Windows Defender

Attack Surface Reduction funkció a Windows Defenderben

Attack Surface Reduction funkció a Windows Defenderben

Támadási felület csökkentése a Windows Defender Exploit Guard azon funkciója, amely megakadályozza azokat a tevékenységeket, amelyeket a kizsákmányolásra törekvő rosszindulatú programok használnak a számítógépek megfertőzésére. A Windows Defender Exploit Guard az invázió megelőzésének új lehetőségei, amelyeket a Microsoft a Windows 10 v1709 részeként vezetett be. A Windows Defender Exploit Guard négy összetevője a következőket tartalmazza:

Az egyik fő képesség, amint azt a fentiekben említettük, az Támadási felület csökkentése, amelyek megvédik magukat a Windows 10 eszközökön végrehajtó rosszindulatú szoftverektől.

Hadd értse meg, mi az Attack Surface csökkentése, és miért olyan fontos.

Windows Defender Attack Surface Reduction funkció

Az e-mailek és az irodai alkalmazások a vállalkozás termelékenységének legfontosabb elemei. A számítógépes támadók számára ez a legegyszerűbb módja a PC-k és a hálózatok bejutásának és a rosszindulatú programok telepítésének. A hackerek közvetlenül használhatják az irodai makrókat és szkripteket olyan kihasználások közvetlen végrehajtására, amelyek teljes egészében a memóriában működnek, és amelyeket a hagyományos víruskereső programok gyakran nem észlelnek.

A legrosszabb, hogy ahhoz, hogy egy rosszindulatú program bejegyzést kapjon, a felhasználónak csak engedélyeznie kell a makrókat egy legitim kinézetű Office-fájlon, vagy meg kell nyitnia egy e-mail mellékletet, amely veszélyeztetheti a gépet.

Ez az, ahol az Attack Surface Reduction segíteni fog.

A támadási felület csökkentésének előnyei

Az Attack Surface Reduction olyan beépített intelligencia-készletet kínál, amely blokkolhatja a rosszindulatú dokumentumok által végrehajtott alapul szolgáló viselkedéseket a produktív forgatókönyvek akadályozása nélkül. A rosszindulatú viselkedések blokkolásával, függetlenül attól, hogy mi a fenyegetés vagy a kihasználás, az Attack Surface Reduction megvédheti a vállalkozásokat a soha nem látott nulla napos támadásoktól, és egyensúlyba hozhatja biztonsági kockázataikat és termelékenységi követelményeiket.

Az ASR három fő viselkedésre terjed ki:

  1. Irodai alkalmazások
  2. Szkriptek és
  3. E-mailek

Office-alkalmazások esetén az Attack Surface Reduction szabály a következőket teheti:

  1. Letiltja az Office-alkalmazásokat a futtatható tartalom létrehozásában
  2. Letiltja az Office-alkalmazásokat a gyermekfolyamatok létrehozásában
  3. Letiltja az Office-alkalmazásokat attól, hogy kódokat injektáljanak egy másik folyamatba
  4. Letiltja a Win32 importálását az Office makrokódjából
  5. Blokkolja az elhomályosított makrokódot

Sokszor a rosszindulatú irodai makrók megfertőzhetik a PC-t futtatható fájlok injektálásával és indításával. Az Attack Surface Reduction védelmet nyújt ez ellen, és a DDEDownloader ellen is, amely az utóbbi időben megfertőzte a számítógépeket az egész világon. Ez a kihasználás a hivatalos dokumentumok dinamikus adatcsere előugró ablakával futtatja a PowerShell letöltőt, miközben létrehoz egy gyermekfolyamatot, amelyet az ASR-szabály hatékonyan blokkol!

A szkript esetében az Attack Surface Reduction szabály a következőket teheti:

E-mailben az ASR:

Nap mint nap megnőtt a lándzsás adathalászat, és még az alkalmazottak személyes e-mailjeit is megcélozták. Az ASR lehetővé teszi a vállalati rendszergazdák számára, hogy a vállalati eszközökön a személyes levelezésre vonatkozó fájlszabályzatokat alkalmazzanak mind a webmail, mind az e-mail kliensek számára a fenyegetések elleni védelem érdekében.

Hogyan működik az Attack Surface Reduction

Az ASR olyan szabályokon keresztül működik, amelyeket az egyedi szabályazonosítójuk azonosít. Az egyes szabályok állapotának vagy módjának konfigurálásához ezeket a következőkkel lehet kezelni:

Akkor használhatók, ha csak egyes szabályokat kell engedélyezni, vagy a szabályokat engedélyezni kell egyedi módban.

A vállalaton belül futó üzleti alkalmazások bármelyikén lehetőség van a fájl- és mappaalapú kizárások testreszabására, ha alkalmazásai szokatlan viselkedést tartalmaznak, amelyekre hatással lehet az ASR-észlelés.

A támadási felület csökkentéséhez a Windows Defender Antivirus szükséges, hogy a fő AV legyen, és a valós idejű védelmi funkció engedélyezéséhez. A Windows 10 biztonsági alapja azt sugallja, hogy a fent említett blokkolt módú szabályok többségét engedélyezni kell, hogy megvédjék eszközeit minden fenyegetéstől!

Ha többet szeretne megtudni, felkeresheti a dokumentumokat.microsoft.com.

Játékok Ingyenes és nyílt forráskódú játékmotorok a Linux játékok fejlesztéséhez
Ingyenes és nyílt forráskódú játékmotorok a Linux játékok fejlesztéséhez
Ez a cikk felsorolja azokat az ingyenes és nyílt forráskódú játékmotorokat, amelyek felhasználhatók 2D és 3D játékok fejlesztésére Linuxon. Számos ily...
Játékok Shadow of the Tomb Raider for Linux Tutorial
Shadow of the Tomb Raider for Linux Tutorial
A Shadow of the Tomb Raider a Tomb Raider sorozat tizenkettedik kiegészítője - az Eidos Montreal által létrehozott akció-kaland játék franchise. A ját...
Játékok Az FPS növelése Linux alatt?
Az FPS növelése Linux alatt?
Az FPS jelentése Képkocka másodpercenként. Az FPS feladata a videolejátszások vagy játékteljesítmények képkockasebességének mérése. Egyszerű szavakkal...