Ano ang ASR (Attack Surface Reduction) at paano nito pinoprotektahan ang iyong mga device?

Kapag sinimulan mong suriin ang seguridad ng Windows at lahat ng maiaalok ng Microsoft Defender, ang termino ASR (Attack Surface Reduction) Lumilitaw ito nang paulit-ulit. At hindi iyon nagkataon: pinag-uusapan natin ang tungkol sa isang hanay ng mga panuntunan at diskarte na naglalayong ihinto ang mga pag-atake bago pa man sila magkaroon ng pagkakataong magsimula.

Sa konteksto ng lalong sopistikadong pagbabantaSa pamamagitan ng ransomware, obfuscated script, pagnanakaw ng kredensyal, at walang file na pag-atake, ang mga panuntunan ng ASR ay naging mahalagang bahagi ng preventative defense. Ang problema ay ang mga ito ay madalas na nakikita bilang isang bagay na "mahiwagang" at kumplikado, kapag sa katotohanan mayroon silang isang medyo malinaw na lohika kung ipinaliwanag nang mahinahon.

Ano ang ASR (Attack Surface Reduction) at anong problema ang nalulutas nito?

Attack Surface Reduction, o pagbabawas ng attack surfaceAng ASR ay isang diskarte na nagsasangkot ng pag-minimize sa lahat ng mga punto kung saan ang isang attacker ay maaaring pumasok, ilipat, o magsagawa ng code sa loob ng isang kapaligiran. Sa partikular na kaso ng Microsoft, ipinapatupad ang ASR sa pamamagitan ng mga panuntunan na kumokontrol sa mga high-risk endpoint na gawi: pagpapatupad ng script, Office macros, mga prosesong inilunsad mula sa mga USB drive, pag-abuso sa WMI, atbp.

Sa praktikal na termino, ang Mga panuntunan ng Microsoft Defender ASR para sa endpoint Ito ang mga patakarang nagsasabing: “ certain things that are typical of the malware Hindi sila papayagan, kahit na minsan ginagawa rin ito ng mga lehitimong aplikasyon. Halimbawa, Word boot PowerShell, na a script na-download mula sa Internet ay naglulunsad ng isang executable o isang proseso ang sumusubok na mag-inject ng code sa isa pa.

Ang pinagbabatayan na ideya ay upang bawasan ang bilang ng mga landas na maaaring gawin ng isang pag-atake upang ikompromiso ang system. Mas kaunting magagamit na mga landas, mas kaunting lugar sa ibabawTamang-tama ito sa modelo ng Zero Trust: ipinapalagay namin na sa isang punto ay magkakaroon ng paglabag, kaya binabawasan namin ang "blast radius" ng insidente hangga't maaari.

Mahalagang pag-iba-ibahin dito ang dalawang konsepto na kadalasang pinaghalo-halo: sa isang banda, ang pagbabawas ng atake sa ibabaw bilang isang pangkalahatang diskarte (pag-alis ng mga hindi kinakailangang serbisyo, pagsasara ng mga port, pag-alis ng kalabisan na software, paglilimita sa mga pahintulot, atbp.), at sa kabilang banda, ang Mga Panuntunan ng Microsoft Defender ASRna isang napaka-partikular na subset ng diskarteng iyon, na nakatuon sa endpoint at mga gawi ng software.

Ang ibabaw ng pag-atake: pisikal, digital, at tao

Kapag pinag-uusapan natin ang tungkol sa pag-atake ng isang organisasyon, ang tinutukoy natin lahat ng mga punto kung saan maaaring masangkot ang isang umaatakeMga device, application, online na serbisyo, user account, API, internal network, external cloud, atbp. Hindi lang ito isang teknikal na isyu; pumapasok din ang pagkakamali ng tao.

Sa digital na seksyon nakita namin mga website, server, mga databasemga endpoint, mga serbisyo sa cloud, at mga application ng enterpriseBawat maling na-configure na serbisyo, bawat hindi kinakailangang bukas na port, bawat unpatched software application ay maaaring maging entry point para sa isang pagsasamantala. Kaya naman maraming kumpanya ang umaasa sa mga tool ng EASM (External Attack Surface Management) na nag-o-automate sa pagtuklas ng mga nakalantad na asset at mga kahinaan.

Sa pisikal na ibabaw, ang mga sumusunod ay pumapasok on-premise server, workstation, network device, at terminalDito, nababawasan ang panganib sa pamamagitan ng mga pisikal na kontrol sa pag-access, camera, card, kandado, kalakip na rack, at hardware Pinatibay. Kung sinuman ang makaka-access sa data center gamit ang USB drive, hindi mahalaga kung gaano kahusay ang iyong patakaran sa seguridad.

Ang ikatlong binti ay ang ibabaw na nauugnay sa social engineering at ang human factorMga email sa phishing, pagkukunwari ng mga tawag, watering hole na mga website, o mga simpleng error ng empleyado na humahantong sa pag-download ng malisyosong content. Iyon ang dahilan kung bakit ang pagbabawas ng atake sa ibabaw ay nagsasangkot din ng pagsasanay at kamalayan, hindi lamang ng teknolohiya.

ASR bilang isang haligi ng preventative security at Zero Trust

Sa isang modelo ng Zero Trust, ipinapalagay namin iyon ang network ay nakompromiso na o magigingAt ang nilalayon namin ay pigilan ang umaatake na madaling dumami o makakuha ng mga pribilehiyo. Ang Mga Panuntunan ng ASR ay akmang-akma dito dahil naglalagay sila ng mga hadlang laban sa pinaka-pinagsasamantalahang mga vector ng pag-atake, lalo na sa endpoint.

Inilalapat ng mga tuntunin ng ASR ang prinsipyo ng minimum na pribilehiyo na inilapat sa pag-uugaliIto ay hindi lamang tungkol sa kung anong mga pahintulot mayroon ang isang account, ngunit kung anong mga pagkilos ang maaaring gawin ng isang partikular na application. Halimbawa, maaari pa ring i-edit ng Office ang mga dokumento nang walang isyu, ngunit hindi na ito makakapaglunsad ng mga proseso sa background o malayang gumawa ng mga executable sa disk.

Ang ganitong uri ng kontrol sa pag-uugali ay lalong malakas laban sa polymorphic na banta at walang file na pag-atakeBagama't patuloy na binabago ng malware ang signature o hash nito, kailangan pa rin ng karamihan na gawin ang parehong mga bagay: magpatakbo ng mga script, mag-inject ng code sa mga proseso, manipulahin ang LSASS, abusuhin ang WMI, magsulat ng mga masusugatan na driver, atbp. Tumpak na nakatutok ang ASR sa mga pattern na ito.

Higit pa rito, ang mga patakaran ay maaaring isagawa sa iba't ibang mga mode: pagharang, pag-audit, o babalaNagbibigay-daan ito para sa isang unti-unting pag-aampon, simula sa pamamagitan ng pagmamasid sa epekto nito (audit mode), pagkatapos ay pag-abiso sa user (babala), at sa wakas ay walang awang pagharang nito kapag naayos na ang mga pagbubukod.

Mga kinakailangan at katugmang operating system

Para masulit ang mga panuntunan ng ASR sa Microsoft Defender, mahalagang magkaroon ng matibay na pundasyon. Sa pagsasanay, kailangan mo Ang Microsoft Defender Antivirus ay dapat ang iyong pangunahing antivirus.tumatakbo sa aktibo, hindi pasibo, mode, at naka-on ang real-time na proteksyon.

Maraming mga panuntunan, lalo na ang mga mas advanced, ay nangangailangan ng pagkakaroon Proteksyon sa Cloud-Delivered Aktibo at pagkakakonekta sa mga serbisyo ng Microsoft cloud. Ito ay susi para sa mga feature na umaasa sa reputasyon, prevalence, o heuristics sa cloud, gaya ng panuntunang "mga executable na hindi nakakatugon sa prevalence, edad, o mga pinagkakatiwalaang pamantayan sa listahan" o ang panuntunang "advanced ransomware protection."

Bagama't ang mga tuntunin ng ASR ay hindi mahigpit na nangangailangan ng lisensya Microsoft 365 E5, oo nga Ang pagkakaroon ng E5 o katumbas na mga lisensya ay lubos na inirerekomenda. Kung gusto mong magkaroon ng advanced na pamamahala, pagsubaybay, pagsusuri, pag-uulat, at mga kakayahan sa daloy ng trabaho na isinama sa Microsoft Defender para sa Endpoint at sa Microsoft Defender XDR portal.

Kung nagtatrabaho ka sa mga lisensya tulad ng Windows Professional o Microsoft 365 E3 nang walang mga advanced na feature na iyon, magagamit mo pa rin ang ASR, ngunit kailangan mong umasa sa Viewer ng kaganapan, mga log ng Microsoft Defender Antivirus, at mga pagmamay-ari na solusyon pagsubaybay at pag-uulat (pagpapasa ng kaganapan, SIEM, atbp.). Sa lahat ng pagkakataon, mahalagang suriin ang listahan ng OS suportadodahil may mga minimum na kinakailangan ang iba't ibang panuntunan para sa Windows 10/11 at mga bersyon ng server.

Mga mode ng panuntunan ng ASR at pre-assessment

Ang bawat panuntunan ng ASR ay maaaring i-configure sa apat na estado: hindi na-configure/na-disable, na-block, nag-audit, o nagbabalaAng mga estadong ito ay kinakatawan din ng mga numerong code (0, 1, 2 at 6 ayon sa pagkakabanggit) na ginagamit sa GPO, MDM, Intune at PowerShell.

Mode I-block Ina-activate ang panuntunan at direktang ihihinto ang kahina-hinalang gawi. Ang mode pagtutuos ng kuwenta Nagla-log ito ng mga kaganapan na sana ay naharang, ngunit hinahayaan ang pagkilos na magpatuloy, na nagbibigay-daan sa iyong masuri ang epekto sa mga aplikasyon ng negosyo bago higpitan ang seguridad.

Mode Babala (Babala) ay isang uri ng gitnang lupa: ang panuntunan ay kumikilos tulad ng isang pagharang ng panuntunan, ngunit ang user ay nakakakita ng isang dialog box na nagsasaad na ang nilalaman ay na-block at binibigyan ng opsyon na pansamantalang i-unlock sa loob ng 24 na orasPagkatapos ng panahong iyon, iba-block muli ang parehong pattern maliban kung papayagan itong muli ng user.

Ang mode ng babala ay sinusuportahan lamang mula sa Windows 10 na bersyon 1809 (RS5) at mas bagoSa mga nakaraang bersyon, kung nag-configure ka ng panuntunan sa mode ng babala, gagana talaga ito bilang panuntunan sa pag-block. Bukod pa rito, hindi sinusuportahan ng ilang partikular na panuntunan ang mode ng babala kapag na-configure sa pamamagitan ng Intune (bagaman ginagawa nila ito sa pamamagitan ng Patakaran ng Grupo).

Bago maabot ang punto ng pag-lock, mahigpit na inirerekomendang gamitin ang audit mode at umasa sa Pamamahala ng Kahinaan sa Microsoft DefenderDito makikita mo ang inaasahang epekto ng bawat panuntunan (porsiyento ng mga apektadong device, potensyal na epekto sa mga user, atbp.). Batay sa data ng pag-audit, maaari kang magpasya kung aling mga panuntunan ang ia-activate sa blocking mode, kung aling mga pilot group, at kung anong mga pagbubukod ang kailangan mo.

Mga panuntunan ng ASR ayon sa uri: karaniwang mga panuntunan sa proteksyon at iba pang mga panuntunan

Inuri ng Microsoft ang mga panuntunan sa ASR sa dalawang grupo: sa isang banda, ang karaniwang mga panuntunan sa proteksyonIto ang mga halos palaging inirerekomendang i-activate dahil napakakaunting epekto ng mga ito sa kakayahang magamit, at sa kabilang banda, ang iba pang mga panuntunan na karaniwang nangangailangan ng mas maingat na yugto ng pagsubok.

Kabilang sa mga karaniwang panuntunan sa proteksyon, ang mga sumusunod ay namumukod-tangi, halimbawa: “I-block ang pang-aabuso ng mga pinagsasamantalahang mga vulnerable signed controllers”, "Harangan ang pagnanakaw ng mga kredensyal mula sa subsystem ng lokal na awtoridad sa seguridad (lsass.exe)" o "I-block ang pagtitiyaga sa pamamagitan ng mga subscription sa kaganapan ng WMI"Direktang tumuturo ang mga ito sa mga karaniwang pamamaraan ng pagtaas ng pribilehiyo, pag-iwas sa pagtatanggol, at pagtitiyaga.

Ang mga natitirang panuntunan, bagama't napakalakas, ay mas malamang na sumasalungat sa mga application ng enterprise na gumagamit nang husto ng mga script, macro, proseso ng bata, o remote na mga tool sa pangangasiwa. Kabilang dito ang lahat ng nakakaapekto Opisina, Adobe Reader, PSExec, malayuang WMI, na-obfuscate na mga script, execution mula sa USB, WebShells, Atbp

Para sa bawat panuntunan, ang mga dokumento ng Microsoft a Pangalan ng Intune, posibleng pangalan sa Configuration Manager, natatanging GUID, mga dependency (AMSI, Cloud Protection, RPC...) at mga uri ng mga kaganapan na nabuo sa advanced na paghahanap (halimbawa, AsrObfuscatedScriptBlocked, AsrOfficeChildProcessAuditedatbp.). Ang mga GUID na ito ay ang mga kakailanganin mong gamitin sa GPO, MDM, at PowerShell para paganahin, i-disable, o baguhin ang mode.

Detalyadong paglalarawan ng mga pangunahing panuntunan ng ASR

Saklaw ng mga panuntunan ng ASR ang napakalawak na hanay ng mga vector ng pag-atakeNasa ibaba ang isang buod ng mga pinaka-nauugnay at kung ano ang eksaktong hinaharangan ng bawat isa, batay sa mga opisyal na sanggunian at praktikal na karanasan.

I-block ang pang-aabuso ng mga vulnerable, pinagsamantalahan na mga driver

Pinipigilan ng panuntunang ito ang isang aplikasyon na may sapat na mga pribilehiyo mula sa isulat ang pinirmahan ngunit mahina na mga driver sa disk na maaaring mag-load ang mga umaatake upang makakuha ng access sa kernel at i-disable o i-bypass ang mga solusyon sa seguridad. Hindi nito hinaharangan ang pag-load ng mga masusugatan na driver na naroroon na, ngunit pinuputol nito ang isa sa mga karaniwang paraan upang ipakilala ang mga ito.

Ito ay kinilala ng GUID 56a863a9-875e-4185-98a7-b882c64b5ce5 at bumubuo ng mga kaganapan ng uri AsrVulnerableSignedDriverAudited y AsrVulnerableSignedDriverBlocked sa advanced na paghahanap ng Microsoft Defender.

Pigilan ang Adobe Reader sa paggawa ng mga proseso ng bata

Ang layunin ng panuntunang ito ay upang maiwasan Ang Adobe Reader ay nagsisilbing springboard para mag-download at maglunsad ng mga payload. Hinaharangan nito ang paglikha ng mga pangalawang proseso mula sa Reader, na nagpoprotekta laban sa mga pagsasamantala sa PDF at mga diskarte sa social engineering na umaasa sa viewer na ito.

Ang iyong GUID ay 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2cat maaaring makabuo ng mga kaganapan AsrAdobeReaderChildProcessAudited y AsrAdobeReaderChildProcessBlockedDepende ito sa pagpapatakbo ng Microsoft Defender Antivirus.

Pigilan ang lahat ng application ng Office sa paggawa ng mga proseso ng bata

Ipinagbabawal ng panuntunang ito ang Word, Excel, PowerPoint, OneNote, at Access bumuo ng mga pangalawang prosesoIto ay isang direktang paraan upang ihinto ang maraming macro-based na pag-atake na inilunsad ng PowerShell. CMD o iba pang mga tool ng system upang magsagawa ng malisyosong code.

Ang nauugnay na GUID ay d4f940ab-401b-4efc-aadc-ad5f3c50688aSa totoong mga sitwasyon, ginagamit din ng ilang lehitimong aplikasyon ng negosyo ang pattern na ito (halimbawa, upang magbukas ng command prompt o maglapat ng mga pagbabago sa Registry), kaya mahalagang subukan muna ito sa audit mode.

I-block ang pagnanakaw ng kredensyal ng LSASS

Pinoprotektahan ng panuntunang ito ang proseso lsass.exe laban sa hindi awtorisadong pag-access mula sa iba pang mga proseso, na binabawasan ang pag-atake sa ibabaw para sa mga tool tulad ng Mimikatz, na nagtatangkang mag-extract ng mga hash, plaintext na password, o mga tiket sa Kerberos.

Ibinabahagi niya ang isang pilosopiya sa Microsoft Defender Credential GuardKung pinagana mo na ang Credential Guard, kaunti lang ang idaragdag ng panuntunan, ngunit ito ay lubhang kapaki-pakinabang sa mga kapaligiran kung saan hindi mo ito ma-enable dahil sa hindi pagkakatugma sa driver o software ng third-party. Ang iyong GUID ay 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2.

I-block ang executable na content mula sa mga email client at webmail

Dito kami naglalagay ng isang panuntunan na lubos na naaayon sa mga pag-atake ng phishing. Ang ginagawa nito ay maiwasan ang... mga executable, script, at mga naka-compress na file na na-download o naka-attach mula sa mga email at webmail client diretsong tumakbo. Pangunahing nalalapat ito sa Outlook, Outlook.com, at mga sikat na webmail provider, at partikular na kapaki-pakinabang kasama ng iba pang mga proteksyon sa email at sa secure na mga setting ng browser.

Ang iyong GUID ay be9ba2d9-53ea-4cdc-84e5-9b1eeee46550 at bumubuo ng mga kaganapan tulad ng AsrExecutableEmailContentAudited y AsrExecutableEmailContentBlockedIto ay lalong kapaki-pakinabang kasama ng iba pang mga proteksyon sa email.

Pigilan ang mga executable na tumakbo kung hindi nila natutugunan ang laganap, edad, o pamantayan sa listahan ng tiwala.

Hinaharangan ng panuntunang ito ang pagpapatupad ng mga binary (.exe, .dll, .scr, atbp.) na ay hindi sapat na madalas, sapat na gulang, o maaasahan Ayon sa data ng cloud reputation ng Microsoft, napakalakas nito laban sa bagong malware, ngunit maaaring masugatan sa mga kapaligirang may maraming in-house o hindi pangkaraniwang software.

Ang GUID ay 01443614-cd74-433a-b99e-2ecdc07bfc25 At tahasan itong nakadepende sa Cloud Protection. Muli, ito ay isang malinaw na kaso ng panuntunan na pinakamahusay na magsimula sa audit mode at pagkatapos ay unti-unting ipatupad ang pagharang.

I-block ang pagpapatupad ng mga potensyal na na-obfuscate na script

Ang na-obfuscate na code ay karaniwan para sa parehong mga umaatake at, kung minsan, mga lehitimong developer. Sinusuri ng panuntunang ito kahina-hinalang feature sa na-obfuscate na PowerShell, VBScript, JavaScript, o macro script at hinaharangan ang mga may mataas na posibilidad na maging malisyoso.

Ang iyong GUID ay 5beb7efe-fd9a-4556-801d-275e5ffc04cc Gumagamit ito ng AMSI (Antimalware Scan Interface) at proteksyon sa ulap upang makagawa ng desisyon. Isa ito sa pinakamabisang panuntunan laban sa mga makabagong kampanyang nakabatay sa script.

Pigilan ang JavaScript o VBScript sa paglulunsad ng mga na-download na executable

Nakatuon ang panuntunang ito sa karaniwang pattern ng downloader: a Ang isang script sa JS o VBS ay nagda-download ng binary file mula sa internet at ipinapatupad ito.Ang ginagawa ng ASR dito ay pinipigilan ang eksaktong hakbang na iyon ng paglulunsad ng na-download na executable.

Ang iyong GUID ay d3e037e1-3eb8-44c8-a917-57927947596dUmaasa din ito sa AMSI at lalong mahalaga sa mga sitwasyon kung saan ginagamit pa rin ang mga lumang teknolohiya o script sa browser o sa desktop.

Pigilan ang mga application ng Office mula sa paglikha ng executable na nilalaman

Ang isa pang karaniwang pamamaraan ay ang paggamit ng Office sa magsulat ng mga nakakahamak na bahagi sa disk na nagpapatuloy pagkatapos ng pag-restart (halimbawa, isang persistent executable o DLL). Pinipigilan ng panuntunang ito ang Office na i-save o i-access ang ganoong uri ng executable na content para ilunsad ito.

Ang GUID ay 3b576869-a4ec-4529-8536-b80a7769e899 Umaasa ito sa Microsoft Defender Antivirus at RPC. Ito ay napaka-epektibo sa pagsira sa macro-based na mga chain ng impeksyon na nagda-download ng patuloy na mga payload.

Pigilan ang mga application ng Office mula sa pagpasok ng code sa iba pang mga proseso

Pinipigilan nito ang Office mula sa paggamit ng mga diskarte ng proseso ng iniksyonKabilang dito ang pag-iniksyon ng code sa iba pang mga proseso upang itago ang malisyosong aktibidad. Walang alam ang Microsoft sa anumang lehitimong paggamit ng negosyo para sa pattern na ito, kaya medyo ligtas na panuntunan na paganahin sa karamihan ng mga kapaligiran.

Ang iyong GUID ay 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84Gayunpaman, ang mga partikular na application na sumasalungat sa panuntunang ito ay naidokumento, kaya kung ang ingay ay lumitaw sa kapaligiran, ipinapayong suriin ang pagiging tugma.

Pigilan ang mga application ng komunikasyon sa Office mula sa paglikha ng mga proseso ng bata

Pangunahing nakatuon sa Outlook at iba pang mga produkto ng komunikasyon sa Office, hinaharangan ng panuntunang ito ang paggawa ng mga pangalawang proseso mula sa email clientnagpapagaan ng mga pag-atake na nagsasamantala sa mga kahinaan sa mga panuntunan, form, o malisyosong email ng Outlook upang magsagawa ng code.

Ang iyong GUID ay 26190899-1602-49e8-8b27-eb1d0a1ce869 at tumutulong na isara ang isang napaka-kaakit-akit na vector para sa mga naka-target na kampanya sa phishing.

I-block ang pagtitiyaga sa pamamagitan ng mga subscription sa kaganapan ng WMI

Maraming banta na "walang file" ang umaasa WMI upang makamit ang pagtitiyaga nang hindi nag-iiwan ng malinaw na mga bakas sa disk. Hinaharangan ng panuntunang ito ang paggawa ng mga nakakahamak na subscription sa kaganapan ng WMI na maaaring muling ilunsad ang code sa tuwing natutugunan ang isang kundisyon.

Ang iyong GUID ay e6db77e5-3df2-4cf1-b95a-636979351e5b at hindi nito pinapayagan ang mga pagbubukod ng mga file o folder, tiyak na pigilan ang mga ito na maabuso.

I-block ang mga prosesong ginawa mula sa mga utos ng PSExec at WMI

Ang PsExec at WMI ay mga lehitimong remote na tool sa pangangasiwa, ngunit patuloy din silang ginagamit para sa lateral movement at pagpapalaganap ng malwarePinipigilan ng panuntunang ito ang mga prosesong nagmula sa comandos Ang PSExec o WMI ay pinaandar, na binabawasan ang vector na iyon.

Ang GUID ay d1e49aac-8f56-4280-b9ba-993a6d77406cIsa ito sa mga panuntunang iyon kung saan ang pakikipag-ugnayan sa mga administrator at operations team ay susi upang maiwasan ang pagkagambala sa mga lehitimong proseso ng remote na pamamahala.

I-block ang mga pag-reboot ng safe mode na pinasimulan ng mga utos

En ligtas na modeMaraming solusyon sa seguridad ang hindi pinagana o lubhang limitado. Ang ilang ransomware ay umaabuso sa mga utos tulad ng bcdedit o bootcfg upang i-reboot sa safe mode at i-encrypt nang walang labis na pagtutol. Inaalis ng panuntunang ito ang posibilidad na iyon, na nagbibigay-daan sa patuloy na pag-access sa safe mode sa pamamagitan lamang ng manual recovery environment.

Ang iyong GUID ay 33ddedf1-c6e0-47cb-833e-de6133960387 at bumubuo ng mga kaganapan tulad ng AsrSafeModeRebootBlocked o AsrSafeModeRebootWarnBypassed.

I-block ang hindi nilagdaan o hindi pinagkakatiwalaang mga proseso mula sa USB

Dito, ang isang klasikong ruta ng pagpasok ay kinokontrol: ang Mga USB drive at SD cardSa panuntunang ito, na-block ang mga hindi napirmahan o hindi pinagkakatiwalaang mga executable mula sa media na ito. Nalalapat ito sa mga binary gaya ng .exe, .dll, .scr, atbp.

Ang GUID ay b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 at ito ay lalong kapaki-pakinabang sa mga kapaligiran kung saan may panganib ng hindi nakokontrol na paggamit ng USB.

I-block ang paggamit ng mga kinopya o na-spoof na tool ng system

Maraming pag-atake ang nagtatangkang kopyahin o gayahin Mga tool sa system ng Windows (gaya ng cmd.exe, powershell.exe, regsvr32.exe, atbp.) para magpanggap bilang mga lehitimong proseso. Hinaharangan ng panuntunang ito ang pagpapatupad ng mga executable na tinukoy bilang mga kopya o impostor ng mga tool na ito.

Ang iyong GUID ay c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb at gumagawa ng mga pangyayari tulad ng AsrAbusedSystemToolBlockedIto ay isang mahusay na pandagdag sa iba pang mga diskarte sa pagkontrol ng aplikasyon.

I-block ang paggawa ng WebShell sa mga server

Ang WebShells ay mga script na partikular na idinisenyo para sa para bigyan ng remote control ang attacker sa isang serverpinapayagan itong magsagawa ng mga utos, mag-upload ng mga file, mag-exfiltrate ng data, atbp. Ang panuntunang ito, na naglalayong sa mga server at tungkulin tulad ng Exchange, ay humaharang sa paglikha ng mga nakakahamak na script na ito.

Ang GUID ay a8f5898e-1dc8-49a9-9878-85004b8a61e6 at ito ay idinisenyo upang partikular na patigasin ang mga nakalantad na server.

I-block ang mga tawag sa Win32 API mula sa mga Office macro

Marahil isa sa mga pinaka-epektibong panuntunan laban sa macro malwareHinaharangan nito ang Office VBA code mula sa pag-import at pagtawag sa mga Win32 API, na karaniwang ginagamit upang i-load ang shellcode sa memorya, manipulahin ang mga proseso, i-access ang memorya, atbp.

Ang iyong GUID ay 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b at umaasa ito sa AMSI. Sa pagsasagawa, namumungay ito sa maraming mga template ng malware sa Word at Excel na umaasa sa mga tawag na ito upang magsagawa ng arbitrary code.

Paggamit ng advanced na proteksyon ng ransomware

Ang panuntunang ito ay nagdaragdag ng karagdagang layer ng proteksyon batay sa customer at cloud heuristics upang makita ang pag-uugali na naaayon sa ransomware. Isinasaalang-alang ang mga salik gaya ng reputasyon, digital signature, o prevalence upang magpasya kung ang isang file ay mas malamang na maging ransomware kaysa sa isang lehitimong programa.

Ang iyong GUID ay c1db55ab-c21a-4637-bb3f-a12568109d35At kahit na sinusubukan nitong bawasan ang mga maling positibo, malamang na magkamali ito sa panig ng pag-iingat upang hindi makaligtaan ang isang tunay na cipher.

Mga paraan ng configuration: Intune, MDM, Configuration Manager, GPO, at PowerShell

Maaaring i-configure ang mga panuntunan sa pagbabawas sa ibabaw ng pag-atake sa maraming paraan depende sa kung paano mo pinamamahalaan ang iyong fleet ng device. Ang pangkalahatang rekomendasyon ng Microsoft ay ang paggamit mga platform ng pamamahala sa antas ng enterprise (Intune o Configuration Manager), dahil inuuna ang kanilang mga patakaran kaysa sa GPO o lokal na mga configuration ng PowerShell kapag nagsimula ang system.

may Microsoft Intune Mayroon kang tatlong diskarte: ang patakaran sa seguridad ng endpoint na partikular sa ASR, mga profile ng configuration ng device (Endpoint Protection), at mga custom na profile gamit ang OMA-URI upang tukuyin ang mga panuntunan ayon sa GUID at estado. Sa lahat ng sitwasyon, maaari kang direktang magdagdag ng mga pagbubukod ng file at folder o i-import ang mga ito mula sa isang CSV file.

Sa mga kapaligiran mga generic na MDM Ginagamit ang CSP ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules Upang tukuyin ang isang hanay ng mga GUID na may mga katayuan, na pinaghihiwalay ng mga patayong bar. Halimbawa, maaari mong pagsamahin ang ilang panuntunan sa pamamagitan ng pagtatalaga ng 0, 1, 2, o 6 depende sa kung gusto mong i-disable, i-block, i-audit, o balaan. Ang mga pagbubukod ay pinamamahalaan sa CSP. ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions.

may Microsoft Configuration Manager Maaari kang lumikha ng mga patakaran para sa Windows defender Nakatuon ang Exploit Guard sa "Attack surface reduction", piliin kung aling mga panuntunan ang gusto mong i-block o i-audit at i-deploy ang mga ito sa mga partikular na koleksyon ng mga device.

La Patakaran sa pangkat Pinapayagan ka nitong i-configure ang ASR sa pamamagitan ng mga administratibong template sa pamamagitan ng pag-navigate sa Microsoft Defender Antivirus at "Attack Surface Reduction" na mga node. Doon, pinagana mo ang patakarang "I-configure ang mga panuntunan sa pagbabawas sa ibabaw ng pag-atake" at ipasok ang mga GUID na may kaukulang katayuan ng mga ito. Nagbibigay-daan sa iyo ang karagdagang GPO na tukuyin ang mga pagbubukod ng file at path.

Sa wakas, PowerShell Ito ang pinakadirekta at kapaki-pakinabang na paraan para sa mga one-off na pagsubok o mga script ng automation. Gusto ng Cmdlet Set-MpPreference y Add-MpPreference Nagbibigay-daan sa iyo ang mga ito na i-enable, i-audit, bigyan ng babala, o i-disable ang mga indibidwal na panuntunan, gayundin ang pamamahala sa listahan ng pagbubukod gamit ang -AttackSurfaceReductionOnlyExclusionsGayunpaman, kung mayroong GPO o Intune na kasangkot, ang kanilang mga setting ay mauuna.

Mga pagbubukod, salungatan sa patakaran, at mga notification

Halos lahat ng panuntunan ng ASR ay pinapayagan ibukod ang mga file at folder Pinipigilan nito ang pagharang ng mga lehitimong application na, sa disenyo, ay nagpapakita ng mala-malware na gawi. Ito ay isang mahusay na tool, ngunit dapat itong gamitin nang may katumpakan sa operasyon: ang sobrang malawak na mga pagbubukod ay maaaring mag-iwan ng malubhang kahinaan.

Kapag inilapat ang mga sumasalungat na patakaran mula sa MDM at Intune, ang configuration ng Ang direktiba ng grupo ay inuuna Kung ito ay umiiral. Higit pa rito, sinusuportahan ng mga panuntunan ng ASR ang isang patakaran sa pagsasama-sama ng gawi: ang isang superset ay binuo gamit ang hindi sumasalungat na configuration, at ang mga sumasalungat na entry ay tinanggal para sa device na iyon.

Sa tuwing ma-trigger ang isang panuntunan sa block mode, makikita ng user ang a abiso ng system na nagpapaliwanag na ang isang operasyon ay naharang para sa mga kadahilanang pangseguridad. Maaaring i-customize ang mga notification na ito gamit ang mga detalye ng kumpanya at impormasyon sa pakikipag-ugnayan. Para sa ilang mga panuntunan at katayuan, ang mga alerto sa EDR at panloob na mga abiso ay nabuo at nakikita din sa portal ng Microsoft Defender.

Hindi lahat ng tuntunin ay gumagalang sa Mga pagbubukod ng antivirus ng Microsoft Defender Hindi rin nila isinasaalang-alang ang mga indicators of compromise (IOCs) na na-configure sa Defender for Endpoint. Halimbawa, ang LSASS credential theft blocking rule o ang Office code insertion blocking rule ay hindi isinasaalang-alang ang ilang partikular na IOC, para mapanatili ang kanilang tibay.

ASR Event Monitoring: Portal, Advanced Search, at Event Viewer

Ang pagsubaybay ay susi sa pagtiyak na ang ASR ay hindi isang itim na kahon. Nagbibigay ang Defender para sa Endpoint detalyadong ulat ng mga kaganapan at pagbara nauugnay sa mga panuntunan ng ASR, na maaaring konsultahin pareho sa Microsoft Defender XDR portal at sa pamamagitan ng advanced na paghahanap.

Ang advanced na paghahanap ay nagpapahintulot sa iyo na ilunsad mga tanong tungkol sa mesa DeviceEventspag-filter ayon sa mga uri ng pagkilos na nagsisimula sa "Asr". Halimbawa, ang pangunahing query DeviceEvents | where ActionType startswith 'Asr' Ipinapakita nito sa iyo ang mga kaganapang nauugnay sa ASR na nakagrupo ayon sa proseso at ayon sa oras, dahil naka-normalize ito sa isang pagkakataon bawat oras upang bawasan ang volume.

Sa mga kapaligirang walang E5 o walang access sa mga kakayahan na ito, palaging may opsyon na suriin ang Nag-log in ang Windows sa Event ViewerNagbibigay ang Microsoft ng mga custom na view (tulad ng cfa-events.xml file) na nagpi-filter ng mga nauugnay na kaganapan, na may mga identifier gaya ng 5007 (mga pagbabago sa configuration), 1121 (panuntunan sa blocking mode) at 1122 (panuntunan sa audit mode).

Para sa mga hybrid na deployment, karaniwan nang ipasa ang mga kaganapang ito sa a SIEM o sentralisadong logging platform, iugnay ang mga ito sa iba pang mga indicator at mag-trigger ng mga custom na alerto kapag ang ilang mga panuntunan ay nagsimulang bumuo ng masyadong maraming mga kaganapan sa isang partikular na segment ng network.

Pagbabawas ng pag-atake sa labas ng ASR: mga diskarte, teknolohiya at hamon

Bagama't ang mga panuntunan ng ASR ay isang napakahalagang bahagi, ang pagbabawas sa ibabaw ng pag-atake bilang isang pandaigdigang diskarte ay higit pa sa endpoint. Kasama nito imapa ang lahat ng asset at entry pointTanggalin ang mga hindi kinakailangang serbisyo, i-segment ang mga network, ilapat ang mahigpit na mga kontrol sa pag-access, patigasin ang mga system, panatilihin ang mga secure na configuration, at protektahan ang cloud at mga API.

Karaniwang nagsisimula ang mga organisasyon sa kumpletong imbentaryo ng mga device, software, mga account at koneksyonSusunod, ang mga hindi nagamit na serbisyo at application ay tinutukoy at na-uninstall, ang mga network port ay sarado, at ang mga feature na hindi nagdaragdag ng halaga ay hindi pinagana. Pinapasimple nito ang kapaligiran at binabawasan ang bilang ng mga "pinto" na nangangailangan ng pagsubaybay.

Ang bahagi ng pag-access control Ito ay kritikal: aplikasyon ng prinsipyo ng hindi bababa sa pribilehiyo, malakas na password, multi-factor na pagpapatotoo, mabilis na pagbawi ng access kapag may nagbago ng mga tungkulin o umalis sa organisasyon, at pagsubaybay sa mga kahina-hinalang pagsubok sa pag-login.

Sa cloud, lumalaki ang pag-atake sa bawat bagong serbisyo, API, o pagsasama. Mga maling pagsasaayos sa imbakanAng mga sobrang malawak na tungkulin, mga naulilang account, o hindi secure na mga default na halaga ay mga karaniwang problema. Dito pumapasok ang mga regular na pag-audit ng configuration, pag-encrypt ng data sa pahinga at sa transit, pagse-segment ng virtual network, at patuloy na mga pagsusuri sa pahintulot.

Upang suportahan ang lahat ng ito, ang mga teknolohiya tulad ng mga tool sa pagtuklas at pagmamapa ng asset, mga vulnerability scanner, mga access control system, mga platform sa pamamahala ng configuration, at mga tool sa seguridad ng network (mga firewall, IDS/IPS, NDR, atbp.). Ang mga solusyon tulad ng SentinelOne, halimbawa, ay pinagsasama ang proteksyon ng endpoint, pagsusuri sa pag-uugali, at awtomatikong pagtugon upang higit pang mabawasan ang epektibong pag-atake.

Ang mga hamon ay marami: kumplikadong mga dependency sa pagitan ng mga systemAng pagkakaroon ng mga legacy na application na hindi sumusuporta sa mga modernong hakbang, ang mabilis na bilis ng teknolohikal na pagbabago, mga limitasyon sa mapagkukunan, at ang pangmatagalang salungatan sa pagitan ng seguridad at pagiging produktibo ay lahat ay nakakatulong sa hamon na ito. Ang paghahanap ng tamang balanse ay nangangailangan ng malalim na pag-unawa sa negosyo at pagbibigay-priyoridad sa mga kritikal na asset at proseso.

Dahil sa kontekstong ito, ang mga panuntunan ng ASR ay naging isa sa mga pinakaepektibong tool para sa paglilimita sa larangan ng paglalaro ng umaatake sa endpoint. Mahusay na binalak (nagsisimula sa pag-audit), naayos sa mga tumpak na pagbubukod, at maingat na sinusubaybayan, pinipigilan nila ang isang error ng user, isang pagsasamantala, o isang nakakahamak na USB drive na awtomatikong umakyat sa isang kritikal na insidente, na tumutulong na mapanatili ang isang mas maliit, mas madaling pamahalaan, at, higit sa lahat, mas epektibong pag-atake. mas mahirap pagsamantalahan.