Defender: antywirus Windowsa. Ile jest wart i jak go skonfigurować? Część V

Opisywaliśmy w części trzeciej naszej serii mechanizm Ochrony przed naruszeniami, uniemożliwiający zautomatyzowaną zmianę niektórych krytycznych ustawień Defendera. Chroniąc przed działaniem wirusów, które zamiast ukrywania się przed Defenderem, mogły po prostu poprosić system o jego wyłączenie, opracowane przez Microsoft rozwiązanie w praktyce uniemożliwiło centralne, "administracyjne" zarządzanie systemowym antywirusem. Bowiem każde ustawienie, które nie jest domyślne lub wyklikane ręcznie przez użytkownika, uznano za "potencjalne działanie złośliwego oprogramowania".

Tak radykalne podejście, choć niewątpliwie rozwiązuje problem wirusów, utrudnia szybką konfigurację Defendera. Z tego samego powodu, dla którego nie działają wirusy, nie działają też skrypty do automatycznej konfiguracji. Czy Ochrona przed naruszeniami (Tamper Protection) całkowicie uniemożliwia wdrażanie ustawień? Czy może istnieją opcje, które w dalszym ciągu można ustawić?

Tamper Protection chroni przed próbami zautomatyzowanego obniżenia czułości silnika poniżej poziomu domyślnego. Oznacza to, że niemożliwe jest wprowadzenie następujących zmian:

Włączenie/wyłączenie silnika AS (AntiSpyware) dla ochrony w czasie rzeczywistym Włączenie/wyłączenie silnika AM (AntiMalware) dla ochrony w czasie rzeczywistym Włączenie/wyłączenie analizatora behawioralnego Włączenie/wyłączenie automatycznych skanów pobieranych plików i poczty (IOAV) Zdefiniowanie typu podejmowanej akcji w przypadku wykrycia zagrożenia (ThreatSeverityDefaultAction)

Niemożliwe jest nie tylko wyłączenie, ale także włączenie ich. Innymi słowy, ochrony nie da się zatrzymać, ale nie da się też wymusić jej działania (w znaczeniu: pozbawić użytkownika możliwości wyłączenia jej). Każda próba zautomatyzowanego wprowadzenia zmian do powyższych ustawień skończy się niepowodzeniem i zapisaniem w Dzienniku Zdarzeń (nieudokumentowanego!) śladu o identyfikatorze 5013.

Zdarzenie to zawiera opis "Ochrona przed naruszeniami Zignorowano zmianę na Program antywirusowy Microsoft Defender" (piękna polszczyzna!) oraz szczegóły zablokowanego ustawienia (np. klucz Rejestru w gałęzi Policies). Zdarzenia 5013 na komputerze niepodpiętym do domeny informują, że coś w systemie próbuje wymusić zmianę konfiguracji Defendera. Wstrzymanie Ochrony przed naruszeniami sprawi, że zdarzenia 5013 przestanie być logowane, a blokowane ustawienia zaczną obowiązywać.

Co z innymi ustawieniami? Jest ich przecież bardzo dużo. Szablony administracyjne Zasad grupy zawierają dla Defendera około stu przełączników. Czy próby ich oskryptowanej zmiany również okażą się nieskuteczne bez stosowania (drogiego) Microsoft Endpoint Managera? Nie. Pozostałe przełączniki nie zmniejszają docelowej (baseline) ochrony i pozostają dostępne. Niemniej, każda ich zmiana wygeneruje zdarzenie w Dzienniku, tym razem o identyfikatorze 5007 ("Konfiguracja produktu Program antywirusowy Microsoft Defender została zmieniona", udokumentowana!)

Zamiast przechodzić przez astronomicznie długą listę wszystkich Zasad Grupy, których świadoma konfiguracja zajmuje dużo czasu i wymaga późniejszego utrzymywania, skupimy się na podzbiorze funkcjonalnym właściwym dla użytkownika końcowego. Zamiast GPO, do interakcji z nim użyjemy cmdletu Get-MpPreference.

Pierwszą rzeczą, na którą należy zwrócić uwagę podczas edytowania zaawansowanych ustawień Defendera jest to, że nie wszystko jest domyślnie włączone i raczej nie należy tego zmieniać. Na przykład, opcje "DisableCatchupFullScan" i "DisableCatchupQuickScan", domyślnie wyłączone, dotyczą wymuszania zaległych skanów. Oznacza to, że po dłuższej przerwie, następne skanowanie odbędzie się nie wedle harmonogramu, a natychmiast po uruchomieniu, w praktyce degradując wydajność systemu.

Podobnie sprawa ma się z niewinnymi "DisableEmailScanning", "DisableRemovableDriveScanning" i "DisableScanningMappedNetworkDrives". Czemu skanowanie dysków sieciowych, poczty i pendrive'ów ma być wyłączone? Ano dlatego, że są to przełączniki dotyczące pełnego skanowania, a nie ochrony w czasie rzeczywistym. Włączone, sprawią że podczas bezczynności komputer zacznie targać całą zawartość katalogów IMAP i przeszukiwać wszystkie podpięte litery dysków. Efektem może być paraliż dostępu do dysków sieciowych i pobranie setek gigabajtów zawartości zmapowanych dysków OneDrive i Google Drive.

No dobrze, czy warto zatem cokolwiek zmienić? Istotnie, nie jest tak, że każde odstępstwo od defaultów tylko pogarsza sytuację. Jest kilka opcji, nad których zmianą przyda się przynajmniej zastanowić. Chodzi o ochronę chmurową oraz pobieranie definicji.

Domyślnie, Defender nie rozszerza ochrony o wspomaganie chmurowe i nie wysyła próbek do analizy. Obie te funkcje możemy włączyć w panelu konfiguracji Defendera, dzięki czemu uzyskamy wyższą ochronę przed bardzo świeżymi zagrożeniami. Opcje zaawansowane umożliwiają jednak dokładne ustawienie, jakie próbki chcemy wysyłać. Mowa o parametrze "SubmitSamplesConsent". Przyjmuje on wartość "AlwaysPrompt", "SendSafeSamples", "NeverSend" lub "SendAllSamples". Wariant "NeverSend" wyłączy funkcję całkowicie, "AlwaysPrompt" sprawi, że Defender zawsze będzie pytać o pozwolenie, "SendSafeSamples" automatycznie wysyła próbki, w których nie znaleziono danych osobowych, a "SendAllSamples" bez pytania zawsze wysyła wszystko.

Opcja w ustawieniach Defendera przełącza między "AlwaysPrompt" a "SendSafeSamples". Jeżeli chcemy uciszyć Defendera w tej kwestii, należy użyć jednego z poleceń poniżej.

[code=powershell]# Aby Defender nigdy nie próbował nic wysyłaćSet-MpPreference -SubmitSamplesConsent NeverSend# Aby Defender zawsze wysyłał wszystkie próbki, nawet z danymi osobistymiSet-MpPreference -SubmitSamplesConsent SendAllSamples[/code]

W przypadku włączenia ochrony chmurowej, możliwe jest dokładniejsze skonfigurowanie czułości na nieznane pliki. To prosta droga do utonięcia w powiadomieniach o fałszywie pozytywnych detekcjach, dlatego poświęcimy tej funkcji więcej czasu w kolejnej części. Łatwo bowiem jedną cyferką odciąć się od możliwości pobierania plików, a następnie zdenerwować Tamper Protection na tyle, że nie pozwoli tego odkręcić.

Wspomnimy dziś jednak o czymś nie mniej istotnym. O aktualizacjach definicji. Dziś zagrożenie stanowią głównie świeże, a nie generyczne wirusy. Innymi słowy, banalny, ale nowy wirus uniknie detekcji łatwiej, niż skomplikowany, ale charakterystyczny. Dlatego ważne jest jak najczęstsze aktualizowanie definicji. Minimalny odstęp czasowy dla automatycznej aktualizacji to jedna godzina. Ustawienie to wprowadzimy poleceniem:

[code=powershell]Set-MpPreference -SignatureUpdateInterval 1[/code]W kolejnej części zajmiemy się zwiększaniem czułości silnika antywirusowego i włączeniem reduktora powierzchni ataków (ASR). Funkcje te nie są domyślne i nie ma ich w UI. Zatem będzie ciekawie.