Phenquestions
Redukce povrchu útoku je funkce aplikace Windows Defender Exploit Guard, která brání akcím, které jsou využívány malware k hledání počítačů k infikování počítačů. Windows Defender Exploit Guard je nová sada funkcí prevence invazí, kterou společnost Microsoft představila jako součást systému Windows 10 v1709. Mezi čtyři součásti aplikace Windows Defender Exploit Guard patří:
- Ochrana sítě
- Řízený přístup ke složce
- Ochrana před zneužitím
- Redukce povrchu útoku
Jednou z hlavních schopností, jak je uvedeno výše, je Redukce povrchu útoku, které chrání před běžnými akcemi škodlivého softwaru, který se provádí na zařízeních s Windows 10.
Pojďme pochopit, co je Attack Surface zmenšení a proč je tak důležité.
Funkce Windows Defender Attack Surface Reduction
E-maily a kancelářské aplikace jsou nejdůležitější součástí produktivity jakéhokoli podniku. Pro kybernetické útočníky představují nejjednodušší způsob, jak získat přístup ke svým počítačům a sítím a nainstalovat malware. Hackeři mohou přímo používat kancelářská makra a skripty k přímému provádění exploitů, které fungují zcela v paměti a jsou často nedetekovatelné tradičními antivirovými kontrolami.
Nejhorší na tom je, že aby malware získal záznam, stačí, aby uživatel povolil makra v legitimně vypadajícím souboru Office nebo otevřel e-mailovou přílohu, která může stroj ohrozit.
Tady přichází na pomoc Attack Surface Reduction.
Výhody zmenšení povrchu útoku
Attack Surface Reduction nabízí sadu integrovaných inteligencí, které mohou blokovat základní chování, které tyto škodlivé dokumenty používají k provádění, aniž by bránily produktivním scénářům. Blokováním škodlivého chování může Attack Surface Reduction chránit podniky před nikdy předtím neviděnými útoky bez ohledu na to, o jakou hrozbu nebo zneužití jde, a vyvážit jejich bezpečnostní riziko a požadavky na produktivitu.
ASR pokrývá tři hlavní chování:
- Kancelářské aplikace
- Skripty a
- E-maily
U aplikací Office může pravidlo Attack Surface Reduction:
- Blokovat aplikacím Office vytváření spustitelného obsahu
- Blokovat aplikacím Office vytváření podřízeného procesu
- Blokovat aplikacím Office vkládání kódu do jiného procesu
- Blokovat import Win32 z kódu makra v Office
- Blokovat zmatený kód makra
Mnoho škodlivých kancelářských maker může infikovat počítač injektováním a spuštěním spustitelných souborů. Proti tomu může chránit Attack Surface Reduction a také DDEDownloader, který nedávno infikoval počítače po celém světě. Toto zneužití využívá vyskakovací okno Dynamická výměna dat v oficiálních dokumentech ke spuštění stahovacího programu PowerShell při vytváření podřízeného procesu, který pravidlo ASR efektivně blokuje!
U skriptu může pravidlo Attack Surface Reduction:
- Blokujte škodlivé kódy JavaScript, VBScript a PowerShell, které byly popleteny
- Blokujte JavaScript a VBScript v provádění užitečného zatížení staženého z internetu
U e-mailu může ASR:
- Blokovat provádění spustitelného obsahu vynechaného z e-mailu (webmail / poštovní klient)
Nyní den došlo k následnému nárůstu phishingu typu spear-phishing a jsou zaměřeny dokonce i osobní e-maily zaměstnanců. ASR umožňuje podnikovým správcům aplikovat zásady souborů na osobní e-mail jak pro webmail, tak pro poštovní klienty na podnikových zařízeních pro ochranu před hrozbami.
Jak funguje Attack Surface Reduction
ASR funguje prostřednictvím pravidel, která jsou identifikována svým jedinečným ID pravidla. Aby bylo možné nakonfigurovat stav nebo režim pro každé pravidlo, lze je spravovat pomocí:
- Zásady skupiny
- PowerShell
- CSM MDM
Lze je použít, když mají být povolena pouze některá pravidla nebo mají být povolena pravidla v individuálním režimu.
U jakékoli řady podnikových aplikací spuštěných ve vašem podniku existuje možnost přizpůsobit vyloučení na základě souborů a složek, pokud vaše aplikace obsahují neobvyklé chování, které může být ovlivněno detekcí ASR.
Attack Surface Reduction vyžaduje, aby byl hlavní AV antivirový program Windows Defender, a vyžaduje povolení funkce ochrany v reálném čase. Základní úroveň zabezpečení systému Windows 10 naznačuje, že většina pravidel v blokovém režimu uvedených výše by měla být povolena, aby vaše zařízení byla chráněna před jakýmikoli hrozbami!
Chcete-li vědět více, můžete navštívit dokumenty.Microsoft.com.
