Искусство настройки Windows Defender

За годы работы с корпоративной безопасностью я узнал важное правило: заблокированное легальное приложение — это не только потеря производительности, но и постепенное разрушение доверия пользователей к системе защиты. С другой стороны, чрезмерно мягкая конфигурация превращает компьютер в приманку для киберугроз. Золотая середина — вот в чём искусство.

Windows Defender SmartScreen, механизм снижения поверхности атаки (ASR) и защита от эксплуатов составляют мощную триаду встроённой безопасности. Вместе они способны заблокировать 85–95% стандартных атак на поведенческом уровне, без привлечения дополнительных антивирусов. Но для этого нужно понимать, как они работают изнутри, какие ложные срабатывания их ждут и на какие компромиссы придётся пойти между защитой и удобством.

Как это устроено: заглянем под капот

SmartScreen: облачное хранилище репутации на границе системы

SmartScreen работает как трёхуровневый фильтр репутации. Основан на трёх сигналах: хеш файла (алгоритм SHA256), цифровой сертификат издателя и статистика скачиваний по всему миру. Microsoft поддерживает базу данных, в которой — миллиарды файлов.

Когда вы скачиваете программу, срабатывает три проверки подряд:

1. Проверка хеша — система сравнивает уникальный идентификатор файла с облачной базой известных вредоносных программ
2. Проверка сертификата — определяет, подписан ли файл электронным сертификатом издателя, который уже имеет историю репутации
3. Анализ распространённости — оценивает, сколько пользователей по всему миру уже скачали эту программу (чем больше — тем безопаснее)

Результат фильтруется в три категории:

— Проверено и безопасно: известный безопасный файл либо подписан сертификатом с положительной историей — предупреждений нет

— Известная угроза: файл распознан как вредонос — появляется красное окно с блокировкой

— Неизвестное или редкое: новая или малораспространённая программа — синее предупреждение с предложением скачать, только если вы уверены

Важный момент: SmartScreen не защищает от совершенно новых вредоносных программ в первые часы их появления. Он опирается на исторические данные и статистику распространения. Поэтому инструмент, выпущенный на неделю назад, или обновлённая версия программы часто получают статус «неизвестное» на 2–7 дней, пока облачная система накапливает достаточно информации для оценки.

Настройки SmartScreen хранятся в трёх местах реестра в зависимости от контекста:

HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer

└─ SmartScreenEnabled (строка либо число)

├─ RequireAdmin = предупреждение с требованием прав администратора

├─ Warn = диалоговое окно без необходимости в админ-правах

└─ Off = функция отключена полностью

HKCU:\Software\Microsoft\Edge\SmartScreenEnabled

└─ SmartScreenEnabled = 1 (функция включена) или 0 (отключена)

HKLM:\SOFTWARE\Policies\Microsoft\Windows\System

└─ EnableSmartScreen (для управления через групповую политику)

Механизм ASR: поведенческий щит против типовых способов атак

Механизм снижения поверхности атаки — это вовсе не традиционный антивирус. Это набор поведенческих правил, которые блокируют определённые технические приёмы, используемые почти во всех семействах вредоносных программ. Microsoft предусмотрел 19 таких правил, разбитых на четыре группы по назначению:

1. Защита документов Microsoft Office (7 правил): блокировка макросов на языке VBA, инъекций кода, создания дочерних процессов из текстовых и табличных редакторов
2. Контроль скачиваний и запуска (4 правила): остановка скачанных из браузеров и почтовых клиентов исполняемых файлов, запуск скриптов из сомнительных источников
3. Создание процессов и горизонтальное движение (4 правила): блокировка инструментов удалённого выполнения команд (PSExec), функций управления системой через WMI, кража данных авторизации из критичных процессов
4. Остальное и защита от шифрующихся вирусов (4 правила): блокировка уязвимых драйверов, незащищённых USB-устройств, программ-шифровщиков, веб-оболочек для взлома

Ключевая особенность: механизм ASR работает на уровне ядра Windows и не зависит от основного антивируса Defender при блокировании, но требует его наличия для режима аудита. Проще говоря, если вы полностью отключили Defender, то и правила ASR перестают работать.

Каждое правило имеет уникальный идентификатор (GUID) и может находиться в четырёх состояниях:

— Не установлено (0): правило неактивно, ничего не происходит

— Аудит (2): система записывает события в логи, но не блокирует

— Предупреждение (6): пользователь видит уведомление, но может продолжить действие

— Блокировка (1): полная остановка без возможности обхода

Защита от эксплуатов: микроархитектурная оборона на уровне памяти

Защита от эксплуатов — это набор из пяти ключевых техник для предотвращения использования уязвимостей, связанных с памятью:

1. Control Flow Guard (CFG): охраняет косвенные вызовы функций от перенаправления при переполнении буфера. Использует специальную таблицу в памяти ядра для проверки корректности адресов вызовов. Влияние на производительность: менее 5% в большинстве приложений.
2. Data Execution Prevention (DEP): запрещает выполнение кода, расположенного в стеках данных и динамической памяти. Включена по умолчанию, критична для защиты.
3. Address Space Layout Randomization (ASLR) в двух вариантах:
4. — Нижняя граница ASLR: случайное размещение адресов при загрузке модулей (включена по умолчанию)
5. — Обязательная ASLR: экстремально агрессивный вариант, может нарушить работу приложений (отключена по умолчанию)
6. Защита обработчиков структурированных исключений (SEHOP): охраняет структуры обработчиков исключений от перезаписи (включена по умолчанию).
7. Контроль целостности динамической памяти: проверка целостности структур в памяти (включена по умолчанию).

Стратегия внедрения: от теории к практике

Главное правило: сначала наблюдение, потом блокировка

Первый и самый важный совет из документации Microsoft и опыта сообщества администраторов: переводите правило ASR в режим блокировки только после наблюдения минимум в течение двух недель. В идеале — месяц.

Почему это критично? Потому что приложения постоянно делают неожиданные вещи. К примеру:

— Табличный редактор Excel, открывающийся с расширением Power Query, может косвенно запустить командную строку для работы с внешними источниками данных

— Корпоративные системы используют макросы Office для автоматизации, включая системные вызовы API

— PDF-ридеры запускают дочерние процессы для взаимодействия с внешними обработчиками

Период наблюдения в 2–4 недели покажет вам всё, что нужно. Вы получите записи в журнале событий (Event ID 1121 в режиме аудита и Event ID 1122 в режиме блокировки), которые покажут точные команды и пути, которые были бы заблокированы.

Как развёртывается защита ASR в организациях (проверено на тысячах компьютеров):

Волна 1 (тестирование): 10–50 компьютеров

├─ Все правила в режиме аудита

├─ Период: 2–4 недели

└─ Цель: выявить шумные правила и необходимые исключения

Волна 2 (расширенное тестирование): 200–500 компьютеров

├─ Стабильные правила переходят в режим блокировки

├─ Проблемные остаются в режиме предупреждения или аудита

├─ Период: 2–3 недели

└─ Цель: убедиться в отсутствии критичных конфликтов

Волна 3 (полное развёртывание): 100% компьютеров

├─ Все правила в режиме блокировки или предупреждения

├─ Индивидуальные исключения для каждой группы пользователей

└─ Постоянный мониторинг через портал безопасности

Какие правила включать в первую очередь (практический опыт показывает, что конфликтов почти нет):

🔴 Высокий приоритет — можно переводить в режим блокировки сразу:

— Блокировка неподписанных USB-устройств и программ с них (GUID: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4) — 18 месяцев внедрения, ноль критичных инцидентов

— Блокировка эксплуатации известных уязвимостей в подписанных драйверах (GUID: 56a863a9-875e-4185-98a7-b882c64b5ce5) — стандартное правило, одобренное Microsoft

— Применение расширенной защиты от программ-шифровщиков (GUID: c1db55ab-c21a-4637-bb3f-a12568109d35) — облачный анализ поведения

🟡 Средний приоритет — начать с предупреждений, потом перейти на блокировку:

— Блокировка выполнения потенциально замаскированных скриптов (GUID: 5beb7efe-fd9a-4556-801d-275e5ffc04cc) — требует облачной защиты, может конфликтовать с легальными инструментами

— Блокировка исполняемых файлов из электронной почты и веб-почты (GUID: be9ba2d9-53ea-4cdc-84e5-9b1eeee46550) — конфликтует с архиваторами и загрузчиками

— Блокировка создания дочерних процессов всеми программами Office (GUID: d4f940ab-401b-4efc-aadc-ad5f3c50688a) — много исключений для корпоративных приложений

🟠 Низкий приоритет — требуют тщательного анализа перед внедрением:

— Блокировка инъекций кода из Office в другие процессы (GUID: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84) — несовместимо с программами для управления привилегиями (Avecto Privilege Guard) и некоторыми инструментами безопасности

— Блокировка запуска исполняемых файлов с низкой популярностью (GUID: 01443614-cd74-433a-b99e-2ecdc07bfc25) — разработчикам нужны исключения для частных инструментов

Исключения для конкретных правил: точность вместо полного отключения

Не все правила поддерживают стандартные исключения через Defender. Вот список правил, которые игнорируют обычные исключения Defender:

— Блокировка создания дочерних процессов Adobe Reader

— Блокировка процессов из инструментов PSExec и управления через WMI

— Блокировка кражи данных авторизации из системных процессов

— Блокировка создания исполняемого содержимого Office

— Блокировка инъекций кода из Office

— Блокировка создания дочерних процессов приложениями связи Office

Для этих правил используются исключения по отдельному правилу в Intune или групповой политике:

# Через PowerShell (управление на одном компьютере)

Add-MpPreference `

-AttackSurfaceReductionOnlyExclusions "C:\Program Files\YourApp\app.exe" `

-AttackSurfaceReductionRules_Ids d4f940ab-401b-4efc-aadc-ad5f3c50688a `

-AttackSurfaceReductionRules_Actions Block

В облачной системе управления процесс отличается: создаёте отдельную политику с более высоким приоритетом (через теги области), где указываете исключения для конкретных приложений или групп пользователей.

Как вернуть всё обратно, если что-то пошло не так

Рано или поздно конфигурация может сломаться. Вот чек-лист для аварийного восстановления.

Экстренное отключение проблемного правила

Если одно правило сломало систему:

# Немедленно отключаем проблемное правило

Add-MpPreference `

-AttackSurfaceReductionRules_Ids 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b `

-AttackSurfaceReductionRules_Actions Disabled

# Или переводим в режим наблюдения (если не хочется полностью отключать)

Add-MpPreference `

-AttackSurfaceReductionRules_Ids 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b `

-AttackSurfaceReductionRules_Actions AuditMode

# Проверяем статус

Get-MpPreference | Select-Object AttackSurfaceReductionRules_Ids, AttackSurfaceReductionRules_Actions

Отключение всех правил ASR сразу

# Если нужен полный откат

@(

"56a863a9-875e-4185-98a7-b882c64b5ce5",

"7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c",

"d4f940ab-401b-4efc-aadc-ad5f3c50688a",

"9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2",

"be9ba2d9-53ea-4cdc-84e5-9b1eeee46550",

"01443614-cd74-433a-b99e-2ecdc07bfc25",

"5beb7efe-fd9a-4556-801d-275e5ffc04cc",

"d3e037e1-3eb8-44c8-a917-57927947596d",

"3b576869-a4ec-4529-8536-b80a7769e899",

"75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84",

"26190899-1602-49e8-8b27-eb1d0a1ce869",

"e6db77e5-3df2-4cf1-b95a-636979351e5b",

"d1e49aac-8f56-4280-b9ba-993a6d77406c",

"33ddedf1-c6e0-47cb-833e-de6133960387",

"b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4",

"c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb",

"a8f5898e-1dc8-49a9-9878-85004b8a61e6",

"92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b",

"c1db55ab-c21a-4637-bb3f-a12568109d35"

) | ForEach-Object {

Add-MpPreference -AttackSurfaceReductionRules_Ids $_ -AttackSurfaceReductionRules_Actions Disabled

}

Write-Host "Все правила отключены"

Восстановление защиты от эксплуатов

# Если сохранили настройки:

Set-ProcessMitigation -File "C:\Path\To\ep-reset.xml"

# Если восстанавливаем с нуля — включаем стандартные системные защиты:

Set-ProcessMitigation -System `

-Enable CFG, DEP, SEHOP, BottomUpASLR

Включение SmartScreen обратно

REM Если отключили и нужно включить

reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer" ^

/v SmartScreenEnabled /t REG_SZ /d "Warn" /f

reg add "HKCU\Software\Microsoft\Edge" ^

/v SmartScreenEnabled /t REG_DWORD /d 1 /f

gpupdate /force

Три главных вывода

Первое: режим наблюдения — это не предосторожность, это математика. Неделю аудита можно отработать в несколько часов откатов.

Второе: исключение конкретного приложения лучше, чем отключение целого правила. Вместо полного отключения рассмотрите исключение узко специфичного процесса.

Третье: эти три защиты вместе мощнее, чем каждая по отдельности. SmartScreen ловит репутацию, ASR блокирует типовые техники, Exploit Protection охраняет память. Вместе они покрывают почти все векторы атак на современном компьютере.

Правильно настроенная защита Defender способна заменить дорогостоящие корпоративные решения, потому что встроена в систему и не требует агента. Но нужны время, внимательность и понимание того, как это работает.