Atakos paviršiaus sumažinimas yra „Windows Defender Exploit Guard“ bruožas, kuris apsaugo nuo veiksmų, kuriuos kenkėjiškos programos siekia užkrėsti kompiuteriais. „Windows Defender Exploit Guard“ yra naujas invazijų prevencijos galimybių rinkinys, kurį „Microsoft“ pristatė kaip „Windows 10 v1709“ dalį. Keturi „Windows Defender Exploit Guard“ komponentai apima:
- Tinklo apsauga
- Kontroliuojama prieiga prie aplanko
- Išnaudoti apsaugą
- Atakos paviršiaus sumažinimas
Vienas iš pagrindinių pajėgumų, kaip minėta aukščiau, yra Atakos paviršiaus sumažinimas, tai apsaugo nuo įprastų kenkėjiškos programinės įrangos veiksmų, kurie vykdomi „Windows 10“ įrenginiuose.
Leiskite suprasti, kas yra „Attack Surface“ mažinimas ir kodėl jis toks svarbus.
„Windows Defender Attack Surface Reduction“ funkcija
Laiškai ir biuro programos yra svarbiausia bet kurios įmonės produktyvumo dalis. Tai yra lengviausias būdas kibernetiniams užpuolikams patekti į savo kompiuterius ir tinklus bei įdiegti kenkėjiškas programas. Įsilaužėliai gali tiesiogiai naudoti biuro makrokomandas ir scenarijus, kad galėtų tiesiogiai atlikti išnaudojimus, veikiančius visiškai atmintyje ir kurių dažnai neaptinka tradiciniai antivirusiniai patikrinimai.
Blogiausia, kad norint gauti kenkėjišką programą, vartotojui tereikia įgalinti makrokomandas teisėtai atrodančiame „Office“ faile arba atidaryti el. Pašto priedą, kuris gali pakenkti mašinai.
Čia gelbsti „Attack Surface Reduction“.
Išpuolio paviršiaus mažinimo privalumai
„Attack Surface Reduction“ siūlo integruoto intelekto rinkinį, kuris gali užblokuoti pagrindinius veiksmus, kuriuos vykdo šie kenkėjiški dokumentai, netrukdydami produktyviems scenarijams. Blokuodamas kenkėjišką elgesį, neatsižvelgdamas į tai, kokia grėsmė ar išnaudojimas, „Attack Surface Reduction“ gali apsaugoti įmones nuo niekad neregėtų išpuolių ir subalansuoti jų saugumo riziką ir produktyvumo reikalavimus.
ASR apima tris pagrindinius elgesio būdus:
- „Office“ programos
- Scenarijai ir
- Laiškus
„Office“ programose „Attack Surface Reduction“ taisyklė gali:
- Užblokuokite „Office“ programas kurti vykdomąjį turinį
- Užblokuokite „Office“ programas nuo vaiko proceso kūrimo
- Užblokuokite „Office“ programas nuo kodo įvedimo į kitą procesą
- Blokuokite „Win32“ importą iš „makrokodo“ „Office“
- Blokuokite užblokuotą makrokodą
Daug kartų kenkėjiškos biuro makrokomandos gali užkrėsti kompiuterį švirkščiant ir paleidžiant vykdomuosius failus. „Attack Surface Reduction“ gali apsaugoti nuo to ir nuo „DDEDownloader“, kuris pastaruoju metu užkrėtė kompiuterius visame pasaulyje. Šis išnaudojimas naudoja dinaminio duomenų mainų iššokantįjį langą oficialiuose dokumentuose, norėdamas paleisti „PowerShell“ atsisiuntimo programą, kurdamas antrinį procesą, kurį ASR taisyklė efektyviai blokuoja!
Skriptui „Attack Surface Reduction“ taisyklė gali:
- Blokuokite kenksmingus „JavaScript“, „VBScript“ ir „PowerShell“ kodus, kurie buvo aptemdyti
- Užblokuokite „JavaScript“ ir „VBScript“ vykdyti naudingąją apkrovą, atsisiųstą iš interneto
El. Paštu ASR gali:
- Blokuoti vykdomojo turinio, atsisakyto el. Pašto, vykdymą (žiniatinklio paštas / pašto klientas)
Dabar dieną padaugėjo sukčiavimo atvejų, ir net darbuotojo el. Pašto adresai yra nukreipti. ASR leidžia įmonės administratoriams taikyti asmeninių el. Pašto failų politiką tiek žiniatinklio, tiek pašto klientams įmonės įrenginiuose, kad apsaugotų nuo grėsmių.
Kaip veikia atakos paviršiaus sumažinimas
ASR veikia pagal taisykles, kurios identifikuojamos pagal jų unikalų taisyklių ID. Norint sukonfigūruoti kiekvienos taisyklės būseną ar režimą, jas galima valdyti:
- Grupės nuostatos
- „PowerShell“
- MDM CSP
Jie gali būti naudojami, kai reikia įjungti tik kai kurias taisykles arba taisykles reikia įgalinti atskiru režimu.
Bet kurioje verslo įmonėje veikiančioje verslo programoje galima pritaikyti failais ir aplankais pagrįstus išskyrimus, jei jūsų programose yra neįprastų veiksmų, kuriuos gali paveikti ASR aptikimas.
„Attack Surface Reduction“ reikia, kad „Windows Defender Antivirus“ būtų pagrindinis AV, o tam reikia įjungti apsaugos realiuoju laiku funkciją. „Windows 10“ saugos pagrindas rodo, kad dauguma aukščiau paminėtų blokavimo režimo taisyklių turėtų būti įgalintos, kad apsaugotumėte įrenginius nuo bet kokių grėsmių!
Norėdami sužinoti daugiau, galite apsilankyti dokumentuose.„Microsoft“.com.