Támadás felszíni csökkentés a Windows Defender Exploit Guard funkciója, amelyek megakadályozzák a kizsákmányoló kártevők fertőzött számítógépeinek megfertőzött műveleteit. A Windows Defender Exploit Guard egy újfajta invázió-megelőző képesség, amelyet a Microsoft a Windows 10 v1709 részeként vezetett be. A Windows Defender Exploit Guard négy összetevője a következők:
- Hálózati védelem
- Ellenőrzött mappa elérése
- Kihasználja a védelmet
- Támadás felszíni csökkentés
Az egyik fő képesség, amint azt fentebb említettük Támadás felszíni csökkentés, amely védelmet nyújt a Windows 10 eszközökön végrehajtott, rosszindulatú szoftverekkel kapcsolatos közös tevékenységek ellen.
Hadd megértsd, mi a támadási felület csökkentése és miért olyan fontos.
A Windows Defender Attack felszíni csökkentés funkció
Az e-mailek és az irodai alkalmazások a legfontosabb részei a vállalat termelékenységének. Ezek a legegyszerűbb módszerek a számítógépes támadók számára, hogy beléphessenek számítógépükbe és hálózataikba, és telepítsenek kártékony programokat. A hackerek közvetlenül használhatják az irodai makrókat és parancsfájlokat közvetlenül a memóriában működő kizsákmányolók teljesítéséhez, és a hagyományos víruskeresés gyakran észrevehető.
A legrosszabb az, hogy ha egy rosszindulatú program egy bejegyzést kap, akkor csak a felhasználónak engedélyezi a makrókat egy törvényes kinézetű Office-fájlban, vagy megnyit egy olyan e-mail mellékletet, amely veszélyeztetheti a gépet.
Ez az a hely, ahol a támadási felület csökkentése jön a mentésre.
A támadási felület csökkentése előnyei
A támadási felület csökkentése olyan beépített intelligencia készleteket kínál, amelyek blokkolhatják a rosszindulatú dokumentumok által használt mögöttes viselkedésmódokat a produktív forgatókönyvek akadályozása nélkül. A rosszindulatú viselkedések blokkolásával - függetlenül attól, hogy mi a fenyegetés vagy a kizsákmányolás - a támadási felület csökkentése megvédheti a vállalkozásokat a soha nem látott nulladik napi támadásoktól, és kiegyenlíti a biztonsági kockázatot és a termelékenységi követelményeket.
Az ASR három fő viselkedést tartalmaz:
- Office alkalmazások
- Szkriptek és
- e-mailek
Az Office alkalmazásoknál a támadási felület csökkentési szabály:
- Az Office alkalmazások blokkolása a végrehajtható tartalmak létrehozásáról
- Az Office alkalmazások blokkolása a gyermekfolyamatok létrehozásáért
- Blokkolja az Office alkalmazásokat az injektálás kódjától egy másik folyamatba
- A Win32-ek importálása makró kódból az Office-ban
- Blokkolt makró kód letiltása
Sok esetben rosszindulatú irodai makrók megfertőzhetik a PC-t a futtatható fájlok befecskendezésével és indításával. A támadási felület csökkentése védelmet nyújt ez ellen, valamint a DDEDownloader-től, amely az utóbbi időben megfertőzte a számítógépeket a világon. Ez a kizsákmányolás a Dynamic Data Exchange felugró ablakban a hivatalos dokumentumokban futtatja a PowerShell letöltõt, miközben olyan gyermekprojektet hoz létre, amelyet az ASR szabály hatékonyan blokkol!
A szkripthez a támadási felület csökkentési szabály:
- A rosszindulatú JavaScript, VBScript és PowerShell kódok blokkolása, amelyek el vannak zavarodva
- A JavaScript és a VBScript blokkolása az internetről letöltött hasznos tartalom végrehajtására
E-mail esetén az ASR képes:
A futtatható tartalom letiltása az e-mailből (webmail / mail-client)
Napjainkban a lándzsa-adathalászat későbbi növekedése, sőt a munkavállalók személyes e-mailje is célzott. Az ASR lehetővé teszi a vállalati rendszergazdák számára, hogy a vállalati eszközökön a webmail és a levelező ügyfelek számára a fájlokra vonatkozó irányelveket alkalmazzák a fenyegetések elleni védelem érdekében.
Hogyan működik a támadási felület csökkentése?
Az ASR olyan szabályokon dolgozik, amelyeket egyedi szabályazonosítójuk azonosít. Annak érdekében, hogy beállíthassa az egyes állapotok állapotát vagy módját, ezek kezelhetők:
- Csoportházirend
- PowerShell
- MDM CSP-k
Használhatók, ha csak bizonyos szabályokat kell engedélyezni, vagy szabályokat engedélyezni kell az egyes módokban.
A vállalaton belül futó üzleti alkalmazások bármely sorában lehetőség van a fájlok és a mappákon alapuló kizárások testreszabására, ha alkalmazások olyan szokatlan viselkedéseket tartalmaznak, amelyekre az ASR észlelésére hatással lehet.
A támadófelületcsökkentéshez a Windows Defender Antivirus a legfontosabb AV, és valós idejű védelmi funkciót kell engedélyezni. A Windows 10 biztonsági alapja azt sugallja, hogy a fent említett blokkolási módok többségét engedélyezni kell, hogy eszközeit minden fenyegetés ellen védje!
Ha többet szeretne megtudni, látogasson el a docs.microsoft.com címre.
Kapcsolódó hozzászólások:
- A Windows Defender Exploit Guard (WDEG) konfigurálása a Windows 10 rendszerben
- Surface 3 specifikáció, ár. Összehasonlítás a Surface Pro 3-mal
- Apple iPad vs Microsoft Surface RT tabletta - Battle for Glory!
- Surface Pro 3 jellemzői, jellemzői, képei és videói
- A Surface Team válaszol a Surface tabletta kérdésére
