Támadás felszíni csökkentés funkció a Windows Defender

A támadás felszíni csökkentése a Windows Defender Exploit Guard funkciója, amely megakadályozza a kizsákmányoló kártevők fertőzött számítógépeinek megfertőzött műveleteit. A Windows Defender Exploit Guard egy újfajta invázió-megelőző képesség, amelyet a Microsoft a Windows 10 v1709 részeként vezetett be. A Windows Defender Exploit Guard négy összetevője a következők:

• Hálózati védelem
• Ellenőrzött mappák elérése
• Kihúzható védelem
• Támadásfelület csökkentés

Az egyik fő képesség a fentiek szerint Támadás , amelyek védik a Windows 10 eszközökön végrehajtott rosszindulatú szoftverek közös műveleteit.

Megértjük, mi a támadásfelület-csökkentés és miért fontos ez.

Windows Defender Attack felszíni redukció

Az e-mailek és az irodai alkalmazások a vállalat termelékenységének legfontosabb részét képezik. Ezek a legegyszerűbb módszerek a számítógépes támadók számára, hogy beléphessenek számítógépükbe és hálózataikba, és telepítsék a rosszindulatú programokat. A hackerek közvetlenül használhatják az irodai makrókat és parancsfájlokat közvetlenül a memóriában működő kizsákmányolók teljesítéséhez, és gyakran nem érzékelhetők a hagyományos víruskereséssel.

A legrosszabb az, hogy egy rosszindulatú programhoz egy bejegyzést kap, makrókat egy legitim kinézetű Office-fájlban, vagy olyan e-mail mellékletet nyithat meg, amely veszélyeztetheti a gépet.

Ez a támadás felszíni csökkentése jön a mentéshez.

A támadási felület csökkentése előnyei

Támadás felszíni csökkentés ajánlatok egy olyan beépített intelligencia készlet, amely blokkolja a rosszindulatú dokumentumok által használt alapul szolgáló viselkedésmódokat a produktív forgatókönyvek akadályozása nélkül. A rosszindulatú viselkedés megakadályozásával, függetlenül attól, hogy mi a fenyegetés vagy a kizsákmányolás, a támadási felület csökkentése megóvhatja a vállalkozásokat a soha nem látott nulladik napi támadásoktól, és kiegyenlíti biztonsági kockázataikat és termelékenységi követelményeit.

Az ASR három fő magatartást foglal el :

1. Office alkalmazások
2. Szkriptek és
3. E-mailek

Office alkalmazások esetén a támadási felület csökkentési szabálya:

1. Az Office alkalmazások blokkolása a végrehajtható tartalmak létrehozásáról
2. Blokkolja az Office alkalmazásokat az injektálás kódjától egy másik folyamatba
3. Blokkolja a Win32 importját makrokódból az Office-ben
4. Blokkolt makrókód blokkolása
5. Számos alkalommal rosszindulatú irodai makrók megfertőzhetik a PC-t a végrehajtható fájlok befecskendezésével és indításával. A támadási felület csökkentése védelmet nyújt ez ellen, valamint a DDEDownloader-től, amely az utóbbi időben megfertőzte a számítógépeket a világon. Ez a kizsákmányolás a Dynamic Data Exchange felugró ablakban a hivatalos dokumentumokban futtatja a PowerShell letöltõt, miközben létrehoz egy olyan gyermekfolyamatot, amelyet az ASR szabály hatékonyan blokkol.

A szkripthez a támadási felület csökkentési szabály:

A rosszindulatú JavaScript, VBScript és

• E-mailek esetén az ASR képes:
• A végrehajtható tartalom lefuttatásának blokkolása e-mailből (webmail / mail-client)

Most egy nappal később nőtt a droghadászat, és még a munkavállalók személyes e-mailjeit célozták meg. Az ASR lehetővé teszi a vállalati rendszergazdák számára, hogy a vállalati eszközökön a webmail és a levelező ügyfelek számára a személyes e-mailekhez alkalmazzák a fájlokra vonatkozó szabályokat a fenyegetések elleni védelem érdekében.

• A támadófelületcsökkentés működése

Az ASR olyan szabályokon dolgozik, amelyeket egyedi szabályazonosítójuk azonosít. Az egyes állapotok állapotának vagy módjának konfigurálásához a következőket kell kezelni:

Csoportházirend

PowerShell

• MDM CSP
• Ezek csak akkor alkalmazhatók, ha csak bizonyos szabályok engedélyezhetők,
• A vállalaton belüli üzleti alkalmazások bármely sorában lehetőség van a fájlok és a mappákon alapuló kizárások testreszabására, ha alkalmazások olyan szokatlan viselkedéseket tartalmaznak, amelyekre az ASR észlelésére hatással lehet

A támadófelületcsökkentéshez a Windows Defender Antivirus a legfontosabb AV, és valós idejű védelmi funkciót kell engedélyezni. A Windows 10 Biztonsági alapvonal azt javasolja, hogy a fent említett blokkolási módok többségének engedélyezve kell lennie, hogy eszközeit minden fenyegetés ellen védje.

További tudnivalókat a docs.microsoft.com webhelyen talál.