Recurso de redução da superfície de ataque no Windows Defender

Redução da superfície de ataque é um recurso do Windows Defender Exploit Guard que evita ações usadas por malware que busca exploit para infectar computadores. O Windows Defender Exploit Guard é um novo conjunto de recursos de prevenção de invasão que a Microsoft introduziu como parte do Windows 10 v1709. Os quatro componentes do Windows Defender Exploit Guard incluem:

• Proteção de Rede
• Acesso a pasta controlada
• Proteção de exploração
• Redução da superfície de ataque

Uma das principais capacidades, conforme mencionado acima, é Redução da superfície de ataque, que protegem contra ações comuns de softwares maliciosos que se executam em dispositivos Windows 10.

Vamos entender o que é redução da Superfície de Ataque e por que é tão importante.

Recurso de redução da superfície de ataque do Windows Defender

E-mails e aplicativos de escritório são a parte mais importante da produtividade de qualquer empresa. Eles são a maneira mais fácil para os invasores cibernéticos entrarem em seus PCs e redes e instalarem malware. Os hackers podem usar macros e scripts de escritório diretamente para realizar explorações que operam inteiramente na memória e muitas vezes são indetectáveis ​​pelas verificações antivírus tradicionais.

O pior é que, para um malware obter uma entrada, basta que o usuário habilite macros em um arquivo do Office de aparência legítima ou abra um anexo de e-mail que pode comprometer a máquina.

É aqui que a Redução da Superfície de Ataque vem em socorro.

Vantagens da redução da superfície de ataque

A redução de superfície de ataque oferece um conjunto de inteligência integrada que pode bloquear os comportamentos subjacentes usados ​​por esses documentos maliciosos para execução sem prejudicar cenários produtivos. Ao bloquear comportamentos maliciosos, independentemente de qual seja a ameaça ou exploração, o Attack Surface Reduction pode proteger as empresas de ataques de dia zero nunca antes vistos e equilibrar o risco de segurança e os requisitos de produtividade.

ASR cobre três comportamentos principais:

1. Aplicativos de escritório
2. Scripts e
3. Emails

Para aplicativos do Office, a regra de redução da superfície de ataque pode:

1. Impedir que aplicativos do Office criem conteúdo executável
2. Impedir que aplicativos do Office criem processos filho
3. Impedir que aplicativos do Office injetem código em outro processo
4. Bloquear importações Win32 do código de macro no Office
5. Bloquear código de macro ofuscado

Muitas vezes, macros maliciosas de escritório podem infectar um PC ao injetar e iniciar executáveis. A redução da superfície de ataque pode proteger contra isso e também contra DDEDownloader que recentemente infectou PCs em todo o mundo. Esta exploração usa o pop-up Dynamic Data Exchange em documentos oficiais para executar um downloader do PowerShell enquanto cria um processo filho que a regra ASR bloqueia com eficiência!

Para o script, a regra de redução da superfície de ataque pode:

• Bloqueie códigos maliciosos de JavaScript, VBScript e PowerShell que foram ofuscados
• Bloquear JavaScript e VBScript de executar carga baixada da Internet

Para e-mail, o ASR pode:

• Bloquear a execução de conteúdo executável retirado do e-mail (webmail / cliente de e-mail)

Hoje em dia, tem havido um aumento subsequente no spear-phishing e até mesmo os e-mails pessoais de um funcionário são direcionados. ASR permite que os administradores empresariais apliquem políticas de arquivo em e-mail pessoal para webmail e clientes de e-mail em dispositivos da empresa para proteção contra ameaças.

Como funciona a redução da superfície de ataque

ASR funciona por meio de regras que são identificadas por seu ID de regra exclusivo. Para configurar o estado ou modo de cada regra, eles podem ser gerenciados com:

• Política de grupo
• PowerShell
• CSPs de MDM

Eles podem ser usados ​​quando apenas algumas regras devem ser ativadas ou regras devem ser ativadas no modo individual.

Para qualquer linha de aplicativos de negócios em execução em sua empresa, há a capacidade de personalizar exclusões baseadas em arquivos e pastas se seus aplicativos incluírem comportamentos incomuns que podem ser afetados pela detecção de ASR.

A Redução da Superfície de Ataque requer que o Windows Defender Antivirus seja o antivírus principal e requer que o recurso de proteção em tempo real seja habilitado. A linha de base de segurança do Windows 10 sugere que a maioria das regras no modo de bloqueio mencionadas acima devem ser ativadas para proteger seus dispositivos de quaisquer ameaças!

Para saber mais, você pode visitar docs.microsoft.com.