسدود می کنند، برنامه های آفیس را از انجام کارهای خاص باز می دارند و رفتارهای کلان خطرناک را متوقف می کنند. با استفاده از این قوانین، ویندوز از اعتبار نامه در برابر سرقت محافظت می‌کند، از اجرای درایوهای USB به نظر مشکوک جلوگیری می‌کند و از اجرای اسکریپت هایی که به نظر می رسد برای حضور پنهان در نرم افزارهای آنتی ویروس ساخته شده اند، جلوگیری می‌کند.

شما لیست کاملی از قوانین کاهش سطح حمله در سایت پشتیبانی مایکروسافت خواهید یافت. سازمانها می توانند سفارشی سازی کنند که کدام قوانین در خط منشی گروه استفاده شود، اما کاربران رایانه های معمولی مجموعه ای کامل از قوانین را دریافت می کنند. دقیقا مشخص نیست کدام یک از قوانین هنگام روشن کردن این ویژگی در Windows Security مورد استفاده قرار می گیرند.

برای بررسی 6 ابزار برتر رایگان برای حل مشکلات ویندوز10، با ما در این لینک همراه باشید.

این مورد بخشی از گارد محافظ ویندوز Exploit است

Attack Surface Reduction قسمتی از Windows Defender Exploit Guard است که شامل حفاظت از منشور، حفاظت از شبکه و کنترل دسترسی پوشه می‌شود.

این مهم است که روشن کردن مسدود کردن رفتارهای مشکوک مانند Exploit Protection نیست. ویژگی دوم از رایانه شما در برابر انواع مختلف تکنیک های سوء استفاده محافظت می‌کند. برای مثال، Exploit Protection در مقابل تکنیک های بهره برداری که از حملات روز صفر استفاده می کنند، محافظت می‌کند و هر فرآیندی که از آنها استفاده می‌کند را متوقف می‌کند. Exploit Protection مانند نرم افزار مایکروسافتEMET  کار می‌کند. Attack Surface Reduction ویژگی های بالقوه خطرناک را در سطح بالاتری متوقف می‌کند.

Exploit Protection به طور پیش فرض فعال شده است و می توانید آن را از جای دیگر Windows Security بپیچانید. Attack Surface Reduction یا “مسدود کردن رفتارهای مشکوک” به طور پیش فرض فعال شده نیست.

فعال کردن “مسدود کردن رفتارهای مشکوک” در ویندوز 10

شما می توانید این ویژگی را از برنامه امنیتی ویندوز که قبلا Windows Defender Security Center نامیده می شد، فعال کنید.

برای پیدا کردن آن مراحل زیر را از چپ به راست انجام دهید یا از منو استارت میانبر Windows Security را راه اندازی کنید:

Settings > Update & Security > Windows Security > Open Windows Security

روی گزینه Virus & Threat Protection کلیک کنید سپس پیوند “Manage Settings” را انتخاب کنید.

برای فعال یا غیرفعال کردن این ویژگی روی سوئیچ گزینه “Block Suspicious Behaviors” کلیک کنید.

اگر مسدود کردن رفتارهای مشکوک یک ویژگی را مرتبا انجام می دهید را مسدود کند، می توانید به مراحل قبل برگشته و آن را غیرفعال کنید. گرچه، رفتارهای مسدود شده در استفاره از رایانه معمولی رایج نیستند.