Defender: antywirus Windows’a s t r |1

Defender: antywirus Windowsa. Ile jest wart i jak go skonfigurować? Część I

07.11.2020 01:00

Windows Defender, a raczej Microsoft Defender, przeszedł długą drogę od momentu swojego powstania.
Początkowo będąc skanerem zwalczającym oprogramowanie spyware, obecnie jest rozbudowanym
silnikiem antywirusowym i narzędziem kontroli bezpieczeństwa, wbudowanym w Windows. Wspomniana
"długa droga" obfitowała w kilka momentów, w których skuteczność Defendera łatwo było podważyć, dziś
jest pod tym względem znacznie lepiej. Od czasu naszej poprzedniej analizy, trochę się zmieniło.

Zaawansowanie i skuteczność Defendera pozwalają dziś bez naiwności dyskutować o tym, czy jest potrzeba
zastępowania go rozwiązaniem firmy trzeciej. Program ten pada ofiarą swojej reputacji: podobnie jak
Internet Explorer, mimo niezwykłych postępów, nigdy nie pozbył się etykietki kiepskiego programu.
Spróbujmy wykorzystać w pełni potencjał Defendera i zrozumieć, w jaki sposób jest on dziś czymś więcej
niż antywirus.

Problemem, z którym Defender nigdy się nie uporał, jest spójność interfejsu. Od czasu Windows 8
Microsoft zabiegał o to, by program był tak zintegrowany z systemem, że aż niewidoczny. Nie wyświetlał
ikony w zasobniku, a jego ustawienia były zintegrowane z systemową aplikacją Ustawień. Efektem był brak
świadomości użytkowników, że system w ogóle ma jakiegoś antywirusa. Dlatego dziś Defender ma własny,
dedykowany panel ustawień. Jest jednak schizofreniczny: raz próbuje udawać aplikację systemową, a raz
oddzielny program. Będziemy musieli się z tym pogodzić. Kliknijmy więc ikonę "Zabezpieczenia Windows"
obok zegara.
 Defender: antywirus Windows’a s t r |2

Kontrola aplikacji

Ponieważ Defender jest domyślnie włączony, jego ciekawsze opcje znajdują się, rzecz jasna, gdzie indziej,
niż na stronie "Ochrona przed wirusami". Dlatego pierwszym miejscem, które warto odwiedzić, jest sekcja
"Kontrola aplikacji i przeglądarki". Składa się ona z trzech działów: Ochrona oparta na reputacji,
Przeglądanie Izolowane i Exploit Protection. Pierwszy dział zawiera pewną wartościową opcję, która
niekoniecznie jest domyślnie włączona.

Mowa o ochronie przeciw PUA (Potentially Unwanted Applications), aplikacjom teoretycznie instalowanym
przez użytkownika, ale w praktyce pojawiających się jednak bez jego woli. Mowa tu zatem o wszelkich
"dodatkowych ofertach" integrowanych z oprogramowaniem: paski narzędzi, rozszerzenia do przeglądarek,
widżety reklamowe, zmieniacze wyszukiwarek i stron domowych, demonstracyjne wersje antywirusów i
tak dalej. Defender domyślnie nie blokuje ich, bo w przeciwnym razie pozbawiłby dochodu całkiem sporo
portali!

ASLR

Przeglądanie izolowane jest dostępne tylko wtedy, gdy w systemie włączona jest funkcja Windows
Defender Application Guard, a system obsługuje technologię Hyper-V. W takiej sytuacji przeglądarka Edge
jest chroniona dodatkową piaskownicą (także wersja Chromium, acz na nieco innych zasadach), której
ustawienia można regulować.
 Defender: antywirus Windows’a s t r |3

Dział Exploit Protection zawiera przełączniki do kontrolowania ASLR i innych metod zarządzania pamięcią w
sposób utrudniający wykorzystanie jej przewidywalności do wymuszenia wykonywania potencjalnie
złośliwego kodu. Wszelkiego rodzaju przepełnienia bufora, zgadywania adresów i próby wykonywania
zwolnionej pamięci stają się trudniejsze do przeprowadzenia, gdy funkcje te są włączone. I choć twórcy
wirusów znajdują coraz to nowe sposoby na ich obchodzenie, zawsze jest to jedna warstwa więcej. Wśród
ustawień Exploit Protection znajduje się jedno, które nie jest domyślnie włączone: Losowe generowanie
obrazów, czyli wymuszone ASLR. Jej włączenie wymaga restartu.

Zabezpieczenia sprzętowe

Po Kontroli aplikacji czas na Zabezpieczenia urządzenia. Ten znacznie mniejszy dział przechowuje kilka
ustawień dla opcji wykorzystujących sprzęt do dostarczania swoich funkcji. Możemy tam przeczytać o
poziomie funkcjonalnym naszego układu TPM a także zobaczyć, czy Windows wykrywa sprzętowy łańcuch
bezpieczeństwa. Jest nim zbiór: UEFI, system w trybie bez CSM, Secure Boot, TPM w wersji 2.0 i SLAT. Jeżeli
którykolwiek z tych elementów jest nieobecny (lub gdy firmware jest oznaczony jako podatny), funkcje
sprzętowe mogą nie działać. Póki co jedyną opcją jest tu Izolacja Rdzenia. Jeżeli mamy zgodne sterowniki,
przyda się ją włączyć. Jeżeli nie, Defender powie nam o tym.
 Defender: antywirus Windows’a s t r |4

Polega ona na przeniesieniu weryfikatora integralności modułów/sterowników jądra do oddzielnego

procesu uruchomionego w izolacji Hyper-V. System Windows Vista wprowadził kontrolę sterowników
jądra: tylko podpisane mogły być ładowane. Zablokowało to możliwość stosowania złośliwych
sterowników. Przestępcy zaczęli więc… podmieniać nie tylko sterownik, ale i weryfikator. Izolacja rdzenia
sprawia, że trzeba przejąć sterownik, bazę podpisów, weryfikator oraz hipernadzorcę, a to jest już trudne i
w dodatku wywołuje detekcję behawioralną.

W kolejnej części zajmiemy się dostosowaniem ochrony przed ransomware oraz zarządzaniem ochroną
przed naruszeniami.

Defender: antywirus Windowsa. Ile jest wart i jak go skonfigurować? Część II

08.11.2020 19:11

W poprzedniej części zajmowaliśmy się optymalizacją mniej znanych funkcji Defendera, celem
uruchomienia takich cudów, jak obowiązkowe ASLR, wirtualizacja weryfikatora integralności sterowników
trybu jądra, ochrona przed oprogramowaniem PUA oraz piaskownica dla przeglądarki internetowej. Są to
kwestie wykraczające poza typową rolę antywirusa i raczej nieznane większości użytkowników. Czy
Defender oferuje cokolwiek interesującego w swojej "klasycznej" roli programu AV?

Patrząc na Defendera jak na typowy program antywirusowy, dostrzeżemy że pod tym akurat względem nie
wyróżnia się szczególnie względem pozostałych: oferuje bowiem usługę systemową i interfejs użytkownika
dla skanera opartego o definicje (próbkowe i behawioralne) oraz heurystykę. Dostępne jest także
 Defender: antywirus Windows’a s t r |5

wspomaganie chmurowe: gdy plik jest podejrzany lub nieznany, Defender automatycznie wysyła próbkę do
chmury celem szerszej analizy. Czasami analiza na końcówce byłaby zbyt wymagająca i skończyłaby się
degradacją wydajności sprzętu. Defender nie pcha jednak w chmurę wszystkiego (a przynajmniej nie
domyślnie), muszą zajść odpowiednie przesłanki wstępne.

Chmura Defender Cloud Protection

Pliki do chmury możemy też przesyłać samodzielnie. Pozwala się to czasem przekonać, że wspomaganie
chmurowe naprawdę działa: w przypadku wielu makrowirusów i złośliwych dokumentów, wynik skanu
lokalnego nie zwraca wyników, ale skan chmurowy (na który trzeba poczekać) już sygnalizuje zagrożenie.
Na jego podstawie przygotowywane są definicje, by końcówki były odporne na wirusa bez konieczności
łączenia z chmurą.

Kiedyś członkostwo w chmurze (zwanej MAPS) było opcjonalne i podzielone na różne poziomy
zaangażowania. Dziś jest ono oparte o podejście tak/nie, jest domyślnie włączone i działa najskuteczniej,
gdy włączone jest także automatyczne przesyłanie próbek. Narzędzie przesyłania próbuje określić, czy
próbka zawiera jakieś dane wrażliwe. Możemy ustawić Defendera by zawsze przesyłał wszystkie próbki, ale
jest to niewskazane i nieco utrudnione w powodu funkcji Ochrony przed naruszeniami, o której później.

Zapewne chmura Defender Cloud Protection budzi wątpliwości w kwestii prywatności, należy jednak mieć
na uwadze, że wspomaganie chmurowe jest stosowane przez większość bardziej rozbudowanych, płatnych
antywirusów oraz narzędzi do zautomatyzowanych kopii zapasowych. Nie jest to wymysł Microsoftu, a
standard branżowy.

Ransomware
 Defender: antywirus Windows’a s t r |6

Skaner Defendera oferuje także dwie dedykowane funkcje do ochrony przed ransomware. Jeżeli program
nie wykryje go za pomocą definicji (a jest to bardzo prawdopodobne w przypadku nowych zagrożeń),
ochrona ta pozwoli ocalić pliki przed zaszyfrowaniem lub ułatwić ich przywrócenie.

Pierwsza funkcja jest dość zabawna: polega dosłownie na przekierowaniu użytkownika na stronę zakupu
dodatkowej przestrzeni dyskowej OneDrive. Subskrypcja OneDrive lub Microsoft 365 dostarcza funkcję
cofania: jeżeli dokumenty były trzymane na chmurowym dysku i coś je zaszyfrowało, możliwe będzie
cofnięcie zmian i odrzucenie synchronizacji z zainfekowanym komputerem. Jest to dość zuchwała definicja
ochrony, niemniej bez wątpienia działa. Trudno jednak uznać zakup oddzielnego narzędzia do kopii
zapasowych za "funkcję antywirusa".

Druga opcja jest ciekawsza i przeciwieństwie do poprzedniej, naprawdę coś robi. Mowa o funkcji
Kontrolowany Dostęp do Folderu. Domyślnie jest wyłączona z powodu kompatybilności. Działa w
następujący sposób: jeżeli jakiś program usiłuje pisać po Pulpicie, Danych Aplikacji innych programów,
Bibliotekach, Dokumentach i folderze OneDrive, Defender sprawdza czy znajduje się on na liście "znanych
aplikacji".

Uwaga na kompatybilność!

Jeżeli nie, zapis nie powiedzie się. Można dodawać programy do listy "znanych" i może się to okazać
potrzebne. Niektóre aplikacje podchodzą do praw zapisu dość swobodnie i tworzą dedykowane katalogi w
Dokumentach podczas uruchomienia (nie instalacji). Mniej znane programy o takich zapędach zostaną
zablokowane. Dlatego owa funkcja jest domyślnie wyłączona. Warto rozważyć jej włączenie: mało który
program powinien "chcieć" modyfikować zapisane dokumenty na szerszą skalę.
 Defender: antywirus Windows’a s t r |7

W następnej części omówimy, w jaki sposób Defender broni się przed wyłączeniem i jaki problem
usiłowano rozwiązać, utrudniając to do takiego stopnia.

Defender: antywirus Windowsa. Ile jest wart i jak go skonfigurować? Część III

10.11.2020 08:04

Systemowy Defender, jak na składnik Windowsa (niegdyś) przystało, jest szeroko konfigurowalny z
wykorzystaniem Zasad Grupy. A przynajmniej był. Od kilku ostatnich lat, Microsoft rozwija bardzo osobliwą
metodę zabezpieczenia Defendera przed wyłączeniem, w postaci tzw. Ochrony przed naruszeniami
(tamper protection). Utrudnia ona wyłączenie Defendera, ale odbywa się to kosztem ograniczenia jego
konfigurowalności. Aby zrozumieć kuriozalną sytuację, do której doprowadził w ten sposób Microsoft,
konieczne jest poświęcić kilka słów na przypomnienie, jak działają zasady grupy.

W uproszczeniu (wywołującym sprzeciw niektórych administratorów i specjalistów od "well, actually…",

których jawnie zignoruję), zasady grupy to metoda dostarczenia ustawień Rejestru, które są obowiązkowe
na maszynie. Domena, której członkiem jest komputer z Windows, ma prawa "wklejać" do Rejestru
ustawienia. Nie nadpisują one ustawień lokalnych. Zamiast tego lądują w gałęzi Policies, która jest gałęzią
nadpisywaną/tylko do odczytu (ale tylko gdy komputer jest domenie!). Składniki systemu (oraz poprawnie
napisane aplikacje) najpierw sprawdzają gałąź Policies, a gdy nie ma w niej danego ustawienia, sprawdzają
Rejestr użytkownika.

Nie musisz walczyć z antywirusem, gdy go wyłączysz

Wiele wirusów nadużywało tej "nieskończonej konfigurowalności" Windowsów i próbowało po prostu

wyłączać Defendera, zamiast się przed nim ukryć. Próba wyłączenia go skutkuje alarmem Kontroli Konta
Użytkownika. Wirusy zaczęły więc stosować PowerShella: cmdlet "Set-MpPreference" umożliwia
zatrzymanie ochrony w czasie rzeczywistym. Ale wtedy włącza się z kolei alarm Centrum Zabezpieczeń, co
sprawia, że wirus wychodzi na światło dzienne.

Dlatego wirusy stały się jeszcze cwańsze: wklejały ustawienie wyłączenia Defendera do gałęzi Policies. Gdy
komputer nie jest członkiem domeny, możliwe jest pisanie po tej gałęzi za pomocą Zasad Zabezpieczeń
Lokalnych. Bez domeny nic ich nie nadpisze ustawieniami obowiązkowymi, ale nie trzeba być w domenie,
 Defender: antywirus Windows’a s t r |8

by (lokalne wtedy) ustawienia Policies były obowiązkowe! Toteż wirusy wklejały wyłączanie Defendera do
Policies. Takie rozwiązanie nie włączało ani UAC, ani Centrum Zabezpieczeń. Była to wszak "Lokalna
polityka zabezpieczeń". Innymi słowy uznawano, że "tak ma być".

Zaszłości historyczne

Stanowi to zabawny problem do rozwiązania. Nie da się, z powodu kompatybilności z Active Directory,
zmienić sposobu w jaki działa gałąź Policies. Jest mało sposobów wyjścia z tego potrzasku. Nie można
włączać alarmu bezwarunkowo, bo o braku Defendera zaczną krzyczeć komputery, gdzie naprawdę ma on
być wyłączony. Nie można usunąć jego konfigurowalności, bowiem obiecano, że Active Directory i Intune
potrafią nim zarządzać, a są to rozwiązania kosztujące górę pieniędzy. Nie da się też, "z datą wsteczną",
zlikwidować już wdrożonych przez wielu administratorów polityk.

Ignorowanie ustawień (fot. Kamil Dudek)

Zadecydowano więc o… ignorowaniu klucza Policies, gdy włączona jest funkcja Ochrona przed
naruszeniami! Oznacza to, że na komputerze klienckim nie będą działać żadne ustawienia obowiązkowe
Defendera i nie będzie możliwe jego wyłączenie, tak długo jak włączona jest Ochrona przed naruszeniami,
której (uwaga!) nie da się wyłączyć politykami. Użytkownik może to zrobić tylko ręcznie, wywołując alarm
UAC.

Ekskluzywne ustawienia

Oznacza to, że Defendera nie da się skonfigurować przez Zasady Grupy. Wszelkie jego zaawansowane
ustawienia (częstość skanów, rodzaj przesyłanych próbek, głębokość analizy, skanowanie sieci) są
 Defender: antywirus Windows’a s t r |9

ignorowane z powodu Ochrony przed naruszeniami. Centralne zarządzanie Defenderem (i ewentualne

wyłączenie go) wymaga obecnie wydania pieniędzy na jedno z trzech rozwiązań:

• Intune, gdzie da się wyłączyć Ochronę i sprawić, że Policies zaczną znowu działać

• SCCM (Endpoint Manager), gdzie rozkażemy maszynie respektowanie ustawień

• Windows 10 Enterprise, gdzie Ochrona jest najwyraźniej wyłączona

W ten sposób wyłączenie antywirusa dołączyło do grona ustawień "tylko dla przedsiębiorstw", do
towarzystwa np. możliwością ustawienia tapety ekranu blokady.

W kolejnej części zajmiemy się interfejsem tekstowym Defendera i ustawieniami definicji.

Defender: antywirus Windowsa. Ile jest wart i jak go skonfigurować? Część IV

15.11.2020 17:58

Interfejs graficzny systemowego Defendera jest bardzo przystępny i łatwy w użyciu. Jest tak przystępny, że
może prędko sprawić trudności użytkownikom, którzy szukają w nim zaawansowanych ustawień oraz
szczegółów działania. Na szczęście, ukrycie opcji i detali w UI nie poszło w parze z usunięciem ich z
programu. Wiele interesujących cech Defendera oraz cały wachlarz szczegółów dotyczących jego pracy
dostarczą nam systemowy Dziennik Zdarzeń oraz dedykowane cmdlety środowiska PowerShell.

Ponieważ Defender usiłuje przejąć część rynku korporacyjnych antywirusów, dostarcza bardzo
rozbudowane środowisko logowania, celem dostarczania dokładnych raportów ochrony do większych
systemów SIEM. Dostawca logów "Microsoft-Windows-Windows Defender" i jego dziennik "Operational",
dostarczane razem z Windows, zawierają bardzo dokładne informacje na temat tego, czym Defender
zajmuje się podczas pracy w tle. Mimo swojej objętości, logi te mogłyby być jednak nieco lepsze: nie
dowiemy się z nich na przykład o przesyłanych do chmury próbkach. Ale zapoznamy się z wieloma innymi
informacjami.

Dziennik Zdarzeń

Na przykład, gdy silnik Defendera znajdzie zagrożenie, utworzy w Dzienniku Zdarzeń ślad informujący o nim
i przydzieli mu klasyfikację Ostrzeżenie. Gdy użytkownik podejmie akcję (lub po chwili Defender podejmie
ją automatycznie), w Dzienniku zostanie utworzony drugi ślad, tym razem o poziomie Informacja. Dopiero
niepowodzenie w usunięciu zagrożenia wygeneruje ślad o klasyfikacji Błąd.
 Defender: antywirus Windows’a s t r | 10

Aby zapoznać się z historią wszystkich zagrożeń wykrytych przez Defendera, należy przeszukać Dziennik
pod kątem zdarzeń o identyfikatorach 1006, 1015 i 1116. Zawierają one informacje o zatrzymaniu działania
wirusa, wykrycia pliku z wirusem lub zablokowaniu podejrzanego zachowania. Osiągniemy to następującym
poleceniem:

Get-WinEvent -LogName "Microsoft-Windows-Windows Defender/Operational" | `

Where-Object { $_.Id -eq 1006 -or $_.Id -eq 1015 -or $_.Id -eq 1116 }

cmdlety użytkowe

Jest to jednak informacja interesująca z perspektywy administratora, zbierającego logi ze wszystkich stacji
roboczych pod swoją opieką. Dla użytkowników końcowych, Microsoft przygotował bardziej przystępne
polecenia, dzięki którym nie jest potrzebne samodzielne filtrowanie i przetwarzanie wpisów z Dziennika.
Mowa o Get-MpThreat oraz Get-MpThreatDetection.
 Defender: antywirus Windows’a s t r | 11

Get-MpThreat pokaże mniej więcej to, co pojawia się na interaktywnych powiadomieniach w razie
wykrycia zagrożenia. Jest to cmdlet patrzący z perspektywy ochrony: własności zwracanego przez niego
obiektu dotyczą takich rzeczy, jak to czy zagrożenie dalej jest aktywne, czy udało mu się wykonać, jaka jest
nazwa wirusa i poziom zagrożenia, oraz w jakim został wykryty elemencie.

Get-MpThreatDetection jest bliższy wyjściu z Dziennika Zdarzeń i zawiera szczegóły z perspektywy badania
incydentów bezpieczeństwa: kiedy nastąpiło wykrycie, która wersja silnika i definicji tego dokonała, czy
akcja prewencyjna zakończyła się sukcesem. Zagrożenie widoczne tylko raz w Get-MpThreat może
obfitować wieloma wpisami w Get-MpThreatDetection, jeżeli antywirus "walczył" z nim i podejmował
wiele kroków. Aby poznać listę wszystkich wirusów wykrytych na komputerze przez Defendera, należy
wydać polecenie:

Get-MpThreatDetection | % { Get-MpThreatCatalog -ThreatID $_.ThreatID | Select-Object -ExpandProperty

ThreatName } | Sort-Object -Unique

Zapraszamy do podzielenia się listą w komentarzach (lub pochwaleniem się, że jest pusta!)
 Defender: antywirus Windows’a s t r | 12

Zdarzenia administracyjne

Incydenty bezpieczeństwa to jednak nie tylko wykrycie wirusów. Istnieje znacznie więcej "niepokojących"
zdarzeń, o których może informować logowanie Defendera. Należą do nich:

• Zatrzymanie skanowania (1002)

• Awaria skanowania (1005, 2031)
• Niepowodzenie podjęcia akcji obrony przed wirusem (1008, 1118)
• Historia ochrony została wyczyszczona (1013, 1014)
• Niepowodzenie akcji obrony w stopniu podważającym skuteczność pracy (1119)
• Nieudana aktualizacja (2001, 2003, 2006, 2012, 2021)
• Usunięcie wszystkich definicji (!) (2013)
• Awaria silnika (3002, 3007, 5008)
• Ochrona jest wyłączona (5001, 5010, 5012)
• Przewlekle nieaktualne definicje (5101)
Odpytanie Dziennika o powyższe wydarzenia da się osiągnąć następującymi poleceniami:

$worryingEvents = "1002", "1005", "1006", "1008", "1013", "1014", "1015", "1116", "1118", "1119", "2001", "2003",
"2006", "2012", "2013", "2021", "2031", "3002", "3007", "5001", "5008", "5010", "5012", "5101"

Get-WinEvent -LogName "Microsoft-Windows-Windows Defender/Operational" | Where-Object { $worryingEvents -

contains $_.Id }
 Defender: antywirus Windows’a s t r | 13

Scenariusz idealny to taki, w którym otrzymana lista jest oczywiście pusta.

Kontrolka "Check Engine"

Stan Defendera opisany w sposób najogólniejszy można otrzymać na pomocą cmdletu Get-
MpComputerStatus. Jest on zaawansowanym odpowiednikiem panelu z zielonymi/żółtymi ikonami stanu z
Centrum Zabezpieczeń. Możemy zbadać, czy wszystkie składniki antywirusa działają poprawnie (choć
powinna to zapewniać Ochrona przed naruszeniami):

$s = Get-MpComputerStatus
# Silnik nie uległ awarii
$r = $s.AMRunningMode -eq "Normal"
# Wszystkie narzędzia ochrony włączone
$t = $true ; "AMServiceEnabled", "AntispywareEnabled", "AntivirusEnabled", "BehaviorMonitorEnabled",
"IoavProtectionEnabled", "IsTamperProtected", "NISEnabled", "OnAccessProtectionEnabled" | Foreach-Object { if
($s.$_ -ne "True") {$t = $false} }
# Definicje aktualne
$u = $true ; "AntispywareSignatureAge", "AntivirusSignatureAge", "NISSignatureAge", "QuickScanAge" | % { if ($s.$_
-ne 0 ) {$u = $false}
# Komputer nie ma zaległego skanu, restartu celem usunięcia wirusa ani nie czeka na decyzje użytkownika
$c =$s.ComputerState -eq 0
# Wszystkie powyższe warunki spełnione jednocześnie
$r -and $t -and $u -and $c

W kolejnej części zajmiemy się ustawieniem zaawansowanych parametrów Defendera, z uwzględnieniem

tego, które ustawienia są ignorowane przez Ochronę przed naruszeniami.