Windows Defender

Fonctionnalité de réduction de la surface d'attaque dans Windows Defender

Fonctionnalité de réduction de la surface d'attaque dans Windows Defender

Réduction de la surface d'attaque est une fonctionnalité de Windows Defender Exploit Guard qui empêche les actions utilisées par les logiciels malveillants à la recherche d'exploits pour infecter les ordinateurs. Windows Defender Exploit Guard est un nouvel ensemble de fonctionnalités de prévention des invasions que Microsoft a introduit dans le cadre de Windows 10 v1709. Les quatre composants de Windows Defender Exploit Guard incluent :

L'une des principales capacités, comme mentionné ci-dessus, est Réduction de la surface d'attaque, qui protègent contre les actions courantes des logiciels malveillants qui s'exécutent sur les appareils Windows 10.

Laissez comprendre ce qu'est la réduction de la surface d'attaque et pourquoi c'est si important.

Fonctionnalité de réduction de la surface d'attaque de Windows Defender

Les e-mails et les applications bureautiques sont la partie la plus cruciale de la productivité de toute entreprise. Ils constituent le moyen le plus simple pour les cyber-attaquants d'accéder à leurs PC et réseaux et d'installer des logiciels malveillants. Les pirates peuvent utiliser directement des macros et des scripts de bureau pour effectuer directement des exploits qui fonctionnent entièrement en mémoire et sont souvent indétectables par les analyses antivirus traditionnelles.

Le pire, c'est que pour qu'un logiciel malveillant obtienne une entrée, il suffit à l'utilisateur d'activer des macros sur un fichier Office d'apparence légitime ou d'ouvrir une pièce jointe à un e-mail qui peut compromettre la machine.

C'est là que Attack Surface Reduction vient à la rescousse.

Avantages de la réduction de la surface d'attaque

Attack Surface Reduction offre un ensemble d'intelligence intégrée qui peut bloquer les comportements sous-jacents utilisés par ces documents malveillants pour s'exécuter sans entraver les scénarios productifs. En bloquant les comportements malveillants, indépendamment de la menace ou de l'exploit, la réduction de la surface d'attaque peut protéger les entreprises contre des attaques zero-day inédites et équilibrer leurs risques de sécurité et leurs exigences de productivité.

ASR couvre trois comportements principaux:

  1. Applications bureautiques
  2. Scénarios et
  3. Courriels

Pour les applications Office, la règle de réduction de la surface d'attaque peut :

  1. Empêcher les applications Office de créer du contenu exécutable
  2. Empêcher les applications Office de créer un processus enfant
  3. Empêcher les applications Office d'injecter du code dans un autre processus
  4. Bloquer les importations Win32 à partir du code de macro dans Office
  5. Bloquer le code macro obscurci

Souvent, des macros bureautiques malveillantes peuvent infecter un PC en injectant et en lançant des exécutables. La réduction de la surface d'attaque peut protéger contre cela et également contre DDEDownloader qui a récemment infecté des PC à travers le monde. Cet exploit utilise la fenêtre contextuelle Dynamic Data Exchange dans les documents officiels pour exécuter un téléchargeur PowerShell tout en créant un processus enfant que la règle ASR bloque efficacement!

Pour le script, la règle de réduction de la surface d'attaque peut :

Pour le courrier électronique, ASR peut :

Aujourd'hui, il y a eu une augmentation ultérieure du phishing et même les e-mails personnels d'un employé sont ciblés. ASR permet aux administrateurs d'entreprise d'appliquer des politiques de fichiers sur les e-mails personnels à la fois pour la messagerie Web et les clients de messagerie sur les appareils de l'entreprise pour une protection contre les menaces.

Comment fonctionne la réduction de la surface d'attaque

ASR fonctionne via des règles identifiées par leur ID de règle unique. Afin de configurer l'état ou le mode de chaque règle, elles peuvent être gérées avec :

Ils peuvent être utilisés lorsque seules certaines règles doivent être activées ou que les règles doivent être activées en mode individuel.

Pour tout secteur d'applications métier exécuté au sein de votre entreprise, il est possible de personnaliser les exclusions basées sur des fichiers et des dossiers si vos applications comportent des comportements inhabituels susceptibles d'être affectés par la détection ASR.

La réduction de la surface d'attaque nécessite que l'antivirus Windows Defender soit le principal antivirus et que la fonction de protection en temps réel soit activée. La ligne de base de sécurité de Windows 10 suggère que la plupart des règles en mode bloc mentionnées ci-dessus doivent être activées pour protéger vos appareils contre toute menace!

Pour en savoir plus, vous pouvez visiter docs.microsoft.com.

Souris Remappez les boutons de votre souris différemment pour différents logiciels avec X-Mouse Button Control
Remappez les boutons de votre souris différemment pour différents logiciels avec X-Mouse Button Control
Peut-être que vous avez besoin d'un outil qui pourrait faire changer le contrôle de votre souris avec chaque application que vous utilisez. Si tel est...
Souris Examen de la souris sans fil Microsoft Sculpt Touch
Examen de la souris sans fil Microsoft Sculpt Touch
J'ai lu récemment sur le Microsoft Sculpt Touch souris sans fil et j'ai décidé de l'acheter. Après l'avoir utilisé pendant un certain temps, j'ai déci...
Souris Trackpad et pointeur de souris à l'écran AppyMouse pour tablettes Windows
Trackpad et pointeur de souris à l'écran AppyMouse pour tablettes Windows
Les utilisateurs de tablettes ratent souvent le pointeur de la souris, surtout lorsqu'ils ont l'habitude d'utiliser les ordinateurs portables. Les sma...