Attack surface reduction with Microsoft Defender for Endpoint
Talaan ng mga Nilalaman:
Attack Surface Reduction ay isang tampok ng Windows Defender Exploit Guard na pumipigil sa mga pagkilos na ginagamit ng exploit-seeking malware na makahawa sa mga computer. Ang Windows Defender Exploit Guard ay isang bagong hanay ng mga kakayahan ng pag-iwas sa pagsalakay na ipinakilala ng Microsoft bilang isang bahagi ng Windows 10 v1709. Kabilang sa apat na bahagi ng Windows Defender Exploit Guard ang:
- Proteksiyon ng Network
- Kontroladong Pag-access ng Folder
- Proteksyon ng Pagsasamantala
- Pag-atake ng Pagbabawas ng Ibabaw
Isa sa mga pangunahing kakayahan, gaya ng nabanggit sa itaas, ay Pagbabawas ng Surface, na nagbabantay laban sa mga karaniwang pagkilos ng malisyosong software na nagpapatupad ng kanilang sarili sa mga aparatong Windows 10.
Hayaan maunawaan kung ano ang pagbabawas ng Attack Surface at kung bakit ito ay napakahalaga.
Feature ng Windows Defender Attack Surface Reduction
Ang mga email at opisina ng mga application ay pinakamahalagang bahagi ng pagiging produktibo ng anumang enterprise. Ang mga ito ay ang pinakamadaling paraan para sa mga cyber attackers upang makakuha ng entry sa kanilang mga PC at network at mag-install ng malware. Ang mga Hacker ay maaaring direktang gumamit ng mga macro ng opisina at mga script upang direktang magsagawa ng mga pagsasamantala na gumana nang ganap sa memorya at kadalasang hindi maitatiktik ng mga tradisyunal na pag-scan ng Antivirus.
Ang pinakamasamang bagay ay, para sa isang malware upang makakuha ng entry, tumatagal lamang ito ng user na paganahin macros sa isang lehitimong nakikita Office file, o upang buksan ang isang attachment ng email na maaaring ikompromiso ang makina.
Ito ay kung saan ang Attack Surface Reduction ay dumating sa pagliligtas.
Mga Bentahe ng Attack Surface Reduction
Attack Surface Reduction offers isang hanay ng mga built-in na katalinuhan na maaaring hadlangan ang pinagbabatayan na pag-uugali na ginagamit ng mga nakakahamak na dokumentong ito upang maisagawa nang walang pagharang sa mga mabubuting sitwasyon. Sa pamamagitan ng pag-block sa mga malisyosong pag-uugali, malaya sa kung ano ang pagbabanta o pagsasamantala, maaaring maprotektahan ng Attack Surface Reduction ang mga enterprise mula sa hindi pa nakikita ang zero-day na pag-atake, at balansehin ang kanilang mga panganib sa seguridad at mga kinakailangan sa pagiging produktibo.
ASR ay sumasaklaw sa tatlong pangunahing pag-uugali :
- Mga application sa opisina
- Mga script at
- Mga email
Para sa mga app ng Office, ang Attack ng Pagbabawas sa Pagbabawas ng Surface ay maaaring:
- I-block ang mga app na apps mula sa paglikha ng mga maipapatupad na nilalaman
- I-block ang apps ng Office mula sa pag-inject ng code papunta sa isa pang proseso
- I-block ang mga pag-import ng Win32 mula sa macro code sa Office
- I-block ang naka-obfuscated na macro code
- Maraming mga oras malisyosong mga macro ng opisina ang maaaring makaapekto sa isang PC sa pamamagitan ng pag-inject at paglulunsad ng mga executable. Maaaring maprotektahan ng Pag-atake ng Ibabaw ng Pag-atake laban dito at mula rin sa DDEDownloader na dati`y nahawahan na mga PC sa buong Mundo. Ginagamit ng ganitong pagsasamantala ang popup ng Dynamic Data Exchange sa mga opisyal na dokumento upang magpatakbo ng isang PowerShell downloader habang lumilikha ng isang proseso ng bata na mahusay na mga bloke ng paghahari ng ASR!
Para sa script, ang panuntunan ng Pag-atake ng Ibabaw ng Pagbabawas ay maaaring:
I-block ang malisyosong JavaScript, VBScript, at Ang mga code ng PowerShell na na-obfuscated
- I-block ang JavaScript at VBScript mula sa pagpapatupad ng kargamento na na-download mula sa internet
- Para sa email, maaaring i-ASR:
I-block ang pagpapatupad ng mga maipapatupad na nilalaman na bumaba mula sa email (webmail / mail-client)
- isang araw, nagkaroon ng isang kasunod na pagtaas sa sibat-phishing at kahit isang empleyado personal na mga email ay naka-target. Ang ASR ay nagbibigay-daan sa mga administrator ng enterprise na ilapat ang mga patakaran ng file sa personal na email para sa parehong mga webmail at mail-client sa mga device ng kumpanya para sa proteksyon mula sa mga pagbabanta. Upang i-configure ang estado o mode para sa bawat panuntunan, maaari silang mamahala sa:
Patakaran ng Grupo
PowerShell
MDM CSPs
- Maaari itong magamit kapag may ilang mga patakaran lamang na pinagana o ang mga patakaran ay upang paganahin sa indibidwal na mode.
- Para sa anumang linya ng mga application sa negosyo na tumatakbo sa loob ng iyong enterprise, may kakayahan na ipasadya ang mga pagbubukod batay sa file at folder kung kasama sa iyong mga application ang mga di-pangkaraniwang pag-uugali na maaaring maapektuhan ng pagtuklas ng ASR.
- Ang pag-atake sa Ibabaw ng Pagbabawas ay nangangailangan ng Windows Defender Antivirus upang maging pangunahing AV at nangangailangan ito ng tampok na proteksyon sa real-time upang ma-enable. Ang baseline ng Windows 10 Security ay nagmumungkahi ng karamihan sa mga panuntunan sa mode ng block na nabanggit sa itaas ay dapat na ma-enable upang ma-secure ang iyong mga device mula sa anumang mga pagbabanta!
Upang makilala ang higit pa, maaari mong bisitahin ang docs.microsoft.com
Attack Surface Analyzer, isang bagong tool sa seguridad mula sa Microsoft
Microsoft ay muling napagkasunduan at ginawang magagamit para sa pag-download, isang bagong tool sa seguridad, Attack Surface Analyzer , na dinisenyo upang pag-aralan ang mga pagbabago sa Windows Attack Surface.
Pahina ng Kasaysayan ng Pag-update ng Microsoft Surface, Surface Book at Surface Studio
Ini-dokumento ng mga web page ang lahat ng Microsoft Surface, Surface Book &
Magsagawa ng Windows Defender boot time scan gamit ang Offline Scan feature
Windows Defender Scan Offline ay gagawa ng isang boot time scan na makakatulong sa iyo mapupuksa ang paulit-ulit at mahirap na alisin ang malware mula sa iyong Windows 10/8/7.