Attack Surface Reduction-funktion i Windows Defender

Attack Surface Reduction är en funktion i Windows Defender Exploit Guard som förhindrar åtgärder som används av exploateringssökande skadlig programvara för att infektera datorer. Windows Defender Exploit Guard är en ny uppsättning funktioner för förebyggande av invasion som Microsoft introducerade som en del av Windows 10 v1709. De fyra komponenterna i Windows Defender Exploit Guard inkluderar:

• Nätverksskydd
• Kontrollerad mappåtkomst
• Exploit Protection
• Attack Surface Reduction

En av de viktigaste förmågorna, som nämnts ovan, är Attack Surface Reduction, som skyddar mot vanliga åtgärder av skadlig programvara som kör sig på Windows 10-enheter.

Låt oss förstå vad som är Attack Surface-reduktion och varför det är så viktigt.

Windows Defender Attack Surface Reduction-funktion

E-post och kontorsapplikationer är den viktigaste delen av företagets produktivitet. De är det enklaste sättet för cyberangripare att få tillgång till sina datorer och nätverk och installera skadlig kod. Hackare kan direkt använda kontorsmakron och skript för att direkt utföra exploateringar som fungerar helt i minnet och som ofta inte kan upptäckas av traditionella antivirusskanningar.

Det värsta är att för att en skadlig kod ska få en post tar det bara användaren att aktivera makron på en legitim Office-fil eller att öppna en e-postbilaga som kan äventyra maskinen.

Det är här Attack Surface Reduction kommer till undsättning.

Fördelar med Attack Surface Reduction

Attack Surface Reduction erbjuder en uppsättning inbyggd intelligens som kan blockera de underliggande beteenden som används av dessa skadliga dokument att utföra utan att hindra produktiva scenarier. Genom att blockera skadligt beteende, oberoende av vad hotet eller utnyttjandet är, kan Attack Surface Reduction skydda företag från aldrig tidigare sett nolldagarsattacker och balansera deras säkerhetsrisk och produktivitetskrav.

ASR täcker tre huvudbeteenden:

1. Office-appar
2. Skript och
3. E-postmeddelanden

För Office-appar kan Attack Surface Reduction-regel:

1. Blockera Office-appar från att skapa körbart innehåll
2. Blockera Office-appar från att skapa underordnad process
3. Blockera Office-appar från att injicera kod i en annan process
4. Blockera Win32-import från makrokod i Office
5. Blockera fördunklad makrokod

Många gånger kan skadliga kontorsmakron infektera en dator genom att injicera och starta körbara filer. Attack Surface Reduction kan skydda mot detta och även från DDEDownloader som nyligen har infekterade datorer över hela världen. Detta utnyttjar använder popup-fönstret Dynamic Data Exchange i officiella dokument för att köra en PowerShell-nedladdare medan du skapar en underprocess som ASR-regel effektivt blockerar!

För manuset kan Attack Surface Reduction-regel:

• Blockera skadliga JavaScript-, VBScript- och PowerShell-koder som har fördunklats
• Blockera JavaScript och VBScript från att köra nyttolast nedladdat från internet

För e-post kan ASR:

• Blockera körning av körbart innehåll som släppts från e-post (webbmail / e-postklient)

Nu en dag har det skett en efterföljande ökning av spjutfiske och till och med en anställds personliga e-postmeddelanden riktas in. ASR gör det möjligt för företagsadministratörer att tillämpa filpolicyer på personlig e-post för både webbmail och e-postklienter på företagsenheter för skydd mot hot.

Hur Attack Surface Reduction fungerar

ASR fungerar genom regler som identifieras av deras unika regel-ID. För att konfigurera tillståndet eller läget för varje regel kan de hanteras med:

• Gruppolicy
• PowerShell
• MDM CSP: er

De kan användas när endast vissa regler ska aktiveras eller regler ska aktiveras i individuellt läge.

För alla affärsapplikationer som körs inom ditt företag finns det möjlighet att anpassa fil- och mappbaserade undantag om dina applikationer innehåller ovanliga beteenden som kan påverkas av ASR-upptäckt.

Attack Surface Reduction kräver att Windows Defender Antivirus är huvud-AV och det kräver att skyddsfunktionen i realtid är aktiverad. Windows 10 säkerhetsbaslinje föreslår att de flesta reglerna i blockläget som nämns ovan bör vara aktiverade för att skydda dina enheter från alla hot!

Om du vill veta mer kan du besöka dokument.Microsoft.com.