Windows

공격 표면 감소 기능

차례:

Anonim

공격 표면 감소 는 Windows Defender Exploit Guard의 기능으로 악성 코드 발견 맬웨어가 컴퓨터를 감염시키는 데 사용되는 작업을 방지합니다. Windows Defender Exploit Guard는 Microsoft가 Windows 10 v1709의 일부로 도입 한 새로운 침입 방지 기능 세트입니다. Windows Defender Exploit Guard의 네 가지 구성 요소는 다음과 같습니다.

  • 네트워크 보호
  • 제어 된 폴더 액세스
  • 공격 방어
  • 공격 표면 감소

위에서 언급 한 주요 기능 중 하나는 공격입니다. Windows Defender 공격 표면 감소 기능

Windows 9 장치에서 실행되는 악의적 인 소프트웨어의 일반적인 동작을 막는

> 전자 메일 및 사무용 응용 프로그램은 모든 기업의 생산성에서 가장 중요한 부분입니다. 이는 사이버 공격자가 자신의 PC와 네트워크에 진입하여 악성 코드를 설치하는 가장 쉬운 방법입니다. 해커는 사무실 매크로와 스크립트를 직접 사용하여 메모리에서 전체적으로 작동하는 공격을 직접 수행 할 수 있으며 기존의 바이러스 백신 스캔으로는 탐지 할 수없는 경우가 많습니다.

최악의 경우 악성 프로그램이 항목을 얻으려면 사용자가 합법적 인 모양의 Office 파일에 매크로를 설치하거나 컴퓨터를 손상시킬 수있는 전자 메일 첨부 파일을 열 수 있습니다.

공격 표면 감소가 구제 대상입니다.

공격 표면 감소의 장점

공격 표면 감소 제안 이 악성 문서가 사용하는 기본 동작을 차단하여 생산성이 저하되는 상황을 막을 수있는 기본 제공 인텔리전스 집합입니다. 위협 또는 악용과 무관하게 악의적 인 행동을 차단함으로써 공격 표면 감소는 이전에는 볼 수 없었던 제로 데이 공격으로부터 기업을 보호하고 보안 위험 및 생산성 요구 사항 간의 균형을 맞출 수 있습니다.

ASR은 세 가지 주요 동작을 포함합니다.

: Office 응용 프로그램

  1. 스크립트 및
  2. 전자 메일
  3. Office 응용 프로그램의 경우 공격 표면 축소 규칙은 다음을 수행 할 수 있습니다.

Office 응용 프로그램에서 실행 가능 콘텐츠 만들기 차단

  1. Office 프로그램이 다른 프로세스에 코드를 주입하지 못하도록 차단합니다.
  2. Office의 매크로 코드에서 Win32 가져 오기 차단
  3. 불투명 매크로 코드 차단
  4. 많은 경우 악의적 인 Office 매크로가 실행 파일을 주입하고 실행하여 PC를 감염시킬 수 있습니다. Attack Surface Reduction은 최근에 PC에 감염된 DDEDownloader와이를 방지합니다. 이 악용은 공식 문서에서 Dynamic Data Exchange 팝업을 사용하여 ASS 규칙이 효율적으로 차단하는 하위 프로세스를 생성하면서 PowerShell 다운로더를 실행합니다!
  5. 스크립트의 경우 공격 표면 감소 규칙은 다음을 수행 할 수 있습니다.

악의적 인 JavaScript, VBScript 및

JavaScript 및 VBScript가 인터넷에서 다운로드 한 페이로드를 실행하지 못하도록 차단합니다.

  • 전자 메일의 경우 ASR에서 다음을 수행 할 수 있습니다.
  • 전자 메일 (webmail / mail-client)에서 삭제 된 실행 가능 콘텐츠 실행 차단

하루 만에 스피어 피싱이 계속 증가했으며 직원 개인 이메일도 대상으로 삼았습니다. ASR을 사용하면 기업 관리자가 위협으로부터 보호하기 위해 회사 장치의 웹 메일 및 메일 클라이언트 모두에 대해 개인 이메일에 파일 정책을 적용 할 수 있습니다.

  • 공격 표면 감소 작동 방법

ASR은 고유 규칙 ID로 식별되는 규칙을 통해 작동합니다. 각 규칙에 대한 상태 또는 모드를 구성하려면 다음을 사용하여 관리 할 수 ​​있습니다.

그룹 정책

PowerShell

  • MDM CSP
  • 일부 규칙 만 사용하거나 규칙을 사용할 때 사용할 수 있습니다. 개별 모드에서 활성화 할 수 있습니다.
  • 기업 내에서 실행되는 모든 비즈니스 응용 프로그램에는 ASR 검색의 영향을받을 수있는 비정상적인 동작이 포함 된 파일 및 폴더 기반 제외를 사용자 지정할 수있는 기능이 있습니다.

공격 표면 감소를 사용하려면 Windows Defender Antivirus가 기본 AV가되어야하며 실시간 보호 기능을 사용하도록 설정해야합니다. Windows 10 Security Baseline은 위에 언급 된 블록 모드의 대부분의 규칙을 통해 위협으로부터 장치를 보호 할 수 있어야한다고 제안합니다!

자세한 내용을 보려면 docs.microsoft.com을 방문하십시오.