Attack Surface Reduction-funksjonen i Windows Defender

Attack Surface Reduction er en funksjon i Windows Defender Exploit Guard som forhindrer handlinger som brukes av skadelig programvare for å infisere datamaskiner. Windows Defender Exploit Guard er et nytt sett med funksjoner for å forhindre invasjon som Microsoft introduserte som en del av Windows 10 v1709. De fire komponentene i Windows Defender Exploit Guard inkluderer:

• Nettverksbeskyttelse
• Kontrollert mappetilgang
• Utnyttelsesbeskyttelse
• Attack Surface Reduction

En av de viktigste egenskapene, som nevnt ovenfor, er Attack Surface Reduction, som beskytter mot vanlige handlinger av skadelig programvare som utfører seg selv på Windows 10-enheter.

La oss forstå hva som er reduksjon av Attack Surface og hvorfor det er så viktig.

Windows Defender Attack Surface Reduction-funksjon

E-post og kontorapplikasjoner er den viktigste delen av enhver virksomhets produktivitet. De er den enkleste måten for cyberangripere å få tilgang til sine PCer og nettverk og installere skadelig programvare. Hackere kan bruke kontormakroer og skript direkte til å utføre utnyttelser som fungerer helt i minnet og ofte ikke kan oppdages av tradisjonelle antivirusskanninger.

Det verste er at for at en skadelig programvare skal få en oppføring, tar det bare brukeren å aktivere makroer på en legitim Office-fil, eller å åpne et e-postvedlegg som kan kompromittere maskinen.

Det er her Attack Surface Reduction kommer til unnsetning.

Fordeler med Attack Surface Reduction

Attack Surface Reduction tilbyr et sett med innebygd intelligens som kan blokkere den underliggende atferden som brukes av disse ondsinnede dokumentene til å utføre uten å hindre produktive scenarier. Ved å blokkere ondsinnet atferd, uavhengig av hva trusselen eller utnyttelsen er, kan Attack Surface Reduction beskytte bedrifter fra aldri før sett null-dagers angrep, og balansere deres sikkerhetsrisiko og produktivitetskrav.

ASR dekker tre hovedatferd:

1. Office-apper
2. Skript og
3. E-post

For Office-apper kan Attack Surface Reduction regel:

1. Blokker Office-apper fra å lage kjørbart innhold
2. Blokker Office-apper fra å opprette underordnet prosess
3. Blokker Office-apper fra å injisere kode i en annen prosess
4. Blokker Win32-import fra makrokode i Office
5. Blokker forvirket makrokode

Ofte kan ondsinnede kontormakroer infisere en PC ved å injisere og starte kjørbare filer. Attack Surface Reduction kan beskytte mot dette og også fra DDEDownloader som nylig har infisert PCer over hele verden. Denne utnyttelsen bruker popup-vinduet Dynamic Data Exchange i offisielle dokumenter for å kjøre en PowerShell-nedlasting mens du oppretter en underordnet prosess som ASR-regel effektivt blokkerer!

For skriptet kan Attack Surface Reduction regel:

• Blokkér ondsinnede JavaScript-, VBScript- og PowerShell-koder som er blitt forvirret
• Blokker JavaScript og VBScript fra å utføre nyttelast lastet ned fra internett

For e-post kan ASR:

• Blokker utførelse av kjørbart innhold som er droppet fra e-post (webmail / e-postklient)

Nå om dagen har det vært en påfølgende økning i spydfishing og til og med en ansattes personlige e-poster er målrettet. ASR gjør det mulig for bedriftsadministratorer å bruke filretningslinjer på personlig e-post for både webmail og e-postklienter på bedriftsenheter for å beskytte mot trusler.

Hvordan Attack Surface Reduction fungerer

ASR fungerer gjennom regler som er identifisert av deres unike regel-ID. For å konfigurere tilstanden eller modusen for hver regel, kan de administreres med:

• Gruppepolicy
• Kraftskall
• MDM CSPer

De kan brukes når bare noen regler skal aktiveres eller regler skal aktiveres i individuell modus.

For alle forretningsapplikasjoner som kjører i bedriften din, er det muligheten til å tilpasse fil- og mappebaserte ekskluderinger hvis applikasjonene dine inneholder uvanlig atferd som kan bli påvirket av ASR-deteksjon.

Attack Surface Reduction krever at Windows Defender Antivirus er hoved-AV, og det krever sanntidsbeskyttelsesfunksjon for å være aktivert. Windows 10 Security baseline foreslår at de fleste reglene i blokkeringsmodus nevnt ovenfor skal være aktivert for å sikre enhetene dine mot eventuelle trusler!

Hvis du vil vite mer, kan du gå til dokumenter.Microsoft.com.