Attack Surface Reduction-funktion i Windows Defender

Attack Surface Reduction er en funktion i Windows Defender Exploit Guard, der forhindrer handlinger, der bruges af malware, der søger efter at udnytte computere til at inficere computere. Windows Defender Exploit Guard er et nyt sæt kapaciteter til forebyggelse af invasion, som Microsoft introducerede som en del af Windows 10 v1709. De fire komponenter i Windows Defender Exploit Guard inkluderer:

• Netværksbeskyttelse
• Kontrolleret mappeadgang
• Udnyttelsesbeskyttelse
• Attack Surface Reduction

En af de største muligheder, som nævnt ovenfor, er Attack Surface Reduction, der beskytter mod almindelige handlinger af ondsindet software, der udfører sig selv på Windows 10-enheder.

Lad os forstå, hvad der er Attack Surface reduktion, og hvorfor det er så vigtigt.

Windows Defender Attack Surface Reduction-funktion

E-mails og kontorapplikationer er den mest afgørende del af enhver virksomheds produktivitet. Det er den nemmeste måde for cyberangribere at få adgang til deres pc'er og netværk og installere malware. Hackere kan direkte bruge kontormakroer og scripts til direkte at udføre udnyttelser, der fungerer helt i hukommelsen og ofte ikke kan detekteres af traditionelle Antivirus-scanninger.

Det værste er, at for at en malware skal få en post, tager det bare brugeren at aktivere makroer på en legitim Office-fil eller at åbne en vedhæftet fil til e-mail, der kan kompromittere maskinen.

Det er her Attack Surface Reduction kommer til undsætning.

Fordele ved Attack Surface Reduction

Attack Surface Reduction tilbyder et sæt indbygget intelligens, der kan blokere den underliggende adfærd, der bruges af disse ondsindede dokumenter til at udføre uden at hindre produktive scenarier. Ved at blokere ondsindet adfærd uafhængigt af, hvad truslen eller udnyttelsen er, kan Attack Surface Reduction beskytte virksomheder mod aldrig før set nul-dages angreb og afbalancere deres sikkerhedsrisiko og produktivitetskrav.

ASR dækker tre hovedadfærd:

1. Office-apps
2. Scripts og
3. E-mails

For Office-apps kan Attack Surface Reduction-regel:

1. Bloker Office-apps fra at oprette eksekverbart indhold
2. Bloker Office-apps fra at oprette underordnet proces
3. Bloker Office-apps fra at indsætte kode i en anden proces
4. Bloker Win32-import fra makrokode i Office
5. Bloker tilsløret makrokode

Ofte kan ondsindede kontormakroer inficere en pc ved at injicere og starte eksekverbare filer. Attack Surface Reduction kan beskytte mod dette og også mod DDEDownloader, der for nylig har inficeret pc'er over hele verden. Denne udnyttelse bruger popup-vinduet Dynamic Data Exchange i officielle dokumenter til at køre en PowerShell-downloader, mens der oprettes en underordnet proces, som ASR-reglen effektivt blokerer!

For scriptet kan Attack Surface Reduction-regel:

• Bloker ondsindet JavaScript, VBScript og PowerShell-koder, der er blevet tilsløret
• Bloker JavaScript og VBScript fra at udføre nyttelast downloadet fra internettet

For e-mail kan ASR:

• Bloker eksekvering af eksekverbart indhold, der er droppet fra e-mail (webmail / mail-klient)

Nu om dagen har der været en efterfølgende stigning i spear-phishing, og endda er målrettet mod en medarbejders personlige e-mails. ASR giver virksomhedsadministratorer mulighed for at anvende filpolitikker på personlig e-mail til både webmail og e-mail-klienter på virksomhedsenheder til beskyttelse mod trusler.

Sådan fungerer Attack Surface Reduction

ASR fungerer gennem regler, der identificeres ved deres unikke regel-id. For at konfigurere tilstanden eller tilstanden for hver regel kan de administreres med:

• Gruppepolitik
• PowerShell
• MDM CSP'er

De kan bruges, når kun nogle regler skal aktiveres, eller regler skal aktiveres i individuel tilstand.

For enhver branche af forretningsapplikationer, der kører inden for din virksomhed, er der mulighed for at tilpasse fil- og mappebaserede ekskluderinger, hvis dine applikationer inkluderer usædvanlig opførsel, der kan blive påvirket af ASR-detektion.

Attack Surface Reduction kræver, at Windows Defender Antivirus er den vigtigste AV, og det kræver realtidsbeskyttelsesfunktion for at være aktiveret. Windows 10-sikkerhedsbaseline foreslår, at de fleste af reglerne i bloktilstand, der er nævnt ovenfor, skal aktiveres for at sikre dine enheder mod enhver trussel!

Hvis du vil vide mere, kan du besøge dokumenter.Microsoft.com.