Funkce Redukce povrchu útoku v programu Windows Defender

Útoková redukce povrchu je funkcí programu Windows Defender Exploit Guard, která zabraňuje akcím, které zneužívají malware pro zneužití počítačů. Windows Defender Exploit Guard je nová sada nástrojů pro prevenci invaze, které společnost Microsoft představila jako součást systému Windows 10 v1709. Čtyři součásti programu Windows Defender Exploit Guard zahrnují:

• Ochrana sítě
• Přístup k řízené složce
• Exploit Protection
• Redukce povrchu útoku

Jednou z hlavních možností je Redukce povrchu , které chrání proti běžným akcím škodlivého softwaru, které se spouštějí sami na zařízeních Windows 10.

Zjistěte, co je to snížení útočného povrchu a proč je tak důležité.

Funkce Windows Defender Attack Surface Reduction

E-maily a kancelářské aplikace jsou nejdůležitější součástí produkce každého podniku. Jedná se o nejjednodušší způsob, jakým mohou kybernetické útočníci dostat vstup do svých počítačů a sítí a nainstalovat malware. Hackeři mohou přímo používat kancelářské makra a skripty k přímému vykonávání exploitů, které fungují zcela v paměti a jsou často nedetekovatelné pomocí tradičních antivirových skenů.

Nejhorší je, že pokud má malware získat záznam, maker na legálně vypadající soubor Office nebo otevřít přílohu e-mailu, která může ohrozit počítač.

Toto je místo, kde útočí na plochu útoku

Výhody úderu povrchu útoku

sada vestavěných inteligencí, které mohou zablokovat základní chování, které tyto škodlivé dokumenty používají, aby byly vykonány, aniž by byly bráněny výrobním scénářům. Zablokováním škodlivého chování, nezávisle na tom, co je hrozbou nebo zneužitím, může služba Attack Surface Reduction chránit podniky před nikdy předtím neviděnými útoky a vyvážit jejich bezpečnostní rizika a produktivitu.

ASR pokrývá tři hlavní chování

1. Aplikace Office
2. Skripty a
3. E-maily

Pro aplikace sady Office může pravidlo Redukce povrchu útoku:

1. Blokovat aplikace aplikace Office z vytváření spustitelného obsahu
2. Blokovat aplikace Office z injectingového kódu do jiného procesu
3. Blokovat importy Win32 z kódu makra v Office
4. Zablokovat makro kód obfuscated
5. Mnoho času škodlivé kancelářské makra mohou infikovat PC pomocí injekce a spustit spustitelné soubory. Útok Surface Reduction může chránit před tímto a také z DDEDownloader, který má naposledy infikované počítače po celém světě. Tento exploit používá v úředních dokumentech dynamické datové schránky pro spouštění programu PowerShell při vytváření podřízeného procesu, který pravidlo ASR účinně blokuje!

Pro skript pravidlo Redukce povrchu útoku může:

Blokovat škodlivý JavaScript, VBScript a Kódy PowerShell, které byly zamlženy

• Zablokovat JavaScript a VBScript při spouštění uživatelských účtů stažených z internetu
• Pro e-mail ASR může:

Blokovat spuštění spustitelného obsahu z e-mailu (webmail / mail-client) den, došlo k následnému nárůstu kopírování kopí a dokonce i k zaměření zaměstnanců na osobní e-maily. ASR umožňuje podnikovým administrátorům aplikovat zásady souborů na osobní e-mail pro webmail a klienty poštovních klientů v firemních zařízeních pro ochranu před hrozbami.

• Jak pracuje Redukování povrchu útoku

ASR pracuje podle pravidel, která jsou identifikována jejich jedinečným kódem ID. Chcete-li konfigurovat stav nebo režim pro každé pravidlo, lze je spravovat pomocí:

Zásady skupiny

PowerShell

• MDM CSPs
• Mohou být použity pouze tehdy,
• Pro všechny řady podnikových aplikací běžících v rámci vašeho podniku je možnost přizpůsobení vyloučení souborů a složek, pokud aplikace zahrnují neobvyklé chování, které mohou být ovlivněny detekcí ASR

Úprava povrchu útoku vyžaduje, aby program Windows Defender Antivirus byl hlavní AV a vyžaduje zapnutí funkce ochrany v reálném čase. Výchozí nastavení zabezpečení systému Windows 10 naznačuje, že většina pravidel uvedených v blokovém režimu by měla být povolena pro zabezpečení vašich zařízení před jakýmikoli hrozbami!

Chcete-li vědět víc, můžete navštívit stránku docs.microsoft.com