Funcția de reducere a suprafeței de atac în Windows Defender

Reducerea suprafeței de atac este o caracteristică a Windows Defender Exploit Guard care împiedică acțiunile care sunt utilizate de malware-ul care caută exploatarea pentru a infecta computerele. Windows Defender Exploit Guard este un nou set de capabilități de prevenire a invaziei pe care Microsoft le-a introdus ca parte a Windows 10 v1709. Cele patru componente ale programului Windows Defender Exploit Guard includ:

• Protecția rețelei
• Accesul folderului controlat
• Protecția exploatării
• Reducerea suprafeței atacului

Una dintre capabilitățile majore,, care protejează împotriva acțiunilor comune ale software-urilor rău intenționate care se execută pe dispozitivele Windows 10. Să înțelegem ce înseamnă reducerea atacului de suprafață și de ce este atât de important. > E-mailurile și aplicațiile de birou sunt cea mai importantă parte a productivității oricărei întreprinderi. Acestea sunt cel mai simplu mod pentru atacatorii cibernetici de a intra pe PC-urile și rețelele lor și pentru a instala programe malware. Hackerii pot folosi direct macro-uri și scripturi de birou pentru a efectua direct exploatări care funcționează în totalitate în memorie și sunt adesea nedetectabile prin scanează antivirus tradiționale.

Cel mai rău lucru este că pentru un program malware pentru a obține o intrare, macro-uri pe un fișier Office cu aspect legitim sau pentru a deschide un atașament de e-mail care poate compromite aparatul.

Aici se ajunge la salvarea atacului de suprafață al atacului

Avantajele reducerii suprafeței atacului

un set de inteligență încorporată care poate bloca comportamentele de bază utilizate de aceste documente răuvoitoare pentru a le executa fără a împiedica scenariile productive. Prin blocarea comportamentelor dăunătoare, independent de amenințarea sau exploatarea, Reducerea suprafeței de atac poate proteja întreprinderile de atacurile de zero zile care nu au mai văzut și să echilibreze riscurile de securitate și cerințele de productivitate

ASR acoperă trei comportamente principale

Aplicații Office

Scripturi și E-mailuri

1. Pentru aplicațiile Office, regula de reducere a suprafeței atașate poate:
2. Blocarea aplicațiilor Office de la crearea conținutului executabil
3. Blocați aplicațiile Office de la codul de injectare într-un alt proces

Importați blocurile Win32 din codul macro în Office

1. Blocați blocarea codului macro
2. Multe macrocomenzi de birou rău intenționate pot infecta un PC prin injectarea și lansarea de executabile. Attack Surface Reduction poate proteja împotriva acestui lucru și, de asemenea, de la DDEDownloader care a infectat recent PC-uri din întreaga lume. Acest exploit folosește popupul Dynamic Data Exchange în documentele oficiale pentru a rula un downloader PowerShell creând în același timp un proces copil pe care rulează eficient ruleta ASR!
3. Pentru script, regula atacului de suprafață poate:
4. Blocați JavaScript malware, VBScript și Codurile PowerShell care au fost obfuscate
5. Blochează JavaScript și VBScript din executarea încărcăturii descărcate de pe internet

Pentru e-mail, ASR poate:

Blocarea execuției conținutului executabil a scăzut din e-mail (webmail / mail-client) o zi, a avut loc o creștere ulterioară a phishingului cu sulițe și se adresează chiar e-mailurile personale ale angajaților. ASR permite administratorilor de întreprinderi să aplice politici de fișiere pentru e-mailurile personale atât pentru webmail, cât și pentru clienții poștali pe dispozitivele companiei pentru protecția împotriva amenințărilor.

• Modul de funcționare a atacului de suprafață
• ASR funcționează prin reguli identificate prin ID-ul lor unic de reguli. Pentru a configura starea sau modul pentru fiecare regulă, acestea pot fi gestionate cu:

Politica de grup

• PowerShell

MDM CSPs

Acestea pot fi utilizate când sunt activate numai anumite reguli sau regulile sunt

Pentru orice linie de aplicații de afaceri care rulează în cadrul companiei dvs., există posibilitatea de a personaliza excluderile de fișiere și foldere dacă aplicațiile includ comportamente neobișnuite care pot fi afectate de detectarea ASR

• Atacul de reducere a suprafeței necesită ca Windows Defender Antivirus să fie AV principal și necesită activarea funcției de protecție în timp real. Windows 10 Linia de bază a securității sugerează că majoritatea regulilor din modul de blocare menționate mai sus ar trebui să fie activate pentru a vă proteja dispozitivele împotriva oricăror amenințări!
• Pentru a afla mai multe, puteți vizita docs.microsoft.com