Намаляване на повърхността на атаката е функция на Windows Defender Exploit Guard, която предотвратява действия, които се използват от зловреден софтуер, който търси злоупотреба, за да зарази компютри. Windows Defender Exploit Guard е нов набор от възможности за предотвратяване на инвазията, които Microsoft представи като част от Windows 10 v1709. Четирите компонента на Windows Defender Exploit Guard включват:
- Защита на мрежата
- Достъп до контролирана папка
- Exploit Protection
- Намаляване на повърхността на атаката
Една от основните възможности, както беше споменато по-горе, е Намаляване на повърхността на атаката, които предпазват от обикновени действия на злонамерен софтуер, които се изпълняват на устройства с Windows 10.
Нека разберем какво е намаляването на повърхността на Атака и защо е толкова важно.
Функцията за намаляване на повърхността на Windows Defender Attack
Имейлите и офис приложения са най-важната част от производителността на всяко предприятие. Те са най-лесният начин за кибер-атакуващите да получат достъп до своите компютри и мрежи и да инсталират злонамерен софтуер. Хакерите могат директно да използват офис макроси и скриптове, за да извършват пряко експлойти, които работят изцяло в паметта и често не могат да бъдат открити от традиционните антивирусни сканирания.
Най-лошото е, че за злонамерен софтуер, за да получите запис, то просто отнема на потребителя да активира макроси върху легитимно изглеждащ файл на Office или да отвори прикачен файл с имейл, който може да компрометира машината.
Това е мястото, където атаката на повърхността намалява.
Предимства на намаляването на повърхността на атаката
Намаляването на повърхността на атаката предлага набор от вградени интелигентности, които могат да блокират основните действия, използвани от тези злонамерени документи, за да се изпълнят, без да се възпрепятстват продуктивни сценарии. Блокирайки злонамереното поведение, независимо от това, което представлява заплахата или експлоатацията, Редукцията на повърхността на Атака може да защити предприятията от никога преди това нежелани атаки и да балансира техните изисквания за риск и производителност.
ASR обхваща три основни поведения:
- Офис приложения
- Скриптове и
- имейли
За приложенията за Office, правилото за намаляване на повърхността на атаката може:
- Блокирайте приложенията на Office от създаването на изпълнимо съдържание
- Блокирайте приложенията на Office от създаването на подчинен процес
- Блокирайте приложенията на Office от инжектиране на код в друг процес
- Блокиране на Win32 внос от макро код в Office
- Блокирайте закръгления макро код
Много от злонамерените макроси за офис може да заразят компютъра, като инжектират и стартират изпълними файлове. Намаляването на повърхността на атаката може да защити срещу това, а също и от DDEDownloader, който напоследък е заразил компютрите по целия свят. Тази операция използва изскачащия прозорец за динамичен обмен на данни в официалните документи, за да стартира изтегляч на PowerShell, докато създава детски процес, който правилото ASR ефективно блокира!
За скрипта, правилото за намаляване на повърхността на атаката може:
- Блокирайте злонамерените кодове на JavaScript, VBScript и PowerShell, които са затъмнени
- Блокирайте JavaScript и VBScript от изпълняващ полезен товар, изтеглени от интернет
За имейл ASR може:
Блокирането на изпълнимото съдържание е спаднато от имейл (webmail / mail-client)
Сега един ден има последващо увеличение на копирането на копирането и дори са насочени към персонални имейли на служителите. ASR дава възможност на фирмените администратори да прилагат файлови правила за лични имейли както за уебмайта, така и за пощенските клиенти на устройства на компанията за защита от заплахи.
Как действа Намаляването на повърхността на атаката
ASR работи чрез правила, които са идентифицирани чрез уникалния им идентификационен номер. За да конфигурирате състоянието или режима за всяко правило, те могат да бъдат управлявани с:
- Групова политика
- PowerShell
- MDP CSPs
Те могат да се използват, когато трябва да се активират само някои правила или да се активират правилата в отделен режим.
За всяка линия бизнес приложения, работещи в рамките на вашето предприятие, има възможност да персонализирате изключенията на файлове и папки, ако вашите приложения включват необичайни поведения, които могат да бъдат засегнати от откриването на ASR.
Намаляването на повърхността на атаката изисква Windows Defender Antivirus да бъде основният AV и изисква функцията за защита в реално време да бъде активирана. Базовата линия на Windows 10 за сигурност предполага, че повечето от правилата в блоковия режим, споменати по-горе, трябва да бъдат активирани, за да защитят устройствата ви от всякакви заплахи!
За да научите повече, можете да посетите docs.microsoft.com.
Подобни публикации:
- Как да конфигурираме Windows Defender Exploit Guard (WDEG) в Windows 10
- Повърхност 3 спецификации, цена. Сравнение с повърхността Pro 3
- Apple iPad срещу Microsoft Surface RT таблет - Битката за слава!
- Surface Pro 3 спецификации, функции, изображения и видео
- Surface Team отговаря на въпроси относно таблета Surface
