Windows Defender

Funktion zur Reduzierung der Angriffsfläche in Windows Defender

Funktion zur Reduzierung der Angriffsfläche in Windows Defender

Reduzierung der Angriffsfläche ist eine Funktion von Windows Defender Exploit Guard, die Aktionen verhindert, die von Exploit-suchender Malware verwendet werden, um Computer zu infizieren. Windows Defender Exploit Guard ist ein neuer Satz von Invasionspräventionsfunktionen, die Microsoft als Teil von Windows 10 v1709 eingeführt hat. Die vier Komponenten von Windows Defender Exploit Guard umfassen:

Eine der wichtigsten Fähigkeiten ist, wie oben erwähnt, Reduzierung der Angriffsfläche, die vor allgemeinen Aktionen bösartiger Software schützen, die sich selbst auf Windows 10-Geräten ausführen.

Lassen Sie verstehen, was Angriffsflächenreduzierung ist und warum sie so wichtig ist.

Windows Defender-Funktion zur Reduzierung der Angriffsfläche

E-Mails und Office-Anwendungen sind der wichtigste Teil der Produktivität jedes Unternehmens. Sie sind der einfachste Weg für Cyber-Angreifer, sich Zugang zu ihren PCs und Netzwerken zu verschaffen und Malware zu installieren. Hacker können Office-Makros und -Skripte direkt verwenden, um Exploits direkt auszuführen, die vollständig im Speicher ablaufen und von herkömmlichen Antivirus-Scans oft nicht erkannt werden können.

Das Schlimmste ist, dass der Benutzer nur Makros für eine legitim aussehende Office-Datei aktiviert oder einen E-Mail-Anhang öffnet, der den Computer gefährden kann, damit eine Malware einen Eintrag erhält.

Hier kommt Attack Surface Reduction zur Rettung.

Vorteile der Angriffsflächenreduzierung

Attack Surface Reduction bietet eine Reihe integrierter Intelligenz, die die zugrunde liegenden Verhaltensweisen blockieren kann, die von diesen bösartigen Dokumenten zur Ausführung verwendet werden, ohne produktive Szenarien zu behindern. Durch das Blockieren von bösartigem Verhalten, unabhängig von der Bedrohung oder dem Exploit, kann Attack Surface Reduction Unternehmen vor noch nie dagewesenen Zero-Day-Angriffen schützen und ihre Sicherheitsrisiken und Produktivitätsanforderungen ausgleichen.

ASR umfasst drei Hauptverhaltensweisen:

  1. Office-Apps
  2. Skripte und
  3. E-Mails

Für Office-Apps kann die Regel zur Reduzierung der Angriffsfläche:

  1. Verhindern Sie, dass Office-Apps ausführbare Inhalte erstellen
  2. Office-Apps daran hindern, untergeordnete Prozesse zu erstellen
  3. Office-Apps daran hindern, Code in einen anderen Prozess einzuschleusen
  4. Blockieren Sie Win32-Importe aus Makrocode in Office
  5. Verschleierten Makrocode blockieren macro

Oftmals können bösartige Office-Makros einen PC infizieren, indem sie ausführbare Dateien injizieren und starten and. Attack Surface Reduction kann davor und auch vor DDEDownloader schützen, der in letzter Zeit PCs auf der ganzen Welt infiziert hat. Dieser Exploit verwendet das Dynamic Data Exchange-Popup in offiziellen Dokumenten, um einen PowerShell-Downloader auszuführen, während ein untergeordneter Prozess erstellt wird, den die ASR-Regel effizient blockiert!

Für das Skript kann die Regel zur Reduzierung der Angriffsfläche:

Für E-Mails kann ASR:

Heutzutage gibt es einen weiteren Anstieg von Spear-Phishing und sogar die persönlichen E-Mails eines Mitarbeiters werden gezielt. ASR ermöglicht Unternehmensadministratoren die Anwendung von Dateirichtlinien auf persönliche E-Mails sowohl für Webmail- als auch für E-Mail-Clients auf Unternehmensgeräten zum Schutz vor Bedrohungen.

So funktioniert die Angriffsflächenreduzierung

ASR arbeitet mit Regeln, die durch ihre eindeutige Regel-ID identifiziert werden. Um den Status oder Modus für jede Regel zu konfigurieren, können sie verwaltet werden mit:

Sie können verwendet werden, wenn nur einige Regeln aktiviert werden sollen oder Regeln im Einzelmodus aktiviert werden sollen.

Für alle in Ihrem Unternehmen ausgeführten Geschäftsanwendungen besteht die Möglichkeit, datei- und ordnerbasierte Ausschlüsse anzupassen, wenn Ihre Anwendungen ungewöhnliche Verhaltensweisen aufweisen, die von der ASR-Erkennung beeinflusst werden können.

Die Reduzierung der Angriffsfläche erfordert, dass Windows Defender Antivirus das wichtigste AV ist und die Echtzeitschutzfunktion aktiviert ist. Die Windows 10-Sicherheitsbaseline schlägt vor, dass die meisten der oben genannten Regeln im Blockmodus aktiviert werden sollten, um Ihre Geräte vor Bedrohungen zu schützen!

Um mehr zu erfahren, besuchen Sie bitte docs.Microsoft.com.

Mittlere Maustaste funktioniert nicht unter Windows 10
Das mittlere Maustaste hilft Ihnen beim Scrollen durch lange Webseiten und Bildschirme mit vielen Daten. Wenn das aufhört, werden Sie am Ende die Tast...
So ändern Sie die linke und rechte Maustaste auf einem Windows 10-PC
Es ist ganz normal, dass alle Computer-Maus-Geräte ergonomisch für Rechtshänder gestaltet sind. Es gibt aber auch Mausgeräte, die speziell für Linkshä...
Emulieren Sie Mausklicks, indem Sie den Mauszeiger mit der klicklosen Maus in Windows 10 bewegen
Die Verwendung einer Maus oder Tastatur in der falschen Haltung bei übermäßiger Nutzung kann zu vielen gesundheitlichen Problemen führen, einschließli...