Функция уменьшения поверхности атаки в Защитнике Windows

Уменьшение поверхности атаки - это функция Защитника Защиты Защитника Windows, которая предотвращает действия, которые используются вредоносными программами-вредоносными программами для заражения компьютеров. Защитник Windows Exploit Guard - это новый набор возможностей предотвращения вторжений, которые Microsoft представила в составе Windows 10 v1709. Четыре компонента Защитника Защиты Windows включают:

• Защита сети
• Доступ к контролируемой папке
• Защита от использования
• Уменьшение поверхности атаки

Одна из основных возможностей, как упоминалось выше, - Атака Surface Reduction, , которые защищают от общих действий вредоносного программного обеспечения, которые выполняются на устройствах под управлением Windows 10.

Поясните, что такое уменьшение поверхности атаки и почему это так важно.

Функция защиты от атак на защиту Windows Defender

Письма и офисные приложения являются наиболее важной частью производительности любого предприятия. Это самый простой способ для кибератаки проникнуть на свои компьютеры и сети и установить вредоносное ПО. Хакеры могут напрямую использовать офисные макросы и скрипты для непосредственного выполнения эксплойтов, которые полностью работают в памяти и часто обнаруживаются обычными антивирусными сканами.

Хуже всего то, что для того, чтобы вредоносное ПО получало запись, пользователю просто требуется включить макросов в законно выглядящем файле Office или открыть вложение электронной почты, которое может поставить под угрозу работу компьютера.

Здесь помогает спасение поверхности атаки.

Преимущества уменьшения поверхности атаки

набор встроенных интеллектуальных средств, которые могут блокировать базовые поведения, используемые этими вредоносными документами, для выполнения, не препятствуя продуктивным сценариям. Блокируя вредоносное поведение, независимо от того, что представляет собой угроза или эксплойт, Attack Surface Reduction может защитить предприятия от преждевременных атак с нулевым днем ​​и сбалансировать их требования к безопасности и производительности.

ASR охватывает три основных поведения :

1. Офисные приложения
2. Скрипты и
3. Отправки электронной почты

Для приложений Office правило Attack Surface Reduction может:

1. Заблокировать приложения Office из создаваемого исполняемого контента
2. Приложения Office Office от создания дочернего процесса
3. Блокировать приложения Office от ввода кода в другой процесс
4. Блокировать импорт Win32 из макрокода в Office
5. Блокировать код с обфускацией макроса

Многие вредоносные макросы вредоносного офиса могут заражать ПК, вставляя и запуская исполняемые файлы. Уменьшение поверхности атаки может защитить от этого, а также от DDEDownloader, который недавно заразил ПК по всему миру. Этот эксплойт использует всплывающее окно Dynamic Data Exchange в официальных документах для запуска загрузчика PowerShell при создании дочернего процесса, который эффективно блокирует правило ASR!

Для сценария правило Attack Surface Reduction может:

• Блокировать вредоносный JavaScript, VBScript и Коды PowerShell, которые были запутаны
• Блокировать JavaScript и VBScript от выполнения загружаемой загрузки из Интернета

Для электронной почты ASR может:

• Блокировать выполнение исполняемого содержимого, удаленное из электронной почты (webmail / mail-client)

Теперь в день произошло дальнейшее увеличение копья-фишинга, и даже личные письма сотрудников нацелены. ASR позволяет администраторам предприятия применять политики файлов для личной электронной почты для веб-почты и почтовых клиентов на корпоративных устройствах для защиты от угроз.

Как работает сокращение поверхности атаки

ASR работает через правила, которые идентифицируются по их уникальному идентификатору правила. Чтобы настроить состояние или режим для каждого правила, их можно управлять с помощью:

• Групповая политика
• PowerShell
• MDM CSP

Они могут использоваться, когда только некоторые правила должны быть включены или правила для того, чтобы быть включенным в индивидуальном режиме.

Для любой линейки бизнес-приложений, работающих на вашем предприятии, есть возможность настраивать исключения на основе файлов и папок, если ваши приложения включают необычные поведения, на которые может повлиять обнаружение ASR.

Для устранения проблемы с атакой требуется, чтобы Windows Defender Antivirus был основным AV-устройством, и для этого требуется включить функцию защиты в реальном времени. Базовый уровень безопасности Windows 10 предполагает, что большинство правил в блочном режиме, упомянутых выше, должны быть защищены для защиты ваших устройств от любых угроз!

Чтобы узнать больше, вы можете посетить docs.microsoft.com.