La fonction Attack Surface Reduction de Windows Defender

Attack Surface Reduction est une fonctionnalité de Windows Defender Exploit Guard qui empêche les actions utilisées par les logiciels malveillants à la recherche d`un exploit d`infecter des ordinateurs. Windows Defender Exploit Guard est un nouvel ensemble de fonctionnalités de prévention d`invasion que Microsoft a introduit dans le cadre de Windows 10 v1709. Les quatre composants de Windows Defender Exploit Guard incluent:

• Protection réseau
• Accès aux dossiers contrôlés
• Protection contre les exploits
• Réduction de la surface d`attaque

l`une des principales capacités, Réduction de la surface, contre les actions courantes des logiciels malveillants qui s`exécutent sur les appareils Windows 10.

Explication de la réduction de la surface d`attaque et de la raison pour laquelle elle est si importante

Windows Defender Attack Surface > Les e-mails et les applications de bureau sont la partie la plus cruciale de la productivité de toute entreprise. Ils constituent le moyen le plus simple pour les cyber-attaquants d`accéder à leurs PC et réseaux et d`installer des logiciels malveillants. Les pirates informatiques peuvent directement utiliser des macros et des scripts de bureau pour effectuer directement des exploits qui fonctionnent entièrement en mémoire et sont souvent indétectables par les analyses antivirus traditionnelles.

Le pire est que pour qu`un programme malveillant obtienne une entrée, il suffit de l`activer. des macros sur un fichier Office d`apparence légitime ou pour ouvrir une pièce jointe pouvant compromettre la machine.

Voici où la réduction de surface d`attaque vient à la rescousse

Avantages de la réduction de surface d`attaque

un ensemble d`intelligence intégré qui peut bloquer les comportements sous-jacents utilisés par ces documents malveillants pour s`exécuter sans entraver les scénarios productifs. En bloquant les comportements malveillants, indépendamment de la menace ou de l`exploit, Attack Surface Reduction peut protéger les entreprises des attaques zero-day jamais vues et équilibrer leurs risques de sécurité et leurs exigences de productivité. 3

Applications Office

Scripts et Emails

1. Pour les applications Office, la règle Atténuation de surface d`attaque peut:
2. Bloquer les applications Office de création de contenu exécutable
3. Bloquer les applications Office de création de processus enfant

Bloquer les applications Office d`injecter du code dans un autre processus

1. Bloquer les importations Win32 depuis le code macro dans Office
2. Bloquer le code macro masqué
3. De nombreuses macros malveillantes peuvent infecter un PC en injectant et en lançant des exécutables. Attack Surface Reduction peut vous protéger contre cela et aussi contre DDEDownloader qui a récemment infecté les PC à travers le monde. Cet exploit utilise la fenêtre contextuelle Dynamic Data Exchange dans les documents officiels pour exécuter un téléchargeur PowerShell tout en créant un processus enfant que la règle ASR bloque efficacement!
4. Pour le script, la règle Attack Surface Reduction peut:
5. bloquer JavaScript, VBScript et Les codes PowerShell qui ont été obscurcis

Bloquer JavaScript et VBScript de l`exécution de la charge téléchargée depuis Internet

Pour le courrier électronique, ASR peut:

• Bloquer l`exécution du contenu exécutable supprimé du courrier électronique (webmail / mail-client)
• un jour, il y a eu une augmentation subséquente de spear-phishing et même les emails personnels des employés sont ciblés. ASR permet aux administrateurs d`entreprise d`appliquer des politiques de fichiers sur e-mail personnel pour les clients webmail et mail sur les périphériques de l`entreprise.

Fonctionnement de la réduction de surface d`attaque

• ASR utilise des règles identifiées par leur identifiant unique. Pour configurer l`état ou le mode de chaque règle, ils peuvent être gérés avec:

Stratégie de groupe

PowerShell

CSP MDM

• Ils peuvent être utilisés lorsque seules certaines règles doivent être activées ou que les règles sont Pour être activé en mode individuel.
• Pour toutes les applications professionnelles exécutées dans votre entreprise, il est possible de personnaliser les exclusions basées sur les fichiers et les dossiers si vos applications incluent des comportements inhabituels pouvant être affectés par la détection ASR.La réduction de la surface d`attaque nécessite que Windows Defender Antivirus soit l`AV principale et nécessite l`activation de la fonction de protection en temps réel. Windows 10 La version de base de la sécurité suggère que la plupart des règles en mode bloc mentionnées ci-dessus doivent être activées pour sécuriser vos appareils contre les menaces!
• Pour en savoir plus, vous pouvez visiter docs.microsoft.com.