ميزة تقليل سطح الهجوم في Windows Defender

Attack Surface Reduction هي إحدى ميزات Windows Defender Exploit Guard التي تمنع الإجراءات التي يتم استخدامها من قبل البرامج الضارة التي تستغل البرامج لإصابة أجهزة الكمبيوتر. Windows Defender Exploit Guard عبارة عن مجموعة جديدة من قدرات منع الغزو قدمتها Microsoft كجزء من Windows 10 v1709. تتضمن المكونات الأربعة لـ Windows Defender Exploit Guard ما يلي:

• حماية الشبكة
• الوصول إلى مجلد التحكم
• استغلال الحماية
• تقليل مستوى الهجوم

إحدى الإمكانيات الرئيسية ، كما ذكر أعلاه ، هي Attack تقليل السطح ، يحمي من الإجراءات الشائعة للبرامج الضارة التي تنفذ نفسها على أجهزة Windows 10.

دعنا نفهم ما هو تقليل سطح الهجوم ولماذا هو مهم جدًا.

ميزة Windows Defender Attack Surface Reduction

تمثل تطبيقات البريد الإلكتروني والمكاتب الجزء الأكثر أهمية في إنتاجية أي مؤسسة. وهي أسهل طريقة للمهاجمين عبر الإنترنت للدخول إلى أجهزة الكمبيوتر والشبكات الخاصة بهم وتثبيت البرامج الضارة. يمكن للقراصنة استخدام وحدات الماكرو المكتبية والبرامج النصية مباشرة للقيام بمآثر تعمل بشكل كامل في الذاكرة وغالبا ما تكون غير قابلة للكشف عن طريق عمليات الفحص التقليدية لمكافحة الفيروسات.

أسوأ ما في الأمر هو أنه بالنسبة للبرامج الضارة للحصول على دخول ، فإنه يأخذ المستخدم فقط لتمكين وحدات الماكرو على ملف Office شرعي المظهر ، أو لفتح مرفق بريد إلكتروني يمكن أن يهدد الجهاز.

هذا هو المكان الذي يأتي فيه تخفيض مستوى سطح الهجوم لإنقاذ.

مزايا تقليل سطح الهجوم

عروض تخفيض سطح الهجوم Attack Surface Reduction offers مجموعة من المعلومات الاستخبارية المضمنة التي يمكن أن تمنع السلوكيات الأساسية التي تستخدمها هذه المستندات الخبيثة لتنفيذها دون عرقلة سيناريوهات إنتاجية. من خلال منع السلوكيات الضارة ، بغض النظر عن التهديد أو الاستغلال ، يمكن لحماية سطح الهجوم أن تحمي الشركات من الهجمات التي لا تُرى في يوم من الأيام ، وتوازن بين مخاطرها الأمنية ومتطلبات الإنتاجية.

يغطي ASR ثلاثة سلوكيات رئيسية :

1. تطبيقات Office
2. البرامج النصية و
3. رسائل البريد الإلكتروني

بالنسبة لتطبيقات Office ، يمكن لقاعدة تقليل سطح الهجوم:

1. حظر تطبيقات Office من إنشاء محتوى قابل للتنفيذ
2. حظر تطبيقات Office من إنشاء عملية تابعة للأطفال
3. حظر تطبيقات Office من إدخال تعليمات برمجية إلى عملية أخرى
4. استيراد Win32 من التعليمات البرمجية للماكرو في Office
5. حظر ماكرو التعليمات البرمجية الافتراضية

العديد من وحدات ماكرو المكتب الخبيثة الوقت يمكن أن تصيب جهاز الكمبيوتر عن طريق حقن وإطلاق الملفات التنفيذية. يمكن أن يقي من هجوم Surface Attack Surface على هذا وكذلك من DDEDownloader الذي قام مؤخراً بإصابة أجهزة الكمبيوتر في جميع أنحاء العالم. يستخدم هذا exploit منبثقة Dynamic Data Exchange في المستندات الرسمية لتشغيل أداة تنزيل PowerShell أثناء إنشاء عملية تابعة تحظرها قاعدة ASR بكفاءة!

بالنسبة للبرنامج النصي ، يمكن لقاعدة تقليل سطح الهجوم:

• حظر جافا سكريبت الضارة ، VBScript ، و شفرات PowerShell التي تم تشفيرها
• حظر جافا سكريبت و VBScript من تنفيذ الحمولة التي تم تنزيلها من الإنترنت

للبريد الإلكتروني ، يمكن لـ ASR:

• حظر تنفيذ المحتوى القابل للتنفيذ الذي تم إسقاطه من البريد الإلكتروني (بريد الويب / البريد - العميل)

الآن في اليوم ، كانت هناك زيادة لاحقة في التصيد الاحتيالي ، وحتى يتم توجيه رسائل البريد الإلكتروني الشخصية للموظفين. تمكّن ASR مسؤولي المؤسسات من تطبيق سياسات الملف على البريد الإلكتروني الشخصي لكل من بريد الويب وعملاء البريد على أجهزة الشركة للحماية من التهديدات.

كيف يعمل تقليل سطح الهجوم

يعمل ASR من خلال القواعد التي يتم تحديدها من خلال معرف القاعدة الفريد الخاص بهم. من أجل تكوين الحالة أو الوضع لكل قاعدة ، يمكن إدارتها باستخدام:

• Group Policy
• PowerShell
• MDM CSPs

يمكن استخدامها عند تمكين بعض القواعد فقط أو القواعد يمكن تمكينه في الوضع الفردي.

بالنسبة لأي خط من تطبيقات الأعمال التي تعمل داخل مؤسستك ، توجد إمكانية لتخصيص استبعادات تستند إلى الملفات والمجلدات إذا كانت تطبيقاتك تتضمن سلوكيات غير معتادة قد تتأثر بالكشف عن ASR.

يتطلب تقليل سطح الهجوم أن يكون Windows Defender Antivirus هو AV الرئيسي ويتطلب تمكين ميزة الحماية في الوقت الحقيقي. يقترح خط الأساس Windows 10 الأمن معظم القواعد في وضع كتلة المذكورة أعلاه يجب تمكين لتأمين الأجهزة الخاصة بك من أي تهديدات!

لمعرفة المزيد ، يمكنك زيارة docs.microsoft.com.