Уменьшение поверхности атаки является функцией Защитника Защитника Windows, которая предотвращает действия, которые используются вредоносными программами, использующими злоумышленники, для заражения компьютеров. Защитник Windows Exploit Guard - это новый набор возможностей предотвращения вторжений, которые Microsoft представила в составе Windows 10 v1709. Четыре компонента Защитника Защиты Windows включают:
- Защита сети
- Доступ к контролируемой папке
- Защита от взрывов
- Уменьшение поверхности атаки
Одна из основных возможностей, как упоминалось выше, Уменьшение поверхности атаки, которые защищают от общих действий вредоносного программного обеспечения, которые выполняются на устройствах Windows 10.
Позвольте понять, что такое уменьшение поверхности атаки и почему это так важно.
Функция уменьшения поверхности атаки Windows Defender
Письма и офисные приложения являются наиболее важной частью производительности любого предприятия. Это самый простой способ для кибератаки проникнуть на свои компьютеры и сети и установить вредоносное ПО. Хакеры могут напрямую использовать офисные макросы и скрипты для непосредственного выполнения эксплойтов, которые полностью работают в памяти и часто не обнаруживаются традиционными антивирусными программами.
Хуже всего то, что для того, чтобы вредоносное ПО получало запись, пользователю просто нужно включить макросы в законном виде в файле Office или открыть вложение электронной почты, которое может поставить под угрозу работу машины.
Именно здесь на помощь приступает Attack Surface Reduction.
Преимущества уменьшения поверхности атаки
Attack Surface Reduction предлагает набор встроенных интеллектуальных средств, которые могут блокировать базовые поведения, используемые этими вредоносными документами, для выполнения, не препятствуя продуктивным сценариям. Блокируя вредоносное поведение, независимо от того, что представляет собой угроза или эксплойт, Attack Surface Reduction может защитить предприятия от ранее невиданных атак с нулевым днем и сбалансировать их требования к безопасности и производительности.
ASR охватывает три основных типа поведения:
- Офисные приложения
- Скрипты и
- Сообщения электронной почты
Для приложений Office правило Attack Surface Reduction может:
- Блокировать приложения Office от создания исполняемого содержимого
- Блокировать приложения Office от создания дочернего процесса
- Блокировать приложения Office от ввода кода в другой процесс
- Блокировать импорт Win32 из макрокода в Office
- Блокировка обфускации макрокода
Многократные вредоносные макросы офиса могут заразить ПК, введя и запуская исполняемые файлы. Уменьшение поверхности атаки может защитить от этого, а также от DDEDownloader, который недавно заразил ПК по всему миру. Этот эксплойт использует всплывающее окно Dynamic Data Exchange в официальных документах для запуска загрузчика PowerShell при создании дочернего процесса, который эффективно блокирует правило ASR!
Для сценария правило Attack Surface Reduction может:
- Блокируйте вредоносные коды JavaScript, VBScript и PowerShell, которые были запутаны
- Блокировать JavaScript и VBScript от выполнения загрузки загруженной из Интернета
Для электронной почты ASR может:
Блокировать выполнение исполняемого содержимого, удаленное из электронной почты (webmail / mail-client)
Сейчас в день происходит последующее увеличение копья-фишинга, и даже личные письма сотрудников нацелены. ASR позволяет администраторам предприятий применять файловые политики в личных письмах для веб-почты и почтовых клиентов на корпоративных устройствах для защиты от угроз.
Как работает уменьшение поверхности атаки
ASR работает через правила, которые идентифицируются по их уникальному идентификатору правила. Чтобы настроить состояние или режим для каждого правила, им можно управлять с помощью:
- Групповая политика
- PowerShell
- MDM CSPs
Они могут использоваться, когда необходимо включить только некоторые правила или включить правила в отдельном режиме.
Для любой линейки бизнес-приложений, работающих на вашем предприятии, существует возможность настраивать исключения на основе файлов и папок, если ваши приложения включают необычное поведение, на которое может повлиять обнаружение ASR.
Для устранения проблемы с атакой требуется, чтобы Windows Defender Antivirus был основным AV-устройством, и для этого требуется включить функцию защиты в реальном времени. Базовый уровень безопасности Windows 10 предполагает, что большинство правил в блочном режиме, упомянутых выше, должны быть включены для защиты ваших устройств от любых угроз!
Чтобы узнать больше, вы можете посетить docs.microsoft.com.
Похожие сообщения:
- Как настроить Защитник Защиты Защитника Windows (WDEG) в Windows 10
- Поверхность 3 спецификации, цена. Сравнение с Surface Pro 3
- Apple iPad против Microsoft Surface RT tablet - битва за славу!
- Surface Pro 3, функции, изображения и видео
- Surface Team отвечает на вопросы о планшете Surface
