Funkcja redukcji powierzchni ataku w programie Windows Defender

Redukcja powierzchni ataku to funkcja programu Windows Defender Exploit Guard, która zapobiega działaniom wykorzystywanym przez złośliwe oprogramowanie wykorzystujące exploity do infekowania komputerów. Windows Defender Exploit Guard to nowy zestaw funkcji zapobiegania inwazji, które Microsoft wprowadził jako część systemu Windows 10 v1709. Cztery elementy usługi Windows Defender Exploit Guard obejmują:

• Ochrona sieci
• Dostęp do kontrolowanego folderu
• Ochrona przed exploitami
• Redukcja powierzchni ataku

Jedną z głównych możliwości, jak wspomniano powyżej, jest Atak Redukcja powierzchni, , które chronią przed typowymi działaniami złośliwego oprogramowania, które działają na urządzeniach z systemem Windows 10.

Rozumiem, co to jest redukcja powierzchni ataku i dlaczego jest ona tak ważna.

Funkcja redukcji powierzchni ataków systemu Windows Defender

Wiadomości e-mail i aplikacje biurowe są najważniejszym elementem wydajności każdego przedsiębiorstwa. To najprostszy sposób, aby cyberprzestępcy mogli uzyskać dostęp do swoich komputerów i sieci oraz zainstalować złośliwe oprogramowanie. Hakerzy mogą bezpośrednio używać makr i skryptów biurowych do bezpośredniego wykonywania exploitów, które działają całkowicie w pamięci i często są niewykrywalne przez tradycyjne skany antywirusowe.

Najgorsze jest to, że aby złośliwe oprogramowanie otrzymało wpis, wystarczy, że użytkownik włączy makra na prawnie wyglądającym pliku Office lub otwarcie załącznika do wiadomości e-mail, który może zagrozić komputerowi.

Tu na ratunek przychodzi zmniejszenie powierzchni Ataku

Zalety zmniejszenia powierzchni ataku

Oferty zmniejszenia powierzchni ataku zestaw wbudowanej inteligencji, która może blokować podstawowe zachowania wykorzystywane przez te złośliwe dokumenty, aby nie utrudniać produktywnych scenariuszy. Blokując złośliwe zachowania, niezależnie od tego, jakie są zagrożenia lub exploity, funkcja Ataku Redukcji Powierzchni może chronić przedsiębiorstwa przed nigdy wcześniej nie atakowanymi atakami zerowymi, a także równoważyć ich wymagania dotyczące bezpieczeństwa i produktywności.

ASR obejmuje trzy główne zachowania :

1. Aplikacje biurowe
2. Skrypty i
3. E-maile

W aplikacjach pakietu Office reguła ograniczania powierzchni ataku może:

1. Blokować aplikacje pakietu Office przed tworzeniem zawartości wykonywalnej
2. Blokowanie aplikacji pakietu Office przed utworzeniem procesu podrzędnego
3. Blokowanie aplikacji pakietu Office przed wprowadzeniem kodu do innego procesu
4. Blokowanie importowania systemu Win32 z kodu makr w pakiecie Office
5. Blokowanie zakodowanego kodu makra

Niejednokrotnie złośliwe makra w biurze mogą zainfekować komputer przez wstrzyknięcie i uruchomienie plików wykonywalnych. Funkcja Attack Surface Reduction może zabezpieczyć się przed tym, a także przed programem DDEDownloader, który ostatnio infekował komputery na całym świecie. Ten exploit wykorzystuje wyskakujące okienko Dynamic Data Exchange w oficjalnych dokumentach do uruchamiania programu PowerShell downloader podczas tworzenia procesu potomnego, w którym reguła ASR skutecznie blokuje!

Dla skryptu reguła ataku na zmniejszenie powierzchni może:

• Zablokować złośliwy JavaScript, VBScript i Kody PowerShell, które zostały zaciemnione
• Zablokuj JavaScript i VBScript przed wykonaniem ładunków pobranych z Internetu

W przypadku wiadomości e-mail ASR może:

• Zablokować wykonanie zawartości wykonywalnej usuniętej z wiadomości e-mail (klient poczty internetowej / poczty)

Teraz każdego dnia nastąpił wzrost liczby ataków typu spear phishing, a nawet osobiste wiadomości e-mail pracowników są kierowane. ASR umożliwia administratorom firm stosowanie zasad dotyczących plików na pocztę osobistą zarówno dla poczty internetowej, jak i klientów pocztowych na urządzeniach firmowych w celu ochrony przed zagrożeniami.

Jak działa zmniejszenie powierzchni ataku

ASR działa na podstawie reguł identyfikowanych przez ich unikalny identyfikator reguły. Aby skonfigurować stan lub tryb dla każdej reguły, można nimi zarządzać za pomocą:

• Zasady grupy
• PowerShell
• Dostawcy CSP MDM

Mogą być używane, gdy tylko niektóre reguły mają być włączone lub reguły są włączone do włączenia w trybie indywidualnym.

W przypadku dowolnej linii aplikacji biznesowych działających w przedsiębiorstwie istnieje możliwość dostosowania wyjątków dotyczących plików i folderów, jeśli aplikacje zawierają nietypowe zachowania, na które może wpływać wykrycie ASR.

Atakowa redukcja powierzchni wymaga, aby Windows Defender Antivirus był głównym AV i wymaga włączenia funkcji ochrony w czasie rzeczywistym. Podstawowa zasada bezpieczeństwa systemu Windows 10 sugeruje, że większość reguł w trybie blokowym wspomnianych powyżej powinna być włączona, aby zabezpieczyć urządzenia przed wszelkimi zagrożeniami!

Aby dowiedzieć się więcej, odwiedź witrynę docs.microsoft.com.