Defender: antywirus Windowsa. Ile jest wart i jak go skonfigurować? Część I

Windows Defender, a raczej Microsoft Defender, przeszedł długą drogę od momentu swojego powstania. Początkowo będąc skanerem zwalczającym oprogramowanie spyware, obecnie jest rozbudowanym silnikiem antywirusowym i narzędziem kontroli bezpieczeństwa, wbudowanym w Windows. Wspomniana "długa droga" obfitowała w kilka momentów, w których skuteczność Defendera łatwo było podważyć, dziś jest pod tym względem znacznie lepiej. Od czasu naszej poprzedniej analizy, trochę się zmieniło.

Zaawansowanie i skuteczność Defendera pozwalają dziś bez naiwności dyskutować o tym, czy jest potrzeba zastępowania go rozwiązaniem firmy trzeciej. Program ten pada ofiarą swojej reputacji: podobnie jak Internet Explorer, mimo niezwykłych postępów, nigdy nie pozbył się etykietki kiepskiego programu. Spróbujmy wykorzystać w pełni potencjał Defendera i zrozumieć, w jaki sposób jest on dziś czymś więcej niż antywirus.

Problemem, z którym Defender nigdy się nie uporał, jest spójność interfejsu. Od czasu Windows 8 Microsoft zabiegał o to, by program był tak zintegrowany z systemem, że aż niewidoczny. Nie wyświetlał ikony w zasobniku, a jego ustawienia były zintegrowane z systemową aplikacją Ustawień. Efektem był brak świadomości użytkowników, że system w ogóle ma jakiegoś antywirusa. Dlatego dziś Defender ma własny, dedykowany panel ustawień. Jest jednak schizofreniczny: raz próbuje udawać aplikację systemową, a raz oddzielny program. Będziemy musieli się z tym pogodzić. Kliknijmy więc ikonę "Zabezpieczenia Windows" obok zegara.

Ponieważ Defender jest domyślnie włączony, jego ciekawsze opcje znajdują się, rzecz jasna, gdzie indziej, niż na stronie "Ochrona przed wirusami". Dlatego pierwszym miejscem, które warto odwiedzić, jest sekcja "Kontrola aplikacji i przeglądarki". Składa się ona z trzech działów: Ochrona oparta na reputacji, Przeglądanie Izolowane i Exploit Protection. Pierwszy dział zawiera pewną wartościową opcję, która niekoniecznie jest domyślnie włączona.

Mowa o ochronie przeciw PUA (Potentially Unwanted Applications), aplikacjom teoretycznie instalowanym przez użytkownika, ale w praktyce pojawiających się jednak bez jego woli. Mowa tu zatem o wszelkich "dodatkowych ofertach" integrowanych z oprogramowaniem: paski narzędzi, rozszerzenia do przeglądarek, widżety reklamowe, zmieniacze wyszukiwarek i stron domowych, demonstracyjne wersje antywirusów i tak dalej. Defender domyślnie nie blokuje ich, bo w przeciwnym razie pozbawiłby dochodu całkiem sporo portali!

Przeglądanie izolowane jest dostępne tylko wtedy, gdy w systemie włączona jest funkcja Windows Defender Application Guard, a system obsługuje technologię Hyper-V. W takiej sytuacji przeglądarka Edge jest chroniona dodatkową piaskownicą (także wersja Chromium, acz na nieco innych zasadach), której ustawienia można regulować.

Dział Exploit Protection zawiera przełączniki do kontrolowania ASLR i innych metod zarządzania pamięcią w sposób utrudniający wykorzystanie jej przewidywalności do wymuszenia wykonywania potencjalnie złośliwego kodu. Wszelkiego rodzaju przepełnienia bufora, zgadywania adresów i próby wykonywania zwolnionej pamięci stają się trudniejsze do przeprowadzenia, gdy funkcje te są włączone. I choć twórcy wirusów znajdują coraz to nowe sposoby na ich obchodzenie, zawsze jest to jedna warstwa więcej. Wśród ustawień Exploit Protection znajduje się jedno, które nie jest domyślnie włączone: Losowe generowanie obrazów, czyli wymuszone ASLR. Jej włączenie wymaga restartu.

Po Kontroli aplikacji czas na Zabezpieczenia urządzenia. Ten znacznie mniejszy dział przechowuje kilka ustawień dla opcji wykorzystujących sprzęt do dostarczania swoich funkcji. Możemy tam przeczytać o poziomie funkcjonalnym naszego układu TPM a także zobaczyć, czy Windows wykrywa sprzętowy łańcuch bezpieczeństwa. Jest nim zbiór: UEFI, system w trybie bez CSM, Secure Boot, TPM w wersji 2.0 i SLAT. Jeżeli którykolwiek z tych elementów jest nieobecny (lub gdy firmware jest oznaczony jako podatny), funkcje sprzętowe mogą nie działać. Póki co jedyną opcją jest tu Izolacja Rdzenia. Jeżeli mamy zgodne sterowniki, przyda się ją włączyć. Jeżeli nie, Defender powie nam o tym.

Polega ona na przeniesieniu weryfikatora integralności modułów/sterowników jądra do oddzielnego procesu uruchomionego w izolacji Hyper-V. System Windows Vista wprowadził kontrolę sterowników jądra: tylko podpisane mogły być ładowane. Zablokowało to możliwość stosowania złośliwych sterowników. Przestępcy zaczęli więc… podmieniać nie tylko sterownik, ale i weryfikator. Izolacja rdzenia sprawia, że trzeba przejąć sterownik, bazę podpisów, weryfikator oraz hipernadzorcę, a to jest już trudne i w dodatku wywołuje detekcję behawioralną.

W kolejnej części zajmiemy się dostosowaniem ochrony przed ransomware oraz zarządzaniem ochroną przed naruszeniami.