Inhaltsverzeichnis:
Angriffsflächenverringerung ist eine Funktion von Windows Defender Exploit Guard, die Aktionen verhindert, die von Exploit suchender Malware verwendet werden, um Computer zu infizieren. Windows Defender Exploit Guard ist eine neue Reihe von Invasion Prevention-Funktionen, die Microsoft als Teil von Windows 10 v1709 eingeführt hat. Die vier Komponenten von Windows Defender Exploit Guard umfassen:
- Netzwerkschutz
- Kontrollierter Ordnerzugriff
- Exploit-Schutz
- Angriffsflächenreduktion
Eine der wichtigsten Funktionen, wie oben erwähnt, ist Angriff Surface Reduction, Schutz vor häufigen Aktionen von bösartiger Software, die auf Windows 10-Geräten ausgeführt wird.
Lassen Sie uns wissen, was Attack Surface Reduction ist und warum es so wichtig ist.
Windows Defender Attack Surface Reduction-Funktion
E-Mails und Office-Anwendungen sind der wichtigste Teil der Produktivität eines Unternehmens. Sie sind der einfachste Weg für Cyber-Angreifer, Zugang zu ihren PCs und Netzwerken zu erhalten und Malware zu installieren. Hacker können Office-Makros und -Skripte direkt verwenden, um Exploits auszuführen, die vollständig im Arbeitsspeicher ausgeführt werden und bei herkömmlichen Antivirus-Scans oft nicht erkannt werden.
Das Schlimmste ist, dass Malware nur aktiviert werden kann, wenn ein Schadprogramm einen Eintrag erhält Makros in einer seriös wirkenden Office-Datei oder zum Öffnen eines E-Mail-Anhangs, der die Maschine kompromittieren kann.
Hier kommt die Attack Surface Reduction zum Einsatz.
Vorteile der Attack Surface Reduction
Attack Surface Reduction bietet Eine Reihe integrierter Funktionen, die die zugrunde liegenden Verhaltensweisen blockieren können, die von diesen bösartigen Dokumenten ausgeführt werden, ohne die produktiven Szenarien zu beeinträchtigen. Durch das Blockieren böswilliger Verhaltensweisen, unabhängig von der Bedrohung oder dem Exploit, kann Attack Surface Reduction Unternehmen vor nie dagewesenen Zero-Day-Angriffen schützen und ihre Sicherheitsrisiken und Produktivitätsanforderungen ausgleichen.
ASR deckt drei Hauptverhalten ab :
- Office-Anwendungen
- Skripts und
- E-Mails
Bei Office-Apps kann die Angriffsflächenreduzierungsregel:
- Office-Apps keine ausführbaren Inhalte erstellen
- Office-Apps den untergeordneten Prozess
- blockieren Blockieren von Office-Anwendungen durch Einfügen von Code in einen anderen Prozess
- Blockieren von Win32-Importen aus Makrocode in Office
- Blockieren von verschleierten Makrocodes
Oftmals können bösartige Office-Makros einen PC infizieren, indem ausführbare Dateien ein- und ausgeführt werden. Attack Surface Reduction kann sich vor diesem und auch vor DDEDownloader schützen, der in letzter Zeit PCs auf der ganzen Welt infiziert hat. Dieser Exploit verwendet das Dynamic Data Exchange-Popup in offiziellen Dokumenten, um einen PowerShell-Downloader auszuführen, während ein untergeordneter Prozess erstellt wird, den die ASR-Regel effizient blockiert!
Für das Skript kann die Angriffsflächenreduktionsregel:
- Blockieren von bösartigem JavaScript, VBScript und PowerShell-Codes, die verschleiert wurden
- Blockieren von JavaScript und VBScript beim Ausführen von aus dem Internet heruntergeladenen Payloads
Für ASR-E-Mails kann:
- Die Ausführung von ausführbarem Inhalt blockieren, der aus der E-Mail (Webmail / Mail-Client) gelöscht wurde Ein Tag später ist das Spear-Phishing angestiegen, und sogar persönliche E-Mails von Mitarbeitern werden ins Visier genommen. ASR ermöglicht es Unternehmensadministratoren, Dateirichtlinien für persönliche E-Mails sowohl für Webmail- als auch Mail-Clients auf Unternehmensgeräten zum Schutz vor Bedrohungen anzuwenden.
So funktioniert die Angriffsflächenreduktion
ASR arbeitet mit Regeln, die durch ihre eindeutige Regel-ID identifiziert werden. Um den Status oder Modus für jede Regel zu konfigurieren, können sie verwaltet werden mit:
Gruppenrichtlinie
- PowerShell
- MDM CSPs
- Sie können verwendet werden, wenn nur einige Regeln aktiviert werden sollen oder Regeln sind
Für jede Geschäftszweiganwendung, die in Ihrem Unternehmen ausgeführt wird, gibt es die Möglichkeit, Datei- und Ordnerbasierte Ausschlüsse anzupassen, wenn Ihre Anwendungen ungewöhnliche Verhaltensweisen enthalten, die von der ASR-Erkennung beeinflusst werden können.
Angriffsflächenreduzierung erfordert, dass Windows Defender Antivirus der Haupt-AV ist und dass die Echtzeitschutzfunktion aktiviert sein muss. Die Basis für Windows 10 Security legt nahe, dass die meisten der oben genannten Regeln im Blockmodus aktiviert sein sollten, um Ihre Geräte vor Bedrohungen zu schützen!
Weitere Informationen finden Sie unter docs.microsoft.com.
So aktivieren Sie Windows Defender in Windows 8
Microsoft Stock Windows Defender-App schützt Ihren Windows 8 PC vor allen Arten von Schädlingen, aber OEMs können deaktivieren die Software, um eine Antivirus-Testversion zu installieren. So können Sie es wieder aktivieren:
Scan mit Windows Defender zum Kontextmenü hinzufügen In Windows 8
Download-Registry-Fix zum Hinzufügen von Scans mit der Windows Defender-Option zum Rechtsklick-Kontextmenü in Windows 8. Scannen Sie alle Dateien oder Ordner mit dieser Option.
Hinzufügen von Windows Defender zum Kontextmenü in Windows 8
Hier können Sie Windows Defender-Funktionen zum Kontextmenü in Windows 8 hinzufügen und direkt gewinnen Zugriff durch Erstellen von Optionen im rechten Kontextmenü des Desktops.