คุณลักษณะการลดพื้นผิวการโจมตีใน Windows Defender

การลดการโจมตีของพื้นผิว เป็นคุณลักษณะของ Windows Defender Exploit Guard ที่ป้องกันการกระทำที่มัลแวร์ที่แสวงหามัลแวร์ใช้ Windows Defender Exploit Guard เป็นชุดใหม่ของความสามารถในการป้องกันการบุกรุกที่ Microsoft นำมาใช้ในฐานะส่วนหนึ่งของ Windows 10 v1709 ส่วนประกอบของ Windows Defender Exploit Guard ทั้งสี่ส่วนประกอบด้วย

• การป้องกันการบุกรุก
• การลดการโจมตี
• ความสามารถที่สำคัญอย่างหนึ่งดังกล่าวข้างต้น

Attack Surface Reduction ที่ป้องกันการกระทำโดยทั่วไปของซอฟต์แวร์ที่เป็นอันตรายที่รันตัวเองบนอุปกรณ์ Windows 10 ให้เข้าใจว่าการลดพื้นผิวของ Attack คืออะไรและทำไมมันถึงสำคัญ

คุณลักษณะการลดพื้นผิวของ Windows Defender Attack

อีเมลและแอพพลิเคชันสำนักงานถือเป็นส่วนสำคัญที่สุดในการผลิตขององค์กร เป็นวิธีที่ง่ายที่สุดสำหรับผู้โจมตีในโลกไซเบอร์เพื่อเข้าสู่คอมพิวเตอร์และเครือข่ายของตนและติดตั้งมัลแวร์ แฮกเกอร์สามารถใช้แมโครและสคริปต์ในสำนักงานเพื่อดำเนินการค้นหาที่ทำงานโดยสิ้นเชิงในหน่วยความจำและมักจะไม่สามารถตรวจพบได้โดยการสแกนไวรัสแบบดั้งเดิม

สิ่งที่แย่ที่สุดคือมัลแวร์ที่จะได้รับรายการก็ใช้เวลาเพียงแค่ แมโครบนแฟ้ม Office ที่ถูกต้องตามกฎหมายหรือเปิดไฟล์แนบอีเมลที่สามารถทำให้เครื่องเสียหายได้

นี่คือการลดการโจมตีของพื้นผิว

ข้อดีของการลดการโจมตี

ลดการโจมตีพื้นผิว ชุดของสติปัญญาในตัวที่สามารถป้องกันพฤติกรรมพื้นฐานที่ใช้โดยเอกสารที่เป็นอันตรายเหล่านี้เพื่อดำเนินการโดยไม่ต้องขัดขวางสถานการณ์ที่มีประสิทธิผล การลดการโจมตีพื้นผิวสามารถป้องกันองค์กรจากการโจมตี zero-day ที่ไม่เคยเห็นมาก่อนและลดความเสี่ยงด้านความปลอดภัยและความต้องการในการผลิต ASR

ASR ครอบคลุม 3 พฤติกรรมหลัก ๆ

: แอพพลิเคชัน Office

1. สคริปและ
2. อีเมล
3. สำหรับแอพพลิเคชัน Office กฎการลดการโจมตีสามารถ:

ปิดกั้นแอพพลิเคชัน Office จากการสร้างเนื้อหาที่ปฏิบัติการได้

1. บล็อกแอพพลิเคชัน Office จากการสร้างกระบวนการเด็ก
2. บล็อกแอ็พพลิเคชัน Office จากการใส่รหัสลงในกระบวนการอื่น
3. บล็อกการนำเข้า Win32 จากรหัสแมโครใน Office
4. บล็อกรหัสแม็ป obfuscated
5. หลายครั้งที่มาโครที่เป็นอันตรายสามารถติดต่อกับคอมพิวเตอร์ได้โดยการฉีดและเปิดใช้งานไฟล์ปฏิบัติการ การลดการโจมตีพื้นผิวสามารถป้องกันได้จาก DDEDownloader ที่ติดเชื้อพีซีใหม่ ๆ ทั่วโลก การใช้ประโยชน์นี้ใช้ป๊อปอัปแบบไดนามิก Data Exchange ในเอกสารอย่างเป็นทางการเพื่อเรียกใช้ PowerShell downloader ขณะที่สร้างกระบวนการลูกซึ่งกฎ ASR จะบล็อกได้อย่างมีประสิทธิภาพ!

สำหรับสคริปต์กฎ Attack Surface Reduction สามารถ:

บล็อก JavaScript ที่เป็นอันตราย, VBScript และ รหัสผ่านของ PowerShell ที่ถูกทำให้สะดุด

• บล็อก JavaScript และ VBScript จากการรันโหลดข้อมูลที่ดาวน์โหลดจากอินเทอร์เน็ต
• สำหรับอีเมล ASR สามารถ:

บล็อกการเรียกใช้เนื้อหาที่ปฏิบัติการได้ลดลงจากอีเมล (webmail / mail-client)

• ต่อวันมีการเพิ่มขึ้นของการใช้ฟิชชิ่งต่อมาและมีการกำหนดเป้าหมายอีเมลส่วนบุคคลของพนักงาน ASR ช่วยให้ผู้ดูแลระบบองค์กรสามารถใช้นโยบายไฟล์กับอีเมลส่วนบุคคลสำหรับทั้ง Webmail และ Mail-Client บนอุปกรณ์ของ บริษัท เพื่อป้องกันภัยคุกคาม

วิธีการลดการโจมตีพื้นผิวด้วยการทำงาน

ASR ทำงานผ่านกฎที่ระบุด้วยรหัสกฎที่ไม่ซ้ำกัน ในการกำหนดค่าสถานะหรือโหมดสำหรับแต่ละกฎคุณสามารถจัดการกับ

เปิดใช้งานในแต่ละโหมด

• สำหรับแอพพลิเคชันทางธุรกิจทุกประเภทที่ทำงานในองค์กรของคุณมีความสามารถในการปรับแต่งการยกเว้นไฟล์และโฟลเดอร์หากแอ็พพลิเคชันของคุณมีพฤติกรรมที่ผิดปกติซึ่งอาจได้รับผลกระทบจากการตรวจจับ ASR
• การลดพื้นผิวการโจมตีต้องใช้ Windows Defender Antivirus เป็น AV หลักและต้องใช้คุณลักษณะการป้องกันแบบเรียลไทม์ พื้นฐานของ Windows 10 Security จะแนะนำให้ใช้กฎในโหมดบล็อกดังกล่าวข้างต้นเพื่อป้องกันอุปกรณ์ของคุณจากภัยคุกคามใด ๆ !
• หากต้องการทราบข้อมูลเพิ่มเติมคุณสามารถไปที่ docs.microsoft.com