Windows Defender

Attack Surface Reduction-functie in Windows Defender

Attack Surface Reduction-functie in Windows Defender

Vermindering van aanvalsoppervlak is een functie van Windows Defender Exploit Guard die acties voorkomt die worden gebruikt door exploit-zoekende malware om computers te infecteren. Windows Defender Exploit Guard is een nieuwe reeks mogelijkheden voor het voorkomen van invasies die Microsoft heeft geïntroduceerd als onderdeel van Windows 10 v1709. De vier componenten van Windows Defender Exploit Guard omvatten:

Een van de belangrijkste mogelijkheden, zoals hierboven vermeld, is: Vermindering van aanvalsoppervlak, die beschermen tegen veelvoorkomende acties van schadelijke software die zichzelf uitvoeren op Windows 10-apparaten.

Laten we begrijpen wat Attack Surface-reductie is en waarom het zo belangrijk is.

Functie voor Windows Defender Attack Surface Reduction

E-mails en kantoortoepassingen zijn het meest cruciale onderdeel van de productiviteit van elke onderneming. Ze zijn de gemakkelijkste manier voor cyberaanvallers om toegang te krijgen tot hun pc's en netwerken en malware te installeren. Hackers kunnen kantoormacro's en -scripts rechtstreeks gebruiken om exploits uit te voeren die volledig in het geheugen werken en vaak niet kunnen worden gedetecteerd door traditionele antivirusscans.

Het ergste is dat malware, om toegang te krijgen, alleen de macro's op een legitiem ogend Office-bestand hoeft in te schakelen of een e-mailbijlage opent die de machine kan compromitteren.

Dit is waar Attack Surface Reduction te hulp schiet.

Voordelen van vermindering van aanvalsoppervlak

Attack Surface Reduction biedt een set ingebouwde intelligentie die het onderliggende gedrag kan blokkeren dat door deze kwaadaardige documenten wordt gebruikt om uit te voeren zonder productieve scenario's te belemmeren. Door kwaadaardig gedrag te blokkeren, ongeacht wat de dreiging of exploit is, kan Attack Surface Reduction ondernemingen beschermen tegen nooit eerder vertoonde zero-day-aanvallen en hun beveiligingsrisico's en productiviteitsvereisten in evenwicht brengen.

ASR omvat drie hoofdgedragingen::

  1. Office-apps
  2. Scripts en
  3. E-mails

Voor Office-apps kan de regel Attack Surface Reduction:

  1. Voorkomen dat Office-apps uitvoerbare inhoud maken
  2. Voorkomen dat Office-apps een onderliggend proces maken
  3. Blokkeren dat Office-apps code in een ander proces injecteren
  4. Blokkeer Win32-import van macrocode in Office
  5. Verduisterde macrocode blokkeren

Vaak kunnen kwaadaardige kantoormacro's een pc infecteren door uitvoerbare bestanden te injecteren en te starten. Attack Surface Reduction kan hiertegen beschermen en ook tegen DDEDownloader die onlangs pc's over de hele wereld heeft geïnfecteerd. Deze exploit gebruikt de Dynamic Data Exchange-pop-up in officiële documenten om een ​​PowerShell-downloader uit te voeren terwijl een onderliggend proces wordt gemaakt dat door de ASR-regel efficiënt wordt geblokkeerd!

Voor het script kan de regel Attack Surface Reduction:

Voor e-mail kan ASR:

Tegenwoordig is er een daaropvolgende toename van spear-phishing en zelfs persoonlijke e-mails van een werknemer worden getarget. ASR stelt bedrijfsbeheerders in staat om bestandsbeleid toe te passen op persoonlijke e-mail voor zowel webmail als e-mailclients op bedrijfsapparaten voor bescherming tegen bedreigingen.

Hoe aanvalsoppervlakvermindering werkt

ASR werkt door middel van regels die worden geïdentificeerd door hun unieke regel-ID. Om de status of modus voor elke regel te configureren, kunnen ze worden beheerd met:

Ze kunnen worden gebruikt wanneer slechts enkele regels moeten worden ingeschakeld of regels moeten worden ingeschakeld in de individuele modus.

Voor alle bedrijfsapplicaties die binnen uw onderneming worden uitgevoerd, is er de mogelijkheid om op bestanden en mappen gebaseerde uitsluitingen aan te passen als uw applicaties ongebruikelijk gedrag vertonen dat kan worden beïnvloed door ASR-detectie.

Attack Surface Reduction vereist dat Windows Defender Antivirus de belangrijkste AV is en dat de realtime-beveiligingsfunctie is ingeschakeld. Windows 10 Beveiligingsbasislijn suggereert dat de meeste van de hierboven genoemde regels in de blokkeermodus moeten worden ingeschakeld om uw apparaten te beveiligen tegen bedreigingen!

Voor meer informatie kunt u terecht op docs.microsoft.com.

Shadow of the Tomb Raider voor Linux-zelfstudie
Shadow of the Tomb Raider is de twaalfde toevoeging aan de Tomb Raider-serie - een actie-avonturengame-franchise gemaakt door Eidos Montreal. De game ...
Hoe FPS te verhogen in Linux?
FPS staat voor Beelden per seconde. De taak van FPS is om de framesnelheid te meten bij het afspelen van video's of speluitvoeringen. In eenvoudige wo...
Top Oculus App Lab-games
Als je eigenaar bent van een Oculus-headset, moet je op de hoogte zijn van sideloading. Sideloading is het proces van het installeren van niet-winkeli...