Attack surface reduction with Microsoft Defender for Endpoint
Innholdsfortegnelse:
Attack Surface Reduction er en funksjon av Windows Defender Exploit Guard som forhindrer handlinger som brukes ved å utnytte malware for å infisere datamaskiner. Windows Defender Exploit Guard er et nytt sett med invasjonsforebyggende funksjoner som Microsoft introduserte som en del av Windows 10 v1709. De fire komponentene i Windows Defender Exploit Guard inkluderer:
- Nettverksbeskyttelse
- Kontrollert mappeløsning
- Utnyttelsesvern
- Angrepsoverflatefjerning
En av hovedegenskapene, som nevnt ovenfor, er Attack Surface Reduction, som beskytter mot vanlige handlinger av ondsinnet programvare som utfører seg på Windows 10-enheter.
La oss forstå hva som er Attack Surface Reduction og hvorfor det er så viktig.
Funksjon for Windows Defender Attack Surface Reduction
E-post og kontorapplikasjoner er mest avgjørende for bedriftens produktivitet. De er den enkleste måten for cyberangrepere å få tilgang til sine PCer og nettverk og installere skadelig programvare. Hackere kan direkte bruke kontormakroer og -skript for å utføre operasjoner som virker helt i minnet, og er ofte ikke påviselige av tradisjonelle Antivirus-skanninger.
Det verste er at for en malware å få en oppføring, tar det bare brukeren å aktivere makroer på en legitim utseende Office-fil, eller for å åpne et e-postvedlegg som kan kompromittere maskinen.
Dette er hvor Attack Surface Reduction kommer til redning.
Fordeler ved overfallsreduksjon ved angrep
Angrep på overflatereduksjon et sett med innebygd intelligens som kan blokkere de underliggende atferdene som brukes av disse skadelige dokumentene, til å utføre uten å hindre produktive scenarier. Ved å blokkere ondsinnede handlinger, uavhengig av hva trusselen eller utnyttelsen er, kan Attack Surface Reduction beskytte foretakene fra aldri før sett nolldagsangrep og balansere sikkerhetsrisikoen og produktivitetskravene.
ASR dekker tre hovedoppføringer :
- Kontorapplikasjoner
- Skript og
- E-post
For Office-apper kan angrepsreguleringsregelverket angripe:
- Block Office-apper fra å opprette eksekverbart innhold
- Block Office-apper fra å opprette barnprosess
- Blokker Office-apper fra å injisere kode i en annen prosess
- Blokker Win32-import fra makrokode i Office
- Blokker obfuscated macro code
Mange skadelige kontormakroer kan infisere en PC ved å injisere og starte eksekverbare filer. Attack Surface Reduction kan beskytte mot dette og også fra DDEDownloader som har nylig infiserte PCer over hele verden. Denne utnytter bruker popup-vinduet Dynamic Data Exchange i offisielle dokumenter for å kjøre PowerShell-nedlasting, mens du lager en barneprosess som ASR-regelen effektivt blokkerer!
For scriptet kan Attack Surface Reduction-regelen:
- blokkere skadelig JavaScript, VBScript og PowerShell-koder som har blitt obfuscated
- Blokker JavaScript og VBScript fra kjørelaster lastet ned fra Internett
For e-post kan ASR:
- Blokkere kjøring av kjørbart innhold falt fra e-post (webmail / mail-klient)
Nå en dag har det vært en etterfølgende økning i spyd phishing, og selv en ansatt personlig e-post er målrettet. ASR gjør det mulig for bedriftsadministratorer å legge til filretningslinjer for personlig e-post for både webmail og postklienter på selskapsenheter for å beskytte mot trusler.
Slik fungerer Attack Surface Reduction
ASR fungerer gjennom regler som er identifisert av deres unike regel-ID. For å konfigurere tilstanden eller modusen for hver regel, kan de administreres med:
- Gruppepolicy
- PowerShell
- MDM CSPs
De kan brukes når bare noen regler skal aktiveres eller regler er for å være aktivert i den enkelte modus.
For alle forretningsapplikasjoner som kjører i bedriften din, kan du tilpasse fil- og mappebaserte ekskluderinger hvis programmene inneholder uvanlige oppføringer som kan påvirkes av ASR-deteksjon.
Attack Surface Reduction krever at Windows Defender Antivirus er hoved AV, og det krever at sanntidsbeskyttelsesfunksjonen skal aktiveres. Windows 10 Security Baseline foreslår at de fleste reglene i blokkmodus som nevnt ovenfor, burde være aktivert for å sikre enhetene dine fra eventuelle trusler!
For å få vite mer, kan du besøke docs.microsoft.com.
Deaktiver, Aktiver Windows Spotlight-funksjonen i Windows 10
Windows Spotlight-funksjonen i Windows 10 er relatert til Bing-bilder av dagens funksjon som lar deg sett et bilde som et låseskjermbilde og registrer din stemme for å se flere av slike bilder.
Oppdateringshistorikk for Microsoft Surface, Surface Book og Surface Studio Page
Disse nettsidene dokumenterer alle Microsoft Surface, Surface Book & Surface
Utfør oppstartstiden for Windows Defender med funksjonen Offline Skanning
Windows Defender Scan Offline vil utføre en oppstartstidsskanning som kan hjelpe deg bli kvitt vedvarende og vanskelig å fjerne skadelig programvare fra Windows 10/8/7.