Aanval Surface Reduction-functie in Windows Defender

Aanval Surface Reduction is een functie van Windows Defender Exploit Guard die voorkomt dat acties die worden gebruikt door malware die misbruikt wordt op uitbraken computers kunnen infecteren. Windows Defender Exploit Guard is een nieuwe reeks mogelijkheden voor invasiepreventie die Microsoft heeft geïntroduceerd als onderdeel van Windows 10 v1709. De vier componenten van Windows Defender Exploit Guard omvatten:

• Netwerkbescherming
• Toegang met gecontroleerde mappen
• Exploitbescherming
• Aanval Oppervlaktevermindering

Een van de belangrijkste mogelijkheden, zoals hierboven vermeld, is Aanval Oppervlaktevermindering, die waken voor veelvoorkomende acties van kwaadwillende software die zichzelf uitvoert op Windows 10-apparaten.

Laten we begrijpen wat Attack Surface-reductie is en waarom het zo belangrijk is.

Windows Defender Attack Surface Reduction-functie

E-mails en kantoortoepassingen zijn het meest cruciale onderdeel van de productiviteit van elke onderneming. Ze zijn de gemakkelijkste manier voor cyberaanvallers om toegang te krijgen tot hun pC`s en netwerken en malware te installeren. Hackers kunnen direct gebruik maken van kantoormacro`s en -scripts om direct exploits uit te voeren die volledig in het geheugen werken en vaak niet detecteerbaar zijn door traditionele antivirusscans.

Het ergste is dat een malware om een ​​entry te krijgen, de gebruiker alleen maar inschakelt macro`s op een legitiem ogend Office-bestand, of om een ​​e-mailbijlage te openen die de machine kan beschadigen.

Hier komt Attack Surface Reduction te hulp.

Voordelen van Aanval Oppervlaktevermindering

Aanvallen Oppervlaktereductie biedt een set ingebouwde intelligentie die het onderliggende gedrag dat door deze schadelijke documenten wordt gebruikt, kan blokkeren zonder productieve scenario`s te belemmeren. Door kwaadwillend gedrag te blokkeren, onafhankelijk van wat de bedreiging of uitbuiting is, kan Attack Surface Reduction bedrijven beschermen tegen nooit geziene zero-day aanvallen en een balans vinden tussen hun beveiligingsrisico en productiviteitsvereisten. ASR heeft betrekking op drie hoofdgedragingen

: Office-apps

1. Scripts en
2. E-mails
3. Voor Office-apps kan de regel Attack Surface Reduction:

Office-apps blokkeren voor het maken van uitvoerbare inhoud

1. Block Office-apps voor het maken van onderliggende processen
2. Blokkeer Office-apps van code injecteren in een ander proces
3. Win32-import blokkeren van macrocode in Office
4. Blokkeer de versluierde macrocode
5. Veel malafide kantoormacro`s kunnen een pc infecteren door uitvoerbare bestanden te injecteren en te starten. Aanval Surface Reduction kan hiertegen beschermen en ook tegen DDEDownloader die de laatste tijd PC`s over de hele wereld heeft geïnfecteerd. Deze exploit gebruikt de Dynamic Data Exchange-pop-up in officiële documenten om een ​​PowerShell-downloader uit te voeren tijdens het maken van een onderliggend proces dat de ASR-regel efficiënt blokkeert!

Voor het script kan de regel Attack Surface Reduction:

kwaadwillende JavaScript, VBScript en PowerShell-codes die versluierd zijn

• JavaScript en VBScript blokkeren voor het uitvoeren van payload gedownload van internet
• Voor e-mail kan ASR:

Uitvoer van uitvoerbare inhoud blokkeren verwijderd van e-mail (webmail / mail-client)

• Nu per dag is de toename in spear-phishing toegenomen en zijn zelfs persoonlijke e-mails van werknemers gericht. Met ASR kunnen bedrijfsbeheerders bestandsbeleid toepassen op persoonlijke e-mail voor zowel webmail- en mailclients op bedrijfsapparaten als bescherming tegen bedreigingen.

Hoe aanval oppervlaktereductie werkt

ASR werkt volgens regels die worden geïdentificeerd door hun unieke regel-ID. Om de status of modus voor elke regel te configureren, kunnen ze worden beheerd met:

Groepsbeleid

• PowerShell
• MDM CSp`s
• Ze kunnen worden gebruikt wanneer slechts enkele regels moeten worden ingeschakeld of regels zijn om te worden ingeschakeld in de individuele modus.

Voor alle bedrijfstoepassingen die binnen uw onderneming worden uitgevoerd, is er de mogelijkheid om bestands- en mapgebaseerde uitsluitingen aan te passen als uw toepassingen ongewoon gedrag bevatten dat mogelijk wordt beïnvloed door ASR-detectie.

Aanvaloppervlaktereductie vereist dat Windows Defender Antivirus de hoofd-AV is en dat de realtime beveiligingsfunctie moet worden ingeschakeld. De beveiligingsbasis van Windows 10 suggereert dat de meeste hierboven genoemde regels in de blokmodus moeten worden ingeschakeld om uw apparaten tegen eventuele bedreigingen te beveiligen!

Voor meer informatie kunt u naar docs.microsoft.com gaan.