Windows Defender 應用程式防護 (企業版限定)

在 Windows 10 企業版上本次額外新增了一項稱為 Windows Defender 應用程式防護 (WDAG) 的安全功能 (其實這功能去年九月的 Ignite 大會上就宣布了,只是後來延期了半年),單從名稱上可能不太容易理解這項功能,其實這項功能說穿了就是運用 Hyper-V 虛擬化技術創造一個專門用於放置特定 (可能主要是用來開啟不安全網站) Microsoft Edge 執行個體的容器 (Container,可以簡單想像成沙盒,不過由於是以硬體虛擬化作為環境分隔的手段,因此比起軟體沙盒而言更為徹底,安全性也更高) 以防範尚未被發現的 Zero-day 漏洞或其他包含惡意程式的網站。

這項功能可以在控制台 >程式和功能 > 開啟或關閉 Windows 功能當中啟用,由於是奠基於 Hyper-V 虛擬化功能下的產物,因此要開啟此項功能電腦必須具備支援 Hyper-V 功能的能力,微軟官方給出的要求是建議至少 8 GB 的記憶體、支援虛擬化技術與 64 位元架構的處理器 (此功能在 32 位元版本的 Windows 10 企業版上無法使用),此外在支援 IOMMU 技術 (例如 AMD-Vi 或是 VT-d) 的電腦上使用此功能時可以取得更好的效能。

WDAG 允許系統管理員使用群組原則、管理工具或 SCCM 與 Intune 強制啟用受控電腦上的 WDAG 功能並設定安全 URL 清單,如此一來受控使用者在開啟不在安全 URL 清單上的網址時,系統就會自動使用 WDAG 容器內的 Microsoft Edge 執行個體來開啟該網址,除此之外使用者也可以自行透過瀏覽器上的t使用應用程式保護開啟分頁選項來強制使用 WDAG 容器內的 Microsoft Edge 執行個體 (位於 WDAG 容器內的執行個體左上角會有下圖中的紅色圖示供識別)。

比較可惜的是目前為止 WDAG 只能搭配 Microsoft Edge 與 Internet Explorer 使用,大家常用的 Chrome 與 Firefox 則是無法支援的。

受控資料夾

受控資料夾這項功能則是主要針對防護勒索軟體未經允許就對大量檔案進行修改而設計的,主要是透過將程式發行者與微軟官方的白名單進行比對之後,將不在白名單內的程式所嘗試進行的大量檔案修改操作擋下來達到抑制勒索軟體並降低損失的目的。

這項功能開啟之後 (可以在 Windows Defender 資訊安全中心內啟用) 預設系統會將使用者目錄 (包含文件、桌面、圖片、音樂、影片等資料夾) 與系統資料夾納入保護範圍,除此之外你也可以自行將需要列入保護的資料夾加入清單內。

至於允許進行資料修改的程式白名單則主要由微軟維護,由於該白名單的設定相對而言相當寬鬆,因此通常不會需要自行加入其他程式,不過如果在使用已知安全的程式時遇到問題的話,微軟也有保留自行新增白名單的功能。

惡意探索保護

以往微軟對於尚未被發現或尚未修正的漏洞有 Enhanced Mitigation Experience Toolkit (EMET) 作為基本緩和與防護的工具,隨著微軟已經宣布 EMET 將在 2018 年 07 月 31 日終止支援,微軟在 Windows 10 秋季創作者更新當中已經把原先 EMET 所能提供的功能幾乎悉數整合到作業系統內,在升級到此版本之後你可以在 Windows Defender 資訊安全中心內的 App 與瀏覽控制設定內找到相關的選項 (與過去使用 EMET 的模式相似,不需要使用 Windows Defender 防毒軟體也可以使用此功能)。

不過由於這些選項屬於較為進階且容易對系統運作行為造成影響的功能,因此站長我個人是不建議不熟悉操作的人隨意去調整這些設定 (實際上沒有特殊需要的話通常不需要調整這些選項)。