Saldırı Yüzey Azaltma özelliği Windows Defender

Saldırı Yüzey Azaltma , Windows Defender Exploit Guard`ın, bilgisayarları enfekte etmek için kötü amaçlı yazılımları kötüye kullanmaktan kaynaklanan eylemleri engelleyen bir özelliktir. Windows Defender Exploit Guard, Microsoft`un Windows 10 v1709`un bir parçası olarak sunduğu yeni bir dizi istila önleme yetenekleridir. Windows Defender Exploit Guard`ın dört bileşeni şunlardır:

• Ağ Koruması
• Kontrollü Klasör Erişimi
• Exploit Protection
• Attack Surface Reduction

Yukarıda belirtildiği gibi en büyük özelliklerden biri Saldırı <1099> Yüzey Azaltma , Windows 10 cihazlarda kendilerini çalıştıran kötü amaçlı yazılımların ortak eylemlerine karşı koruma sağlar.

Saldırı Yüzeyinin azaltılmasının ne olduğunu ve neden bu kadar önemli olduğunu anlayın.

Windows Defender Saldırı Yüzey Azaltma özelliği

E-postalar ve ofis uygulamaları, herhangi bir kurumun üretkenliğinin en önemli parçasıdır. Siber saldırganların bilgisayarlarına ve ağlarına giriş yapmaları ve kötü amaçlı yazılım yüklemeleri için en kolay yoldur. Hacker`lar, doğrudan bellekte çalışan ve genellikle geleneksel Antivirüs taramaları tarafından algılanamayan istismarları gerçekleştirmek için doğrudan ofis makrolarını ve komut dosyalarını kullanabilir.

En kötü yanı, bir kötü amaçlı yazılımın giriş yapabilmesi için kullanıcının yalnızca Makro görünümlü bir Office dosyasındaki makrolar veya makineyi tehlikeye atabilecek bir e-posta eki açmak için.

Burada Attack Surface Reduction`un kurtarmaya geldiği yer var.

Attack Surface Reduction

Attack Surface Reduction `ın Avantajları Üretken senaryoları engellemeden bu kötü amaçlı belgelerin uyguladığı altta yatan davranışları engelleyebilecek bir dizi yerleşik zeka. Saldırı ya da sömürünün ne olduğundan bağımsız olarak kötü niyetli davranışları engelleyerek Saldırı Yüzey Azaltımı, işletmeleri sıfır gün saldırılarından daha önce hiç görmezden koruyabilir ve güvenlik risklerini ve üretkenlik gereksinimlerini dengeleyebilir.

ASR, üç ana davranışı kapsar:

1. Ofis uygulamaları
2. Komut Dosyaları ve
3. E-postalar

Office uygulamaları için Saldırı Yüzey Azaltma kuralı şunları yapabilir:

1. Office uygulamalarının yürütülebilir içerik oluşturmasını engelle
2. Office uygulamalarının çocuk işlemi oluşturmasını engelle
3. Office uygulamalarını başka bir işlem içine kodlama engelleme
4. Office
5. makro kodu engelleme

makro kodu

Blok makro blok

• Çoğu zaman kötü amaçlı makrolar, bir PC bulaşabilir ve başlatılabilir başlatılabilir. Saldırı Yüzey Azaltma, buna karşı ve aynı zamanda Dünya genelinde son zamanlarda bulaşan Pc`lere sahip DDEDownloader`dan da koruyabilir. Bu istisna, ASR kuralının etkili bir şekilde engellenmesini sağlayan bir alt işlem oluştururken PowerShell yükleyiciyi çalıştırmak için resmi belgelerde Dinamik Veri Değişimi açılır penceresini kullanır!
• Komut Dosyası için Yüzey Azaltma kuralı:

Kötü amaçlı JavaScript`i engelleyebilir, VBScript ve Gizlenmiş PowerShell kodları

• Internet`ten indirilen yükü çalıştırmak için JavaScript`i ve VBScript`i engelle

E-posta için ASR şunları yapabilir:

E-postadan düşürülmüş yürütülebilir içeriğin yürütülmesini engelle (webmail / mail-client)

Bir gün, daha sonra mızrak avcısında bir artış oldu ve hatta bir çalışan kişisel e-postalar hedefleniyor. ASR, kurum yöneticilerinin hem e-posta hem de posta istemcileri için tehditlere karşı koruma sağlamak amacıyla şirket cihazlarındaki kişisel e-postalara dosya ilkeleri uygulamasına olanak sağlar.

• Saldırı Yüzey Azaltma nasıl çalışır?
• ASR, benzersiz kural kimlikleriyle tanımlanan kurallar aracılığıyla çalışır. Her kural için durumu veya modu yapılandırmak için, bunlar aşağıdakilerle yönetilebilir:
• Grup İlkesi

PowerShell

MDM CSP

Yalnızca bazı kurallar etkinleştirildiğinde veya kurallar olduğunda kullanılabilirler. Bireysel modda etkin olmak için

İşletmeniz içinde çalışan tüm iş uygulamaları için, uygulamalarınız ASR algılamasından etkilenebilecek sıra dışı davranışlar içeriyorsa, dosya ve klasör tabanlı hariç tutmaları özelleştirme olanağı vardır.