Apakah ASR (Pengurangan Permukaan Serangan) dan bagaimana ia melindungi peranti anda?

Apabila anda mula menyelidiki keselamatan Windows dan semua yang ditawarkan oleh Microsoft Defender, istilah itu ASR (Pengurangan Permukaan Serangan) Ia muncul berkali-kali. Dan itu bukan kebetulan: kita bercakap tentang satu set peraturan dan teknik yang bertujuan untuk menghentikan serangan sebelum mereka mempunyai peluang untuk memulakan.

Dalam konteks ancaman yang semakin canggihDengan perisian tebusan, skrip yang dikelirukan, kecurian bukti kelayakan dan serangan tanpa fail, peraturan ASR telah menjadi komponen utama dalam pertahanan pencegahan. Masalahnya ialah mereka sering dilihat sebagai sesuatu yang "ajaib" dan rumit, sedangkan pada hakikatnya mereka mempunyai logik yang cukup jelas jika dijelaskan dengan tenang.

Apakah ASR (Pengurangan Permukaan Serangan) dan apakah masalah yang dapat diselesaikannya?

Pengurangan Permukaan Serangan, atau pengurangan permukaan seranganASR ialah pendekatan yang melibatkan meminimumkan semua titik di mana penyerang boleh memasuki, mengalihkan atau melaksanakan kod dalam persekitaran. Dalam kes khusus Microsoft, ASR dilaksanakan melalui peraturan yang mengawal gelagat titik akhir berisiko tinggi: pelaksanaan skrip, makro Pejabat, proses yang dilancarkan daripada pemacu USB, penyalahgunaan WMI, dsb.

Dari segi praktikal, Peraturan Microsoft Defender ASR untuk titik akhir Ini adalah dasar yang mengatakan: “perkara tertentu yang tipikal bagi malware Mereka tidak akan dibenarkan, walaupun aplikasi yang sah kadangkala melakukannya juga. Contohnya, Word boot PowerShell, yang a skrip dimuat turun daripada Internet melancarkan proses boleh laku atau satu proses cuba menyuntik kod ke dalam yang lain.

Idea asas adalah untuk mengurangkan bilangan laluan yang boleh diambil oleh serangan untuk menjejaskan sistem. Lebih sedikit laluan yang tersedia, kurang luas permukaanIni sangat sesuai dengan model Zero Trust: kami mengandaikan bahawa pada satu ketika akan berlaku pelanggaran, jadi kami mengurangkan "jejari letupan" kejadian itu sebanyak mungkin.

Adalah penting untuk membezakan di sini antara dua konsep yang sering bercampur-campur: di satu pihak, konsep mengurangkan permukaan serangan sebagai strategi umum (mengalih keluar perkhidmatan yang tidak perlu, menutup port, mengalih keluar perisian berlebihan, mengehadkan kebenaran, dsb.), dan sebaliknya, Peraturan ASR Defender Microsoftyang merupakan subset yang sangat khusus bagi strategi itu, memfokuskan pada titik akhir dan gelagat perisian.

Permukaan serangan: fizikal, digital dan manusia

Apabila kita bercakap tentang permukaan serangan organisasi, kita merujuk kepada semua titik di mana penyerang boleh terlibatPeranti, aplikasi, perkhidmatan dalam talian, akaun pengguna, API, rangkaian dalaman, awan luaran, dll. Ia bukan hanya isu teknikal; kesilapan manusia juga berlaku.

Dalam bahagian digital kita dapati laman web, pelayan, pangkalan datatitik akhir, perkhidmatan awan dan aplikasi perusahaanSetiap perkhidmatan yang salah konfigurasi, setiap port yang tidak perlu dibuka, setiap aplikasi perisian yang tidak ditambal boleh menjadi titik masuk untuk eksploitasi. Itulah sebabnya banyak syarikat bergantung pada alat EASM (Pengurusan Permukaan Serangan Luaran) yang mengautomasikan penemuan aset dan kelemahan yang terdedah.

Pada permukaan fizikal, perkara berikut akan dimainkan pelayan di premis, stesen kerja, peranti rangkaian dan terminalDi sini, risiko dikurangkan dengan kawalan akses fizikal, kamera, kad, kunci, rak tertutup dan perkakasan diperkukuh. Jika sesiapa sahaja boleh mengakses pusat data dengan pemacu USB, tidak kira betapa baiknya dasar keselamatan anda.

Kaki ketiga ialah permukaan yang berkaitan dengan kejuruteraan sosial dan faktor manusiaE-mel pancingan data, panggilan berpura-pura, tapak web lubang air atau ralat pekerja mudah yang membawa kepada memuat turun kandungan berniat jahat. Itulah sebabnya mengurangkan permukaan serangan juga melibatkan latihan dan kesedaran, bukan hanya teknologi.

ASR sebagai tonggak keselamatan pencegahan dan Zero Trust

Dalam model Zero Trust kami menganggap bahawa rangkaian sudah terjejas atau akanDan apa yang kami sasarkan adalah untuk menghalang penyerang daripada mudah meningkat atau mendapat keistimewaan. Peraturan ASR sesuai dengan sempurna di sini kerana ia meletakkan halangan terhadap vektor serangan yang paling dieksploitasi, terutamanya pada titik akhir.

Peraturan ASR menggunakan prinsip keistimewaan minimum yang digunakan untuk tingkah lakuIa bukan hanya tentang kebenaran yang dimiliki oleh akaun, tetapi tindakan yang boleh dilakukan oleh aplikasi tertentu. Contohnya, Office masih boleh mengedit dokumen tanpa masalah, tetapi ia tidak lagi boleh melancarkan proses latar belakang atau mencipta boleh laku pada cakera secara bebas.

Kawalan tingkah laku jenis ini amat berkuasa terhadapnya ancaman polimorfik dan serangan tanpa failWalaupun perisian hasad sentiasa menukar tandatangan atau cincangnya, kebanyakannya masih perlu melakukan perkara yang sama: menjalankan skrip, menyuntik kod ke dalam proses, memanipulasi LSASS, menyalahgunakan WMI, menulis pemacu yang terdedah, dsb. ASR memfokuskan dengan tepat pada corak ini.

Tambahan pula, peraturan boleh dilaksanakan dalam mod yang berbeza: menyekat, mengaudit atau memberi amaranIni membolehkan penggunaan berperingkat, bermula dengan memerhati impaknya (mod audit), kemudian memberitahu pengguna (amaran), dan akhirnya menyekatnya tanpa belas kasihan setelah pengecualian telah dilaraskan.

Prasyarat dan sistem pengendalian yang serasi

Untuk memanfaatkan sepenuhnya peraturan ASR dalam Microsoft Defender, adalah penting untuk mempunyai asas yang kukuh. Dalam amalan, anda perlu Antivirus Microsoft Defender sepatutnya menjadi antivirus utama anda.berjalan dalam mod aktif, bukan pasif, dan dengan perlindungan masa nyata dihidupkan.

Banyak peraturan, terutamanya yang lebih maju, memerlukan Perlindungan yang Diberikan oleh Awan Aktif dan ketersambungan dengan perkhidmatan awan Microsoft. Ini adalah kunci untuk ciri yang bergantung pada reputasi, kelaziman atau heuristik dalam awan, seperti peraturan "boleh laku yang tidak memenuhi kelaziman, umur atau kriteria senarai dipercayai" atau peraturan "perlindungan perisian tebusan lanjutan".

Walaupun peraturan ASR tidak memerlukan lesen secara ketat Microsoft 365 E5, ya begitulah Mempunyai E5 atau lesen yang setara amat disyorkan. Jika anda ingin mempunyai pengurusan lanjutan, pemantauan, analisis, pelaporan dan keupayaan aliran kerja disepadukan ke dalam Microsoft Defender for Endpoint dan portal Microsoft Defender XDR.

Jika anda bekerja dengan lesen seperti Windows Professional atau Microsoft 365 E3 tanpa ciri lanjutan tersebut, anda masih boleh menggunakan ASR, tetapi anda perlu bergantung lebih pada Pemapar acara, log Antivirus Microsoft Defender dan penyelesaian proprietari pemantauan dan pelaporan (pemajukan acara, SIEM, dsb.). Dalam semua kes, adalah penting untuk menyemak senarai OS disokongkerana peraturan yang berbeza mempunyai keperluan minimum untuk Windows 10/11 dan versi pelayan.

Mod peraturan ASR dan pra-penilaian

Setiap peraturan ASR boleh dikonfigurasikan dalam empat keadaan: tidak dikonfigurasikan/dilumpuhkan, sekat, audit atau amaranKeadaan ini juga diwakili dengan kod angka (masing-masing 0, 1, 2 dan 6) yang digunakan dalam GPO, MDM, Intune dan PowerShell.

Mod Blok Mengaktifkan peraturan dan secara langsung menghentikan tingkah laku yang mencurigakan. Mod audit Ia merekodkan peristiwa yang akan disekat, tetapi membenarkan tindakan diteruskan, membolehkan anda menilai kesan pada aplikasi perniagaan sebelum mengetatkan keselamatan.

Mod Amaran (Amaran) ialah semacam jalan tengah: peraturan itu berkelakuan seperti peraturan menyekat, tetapi pengguna melihat kotak dialog yang menunjukkan bahawa kandungan telah disekat dan diberi pilihan untuk buka kunci buat sementara waktu selama 24 jamSelepas tempoh itu, corak yang sama akan disekat sekali lagi melainkan pengguna membenarkannya semula.

Mod amaran hanya disokong daripada Windows 10 versi 1809 (RS5) dan lebih baruDalam versi sebelumnya, jika anda mengkonfigurasi peraturan dalam mod amaran, ia sebenarnya akan bertindak sebagai peraturan blok. Selain itu, beberapa peraturan khusus tidak menyokong mod amaran apabila dikonfigurasikan melalui Intune (walaupun ia melakukannya melalui Dasar Kumpulan).

Sebelum mencapai tahap penguncian, amat disyorkan untuk menggunakan mod audit dan bergantung pada Pengurusan Kerentanan Microsoft DefenderDi sini anda boleh melihat kesan yang dijangkakan bagi setiap peraturan (peratusan peranti yang terjejas, potensi kesan kepada pengguna, dsb.). Berdasarkan data audit, anda boleh memutuskan peraturan untuk diaktifkan dalam mod penyekatan, kumpulan perintis yang mana dan pengecualian yang anda perlukan.

Peraturan ASR mengikut jenis: peraturan perlindungan standard dan peraturan lain

Microsoft mengklasifikasikan peraturan ASR kepada dua kumpulan: di satu pihak, peraturan perlindungan standardIni adalah peraturan yang hampir selalu disyorkan untuk diaktifkan kerana ia mempunyai kesan yang sangat kecil pada kebolehgunaan, dan sebaliknya, peraturan lain yang biasanya memerlukan fasa ujian yang lebih berhati-hati.

Antara peraturan perlindungan standard, yang berikut menonjol, sebagai contoh: "Sekat penyalahgunaan pengawal yang ditandatangani terdedah yang dieksploitasi", "Sekat pencurian bukti kelayakan daripada subsistem pihak berkuasa keselamatan tempatan (lsass.exe)" o "Sekat kegigihan melalui langganan acara WMI"Ini menunjukkan secara langsung kepada teknik umum peningkatan keistimewaan, pengelakan pertahanan dan kegigihan.

Peraturan selebihnya, walaupun sangat berkuasa, lebih berkemungkinan bercanggah dengan aplikasi perusahaan yang banyak menggunakan skrip, makro, proses anak atau alat pentadbiran jauh. Ini termasuk semua yang mempengaruhi Office, Adobe Reader, PSExec, WMI jauh, skrip yang dikelirukan, pelaksanaan daripada USB, WebShells, Dll

Untuk setiap peraturan, Microsoft mendokumenkan a Nama Intune, nama yang mungkin dalam Pengurus Konfigurasi, GUID unik, kebergantungan (AMSI, Perlindungan Awan, RPC…) dan jenis peristiwa yang dijana dalam carian lanjutan (contohnya, AsrObfuscatedScriptBlocked, AsrOfficeChildProcessAuditeddll.). GUID ini ialah yang anda perlu gunakan dalam GPO, MDM dan PowerShell untuk mendayakan, melumpuhkan atau menukar mod.

Penerangan terperinci tentang peraturan ASR utama

Peraturan ASR merangkumi julat yang sangat luas vektor seranganDi bawah ialah ringkasan yang paling relevan dan apa sebenarnya yang disekat oleh setiap satu, berdasarkan rujukan rasmi dan pengalaman praktikal.

Sekat penyalahgunaan pemandu yang ditandatangani yang terdedah dan dieksploitasi

Peraturan ini menghalang permohonan dengan keistimewaan yang mencukupi daripada tulis pemacu yang ditandatangani tetapi terdedah kepada cakera bahawa penyerang kemudian boleh memuatkan untuk mendapatkan akses kepada kernel dan melumpuhkan atau memintas penyelesaian keselamatan. Ia tidak menyekat pemuatan pemacu terdedah yang sudah ada, tetapi ia memotong salah satu cara biasa untuk memperkenalkannya.

Ia dikenal pasti oleh GUID 56a863a9-875e-4185-98a7-b882c64b5ce5 dan menjana peristiwa jenis AsrVulnerableSignedDriverAudited y AsrVulnerableSignedDriverBlocked dalam carian lanjutan Microsoft Defender.

Halang Adobe Reader daripada mencipta proses kanak-kanak

Tujuan peraturan ini adalah untuk mencegah Adobe Reader berfungsi sebagai batu loncatan untuk memuat turun dan melancarkan muatan. Ia menyekat penciptaan proses sekunder daripada Pembaca, melindungi daripada eksploitasi PDF dan teknik kejuruteraan sosial yang bergantung pada pemapar ini.

GUID anda ialah 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2cdan boleh menjana peristiwa AsrAdobeReaderChildProcessAudited y AsrAdobeReaderChildProcessBlockedIa bergantung kepada Microsoft Defender Antivirus sedang beroperasi.

Halang semua aplikasi Office daripada mencipta proses anak

Peraturan ini melarang Word, Excel, PowerPoint, OneNote dan Access menghasilkan proses sekunderIni adalah cara langsung untuk menghentikan banyak serangan berasaskan makro yang dilancarkan oleh PowerShell. CMD atau alat sistem lain untuk melaksanakan kod hasad.

GUID yang berkaitan ialah d4f940ab-401b-4efc-aadc-ad5f3c50688aDalam senario dunia sebenar, beberapa aplikasi perniagaan yang sah juga menggunakan corak ini (contohnya, untuk membuka arahan segera atau gunakan perubahan pada Pejabat Pendaftaran), jadi adalah penting untuk mengujinya terlebih dahulu dalam mod audit.

Sekat kecurian kelayakan LSASS

Peraturan ini melindungi proses lsass.exe terhadap akses tanpa kebenaran daripada proses lain, mengurangkan permukaan serangan untuk alatan seperti Mimikatz, yang cuba mengekstrak cincang, kata laluan teks biasa atau tiket Kerberos.

Dia berkongsi falsafah dengan Pengawal Kredensial Microsoft DefenderJika anda sudah mendayakan Pengawal Kredensial, peraturan itu menambah sedikit, tetapi ia sangat berguna dalam persekitaran yang anda tidak boleh mendayakannya kerana ketidakserasian dengan pemandu atau perisian pihak ketiga. GUID anda ialah 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2.

Sekat kandungan boleh laku daripada klien e-mel dan mel web

Di sini kami memasukkan peraturan yang sangat selaras dengan serangan pancingan data. Apa yang dilakukannya ialah menghalang... boleh laku, skrip dan fail termampat yang dimuat turun atau dilampirkan daripada klien e-mel dan mel web lari terus. Ia digunakan terutamanya untuk Outlook, Outlook.com dan penyedia mel web yang popular, dan amat berguna dalam kombinasi dengan perlindungan e-mel lain dan dengan tetapan penyemak imbas selamat.

GUID anda ialah be9ba2d9-53ea-4cdc-84e5-9b1eeee46550 dan menjana peristiwa seperti AsrExecutableEmailContentAudited y AsrExecutableEmailContentBlockedIa amat berguna dalam kombinasi dengan perlindungan e-mel lain.

Halang laksana daripada dijalankan jika mereka tidak memenuhi kriteria kelaziman, umur atau senarai amanah.

Peraturan ini menyekat pelaksanaan binari (.exe, .dll, .scr, dll.) yang tidak cukup kerap, cukup tua atau boleh dipercayai Menurut data reputasi awan Microsoft, ia sangat berkuasa terhadap perisian hasad baharu, tetapi boleh terdedah dalam persekitaran yang mempunyai banyak perisian dalaman atau luar biasa.

GUID ialah 01443614-cd74-433a-b99e-2ecdc07bfc25 Dan ia secara eksplisit bergantung pada Perlindungan Awan. Sekali lagi, ini adalah kes yang jelas tentang peraturan bahawa sebaiknya bermula dalam mod audit dan kemudian secara beransur-ansur melaksanakan penyekatan.

Sekat pelaksanaan skrip yang mungkin dikaburkan

Kod yang dikelirukan adalah perkara biasa untuk penyerang dan, kadangkala, pembangun yang sah. Peraturan ini menganalisis ciri yang mencurigakan dalam PowerShell, VBScript, JavaScript atau skrip makro yang dikelirukan dan menyekat mereka yang mempunyai kebarangkalian tinggi untuk berniat jahat.

GUID anda ialah 5beb7efe-fd9a-4556-801d-275e5ffc04cc Ia menggunakan AMSI (Antara Muka Imbasan Antimalware) dan perlindungan awan untuk membuat keputusannya. Ini adalah salah satu peraturan paling berkesan terhadap kempen berasaskan skrip moden.

Halang JavaScript atau VBScript daripada melancarkan boleh laku yang dimuat turun

Peraturan ini memfokuskan pada corak pemuat turun biasa: a Skrip dalam JS atau VBS memuat turun fail binari dari internet dan melaksanakannya.Apa yang ASR lakukan di sini ialah menghalang langkah tepat untuk melancarkan boleh laku yang dimuat turun.

GUID anda ialah d3e037e1-3eb8-44c8-a917-57927947596dIa juga bergantung pada AMSI dan amat penting dalam senario di mana teknologi atau skrip lama masih digunakan dalam penyemak imbas atau pada desktop.

Halang aplikasi Office daripada mencipta kandungan boleh laku

Satu lagi teknik biasa ialah menggunakan Office untuk tulis komponen berniat jahat pada cakera yang berterusan selepas dimulakan semula (contohnya, boleh laku berterusan atau DLL). Peraturan ini menghalang Office daripada menyimpan atau mengakses jenis kandungan boleh laku itu untuk melancarkannya.

GUID ialah 3b576869-a4ec-4529-8536-b80a7769e899 Ia bergantung pada Microsoft Defender Antivirus dan RPC. Ia sangat berkesan untuk memutuskan rantaian jangkitan berasaskan makro yang memuat turun muatan berterusan.

Halang aplikasi Office daripada memasukkan kod ke dalam proses lain

Ini menghalang Office daripada menggunakan teknik suntikan prosesIni melibatkan suntikan kod ke dalam proses lain untuk menyamarkan aktiviti berniat jahat. Microsoft tidak mengetahui sebarang penggunaan perniagaan yang sah untuk corak ini, jadi ia adalah peraturan yang agak selamat untuk didayakan dalam kebanyakan persekitaran.

GUID anda ialah 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84Walau bagaimanapun, aplikasi khusus yang bercanggah dengan peraturan ini telah didokumenkan, jadi jika bunyi bising muncul dalam persekitaran, adalah dinasihatkan untuk menyemak keserasian.

Halang aplikasi komunikasi Office daripada mencipta proses kanak-kanak

Terutamanya bertujuan untuk Outlook dan produk komunikasi Office yang lain, peraturan ini menyekat mencipta proses sekunder daripada klien e-melmengurangkan serangan yang mengeksploitasi kelemahan dalam peraturan Outlook, borang atau e-mel berniat jahat untuk melaksanakan kod.

GUID anda ialah 26190899-1602-49e8-8b27-eb1d0a1ce869 dan membantu menutup vektor yang sangat menarik untuk kempen pancingan data yang disasarkan.

Sekat kegigihan melalui langganan acara WMI

Banyak ancaman "tanpa fail" bergantung kepada WMI untuk mencapai kegigihan tanpa meninggalkan kesan yang jelas pada cakera. Peraturan ini menyekat penciptaan langganan acara WMI berniat jahat yang boleh melancarkan semula kod apabila syarat dipenuhi.

GUID anda ialah e6db77e5-3df2-4cf1-b95a-636979351e5b dan ia tidak membenarkan pengecualian fail atau folder, tepatnya untuk mengelakkannya daripada disalahgunakan.

Sekat proses yang dibuat daripada arahan PSExec dan WMI

PsExec dan WMI ialah alat pentadbiran jauh yang sah, tetapi ia juga sentiasa digunakan untuk pergerakan sisi dan penyebaran perisian hasadPeraturan ini menghalang proses yang berasal dari arahan PSExec atau WMI dilaksanakan, mengurangkan vektor itu.

GUID ialah d1e49aac-8f56-4280-b9ba-993a6d77406cIni adalah salah satu peraturan yang mana penyelarasan dengan pentadbir dan pasukan operasi adalah kunci untuk mengelakkan gangguan proses pengurusan jauh yang sah.

Sekat but semula mod selamat yang dimulakan oleh arahan

En mod selamatBanyak penyelesaian keselamatan dilumpuhkan atau sangat terhad. Sesetengah perisian tebusan menyalahgunakan arahan seperti bcdedit atau bootcfg untuk but semula dalam mod selamat dan menyulitkan tanpa banyak rintangan. Peraturan ini menghapuskan kemungkinan itu, membenarkan akses berterusan ke mod selamat hanya melalui persekitaran pemulihan manual.

GUID anda ialah 33ddedf1-c6e0-47cb-833e-de6133960387 dan menjana peristiwa seperti AsrSafeModeRebootBlocked o AsrSafeModeRebootWarnBypassed.

Sekat proses yang tidak ditandatangani atau tidak dipercayai daripada USB

Di sini, laluan masuk klasik dikawal: yang Pemacu USB dan kad SDDengan peraturan ini, boleh laku yang tidak ditandatangani atau tidak dipercayai yang dijalankan daripada media ini disekat. Ini terpakai kepada perduaan seperti .exe, .dll, .scr, dsb.

GUID ialah b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 dan ia amat berguna dalam persekitaran yang terdapat risiko penggunaan USB yang tidak terkawal.

Sekat penggunaan alat sistem yang disalin atau dipalsukan

Banyak serangan cuba menyalin atau meniru Alat sistem Windows (seperti cmd.exe, powershell.exe, regsvr32.exe, dll.) untuk menyamar sebagai proses yang sah. Peraturan ini menyekat pelaksanaan boleh laku yang dikenal pasti sebagai salinan atau penyamar alat ini.

GUID anda ialah c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb dan menghasilkan acara seperti AsrAbusedSystemToolBlockedIa adalah pelengkap yang baik kepada teknik kawalan aplikasi yang lain.

Sekat penciptaan WebShell pada pelayan

WebShells ialah skrip yang direka khusus untuk untuk memberikan penyerang kawalan jauh ke atas pelayanmembenarkannya untuk melaksanakan arahan, memuat naik fail, mengeksfiltrasi data, dsb. Peraturan ini, bertujuan untuk pelayan dan peranan seperti Exchange, menyekat penciptaan skrip berniat jahat ini.

GUID ialah a8f5898e-1dc8-49a9-9878-85004b8a61e6 dan ia direka untuk mengeraskan pelayan terdedah secara khusus.

Sekat panggilan API Win32 daripada makro Office

Mungkin salah satu peraturan yang paling berkesan terhadapnya perisian hasad makroIa menyekat kod Office VBA daripada mengimport dan memanggil API Win32, yang biasanya digunakan untuk memuatkan kod shell ke dalam memori, memanipulasi proses, mengakses memori, dsb.

GUID anda ialah 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b dan ia bergantung kepada AMSI. Dalam praktiknya, ia memunculkan banyak templat perisian hasad dalam Word dan Excel yang bergantung pada panggilan ini untuk melaksanakan kod sewenang-wenangnya.

Penggunaan perlindungan perisian tebusan lanjutan

Peraturan ini menambah lapisan perlindungan tambahan berdasarkan heuristik pelanggan dan awan untuk mengesan tingkah laku yang konsisten dengan perisian tebusan. Ia mengambil kira faktor seperti reputasi, tandatangan digital atau kelaziman untuk memutuskan sama ada fail lebih berkemungkinan menjadi perisian tebusan daripada program yang sah.

GUID anda ialah c1db55ab-c21a-4637-bb3f-a12568109d35Dan walaupun ia cuba meminimumkan positif palsu, ia cenderung tersilap di sisi berhati-hati agar tidak terlepas sifir sebenar.

Kaedah konfigurasi: Intune, MDM, Pengurus Konfigurasi, GPO dan PowerShell

Peraturan pengurangan permukaan serangan boleh dikonfigurasikan dalam beberapa cara bergantung pada cara anda mengurus kumpulan peranti anda. Cadangan umum Microsoft adalah untuk menggunakan platform pengurusan peringkat perusahaan (Intune atau Pengurus Konfigurasi), memandangkan dasar mereka diutamakan daripada konfigurasi GPO atau PowerShell setempat apabila sistem dimulakan.

dengan Microsoft Intune Anda mempunyai tiga pendekatan: dasar keselamatan titik akhir khusus ASR, profil konfigurasi peranti (Perlindungan Titik Akhir) dan profil tersuai menggunakan OMA-URI untuk menentukan peraturan mengikut GUID dan keadaan. Dalam semua kes, anda boleh menambah pengecualian fail dan folder secara langsung atau mengimportnya daripada fail CSV.

Dalam persekitaran MDM generik CSP digunakan ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules Untuk menentukan tatasusunan GUID dengan status, dipisahkan oleh bar menegak. Contohnya, anda boleh menggabungkan beberapa peraturan dengan menetapkan 0, 1, 2 atau 6 bergantung pada sama ada anda ingin melumpuhkan, menyekat, mengaudit atau memberi amaran. Pengecualian diuruskan dengan CSP. ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions.

dengan Pengurus Konfigurasi Microsoft Anda boleh membuat dasar untuk Windows Defender Exploit Guard memfokuskan pada "Pengurangan permukaan serangan", pilih peraturan yang anda mahu sekat atau audit dan gunakannya ke koleksi peranti tertentu.

La Dasar kumpulan Ia membolehkan anda mengkonfigurasi ASR melalui templat pentadbiran dengan menavigasi ke nod Antivirus Microsoft Defender dan "Pengurangan Permukaan Serangan". Di sana, anda mendayakan dasar "Konfigurasikan peraturan pengurangan permukaan serangan" dan masukkan GUID dengan status yang sepadan. GPO tambahan membolehkan anda menentukan pengecualian fail dan laluan.

Akhirnya, PowerShell Ia merupakan cara yang paling langsung dan berguna untuk ujian sekali sahaja atau skrip automasi. Cmdlet suka Set-MpPreference y Add-MpPreference Mereka membenarkan anda mendayakan, mengaudit, memberi amaran atau melumpuhkan peraturan individu serta mengurus senarai pengecualian dengan -AttackSurfaceReductionOnlyExclusionsWalau bagaimanapun, jika terdapat GPO atau Intune yang terlibat, tetapan mereka diutamakan.

Pengecualian, konflik dasar dan pemberitahuan

Hampir semua peraturan ASR membenarkan mengecualikan fail dan folder Ini menghalang penyekatan aplikasi sah yang, mengikut reka bentuk, mempamerkan tingkah laku seperti perisian hasad. Ia adalah alat yang berkuasa, tetapi ia mesti digunakan dengan ketepatan pembedahan: pengecualian yang terlalu luas boleh meninggalkan kelemahan yang serius.

Apabila dasar bercanggah digunakan daripada MDM dan Intune, konfigurasi bagi Arahan kumpulan diutamakan Jika ia wujud. Tambahan pula, peraturan ASR menyokong gelagat penggabungan dasar: superset dibina dengan konfigurasi tidak bercanggah dan entri bercanggah ditinggalkan untuk peranti itu.

Setiap kali peraturan dicetuskan dalam mod blok, pengguna melihat a pemberitahuan sistem menjelaskan bahawa operasi telah disekat atas sebab keselamatan. Pemberitahuan ini boleh disesuaikan dengan butiran syarikat dan maklumat hubungan. Untuk beberapa peraturan dan status, makluman EDR dan pemberitahuan dalaman juga dijana dan kelihatan dalam portal Microsoft Defender.

Tidak semua peraturan menghormati Pengecualian antivirus Microsoft Defender Mereka juga tidak menganggap penunjuk kompromi (IOC) yang dikonfigurasikan dalam Defender for Endpoint. Contohnya, peraturan menyekat kecurian kelayakan LSASS atau peraturan menyekat pemasukan kod Office tidak mengambil kira IOC tertentu, tepatnya untuk mengekalkan keteguhannya.

Pemantauan Acara ASR: Portal, Carian Terperinci dan Pemapar Acara

Pemantauan adalah kunci untuk memastikan ASR bukan kotak hitam. Defender for Endpoint menyediakan laporan terperinci tentang peristiwa dan sekatan berkaitan dengan peraturan ASR, yang boleh dirujuk pada kedua-dua portal Microsoft Defender XDR dan melalui carian lanjutan.

Carian lanjutan membolehkan anda melancarkan pertanyaan tentang meja DeviceEventsmenapis mengikut jenis tindakan yang bermula dengan "Asar". Sebagai contoh, pertanyaan asas DeviceEvents | where ActionType startswith 'Asr' Ia menunjukkan kepada anda peristiwa berkaitan ASR yang dikumpulkan mengikut proses dan mengikut jam, kerana ia dinormalkan kepada satu kejadian sejam untuk mengurangkan volum.

Dalam persekitaran tanpa E5 atau tanpa akses kepada keupayaan ini, sentiasa ada pilihan untuk menyemak semula Log Windows dalam Pemapar AcaraMicrosoft menyediakan paparan tersuai (seperti fail cfa-events.xml) yang menapis peristiwa yang berkaitan, dengan pengecam seperti 5007 (perubahan konfigurasi), 1121 (peraturan dalam mod sekatan) dan 1122 (peraturan dalam mod audit).

Untuk penempatan hibrid, adalah perkara biasa untuk memajukan acara ini kepada a SIEM atau platform pembalakan berpusat, kaitkannya dengan penunjuk lain dan cetuskan makluman tersuai apabila peraturan tertentu mula menjana terlalu banyak acara dalam segmen tertentu rangkaian.

Mengurangkan permukaan serangan di luar ASR: strategi, teknologi dan cabaran

Walaupun peraturan ASR adalah komponen yang sangat penting, mengurangkan permukaan serangan sebagai strategi global melangkaui titik akhir. Ia melibatkan memetakan semua aset dan pintu masukHapuskan perkhidmatan yang tidak diperlukan, rangkaian segmen, gunakan kawalan akses yang ketat, keraskan sistem, mengekalkan konfigurasi selamat dan melindungi awan dan API.

Organisasi biasanya bermula dengan inventori lengkap peranti, perisian, akaun dan sambunganSeterusnya, perkhidmatan dan aplikasi yang tidak digunakan dikenal pasti dan dinyahpasang, port rangkaian ditutup dan ciri yang tidak menambah nilai dilumpuhkan. Ini memudahkan persekitaran dan mengurangkan bilangan "pintu" yang memerlukan pemantauan.

Bahagian dari kawalan akses Ia adalah kritikal: penerapan prinsip keistimewaan paling rendah, kata laluan yang kukuh, pengesahan berbilang faktor, pembatalan pantas akses apabila seseorang menukar peranan atau meninggalkan organisasi, dan pemantauan percubaan log masuk yang mencurigakan.

Dalam awan, permukaan serangan berkembang dengan setiap perkhidmatan, API atau penyepaduan baharu. Salah konfigurasi dalam penyimpananPeranan yang terlalu luas, akaun anak yatim atau nilai lalai yang tidak selamat adalah masalah biasa. Di sinilah audit konfigurasi biasa, penyulitan data semasa rehat dan dalam transit, pembahagian rangkaian maya dan semakan kebenaran berterusan dimainkan.

Untuk menyokong semua ini, teknologi seperti alat penemuan dan pemetaan aset, pengimbas kerentanan, sistem kawalan akses, platform pengurusan konfigurasi dan alatan keselamatan rangkaian (firewall, IDS/IPS, NDR, dsb.). Penyelesaian seperti SentinelOne, sebagai contoh, menggabungkan perlindungan titik akhir, analisis tingkah laku dan tindak balas automatik untuk mengurangkan lagi permukaan serangan yang berkesan.

Cabarannya banyak: kebergantungan kompleks antara sistemKehadiran aplikasi warisan yang tidak menyokong langkah moden, kepesatan perubahan teknologi, pengehadan sumber dan konflik berterusan antara keselamatan dan produktiviti semuanya menyumbang kepada cabaran ini. Mencari keseimbangan yang betul memerlukan pemahaman yang mendalam tentang perniagaan dan mengutamakan aset dan proses kritikal.

Memandangkan konteks ini, peraturan ASR menjadi salah satu alat yang paling berkesan untuk mengehadkan medan permainan penyerang di titik akhir. Dirancang dengan baik (bermula dengan pengauditan), diperhalusi dengan pengecualian yang tepat dan dipantau dengan teliti, ia menghalang ralat pengguna, eksploitasi tunggal atau pemacu USB berniat jahat daripada meningkat secara automatik kepada insiden kritikal, membantu mengekalkan permukaan serangan yang lebih kecil, lebih mudah diurus dan, di atas semua, lebih berkesan. lebih sukar untuk dieksploitasi.