Uzbrukuma virsmas samazināšana ir Windows Defender Exploit Guard iezīme, kas novērš darbības, kuras ļaunprātīga programmatūra izmanto, lai meklētu datorus. Windows Defender Exploit Guard ir jauns iebrukumu novēršanas iespēju komplekts, ko Microsoft ieviesa kā daļu no Windows 10 v1709. Četras Windows Defender Exploit Guard sastāvdaļas ietver:
- Tīkla aizsardzība
- Kontrolēta piekļuve mapei
- Izmantot aizsardzību
- Uzbrukuma virsmas samazināšana
Viena no galvenajām spējām, kā minēts iepriekš, ir Uzbrukuma virsmas samazināšana, kas pasargā no ļaunprātīgas programmatūras izplatītām darbībām, kuras tiek izpildītas Windows 10 ierīcēs.
Ļaujiet saprast, kas ir Attack Surface samazināšana un kāpēc tas ir tik svarīgi.
Windows Defender Attack Surface Reduction funkcija
E-pasts un biroja lietojumprogrammas ir vissvarīgākā jebkura uzņēmuma produktivitātes sastāvdaļa. Kiberuzbrucējiem tie ir vienkāršākais veids, kā piekļūt saviem datoriem un tīkliem un instalēt ļaunprātīgu programmatūru. Hakeri var tieši izmantot biroja makro un skriptus, lai tieši veiktu ekspluatāciju, kas pilnībā darbojas atmiņā un kuru tradicionālie antivīrusu skenējumi bieži vien nenosaka.
Sliktākais ir tas, ka, lai ļaunprātīga programmatūra iegūtu ierakstu, lietotājam ir nepieciešams iespējot makro likumīga izskata Office failā vai atvērt e-pasta pielikumu, kas var apdraudēt iekārtu.
Šeit palīdz uzbrukuma virsmas samazināšana.
Uzbrukuma virsmas samazināšanas priekšrocības
Attack Surface Reduction piedāvā iebūvētu inteliģences komplektu, kas var bloķēt pamatā esošo uzvedību, ko izpilda šie ļaunprātīgie dokumenti, netraucējot produktīvos scenārijos. Bloķējot ļaunprātīgu rīcību neatkarīgi no draudiem vai izmantošanas, Attack Surface Reduction var pasargāt uzņēmumus no vēl neredzētiem nulles dienu uzbrukumiem un līdzsvarot to drošības risku un produktivitātes prasības.
ASR aptver trīs galvenās uzvedības formas:
- Office lietotnes
- Skripti un
- E-pastus
Office lietojumprogrammām Attack Surface Reduction kārtula var:
- Bloķējiet Office lietojumprogrammas izveidot izpildāmu saturu
- Bloķējiet Office lietojumprogrammas, lai izveidotu bērnu procesu
- Bloķējiet Office lietotnes koda ievadīšanu citā procesā
- Bloķējiet Win32 importēšanu no makro koda Office
- Bloķēt neskaidru makro kodu
Daudzas reizes ļaunprātīgi biroja makro var inficēt datoru, injicējot un palaižot izpildāmos failus. Attack Surface Reduction var pasargāt no tā, kā arī no DDEDownloader, kas pēdējā laikā ir inficējis datorus visā pasaulē. Šis izmantojums oficiālajos dokumentos izmanto dinamiskās datu apmaiņas uznirstošo logu, lai palaistu PowerShell lejupielādētāju, vienlaikus izveidojot bērnu procesu, kas efektīvi bloķē ASR kārtulu!
Skriptam Attack Surface Reduction kārtula var:
- Bloķējiet ļaunprātīgos JavaScript, VBScript un PowerShell kodus, kas ir neskaidri
- Bloķējiet JavaScript un VBScript no interneta lejupielādētās lietderīgās slodzes izpildi
E-pastam ASR var:
- Bloķēt izpildāmā satura izpildi, kas izmesta no e-pasta (tīmekļa pasts / pasta klients)
Tagad katru dienu ir pieaudzis šķēpa pikšķerēšana, un pat darbinieka personīgie e-pasta ziņojumi ir paredzēti. ASR ļauj uzņēmuma administratoriem piemērot failu politikas personālajam e-pastam gan tīmekļa pastam, gan pasta klientiem uzņēmuma ierīcēs, lai aizsargātu pret draudiem.
Kā darbojas uzbrukuma virsmas samazināšana
ASR darbojas, izmantojot kārtulas, kuras identificē pēc to unikālā kārtulas ID. Lai konfigurētu katra noteikuma stāvokli vai režīmu, tos var pārvaldīt, izmantojot:
- Grupas politika
- PowerShell
- MDM SPS
Tos var izmantot, ja ir jāaktivizē tikai daži noteikumi vai jāiespējo kārtulas atsevišķā režīmā.
Jebkurai biznesa lietojumprogrammu līnijai, kas darbojas jūsu uzņēmumā, ir iespēja pielāgot izņēmumus, kuru pamatā ir faili un mapes, ja jūsu lietojumprogrammās ir neparasta rīcība, ko var ietekmēt ASR noteikšana.
Uzbrukuma virsmas samazināšanai ir nepieciešams, lai Windows Defender Antivirus būtu galvenais AV, un ir jāiespējo reāllaika aizsardzības funkcija. Windows 10 drošības pamatlīmenis liecina, ka lielākajai daļai iepriekš minēto bloķēšanas režīma noteikumu ir jābūt iespējotiem, lai ierīces aizsargātu no jebkādiem draudiem!
Lai uzzinātu vairāk, varat apmeklēt dokumentus.microsoft.com.