Блокируйте вредоносное ПО, включив функцию SEHOP в Windows

Среди предложений, позволяющих в среде Windows защитить себя от вредоносных программ и других угроз, исходящих из Интернета, принято относить установку антивирусов, брандмауэров, своевременную установку постепенно выпускаемых обновлений для операционной системы и для все остальные приложения. Последнее является важной практикой, поскольку позволяет оградить себя от действия тех вредоносных компонентов, которые используют уже известные уязвимости, чтобы поселиться в системе пользователя (в связи с этим мы предлагаем прочитать статью Обновление Windows и других приложений, обеспечивающих безопасность системы : Secunia PSI 3.0).

Чтобы нейтрализовать попытки атаки вредоносных программ, пытающихся использовать уязвимости программного обеспечения в зародыше, одной из рекомендаций является включение функции Windows SEHOP. Это совет, о котором редко говорят, но который может помочь защитить вашу систему и остановить вредоносные программы до того, как они смогут заразить ваш персональный компьютер.

Акроним защиты от перезаписи структурированного обработчика исключений, SEHOP — это инструмент, который Microsoft решила интегрировать во все самые последние версии Windows (читай Windows Vista и Windows 7), но который включен по умолчанию только в Windows Server 2008 и Windows Server 2008. Р2.

Среди различных способов выполнения эксплойтов (так называются те коды, которые, эксплуатируя ошибку или уязвимость в программном обеспечении, позволяют запустить вредоносные операции, получить более высокие пользовательские привилегии или вызвать сбои), т.е. вызвать загрузку произвольного кода , происходит перезапись так называемой «цепочки SEH».

Программы для Windows, мобильные приложения, игры - ВСЁ БЕСПЛАТНО, в нашем закрытом телеграмм канале - Подписывайтесь:)

Все программы реализуют процедуры для обработки исключений, то есть тех ситуаций, в которых возникают определенные условия или события, которые изменяют нормальное выполнение инструкций (вспомните try…catch языка Java или C#). Атака с перезаписью SEH пытается изменить процедуру обработки ошибок, заставив ее ссылаться на произвольный код, разработанный злоумышленником. Очевидно, что для выполнения такого вредоносного кода злоумышленнику необходимо определить подходящую стратегию.

Функциональность SEHOP, также интегрированная в Windows Vista и Windows 7, хотя и не активированная по умолчанию, обеспечивает проверку в режиме реального времени при возникновении исключения в любой запущенной программе. На этом этапе SEHOP проверяет, что цепочка SEH не была каким-либо образом изменена.

Поэтому легко понять, почему даже SEHOP, наряду с такими инструментами, как DEP и ASLR, оказывается отличным решением для предотвращения многочисленных типов атак. Это решения, которые не обеспечивают всесторонней защиты, но в любом случае дают возможность избежать воздействия конкретных рисков заражения.

По словам Microsoft, подавляющее большинство приложений будут совместимы с функционалом SEHOP, хотя в некоторых случаях не исключены возможные сбои. В случае с программами, написанными неадекватно, действительно может случиться так, что SEHOP будет введен в заблуждение: в этом случае работа приложения будет временно заблокирована.

Чтобы включить функцию SEHOP в Windows Vista и Windows 7, вы можете открыть командную строку с правами администратора, а затем ввести следующее:
reg add «HKLMSYSTEMCurrentControlSetControlSession Managerkernel» /v DisableExceptionChainValidation /t REG_DWORD /d 0 /f

Эта команда позволяет ввести новое значение в реестр Windows и запросить включение SEHOP для всех приложений, которые были установлены и будут установлены в будущем. Модификация вступит в силу только после перезагрузки ПК.

Если вы хотите отключить SEHOP и восстановить конфигурацию Windows Vista или Windows 7 по умолчанию, просто используйте следующую команду:
reg add «HKLMSYSTEMCurrentControlSetControlSession Managerkernel» /v DisableExceptionChainValidation /t REG_DWORD /d 1 /f

Опять же, чтобы изменения вступили в силу, необходимо перезагрузить операционную систему.

Решите, какие приложения отслеживать с помощью EMET

EMET, аббревиатура от Enhanced Mitigation Experience Toolkit, представляет собой бесплатное программное обеспечение, которое позволяет вам использовать некоторые известные функции защиты, предлагаемые самыми последними версиями Windows, распространяя их использование на сторонние приложения, даже самые «устаревшие».

Программное обеспечение, разработанное в лабораториях Microsoft, может быть использовано, в том числе, для повышения защиты устаревших программ.

Обнаружение новых опасных уязвимостей стало обычным делом, и коды эксплойтов, способные их эксплуатировать, разрабатываются и распространяются в Сети с обезоруживающей скоростью. Поддержание приложений в актуальном состоянии путем установки исправлений и обновлений становится все более насущной необходимостью. Если вы подвергнетесь атаке до того, как защитите различное программное обеспечение, используемое в ваших системах, последствия могут быть разрушительными (заражение вредоносным ПО, потеря данных, кража личной информации, высокие затраты с точки зрения производительности и потери прибыли).

Технологии снижения рисков предназначены для того, чтобы злоумышленнику было сложнее использовать уязвимости безопасности, присущие любому программному обеспечению. EMET — это бесплатное приложение, которое позволяет вам взаимодействовать с некоторыми технологиями для снижения рисков, предлагая некоторые преимущества:
— нет необходимости в исходном коде какой-либо программы. EMET, в отличие от таких технологий, как DEP (Data Execution Prevention), не требует исходного кода приложения и его последующей перекомпиляции.

— очень гибкая конфигурация. EMET предлагает возможность применять политики снижения рисков к отдельным приложениям или конкретным процессам. Поэтому нет необходимости активировать защиту EMET для всего набора программ, но можно ограничить действие одним программным компонентом.

— возможность «усилить» старые приложения. EMET предназначен для защиты особенно тех программ, которые иногда больше не поддерживаются соответствующим производителем. Обычно, особенно в бизнес-реальности, приходится иметь дело с устаревшими приложениями, которые больше не получают периодических обновлений. При оценке перехода на более современные программные решения можно подумать об использовании EMET, чтобы избежать рисков заражения, связанных, например, с наличием известных, но не устраненных уязвимостей.

Графический интерфейс, которым оснащен EMET, значительно упрощает идентификацию приложений, которые необходимо «защитить», и не требует вмешательства в настройку реестра Windows.

Microsoft напоминает вам, что применение некоторых технологий безопасности к некоторым приложениям может непоправимо затруднить их работу. Поэтому настоятельно рекомендуется тщательно протестировать модификации, примененные к тестовым системам, подготовленным «специально», прежде чем распространять такое же вмешательство на машины, используемые в производстве.

EMET совместим с Windows XP SP3, Windows Vista SP1 и выше, Windows 7. Что касается серверных систем, Microsoft гарантирует совместимость утилиты с Windows Server 2003 SP1 и выше, Windows Server 2008 и Windows Server 2008 R2.

Однако не все вмешательства применимы ко всем версиям Windows. В следующей таблице (источник: Microsoft) перечислены технологии, которые можно использовать с использованием EMET в различных версиях Windows.

В 64-битных системах некоторые вмешательства на уровне отдельных приложений разрешены только для запущенных 32-битных процессов.

DEP (предотвращение выполнения данных) — это защита, способная помечать все ячейки памяти, связанные с данным процессом, как невыполнимые, если только те же ячейки не содержат код. При попытке доступа к ячейке памяти «данных» операция будет заблокирована путем возбуждения исключения (нарушение доступа к статусу), а «нарушающий» процесс будет прекращен.

Давайте посмотрим, как выглядит главный экран EMET, и проверим, какие настройки доступны в программном обеспечении. В зависимости от используемой версии Windows EMET после запуска покажет функции защиты, которые можно активировать в системе.

В окне отображается состояние средств защиты. При нажатии кнопки «Настроить систему» ​​можно активировать средства защиты на системном уровне (на уже известных EMET компонентах) или включить их только для отдельных приложений (кнопка «Настроить приложения»).

Каждое вмешательство требует перезагрузки операционной системы (о необходимости выполнения операции напоминает сообщение в главном окне программы, а также диалоговое окно при закрытии EMET).

Предварительно активировав функцию защиты SEHOP, EMET покажет зеленый значок рядом с соответствующим пунктом в главном окне программы (окно состояния системы).

Нажав кнопку «Настроить приложения», а затем «Добавить», вы можете решить, следует ли отключить функцию SEHOP для одного или нескольких исполняемых файлов. Это процедура, которую следует применять в случае, если одна или несколько программ окажутся несовместимыми с SEHOP.

EMET 3.0 можно скачать бесплатно по ссылке на этой странице затем нажмите «Загрузить».

Программы для Windows, мобильные приложения, игры - ВСЁ БЕСПЛАТНО, в нашем закрытом телеграмм канале - Подписывайтесь:)

Похожие записи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *