Defender: antywirus Windowsa. Ile jest wart i jak go skonfigurować? Część III

Systemowy Defender, jak na składnik Windowsa (niegdyś) przystało, jest szeroko konfigurowalny z wykorzystaniem Zasad Grupy. A przynajmniej był. Od kilku ostatnich lat, Microsoft rozwija bardzo osobliwą metodę zabezpieczenia Defendera przed wyłączeniem, w postaci tzw. Ochrony przed naruszeniami (tamper protection). Utrudnia ona wyłączenie Defendera, ale odbywa się to kosztem ograniczenia jego konfigurowalności. Aby zrozumieć kuriozalną sytuację, do której doprowadził w ten sposób Microsoft, konieczne jest poświęcić kilka słów na przypomnienie, jak działają zasady grupy.

Defender: antywirus Windowsa (fot. TheDigitalWay, Pixabay)
Defender: antywirus Windowsa (fot. TheDigitalWay, Pixabay)
Kamil J. Dudek

W uproszczeniu (wywołującym sprzeciw niektórych administratorów i specjalistów od "well, actually…", których jawnie zignoruję), zasady grupy to metoda dostarczenia ustawień Rejestru, które są obowiązkowe na maszynie. Domena, której członkiem jest komputer z Windows, ma prawa "wklejać" do Rejestru ustawienia. Nie nadpisują one ustawień lokalnych. Zamiast tego lądują w gałęzi Policies, która jest gałęzią nadpisywaną/tylko do odczytu (ale tylko gdy komputer jest domenie!). Składniki systemu (oraz poprawnie napisane aplikacje) najpierw sprawdzają gałąź Policies, a gdy nie ma w niej danego ustawienia, sprawdzają Rejestr użytkownika.

Nie musisz walczyć z antywirusem, gdy go wyłączysz

Wiele wirusów nadużywało tej "nieskończonej konfigurowalności" Windowsów i próbowało po prostu wyłączać Defendera, zamiast się przed nim ukryć. Próba wyłączenia go skutkuje alarmem Kontroli Konta Użytkownika. Wirusy zaczęły więc stosować PowerShella: cmdlet "Set-MpPreference" umożliwia zatrzymanie ochrony w czasie rzeczywistym. Ale wtedy włącza się z kolei alarm Centrum Zabezpieczeń, co sprawia, że wirus wychodzi na światło dzienne.

Obraz

Dlatego wirusy stały się jeszcze cwańsze: wklejały ustawienie wyłączenia Defendera do gałęzi Policies. Gdy komputer nie jest członkiem domeny, możliwe jest pisanie po tej gałęzi za pomocą Zasad Zabezpieczeń Lokalnych. Bez domeny nic ich nie nadpisze ustawieniami obowiązkowymi, ale nie trzeba być w domenie, by (lokalne wtedy) ustawienia Policies były obowiązkowe! Toteż wirusy wklejały wyłączanie Defendera do Policies. Takie rozwiązanie nie włączało ani UAC, ani Centrum Zabezpieczeń. Była to wszak "Lokalna polityka zabezpieczeń". Innymi słowy uznawano, że "tak ma być".

Zaszłości historyczne

Stanowi to zabawny problem do rozwiązania. Nie da się, z powodu kompatybilności z Active Directory, zmienić sposobu w jaki działa gałąź Policies. Jest mało sposobów wyjścia z tego potrzasku. Nie można włączać alarmu bezwarunkowo, bo o braku Defendera zaczną krzyczeć komputery, gdzie naprawdę ma on być wyłączony. Nie można usunąć jego konfigurowalności, bowiem obiecano, że Active Directory i Intune potrafią nim zarządzać, a są to rozwiązania kosztujące górę pieniędzy. Nie da się też, "z datą wsteczną", zlikwidować już wdrożonych przez wielu administratorów polityk.

Ignorowanie ustawień (fot. Kamil Dudek)
Ignorowanie ustawień (fot. Kamil Dudek)

Zadecydowano więc o… ignorowaniu klucza Policies, gdy włączona jest funkcja Ochrona przed naruszeniami! Oznacza to, że na komputerze klienckim nie będą działać żadne ustawienia obowiązkowe Defendera i nie będzie możliwe jego wyłączenie, tak długo jak włączona jest Ochrona przed naruszeniami, której (uwaga!) nie da się wyłączyć politykami. Użytkownik może to zrobić tylko ręcznie, wywołując alarm UAC.

Ekskluzywne ustawienia

Oznacza to, że Defendera nie da się skonfigurować przez Zasady Grupy. Wszelkie jego zaawansowane ustawienia (częstość skanów, rodzaj przesyłanych próbek, głębokość analizy, skanowanie sieci) są ignorowane z powodu Ochrony przed naruszeniami. Centralne zarządzanie Defenderem (i ewentualne wyłączenie go) wymaga obecnie wydania pieniędzy na jedno z trzech rozwiązań:

Intune, gdzie da się wyłączyć Ochronę i sprawić, że Policies zaczną znowu działać SCCM (Endpoint Manager), gdzie rozkażemy maszynie respektowanie ustawień Windows 10 Enterprise, gdzie Ochrona jest najwyraźniej wyłączona

W ten sposób wyłączenie antywirusa dołączyło do grona ustawień "tylko dla przedsiębiorstw", do towarzystwa np. możliwością ustawienia tapety ekranu blokady.

W kolejnej części zajmiemy się interfejsem tekstowym Defendera i ustawieniami definicji.

Programy

Zobacz więcej
Wybrane dla Ciebie
Komentarze (29)

Cenimy Twoją prywatność

Kliknij "AKCEPTUJĘ I PRZECHODZĘ DO SERWISU", aby wyrazić zgodę na korzystanie w Internecie z technologii automatycznego gromadzenia i wykorzystywania danych oraz na przetwarzanie Twoich danych osobowych przez Wirtualną Polskę, Zaufanych Partnerów IAB (874 partnerów) oraz pozostałych Zaufanych Partnerów (403 partnerów) a także udostępnienie przez nas ww. Zaufanym Partnerom przypisanych Ci identyfikatorów w celach marketingowych (w tym do zautomatyzowanego dopasowania reklam do Twoich zainteresowań i mierzenia ich skuteczności) i pozostałych, które wskazujemy poniżej. Możesz również podjąć decyzję w sprawie udzielenia zgody w ramach ustawień zaawansowanych.


Na podstawie udzielonej przez Ciebie zgody Wirtualna Polska, Zaufani Partnerzy IAB oraz pozostali Zaufani Partnerzy będą przetwarzać Twoje dane osobowe zbierane w Internecie (m.in. na serwisach partnerów e-commerce), w tym za pośrednictwem formularzy, takie jak: adresy IP, identyfikatory Twoich urządzeń i identyfikatory plików cookies oraz inne przypisane Ci identyfikatory i informacje o Twojej aktywności w Internecie. Dane te będą przetwarzane w celu: przechowywania informacji na urządzeniu lub dostępu do nich, wykorzystywania ograniczonych danych do wyboru reklam, tworzenia profili związanych z personalizacją reklam, wykorzystania profili do wyboru spersonalizowanych reklam, tworzenia profili z myślą o personalizacji treści, wykorzystywania profili w doborze spersonalizowanych treści, pomiaru wydajności reklam, pomiaru wydajności treści, poznawaniu odbiorców dzięki statystyce lub kombinacji danych z różnych źródeł, opracowywania i ulepszania usług, wykorzystywania ograniczonych danych do wyboru treści.


W ramach funkcji i funkcji specjalnych Wirtualna Polska może podejmować następujące działania:

  1. Dopasowanie i łączenie danych z innych źródeł
  2. Łączenie różnych urządzeń
  3. Identyfikacja urządzeń na podstawie informacji przesyłanych automatycznie
  4. Aktywne skanowanie charakterystyki urządzenia do celów identyfikacji

Cele przetwarzania Twoich danych przez Zaufanych Partnerów IAB oraz pozostałych Zaufanych Partnerów są następujące:

  1. Przechowywanie informacji na urządzeniu lub dostęp do nich
  2. Wykorzystywanie ograniczonych danych do wyboru reklam
  3. Tworzenie profili w celu spersonalizowanych reklam
  4. Wykorzystanie profili do wyboru spersonalizowanych reklam
  5. Tworzenie profili w celu personalizacji treści
  6. Wykorzystywanie profili w celu doboru spersonalizowanych treści
  7. Pomiar efektywności reklam
  8. Pomiar efektywności treści
  9. Rozumienie odbiorców dzięki statystyce lub kombinacji danych z różnych źródeł
  10. Rozwój i ulepszanie usług
  11. Wykorzystywanie ograniczonych danych do wyboru treści
  12. Zapewnienie bezpieczeństwa, zapobieganie oszustwom i naprawianie błędów
  13. Dostarczanie i prezentowanie reklam i treści
  14. Zapisanie decyzji dotyczących prywatności oraz informowanie o nich

W ramach funkcji i funkcji specjalnych nasi Zaufani Partnerzy IAB oraz pozostali Zaufani Partnerzy mogą podejmować następujące działania:

  1. Dopasowanie i łączenie danych z innych źródeł
  2. Łączenie różnych urządzeń
  3. Identyfikacja urządzeń na podstawie informacji przesyłanych automatycznie
  4. Aktywne skanowanie charakterystyki urządzenia do celów identyfikacji

Dla podjęcia powyższych działań nasi Zaufani Partnerzy IAB oraz pozostali Zaufani Partnerzy również potrzebują Twojej zgody, którą możesz udzielić poprzez kliknięcie w przycisk "AKCEPTUJĘ I PRZECHODZĘ DO SERWISU" lub podjąć decyzję w sprawie udzielenia zgody w ramach ustawień zaawansowanych.


Cele przetwarzania Twoich danych bez konieczności uzyskania Twojej zgody w oparciu o uzasadniony interes Wirtualnej Polski, Zaufanych Partnerów IAB oraz możliwość sprzeciwienia się takiemu przetwarzaniu znajdziesz w ustawieniach zaawansowanych.


Cele, cele specjalne, funkcje i funkcje specjalne przetwarzania szczegółowo opisujemy w ustawieniach zaawansowanych.


Serwisy partnerów e-commerce, z których możemy przetwarzać Twoje dane osobowe na podstawie udzielonej przez Ciebie zgody znajdziesz tutaj.


Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać wywołując ponownie okno z ustawieniami poprzez kliknięcie w link "Ustawienia prywatności" znajdujący się w stopce każdego serwisu.


Pamiętaj, że udzielając zgody Twoje dane będą mogły być przekazywane do naszych Zaufanych Partnerów z państw trzecich tj. z państw spoza Europejskiego Obszaru Gospodarczego.


Masz prawo żądania dostępu, sprostowania, usunięcia, ograniczenia, przeniesienia przetwarzania danych, złożenia sprzeciwu, złożenia skargi do organu nadzorczego na zasadach określonych w polityce prywatności.


Korzystanie z witryny bez zmiany ustawień Twojej przeglądarki oznacza, że pliki cookies będą umieszczane w Twoim urządzeniu końcowym. W celu zmiany ustawień prywatności możesz kliknąć w link Ustawienia zaawansowane lub "Ustawienia prywatności" znajdujący się w stopce każdego serwisu w ramach których będziesz mógł udzielić, odwołać zgodę lub w inny sposób zarządzać swoimi wyborami. Szczegółowe informacje na temat przetwarzania Twoich danych osobowych znajdziesz w polityce prywatności.