Rünnaku pinna vähendamine on Windows Defenderi Exploit Guard'i funktsioon, mis hoiab ära tegevused, mida pahavarade ärakasutamine otsib arvutite nakatamiseks. Windows Defender Exploit Guard on uus invasiooniennetusvõimaluste komplekt, mille Microsoft tutvustas Windows 10 v1709 osana. Windows Defenderi Exploit Guard nelja komponendi hulka kuuluvad:
- Võrgu kaitse
- Kontrollitud kaustale juurdepääs
- Kasutage kaitset
- Rünnaku pinna vähendamine
Üks peamistest võimalustest, nagu eespool mainitud, on Rünnaku pinna vähendamine, mis kaitseb end Windows 10 seadmetes hukatava pahatahtliku tarkvara levinud toimingute eest.
Laske mõista, mis on rünnakupinna vähendamine ja miks see nii oluline on.
Windows Defenderi rünnakupinna vähendamise funktsioon
E-kirjad ja kontorirakendused on ettevõtte tootlikkuse kõige olulisemad osad. Need on küberründajatele lihtsaim viis pääseda oma arvutisse ja võrkudesse ning installida pahavara. Häkkerid saavad otse kasutada kontorimakrosid ja skripte, et otseselt sooritada ekspluateerimisi, mis töötavad täielikult mälus ja mida traditsioonilised viirusetõrjetegevused sageli ei tuvasta.
Halvim on see, et pahavara sissekande saamiseks peab kasutaja lihtsalt lubama legendi välimusega Office'i failil makrod või avama e-posti manuse, mis võib seadet ohustada.
Siin tuleb appi Attack Surface Reduction.
Rünnakupinna vähendamise eelised
Attack Surface Reduction pakub sisseehitatud intelligentsuskomplekti, mis võib blokeerida nende pahatahtlike dokumentide aluseks olevad käitumised, ilma et see takistaks produktiivseid stsenaariume. Blokeerides pahatahtliku käitumise, sõltumata ohust või ärakasutamisest, võib Attack Surface Reduction kaitsta ettevõtteid kunagi varem näinud nullpäevaste rünnakute eest ning tasakaalustada nende turvariski ja tootlikkusnõudeid.
ASR hõlmab kolme peamist käitumist:
- Kontorirakendused
- Skriptid ja
- E-kirjad
Kontorirakenduste korral saab rünnakupinna vähendamise reegel:
- Blokeerige Office'i rakenduste käivitatava sisu loomine
- Blokeerige Office'i rakenduste allprotsessi loomine
- Blokeerige Office'i rakendused koodi sisestamise teises protsessis
- Blokeerige Win32 import Office'i makrokoodist
- Blokeerige segane makrokood
Sageli võivad pahatahtlikud kontorimakrosid arvuti käivitada käivitatavate failide sisestamise ja käivitamise teel. Rünnakupinna vähendamine võib kaitsta nii selle kui ka DDEDownloaderi eest, mis on viimasel ajal kogu maailmas arvuteid nakatanud. See ärakasutamine kasutab ametlikes dokumentides dünaamilise andmevahetuse hüpikut PowerShelli allalaadija käitamiseks, luues samal ajal alamprotsessi, mis ASR-reegli tõhusalt blokeerib!
Skripti korral saab rünnakupinna vähendamise reegel:
- Blokeerige pahatahtlikud JavaScripti, VBScript ja PowerShelli koodid
- Blokeerige JavaScripti ja VBScriptiga Internetist alla laaditud kasuliku koormuse käivitamine
E-posti jaoks saab ASR:
- E-postist (veebimeil / meiliklient) välja jäetud käivitatava sisu blokeerimine
Nüüd on järjest suurenenud oda-andmepüük ja isegi töötaja isiklikud e-kirjad on suunatud. ASR võimaldab ettevõtte administraatoritel ohtude eest kaitsmiseks rakendada ettevõtte seadmetes nii veebimeili kui ka e-posti klientide isikliku e-posti failide reegleid.
Kuidas töötab rünnakupinna vähendamine
ASR töötab läbi reeglite, mis on tuvastatud nende kordumatu reegli ID järgi. Iga reegli oleku või režiimi konfigureerimiseks saab neid hallata:
- Grupipoliitika
- PowerShell
- MDM-i CSP-d
Neid saab kasutada siis, kui lubada tuleb ainult mõningaid reegleid või reegleid lubada üksikrežiimis.
Teie ettevõttes töötavate mis tahes ärirakenduste puhul on võimalus kohandada faili- ja kaustapõhiseid välistusi, kui teie rakendused sisaldavad ebatavalist käitumist, mida ASR-i tuvastamine võib mõjutada.
Rünnakupinna vähendamine nõuab, et Windows Defender Antivirus oleks peamine AV ja see nõuab reaalajas kaitsefunktsiooni lubamist. Windows 10 turvalisuse baasjoon näitab, et enamik seadmeid ülalnimetatud blokeerimisrežiimis peaksid olema lubatud, et teie seadmeid igasuguste ohtude eest kaitsta!
Lisateabe saamiseks võite külastada dokumente.microsoft.com.