Windows Defender中的攻击面缩小功能

攻击面缩小 是Windows Defender Exploit Guard的一项功能，可防止利用漏洞攻击恶意软件用于感染计算机的操作。 Windows Defender Exploit Guard是Microsoft作为Windows 10 v1709的一部分推出的一组新入侵防御功能。 Windows Defender漏洞防护的四个组件包括：

• 网络保护
• 受控文件夹访问
• 漏洞保护
• 攻击面减少

如上所述，其中一项主要功能是 攻击 防止恶意软件在Windows 10设备上执行自己的常见操作

让我们了解什么是攻击面缩小以及为什么它非常重要

Windows Defender攻击面缩小功能

电子邮件和办公应用程序是任何企业生产力中最关键的部分。他们是网络攻击者进入其PC和网络并安装恶意软件的最简单方式。黑客可以直接使用办公室宏和脚本直接执行完全在内存中运行的漏洞攻击，而且通常无法被传统的防病毒扫描检测到。

最糟糕的是，对于恶意软件来说，只需要用户启用看到合法外观的Office文件中的宏，或者打开可能危及机器的电子邮件附件

这就是攻击面缩小带来的救援。

攻击面缩小的优势

攻击面缩小优惠一组内置的智能，可以阻止这些恶意文档使用的底层行为执行，而不会妨碍生产环境。通过阻止恶意行为，独立于威胁或攻击行为，攻击面缩减可以保护企业免受前所未有的零日攻击，并平衡其安全风险和生产力要求。

ASR涵盖三种主要行为：

1. Office应用程序
2. 脚本和
3. 电子邮件

对于Office应用程序，攻击面缩小规则可以：

1. 阻止Office应用程序创建可执行内容
2. 阻止Office应用程序创建子进程
3. Block Office应用程序将代码注入到另一个进程中
4. Block Win32从Office中的宏代码导入
5. Block obfuscated宏代码

许多恶意Office宏通过注入和启动可执行文件感染PC。攻击面缩小可以防止这种情况发生，也可以防止最近在世界各地感染PC的DDEDownloader。此漏洞利用官方文档中的动态数据交换弹出窗口来运行PowerShell下载程序，同时创建ASR规则有效阻止的子进程！

对于该脚本，攻击面缩减规则可以：

• 阻止恶意JavaScript，VBScript和PowerShell代码已被模糊处理
• 阻止执行从互联网下载的有效内容的JavaScript和VBScript

对于电子邮件，ASR可以：

• 阻止执行从电子邮件中删除的可执行内容（网络邮件/邮件客户端）

现在一天，鱼叉式网络钓鱼随后出现增长，甚至有员工个人电子邮件也成为攻击目标。通过ASR，企业管理员可以在公司设备上的个人电子邮件上应用文件策略，以防止公司设备上的网络邮件和邮件客户端受到威胁。

攻击面减少如何工作

ASR通过由其唯一规则ID标识的规则工作。为了配置每个规则的状态或模式，可以使用以下命令来管理它们：

• 组策略
• PowerShell
• MDM CSP

只有在启用某些规​​则或规则时才可以使用它们要在个人模式下启用

对于企业内部运行的任何业务应用程序，如果您的应用程序包含可能受ASR检测影响的异常行为，则可以自定义基于文件和文件夹的排除项

攻击面缩小要求Windows Defender Antivirus成为主要的AV，并且需要启用实时保护功能。 Windows 10安全基线建议应该启用上述阻止模式中的大部分规则，以确保您的设备免受任何威胁！

要了解更多信息，请访问docs.microsoft.com。