Apa itu ASR (Attack Surface Reduction) dan bagaimana cara melindungi perangkat Anda?

Saat Anda mulai mempelajari keamanan Windows dan semua yang ditawarkan Microsoft Defender, istilah ASR (Pengurangan Permukaan Serangan) Hal ini muncul berulang kali. Dan itu bukan kebetulan: kita berbicara tentang serangkaian aturan dan teknik yang bertujuan untuk menghentikan serangan bahkan sebelum serangan sempat terjadi.

Dalam konteks ancaman yang semakin canggihDengan adanya ransomware, skrip yang disamarkan, pencurian kredensial, dan serangan tanpa file, aturan ASR telah menjadi komponen kunci pertahanan preventif. Masalahnya, aturan ini sering dianggap "ajaib" dan rumit, padahal sebenarnya logikanya cukup jelas jika dijelaskan dengan tenang.

Apa itu ASR (Attack Surface Reduction) dan masalah apa yang dipecahkannya?

Pengurangan Permukaan Serangan, atau pengurangan permukaan seranganASR adalah pendekatan yang meminimalkan semua titik yang memungkinkan penyerang masuk, memindahkan, atau mengeksekusi kode dalam suatu lingkungan. Khususnya untuk Microsoft, ASR diimplementasikan melalui aturan yang mengontrol perilaku titik akhir berisiko tinggi: eksekusi skrip, makro Office, proses yang diluncurkan dari drive USB, penyalahgunaan WMI, dll.

Secara praktis, itu Aturan ASR Microsoft Defender untuk titik akhir Ini adalah kebijakan yang menyatakan: “hal-hal tertentu yang merupakan ciri khas malware Mereka tidak akan diizinkan, meskipun aplikasi yang sah terkadang juga mengizinkannya. Misalnya, Word boot PowerShell, yang merupakan naskah yang diunduh dari Internet meluncurkan suatu proses yang dapat dieksekusi atau satu proses mencoba menyuntikkan kode ke dalam proses lainnya.

Ide dasarnya adalah mengurangi jumlah jalur yang dapat diambil serangan untuk membahayakan sistem. Semakin sedikit jalur yang tersedia, luas permukaan lebih sedikitHal ini sangat sesuai dengan model Zero Trust: kami berasumsi bahwa pada suatu titik akan terjadi pelanggaran, jadi kami mengurangi "radius ledakan" insiden tersebut semaksimal mungkin.

Penting untuk membedakan dua konsep yang sering tertukar: di satu sisi, mengurangi permukaan serangan sebagai strategi umum (menghapus layanan yang tidak diperlukan, menutup port, menghapus perangkat lunak yang berlebihan, membatasi izin, dll.), dan di sisi lain, Aturan ASR Microsoft Defenderyang merupakan bagian yang sangat spesifik dari strategi tersebut, yang difokuskan pada titik akhir dan perilaku perangkat lunak.

Permukaan serangan: fisik, digital, dan manusia

Ketika kita berbicara tentang permukaan serangan suatu organisasi, kita mengacu pada semua titik di mana penyerang dapat terlibatPerangkat, aplikasi, layanan daring, akun pengguna, API, jaringan internal, cloud eksternal, dll. Ini bukan sekadar masalah teknis; kesalahan manusia juga ikut berperan.

Di bagian digital kita menemukan situs web, server, databasetitik akhir, layanan cloud, dan aplikasi perusahaanSetiap layanan yang salah konfigurasi, setiap porta yang dibuka tanpa perlu, setiap aplikasi perangkat lunak yang tidak ditambal dapat menjadi titik masuk bagi eksploitasi. Itulah sebabnya banyak perusahaan mengandalkan alat EASM (External Attack Surface Management) yang mengotomatiskan penemuan aset dan kerentanan yang terekspos.

Di permukaan fisik, hal-hal berikut ini ikut berperan server, workstation, perangkat jaringan, dan terminal di tempatDi sini, risikonya dikurangi dengan kontrol akses fisik, kamera, kartu, kunci, rak tertutup, dan perangkat keras Diperkuat. Jika siapa pun dapat mengakses pusat data dengan drive USB, tidak peduli seberapa baik kebijakan keamanan Anda.

Kaki ketiga adalah permukaan yang terkait dengan rekayasa sosial dan faktor manusiaEmail phishing, panggilan palsu, situs web tempat minum-minum, atau kesalahan karyawan sederhana yang menyebabkan pengunduhan konten berbahaya. Itulah sebabnya mengurangi permukaan serangan juga melibatkan pelatihan dan kesadaran, bukan hanya teknologi.

ASR sebagai pilar keamanan preventif dan Zero Trust

Dalam model Zero Trust, kami berasumsi bahwa jaringan sudah terganggu atau akan tergangguDan tujuan kami adalah mencegah penyerang dengan mudah meningkatkan atau mendapatkan hak istimewa. Aturan ASR sangat cocok di sini karena aturan ini memberikan penghalang terhadap vektor serangan yang paling sering dieksploitasi, terutama di titik akhir.

Aturan ASR menerapkan prinsip hak istimewa minimum diterapkan pada perilakuIni bukan hanya tentang izin apa yang dimiliki akun, tetapi juga tindakan apa yang dapat dilakukan oleh aplikasi tertentu. Misalnya, Office masih dapat mengedit dokumen tanpa masalah, tetapi tidak dapat lagi menjalankan proses latar belakang atau membuat file yang dapat dieksekusi di disk dengan bebas.

Jenis pengendalian perilaku ini sangat ampuh melawan ancaman polimorfik dan serangan tanpa fileMeskipun malware terus-menerus mengubah tanda tangan atau hashnya, sebagian besar masih perlu melakukan hal yang sama: menjalankan skrip, menyuntikkan kode ke dalam proses, memanipulasi LSASS, menyalahgunakan WMI, menulis driver yang rentan, dll. ASR berfokus tepat pada pola-pola ini.

Selain itu, aturan dapat dijalankan dalam berbagai mode: pemblokiran, audit, atau peringatanHal ini memungkinkan penerapan bertahap, dimulai dengan mengamati dampaknya (mode audit), lalu memberi tahu pengguna (peringatan), dan akhirnya memblokirnya tanpa ampun setelah pengecualian disesuaikan.

Prasyarat dan sistem operasi yang kompatibel

Untuk memaksimalkan aturan ASR di Microsoft Defender, penting untuk memiliki fondasi yang kuat. Dalam praktiknya, Anda perlu Microsoft Defender Antivirus harus menjadi antivirus utama Anda.berjalan dalam mode aktif, bukan pasif, dan dengan perlindungan waktu nyata diaktifkan.

Banyak aturan, terutama yang lebih maju, memerlukan Perlindungan yang Disampaikan Cloud Aktif dan terhubung dengan layanan cloud Microsoft. Hal ini penting untuk fitur yang bergantung pada reputasi, prevalensi, atau heuristik di cloud, seperti aturan "executable yang tidak memenuhi kriteria prevalensi, usia, atau daftar tepercaya" atau aturan "perlindungan ransomware tingkat lanjut".

Meskipun peraturan ASR tidak secara ketat mengharuskan lisensi Microsoft 365 E5, iya itu Sangat disarankan untuk memiliki lisensi E5 atau yang setara. Jika Anda ingin mengintegrasikan kemampuan manajemen, pemantauan, analisis, pelaporan, dan alur kerja tingkat lanjut ke dalam Microsoft Defender for Endpoint dan portal Microsoft Defender XDR.

Jika Anda bekerja dengan lisensi seperti Windows Professional atau Microsoft 365 E3 tanpa fitur-fitur lanjutan tersebut, Anda masih dapat menggunakan ASR, tetapi Anda harus lebih mengandalkan Penampil peristiwa, log Microsoft Defender Antivirus, dan solusi kepemilikan pemantauan dan pelaporan (penerusan acara, SIEM, dll.). Dalam semua kasus, penting untuk meninjau daftar sistem operasi didukungkarena aturan yang berbeda memiliki persyaratan minimum untuk Windows 10/11 dan versi server.

Mode aturan ASR dan pra-penilaian

Setiap aturan ASR dapat dikonfigurasi dalam empat status: tidak dikonfigurasi/dinonaktifkan, blokir, audit, atau peringatanStatus ini juga direpresentasikan dengan kode numerik (masing-masing 0, 1, 2 dan 6) yang digunakan dalam GPO, MDM, Intune dan PowerShell.

Mode Blokir Mengaktifkan aturan dan langsung menghentikan perilaku mencurigakan. Mode Audit Ia mencatat kejadian yang seharusnya diblokir, tetapi membiarkan tindakan terus berlanjut, yang memungkinkan Anda menilai dampaknya pada aplikasi bisnis sebelum memperketat keamanan.

Mode Advertencia (Peringatan) adalah semacam jalan tengah: aturan tersebut berperilaku seperti aturan pemblokiran, tetapi pengguna melihat kotak dialog yang menunjukkan bahwa konten telah diblokir dan diberi opsi untuk buka kunci sementara selama 24 jamSetelah periode tersebut, pola yang sama akan diblokir lagi kecuali pengguna mengizinkannya lagi.

Mode peringatan hanya didukung dari Windows 10 versi 1809 (RS5) dan yang lebih baruDi versi sebelumnya, jika Anda mengonfigurasi aturan dalam mode peringatan, aturan tersebut akan berfungsi sebagai aturan blok. Selain itu, beberapa aturan tertentu tidak mendukung mode peringatan saat dikonfigurasi melalui Intune (meskipun mendukung melalui Kebijakan Grup).

Sebelum mencapai titik penguncian, sangat disarankan untuk menggunakan mode audit dan mengandalkan Manajemen Kerentanan Microsoft DefenderDi sini Anda dapat melihat dampak yang diharapkan dari setiap aturan (persentase perangkat yang terdampak, potensi dampak pada pengguna, dll.). Berdasarkan data audit, Anda dapat memutuskan aturan mana yang akan diaktifkan dalam mode pemblokiran, di grup percontohan mana, dan pengecualian apa yang Anda perlukan.

Aturan ASR berdasarkan jenis: aturan perlindungan standar dan aturan lainnya

Microsoft mengklasifikasikan aturan ASR menjadi dua kelompok: di satu sisi, aturan perlindungan standarInilah aturan-aturan yang hampir selalu direkomendasikan untuk diaktifkan karena dampaknya terhadap kegunaan sangat kecil, dan di sisi lain, aturan-aturan lainnya biasanya memerlukan fase pengujian yang lebih cermat.

Di antara aturan perlindungan standar, berikut ini menonjol, misalnya: “Blokir penyalahgunaan kontroler yang ditandatangani yang rentan dan dieksploitasi”, “Blokir pencurian kredensial dari subsistem otoritas keamanan lokal (lsass.exe)” o “Persistensi blok melalui langganan acara WMI”Hal ini menunjuk langsung pada teknik umum peningkatan hak istimewa, penghindaran pertahanan, dan persistensi.

Aturan-aturan yang tersisa, meskipun sangat kuat, lebih mungkin menimbulkan konflik dengan aplikasi perusahaan yang banyak menggunakan skrip, makro, proses anak, atau alat administrasi jarak jauh. Ini mencakup semua aturan yang memengaruhi Office, Adobe Reader, PSExec, WMI jarak jauh, skrip yang dikaburkan, eksekusi dari USB, WebShells, Dll

Untuk setiap aturan, Microsoft mendokumentasikan Nama Intune, kemungkinan nama di Configuration Manager, GUID unik, dependensi (AMSI, Cloud Protection, RPC…) dan jenis peristiwa yang dihasilkan dalam pencarian lanjutan (misalnya, AsrObfuscatedScriptBlocked, AsrOfficeChildProcessAuditeddll.). GUID ini adalah GUID yang perlu Anda gunakan di GPO, MDM, dan PowerShell untuk mengaktifkan, menonaktifkan, atau mengubah mode.

Deskripsi rinci tentang aturan ASR utama

Aturan ASR mencakup berbagai macam vektor seranganBerikut ini adalah ringkasan yang paling relevan dan apa saja yang diblokir masing-masing, berdasarkan referensi resmi dan pengalaman praktis.

Blokir penyalahgunaan terhadap pengemudi yang rentan dan dieksploitasi

Aturan ini mencegah aplikasi dengan hak istimewa yang cukup dari menulis driver yang ditandatangani tetapi rentan ke disk yang kemudian dapat dimuat oleh penyerang untuk mendapatkan akses ke kernel dan menonaktifkan atau melewati solusi keamanan. Hal ini tidak menghalangi pemuatan driver rentan yang sudah ada, tetapi memotong salah satu cara umum untuk memasukkannya.

Ini diidentifikasi oleh GUID 56a863a9-875e-4185-98a7-b882c64b5ce5 dan menghasilkan peristiwa bertipe AsrVulnerableSignedDriverAudited y AsrVulnerableSignedDriverBlocked dalam pencarian lanjutan Microsoft Defender.

Mencegah Adobe Reader membuat proses anak

Tujuan dari aturan ini adalah untuk mencegah Adobe Reader berfungsi sebagai batu loncatan untuk mengunduh dan meluncurkan muatan. Ini memblokir pembuatan proses sekunder dari Reader, melindungi dari eksploitasi PDF dan teknik rekayasa sosial yang bergantung pada penampil ini.

GUID Anda adalah 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2cdan dapat menghasilkan peristiwa AsrAdobeReaderChildProcessAudited y AsrAdobeReaderChildProcessBlockedItu tergantung pada Microsoft Defender Antivirus yang beroperasi.

Mencegah semua aplikasi Office membuat proses anak

Aturan ini melarang Word, Excel, PowerPoint, OneNote, dan Access menghasilkan proses sekunderIni adalah cara langsung untuk menghentikan banyak serangan berbasis makro yang diluncurkan oleh PowerShell. CMD atau alat sistem lainnya untuk mengeksekusi kode berbahaya.

GUID terkait adalah d4f940ab-401b-4efc-aadc-ad5f3c50688aDalam skenario dunia nyata, beberapa aplikasi bisnis yang sah juga menggunakan pola ini (misalnya, untuk membuka command prompt atau menerapkan perubahan pada Registri), jadi penting untuk mengujinya terlebih dahulu dalam mode audit.

Blokir pencurian kredensial LSASS

Aturan ini melindungi proses lsass.exe terhadap akses tidak sah dari proses lain, mengurangi permukaan serangan untuk alat seperti Mimikatz, yang mencoba mengekstrak hash, kata sandi teks biasa, atau tiket Kerberos.

Dia berbagi filosofi dengan Penjaga Kredensial Microsoft DefenderJika Anda sudah mengaktifkan Credential Guard, aturan tersebut tidak menambahkan banyak hal, tetapi sangat berguna di lingkungan tempat Anda tidak dapat mengaktifkannya karena ketidakcocokan dengan driver atau perangkat lunak pihak ketiga. GUID Anda adalah 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2.

Blokir konten yang dapat dieksekusi dari klien email dan webmail

Di sini kita memasuki aturan yang sangat mirip dengan serangan phishing. Aturan ini mencegah... file yang dapat dieksekusi, skrip, dan file terkompresi yang diunduh atau dilampirkan dari klien email dan webmail dijalankan secara langsung. Ini terutama berlaku untuk Outlook, Outlook.com, dan penyedia webmail populer, dan sangat berguna dalam kombinasi dengan perlindungan email lainnya dan dengan pengaturan browser yang aman.

GUID Anda adalah be9ba2d9-53ea-4cdc-84e5-9b1eeee46550 dan menghasilkan peristiwa seperti AsrExecutableEmailContentAudited y AsrExecutableEmailContentBlockedIni terutama berguna jika dikombinasikan dengan perlindungan email lainnya.

Cegah eksekusi agar tidak berjalan jika tidak memenuhi kriteria prevalensi, usia, atau daftar kepercayaan.

Aturan ini memblokir eksekusi biner (.exe, .dll, .scr, dll.) yang tidak cukup sering, cukup lama, atau dapat diandalkan Menurut data reputasi cloud Microsoft, sistem ini sangat kuat terhadap malware baru, tetapi dapat rentan di lingkungan dengan banyak perangkat lunak internal atau yang tidak umum.

GUID adalah 01443614-cd74-433a-b99e-2ecdc07bfc25 Dan ini jelas bergantung pada Perlindungan Cloud. Sekali lagi, ini merupakan contoh nyata dari aturan bahwa sebaiknya dimulai dalam mode audit, lalu secara bertahap menerapkan pemblokiran.

Blokir eksekusi skrip yang berpotensi dikaburkan

Kode yang dikaburkan merupakan hal yang umum bagi penyerang dan, terkadang, pengembang yang sah. Aturan ini menganalisis fitur mencurigakan dalam PowerShell, VBScript, JavaScript, atau skrip makro yang dikaburkan dan memblokir hal-hal yang kemungkinan besar bersifat jahat.

GUID Anda adalah 5beb7efe-fd9a-4556-801d-275e5ffc04cc Ia menggunakan AMSI (Antimalware Scan Interface) dan perlindungan cloud untuk mengambil keputusan. Ini adalah salah satu aturan paling efektif melawan kampanye berbasis skrip modern.

Mencegah JavaScript atau VBScript meluncurkan file yang dapat dieksekusi yang diunduh

Aturan ini berfokus pada pola pengunduh yang umum: Sebuah skrip dalam JS atau VBS mengunduh berkas biner dari internet dan mengeksekusinya.Apa yang dilakukan ASR di sini adalah mencegah langkah peluncuran eksekusi yang diunduh.

GUID Anda adalah d3e037e1-3eb8-44c8-a917-57927947596dIa juga bergantung pada AMSI dan sangat penting dalam skenario di mana teknologi atau skrip lama masih digunakan di browser atau di desktop.

Mencegah aplikasi Office membuat konten yang dapat dieksekusi

Teknik umum lainnya adalah menggunakan Office untuk menulis komponen berbahaya ke disk yang tetap ada setelah dimulai ulang (misalnya, file eksekusi atau DLL yang persisten). Aturan ini mencegah Office menyimpan atau mengakses jenis konten yang dapat dieksekusi tersebut untuk meluncurkannya.

GUID adalah 3b576869-a4ec-4529-8536-b80a7769e899 Ia mengandalkan Microsoft Defender Antivirus dan RPC. Sangat efektif dalam memutus rantai infeksi berbasis makro yang mengunduh muatan persisten.

Mencegah aplikasi Office memasukkan kode ke proses lain

Hal ini mencegah Office menggunakan teknik proses injeksiIni melibatkan penyuntikan kode ke dalam proses lain untuk menyamarkan aktivitas berbahaya. Microsoft tidak mengetahui adanya penggunaan bisnis yang sah untuk pola ini, jadi ini merupakan aturan yang cukup aman untuk diaktifkan di sebagian besar lingkungan.

GUID Anda adalah 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84Namun, aplikasi spesifik yang bertentangan dengan aturan ini telah didokumentasikan, jadi jika muncul kebisingan di lingkungan, disarankan untuk memeriksa kompatibilitas.

Mencegah aplikasi komunikasi Office membuat proses anak

Terutama ditujukan pada Outlook dan produk komunikasi Office lainnya, aturan ini memblokir membuat proses sekunder dari klien emailmengurangi serangan yang mengeksploitasi kerentanan dalam aturan Outlook, formulir, atau email berbahaya untuk mengeksekusi kode.

GUID Anda adalah 26190899-1602-49e8-8b27-eb1d0a1ce869 dan membantu menutup vektor yang sangat menarik untuk kampanye phishing yang ditargetkan.

Persistensi blok melalui langganan peristiwa WMI

Banyak ancaman "tanpa file" bergantung pada WMI untuk mencapai persistensi tanpa meninggalkan jejak yang jelas pada disk. Aturan ini memblokir pembuatan langganan peristiwa WMI berbahaya yang dapat meluncurkan kembali kode setiap kali suatu kondisi terpenuhi.

GUID Anda adalah e6db77e5-3df2-4cf1-b95a-636979351e5b dan tidak memperbolehkan pengecualian file atau folder, justru untuk mencegah penyalahgunaan.

Proses blok yang dibuat dari perintah PSExec dan WMI

PsExec dan WMI adalah alat administrasi jarak jauh yang sah, tetapi mereka juga terus-menerus digunakan untuk pergerakan lateral dan penyebaran malwareAturan ini mencegah proses yang berasal dari perintah PSExec atau WMI dieksekusi, mengurangi vektor tersebut.

GUID adalah d1e49aac-8f56-4280-b9ba-993a6d77406cIni adalah salah satu aturan di mana koordinasi dengan administrator dan tim operasi menjadi kunci untuk menghindari gangguan pada proses manajemen jarak jauh yang sah.

Blokir reboot mode aman yang dimulai oleh perintah

En mode amanBanyak solusi keamanan dinonaktifkan atau sangat dibatasi. Beberapa ransomware menyalahgunakan perintah seperti bcdedit atau bootcfg untuk melakukan boot ulang dalam mode aman dan enkripsi tanpa banyak perlawanan. Aturan ini menghilangkan kemungkinan tersebut, sehingga akses berkelanjutan ke mode aman hanya dapat dilakukan melalui lingkungan pemulihan manual.

GUID Anda adalah 33ddedf1-c6e0-47cb-833e-de6133960387 dan menghasilkan peristiwa seperti AsrSafeModeRebootBlocked o AsrSafeModeRebootWarnBypassed.

Blokir proses yang tidak ditandatangani atau tidak tepercaya dari USB

Di sini, rute masuk klasik dikontrol: Drive USB dan kartu SDDengan aturan ini, file eksekusi yang tidak ditandatangani atau tidak tepercaya yang dijalankan dari media ini akan diblokir. Hal ini berlaku untuk berkas biner seperti .exe, .dll, .scr, dan sebagainya.

GUID adalah b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 dan sangat berguna di lingkungan yang memiliki risiko penggunaan USB yang tidak terkontrol.

Blokir penggunaan alat sistem yang disalin atau dipalsukan

Banyak serangan yang mencoba untuk menyalin atau meniru Alat sistem Windows (seperti cmd.exe, powershell.exe, regsvr32.exe, dll.) untuk menyamar sebagai proses yang sah. Aturan ini memblokir eksekusi file yang dapat dieksekusi yang diidentifikasi sebagai salinan atau tiruan dari alat-alat ini.

GUID Anda adalah c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb dan menghasilkan acara seperti AsrAbusedSystemToolBlockedIni adalah pelengkap yang baik untuk teknik kontrol aplikasi lainnya.

Blokir pembuatan WebShell di server

WebShell adalah skrip yang dirancang khusus untuk untuk memberikan penyerang kendali jarak jauh atas servermemungkinkannya untuk mengeksekusi perintah, mengunggah file, mengekstrak data, dll. Aturan ini, yang ditujukan pada server dan peran seperti Exchange, memblokir pembuatan skrip berbahaya ini.

GUID adalah a8f5898e-1dc8-49a9-9878-85004b8a61e6 dan dirancang khusus untuk memperkuat server yang terekspos.

Blokir panggilan API Win32 dari makro Office

Mungkin salah satu aturan paling efektif melawan malware makroIni memblokir kode Office VBA dari mengimpor dan memanggil API Win32, yang umumnya digunakan untuk memuat shellcode ke dalam memori, memanipulasi proses, mengakses memori, dll.

GUID Anda adalah 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b dan mengandalkan AMSI. Dalam praktiknya, ia berhasil menghentikan banyak templat malware di Word dan Excel yang mengandalkan panggilan ini untuk mengeksekusi kode arbitrer.

Penggunaan perlindungan ransomware tingkat lanjut

Aturan ini menambahkan lapisan perlindungan tambahan berdasarkan heuristik pelanggan dan cloud untuk mendeteksi perilaku yang sesuai dengan ransomware. Faktor-faktor seperti reputasi, tanda tangan digital, atau prevalensi dipertimbangkan untuk menentukan apakah suatu berkas lebih mungkin merupakan ransomware daripada program yang sah.

GUID Anda adalah c1db55ab-c21a-4637-bb3f-a12568109d35Dan meskipun ia mencoba meminimalkan positif palsu, ia cenderung bersikap hati-hati agar tidak melewatkan sandi yang sebenarnya.

Metode konfigurasi: Intune, MDM, Configuration Manager, GPO, dan PowerShell

Aturan pengurangan permukaan serangan dapat dikonfigurasi dengan beberapa cara, tergantung pada bagaimana Anda mengelola armada perangkat Anda. Rekomendasi umum Microsoft adalah menggunakan platform manajemen tingkat perusahaan (Intune atau Configuration Manager), karena kebijakan mereka diutamakan daripada konfigurasi GPO atau PowerShell lokal saat sistem dimulai.

dengan Microsoft Intune Anda memiliki tiga pendekatan: kebijakan keamanan titik akhir khusus ASR, profil konfigurasi perangkat (Perlindungan Titik Akhir), dan profil kustom yang menggunakan OMA-URI untuk menentukan aturan berdasarkan GUID dan status. Dalam semua kasus, Anda dapat menambahkan pengecualian file dan folder secara langsung atau mengimpornya dari file CSV.

Di lingkungan MDM generik CSP digunakan ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules Untuk menentukan serangkaian GUID dengan status yang dipisahkan oleh garis vertikal. Misalnya, Anda dapat menggabungkan beberapa aturan dengan menetapkan 0, 1, 2, atau 6, tergantung apakah Anda ingin menonaktifkan, memblokir, mengaudit, atau memperingatkan. Pengecualian dikelola dengan CSP. ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions.

dengan Manajer Konfigurasi Microsoft Anda dapat membuat kebijakan untuk Windows Defender Exploit Guard berfokus pada "Pengurangan permukaan serangan", pilih aturan mana yang ingin Anda blokir atau audit dan terapkan ke kumpulan perangkat tertentu.

La Kebijakan grup Ini memungkinkan Anda mengonfigurasi ASR melalui templat administratif dengan membuka node Microsoft Defender Antivirus dan "Attack Surface Reduction". Di sana, Anda mengaktifkan kebijakan "Configure attack surface reduction rules" dan memasukkan GUID beserta statusnya. GPO tambahan memungkinkan Anda menentukan pengecualian berkas dan jalur.

Akhirnya, PowerShell Ini adalah cara paling langsung dan berguna untuk pengujian satu kali atau skrip otomatisasi. Cmdlet seperti Set-MpPreference y Add-MpPreference Mereka memungkinkan Anda untuk mengaktifkan, mengaudit, memperingatkan, atau menonaktifkan aturan individual, serta mengelola daftar pengecualian dengan -AttackSurfaceReductionOnlyExclusionsNamun, jika ada GPO atau Intune yang terlibat, pengaturannya diutamakan.

Pengecualian, konflik kebijakan, dan pemberitahuan

Hampir semua aturan ASR mengizinkan mengecualikan file dan folder Ini mencegah pemblokiran aplikasi sah yang, berdasarkan rancangannya, menunjukkan perilaku seperti malware. Ini adalah alat yang ampuh, tetapi harus digunakan dengan presisi tinggi: pengecualian yang terlalu luas dapat menimbulkan kerentanan serius.

Ketika kebijakan yang bertentangan diterapkan dari MDM dan Intune, konfigurasi Arahan kelompok diutamakan Jika ada. Lebih lanjut, aturan ASR mendukung perilaku penggabungan kebijakan: superset dibangun dengan konfigurasi yang tidak bertentangan, dan entri yang bertentangan dihilangkan untuk perangkat tersebut.

Setiap kali aturan dipicu dalam mode blok, pengguna melihat pemberitahuan sistem Menjelaskan bahwa suatu operasi telah diblokir karena alasan keamanan. Notifikasi ini dapat disesuaikan dengan detail perusahaan dan informasi kontak. Untuk beberapa aturan dan status, peringatan EDR dan notifikasi internal juga dibuat dan terlihat di portal Microsoft Defender.

Tidak semua aturan menghormati Pengecualian antivirus Microsoft Defender Mereka juga tidak mempertimbangkan indikator kompromi (IOC) yang dikonfigurasi di Defender for Endpoint. Misalnya, aturan pemblokiran pencurian kredensial LSASS atau aturan pemblokiran penyisipan kode Office tidak memperhitungkan IOC tertentu, justru untuk menjaga ketahanannya.

Pemantauan Peristiwa ASR: Portal, Pencarian Lanjutan, dan Penampil Peristiwa

Pemantauan adalah kunci untuk memastikan ASR bukan kotak hitam. Defender for Endpoint menyediakan laporan terperinci tentang peristiwa dan penyumbatan terkait dengan aturan ASR, yang dapat dilihat di portal Microsoft Defender XDR dan melalui pencarian lanjutan.

Pencarian lanjutan memungkinkan Anda meluncurkan pertanyaan tentang meja DeviceEventspenyaringan berdasarkan jenis tindakan yang dimulai dengan "Ashar". Misalnya, kueri dasar DeviceEvents | where ActionType startswith 'Asr' Ini menunjukkan kepada Anda kejadian terkait ASR yang dikelompokkan berdasarkan proses dan jam, karena dinormalisasi menjadi satu kejadian per jam untuk mengurangi volume.

Di lingkungan tanpa E5 atau tanpa akses ke kemampuan ini, selalu ada opsi untuk meninjau Log Windows di Penampil PeristiwaMicrosoft menyediakan tampilan kustom (seperti file cfa-events.xml) yang memfilter peristiwa relevan, dengan pengenal seperti 5007 (perubahan konfigurasi), 1121 (aturan dalam mode pemblokiran), dan 1122 (aturan dalam mode audit).

Untuk penerapan hibrid, cukup umum untuk meneruskan peristiwa ini ke SIEM atau platform pencatatan terpusat, menghubungkannya dengan indikator lain dan memicu peringatan khusus ketika aturan tertentu mulai menghasilkan terlalu banyak peristiwa di segmen jaringan tertentu.

Mengurangi permukaan serangan di luar ASR: strategi, teknologi, dan tantangan

Meskipun aturan ASR merupakan komponen yang sangat penting, mengurangi permukaan serangan sebagai strategi global jauh melampaui titik akhir. Ini melibatkan petakan semua aset dan titik masukHilangkan layanan yang tidak diperlukan, segmentasikan jaringan, terapkan kontrol akses yang ketat, perkuat sistem, pertahankan konfigurasi yang aman, dan lindungi cloud dan API.

Organisasi biasanya memulai dengan inventaris lengkap perangkat, perangkat lunak, akun, dan koneksiSelanjutnya, layanan dan aplikasi yang tidak digunakan diidentifikasi dan dihapus instalasinya, port jaringan ditutup, dan fitur yang tidak memberikan nilai tambah dinonaktifkan. Hal ini menyederhanakan lingkungan dan mengurangi jumlah "pintu" yang perlu dipantau.

Bagian dari kontrol akses Hal yang penting: penerapan prinsip hak istimewa paling rendah, kata sandi yang kuat, autentikasi multifaktor, pencabutan akses secara cepat ketika seseorang berganti peran atau meninggalkan organisasi, dan pemantauan terhadap upaya masuk yang mencurigakan.

Di cloud, permukaan serangan bertambah seiring dengan setiap layanan, API, atau integrasi baru. Kesalahan konfigurasi dalam penyimpananPeran yang terlalu luas, akun yang tidak terpakai, atau nilai default yang tidak aman merupakan masalah umum. Di sinilah audit konfigurasi rutin, enkripsi data saat tidak aktif dan saat transit, segmentasi jaringan virtual, dan tinjauan izin berkelanjutan berperan.

Untuk mendukung semua ini, teknologi seperti alat penemuan dan pemetaan aset, pemindai kerentanan, sistem kontrol akses, platform manajemen konfigurasi, dan alat keamanan jaringan (firewall, IDS/IPS, NDR, dll.). Solusi seperti SentinelOne, misalnya, menggabungkan perlindungan titik akhir, analisis perilaku, dan respons otomatis untuk semakin mengurangi permukaan serangan yang efektif.

Tantangannya banyak: ketergantungan kompleks antar sistemKehadiran aplikasi lama yang tidak mendukung langkah-langkah modern, laju perubahan teknologi yang pesat, keterbatasan sumber daya, dan konflik yang terus-menerus antara keamanan dan produktivitas, semuanya berkontribusi pada tantangan ini. Menemukan keseimbangan yang tepat membutuhkan pemahaman mendalam tentang bisnis dan memprioritaskan aset serta proses penting.

Dalam konteks ini, aturan ASR menjadi salah satu alat paling efektif untuk membatasi ruang gerak penyerang di titik akhir. Direncanakan dengan matang (dimulai dengan audit), disempurnakan dengan pengecualian yang presisi, dan dipantau secara cermat, aturan ini mencegah kesalahan pengguna, eksploitasi tunggal, atau drive USB berbahaya yang secara otomatis meningkat menjadi insiden kritis, sehingga membantu menjaga permukaan serangan yang lebih kecil, lebih mudah dikelola, dan, yang terpenting, lebih efektif. jauh lebih sulit untuk dieksploitasi.