Defender: antywirus Windowsa. Ile jest wart i jak go skonfigurować? Część III

Defender: antywirus Windowsa. Ile jest wart i jak go skonfigurować? Część III10.11.2020 08:04
Defender: antywirus Windowsa (fot. TheDigitalWay, Pixabay)

Systemowy Defender, jak na składnik Windowsa (niegdyś) przystało, jest szeroko konfigurowalny z wykorzystaniem Zasad Grupy. A przynajmniej był. Od kilku ostatnich lat, Microsoft rozwija bardzo osobliwą metodę zabezpieczenia Defendera przed wyłączeniem, w postaci tzw. Ochrony przed naruszeniami (tamper protection). Utrudnia ona wyłączenie Defendera, ale odbywa się to kosztem ograniczenia jego konfigurowalności. Aby zrozumieć kuriozalną sytuację, do której doprowadził w ten sposób Microsoft, konieczne jest poświęcić kilka słów na przypomnienie, jak działają zasady grupy.

W uproszczeniu (wywołującym sprzeciw niektórych administratorów i specjalistów od "well, actually…", których jawnie zignoruję), zasady grupy to metoda dostarczenia ustawień Rejestru, które są obowiązkowe na maszynie. Domena, której członkiem jest komputer z Windows, ma prawa "wklejać" do Rejestru ustawienia. Nie nadpisują one ustawień lokalnych. Zamiast tego lądują w gałęzi Policies, która jest gałęzią nadpisywaną/tylko do odczytu (ale tylko gdy komputer jest domenie!). Składniki systemu (oraz poprawnie napisane aplikacje) najpierw sprawdzają gałąź Policies, a gdy nie ma w niej danego ustawienia, sprawdzają Rejestr użytkownika.

Nie musisz walczyć z antywirusem, gdy go wyłączysz

Wiele wirusów nadużywało tej "nieskończonej konfigurowalności" Windowsów i próbowało po prostu wyłączać Defendera, zamiast się przed nim ukryć. Próba wyłączenia go skutkuje alarmem Kontroli Konta Użytkownika. Wirusy zaczęły więc stosować PowerShella: cmdlet "Set-MpPreference" umożliwia zatrzymanie ochrony w czasie rzeczywistym. Ale wtedy włącza się z kolei alarm Centrum Zabezpieczeń, co sprawia, że wirus wychodzi na światło dzienne.

Dlatego wirusy stały się jeszcze cwańsze: wklejały ustawienie wyłączenia Defendera do gałęzi Policies. Gdy komputer nie jest członkiem domeny, możliwe jest pisanie po tej gałęzi za pomocą Zasad Zabezpieczeń Lokalnych. Bez domeny nic ich nie nadpisze ustawieniami obowiązkowymi, ale nie trzeba być w domenie, by (lokalne wtedy) ustawienia Policies były obowiązkowe! Toteż wirusy wklejały wyłączanie Defendera do Policies. Takie rozwiązanie nie włączało ani UAC, ani Centrum Zabezpieczeń. Była to wszak "Lokalna polityka zabezpieczeń". Innymi słowy uznawano, że "tak ma być".

Zaszłości historyczne

Stanowi to zabawny problem do rozwiązania. Nie da się, z powodu kompatybilności z Active Directory, zmienić sposobu w jaki działa gałąź Policies. Jest mało sposobów wyjścia z tego potrzasku. Nie można włączać alarmu bezwarunkowo, bo o braku Defendera zaczną krzyczeć komputery, gdzie naprawdę ma on być wyłączony. Nie można usunąć jego konfigurowalności, bowiem obiecano, że Active Directory i Intune potrafią nim zarządzać, a są to rozwiązania kosztujące górę pieniędzy. Nie da się też, "z datą wsteczną", zlikwidować już wdrożonych przez wielu administratorów polityk.

Ignorowanie ustawień (fot. Kamil Dudek)
Ignorowanie ustawień (fot. Kamil Dudek)

Zadecydowano więc o… ignorowaniu klucza Policies, gdy włączona jest funkcja Ochrona przed naruszeniami! Oznacza to, że na komputerze klienckim nie będą działać żadne ustawienia obowiązkowe Defendera i nie będzie możliwe jego wyłączenie, tak długo jak włączona jest Ochrona przed naruszeniami, której (uwaga!) nie da się wyłączyć politykami. Użytkownik może to zrobić tylko ręcznie, wywołując alarm UAC.

Ekskluzywne ustawienia

Oznacza to, że Defendera nie da się skonfigurować przez Zasady Grupy. Wszelkie jego zaawansowane ustawienia (częstość skanów, rodzaj przesyłanych próbek, głębokość analizy, skanowanie sieci) są ignorowane z powodu Ochrony przed naruszeniami. Centralne zarządzanie Defenderem (i ewentualne wyłączenie go) wymaga obecnie wydania pieniędzy na jedno z trzech rozwiązań:

Intune, gdzie da się wyłączyć Ochronę i sprawić, że Policies zaczną znowu działać SCCM (Endpoint Manager), gdzie rozkażemy maszynie respektowanie ustawień Windows 10 Enterprise, gdzie Ochrona jest najwyraźniej wyłączona

W ten sposób wyłączenie antywirusa dołączyło do grona ustawień "tylko dla przedsiębiorstw", do towarzystwa np. możliwością ustawienia tapety ekranu blokady.

W kolejnej części zajmiemy się interfejsem tekstowym Defendera i ustawieniami definicji.

Źródło artykułu:www.dobreprogramy.pl
© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na