Windows

攻撃面削減機能

Amiga Emulation with FS-UAE: A Comprehensive Tutorial + Launchbox Integration

Amiga Emulation with FS-UAE: A Comprehensive Tutorial + Launchbox Integration

目次:

Anonim

アタックサーフェイスリダクション は、Windows Defenderエクスプロイトガードの機能で、攻撃を求めるマルウェアがコンピュータを感染させるために使用するアクションを防止します。 Windows Defender Exploit Guardは、MicrosoftがWindows 10 v1709の一部として導入した侵入防止機能の新しいセットです。 Windows Defender Exploit Guardの4つのコンポーネントには、次のものがあります。

  • ネットワーク保護
  • 制御されたフォルダアクセス
  • 脆弱性の保護
  • 攻撃対象の削減

上記のような主要機能の1つは、 Windows 9デバイス上で実行される悪意のあるソフトウェアの一般的な行為に対して警戒する Windows Defender Attack Surface Reductionフィーチャー >電子メールとオフィスアプリケーションは、企業の生産性の最も重要な部分です。サイバー攻撃者がPCやネットワークに侵入してマルウェアをインストールする最も簡単な方法です。ハッカーは、オフィスのマクロとスクリプトを直接使用して、メモリ内で完全に動作するエクスプロイトを直接実行することができ、従来のアンチウイルススキャンでは検出できないことがよくあります。

最悪のことは、マルウェアがエントリを取得するためには、正当な見た目のOfficeファイル上のマクロを開くか、マシンを危険にさらす可能性のある電子メールの添付ファイルを開く

攻撃の面減少が救済される場所

攻撃面の削減のメリット

これらの悪意のあるドキュメントによって使用される基本的な動作をブロックして、生産的なシナリオを妨げることなく実行できるビルトインインテリジェンスのセットです。アタックサーフェスリダクションは、脅威や悪用とは無関係に悪意のある行動をブロックすることで、これまでにないゼロデイ攻撃から企業を保護し、セキュリティリスクと生産性要件のバランスをとることができます。

ASRは3つの主な動作をカバーします。

Officeアプリケーションのスクリプトと

電子メール

Officeアプリケーションの場合、攻撃サーフェス削減ルールでは次のことができます。 Officeアプリケーションの実行可能コンテンツの作成をブロックする

  1. Officeのアプリケーションが別のプロセスにコードを注入するのをブロックする
  2. OfficeのマクロコードからWin32のブロックをブロックする
  3. ブロックの難読化されたマクロコードをブロックする

悪質なオフィスマクロは、実行ファイルを注入して起動することによってPCに感染することがあります。アタックサーフェイスリダクションはこれを防ぎ、最近は世界中のPCに感染しているDDEDownloaderから保護することができます。この攻撃は、公式ドキュメントのDynamic Data Exchangeポップアップを使用してPowerShellダウンローダを実行し、ASRルールが効率的にブロックする子プロセスを作成します!

  1. スクリプトの場合、Attack Surface Reductionルールでは次のことができます。難読化されたPowerShellコード
  2. インターネットからダウンロードしたペイロードを実行しないようにJavaScriptとVBScriptをブロックする
  3. Eメールの場合、ASRは:
  4. 電子メール(webmail / mail-client)から削除された実行可能コンテンツの実行をブロック
  5. 1日後、スピアフィッシングが次々に増加し、従業員の個人的な電子メールも対象となりました。 ASRを使用すると、エンタープライズ管理者は、脅威からの保護のために会社のデバイス上のWebメールとメールクライアントの両方に個人用の電子メールでファイルポリシーを適用できます。

攻撃の削減方法

ASRは、固有のルールIDによって識別されるルールによって動作します。

  • グループポリシー
  • PowerShell

MDM CSP

  • 一部のルールのみを有効にするか、またはルールを有効にする場合に使用できます個々のモードで有効にすることができます。

企業内で実行されているビジネスアプリケーションの行には、ASR検出の影響を受ける可能性のある異常な動作が含まれている場合、ファイルとフォルダベースの除外をカスタマイズできます。アタックサーフェイスを削減するには、Windows Defender AntivirusをメインのAVにする必要があり、リアルタイム保護機能を有効にする必要があります。 Windows 10のセキュリティ基準は、上記のブロックモードのルールのほとんどが、あらゆる脅威からデバイスを保護するために有効にする必要があることを示しています!

詳細は、docs.microsoft.comを参照してください。