Réduction de la surface d’attaque est une fonctionnalité de Windows Defender Exploit Guard qui empêche les actions utilisées par les logiciels malveillants à la recherche d’exploits pour infecter les ordinateurs. Windows Defender Exploit Guard est un nouvel ensemble de fonctionnalités de prévention des invasions que Microsoft a introduit dans le cadre de Windows 10 v1709 et est également disponible dans les versions ultérieures de Windows 10 et Windows 11. Les quatre composants de Windows Defender Exploit Guard incluent :

L’une des principales capacités, comme mentionné ci-dessus, est Réduction de la surface d’attaque, qui protègent contre les actions courantes des logiciels malveillants qui s’exécutent sur les appareils Windows 11/10.

Comprenons ce qu’est la réduction de la surface d’attaque et pourquoi elle est si importante.

Fonction de réduction de la surface d’attaque de Windows Defender

Les e-mails et les applications bureautiques sont la partie la plus cruciale de la productivité de toute entreprise. Ils constituent le moyen le plus simple pour les cyber-attaquants d’accéder à leurs PC et réseaux et d’installer des logiciels malveillants. Les pirates peuvent utiliser directement des macros et des scripts de bureau pour exécuter directement des exploits qui fonctionnent entièrement en mémoire et sont souvent indétectables par les analyses antivirus traditionnelles.

Le pire, c’est que pour que les logiciels malveillants obtiennent une entrée, il suffit à l’utilisateur d’activer les macros sur un fichier Office d’apparence légitime ou d’ouvrir une pièce jointe à un e-mail qui peut compromettre la machine.

Publicité

C’est là que la réduction de surface d’attaque vient à la rescousse.

Avantages de la réduction de la surface d’attaque

Attack Surface Reduction offre un ensemble d’intelligences intégrées qui peuvent bloquer les comportements sous-jacents utilisés par ces documents malveillants pour s’exécuter sans entraver les scénarios productifs. En bloquant les comportements malveillants, indépendamment de la nature de la menace ou de l’exploit, Attack Surface Reduction peut protéger les entreprises contre des attaques zero-day inédites et équilibrer leurs risques de sécurité et leurs exigences de productivité.

Réduction De La Surface D'attaque De Windows Defender

L’ASR couvre trois comportements principaux :

  1. Applications bureautiques
  2. Scénarios et
  3. E-mails

Pour les applications Office, la règle de réduction de la surface d’attaque peut :

  1. Empêcher les applications Office de créer du contenu exécutable
  2. Empêcher les applications Office de créer un processus enfant
  3. Empêcher les applications Office d’injecter du code dans un autre processus
  4. Bloquer les importations Win32 à partir du code de macro dans Office
  5. Bloquer le code macro masqué

De nombreuses macros bureautiques malveillantes peuvent infecter un PC en injectant et en lançant des exécutables. La réduction de la surface d’attaque peut protéger contre cela et également contre DDEDownloader qui a récemment infecté des PC à travers le monde. Cet exploit utilise la fenêtre contextuelle Dynamic Data Exchange dans les documents officiels pour exécuter un téléchargeur PowerShell tout en créant un processus enfant que la règle ASR bloque efficacement !

Pour le script, la règle de réduction de la surface d’attaque peut :

  • Bloquer les codes JavaScript, VBScript et PowerShell malveillants qui ont été obscurcis
  • Empêcher JavaScript et VBScript d’exécuter la charge utile téléchargée sur Internet

Pour le courrier électronique, ASR peut :

  • Bloquer l’exécution du contenu exécutable supprimé de l’e-mail (webmail/mail-client)

Aujourd’hui, il y a eu une augmentation du harponnage et même les e-mails personnels d’un employé sont ciblés. ASR permet aux administrateurs d’entreprise d’appliquer des politiques de fichiers sur les e-mails personnels pour les clients de messagerie Web et de messagerie sur les appareils de l’entreprise pour se protéger contre les menaces.

Lis: Attaques d’exécution de code à distance et étapes de prévention

Fonctionnement de la réduction de surface d’attaque

ASR utilise des règles identifiées par leur ID de règle unique. Afin de configurer l’état ou le mode de chaque règle, celles-ci peuvent être gérées avec :

  • Stratégie de groupe
  • PowerShell
  • CSP MDM

Ils peuvent être utilisés lorsque seules certaines règles doivent être activées ou lorsque des règles doivent être activées en mode individuel.

Pour toute ligne d’applications commerciales exécutées au sein de votre entreprise, il est possible de personnaliser les exclusions basées sur des fichiers et des dossiers si vos applications incluent des comportements inhabituels susceptibles d’être affectés par la détection ASR.

La réduction de la surface d’attaque nécessite que l’antivirus Windows Defender soit l’antivirus principal et nécessite l’activation de la fonction de protection en temps réel. La ligne de base de sécurité de Windows 10 suggère que la plupart des règles en mode bloc mentionnées ci-dessus doivent être activées pour protéger vos appareils contre toute menace !

Pour en savoir plus, vous pouvez visiter docs.microsoft.com.

Svg%3E

Rate this post
Publicité
Article précédentLe marché Metaverse devrait atteindre une valeur de USD
Article suivantLe mode Fortnite Zero Build est un changeur de jeu littéral

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici