Réduction de la surface d'attaque est une fonctionnalité de Windows Defender Exploit Guard qui empêche les actions utilisées par des programmes malveillants à la recherche d’exploit d’infecter les ordinateurs. Windows Defender Exploit Guard est un nouvel ensemble de fonctionnalités de prévention des invasions introduit par Microsoft dans le cadre de Windows 10 v1709. Les quatre composants de Windows Defender Exploit Guard incluent:
- Protection du réseau
- Accès contrôlé aux dossiers
- Protection contre les exploits
- Réduction de la surface d'attaque
Comme mentionné ci-dessus, l’une des capacités majeures est Réduction de la surface d'attaque, qui protège contre les actions courantes des logiciels malveillants qui s'exécutent sur des périphériques Windows 10.
Laissons comprendre ce qu’est la réduction de la surface d’attaque et pourquoi elle est si importante.
Fonction de réduction de la surface d'attaque de Windows Defender
Les e-mails et les applications bureautiques sont des éléments essentiels de la productivité de toute entreprise. Ils constituent le moyen le plus simple pour les cyber-attaquants d'accéder à leurs ordinateurs et à leurs réseaux et d'installer des logiciels malveillants. Les pirates peuvent directement utiliser des macros et des scripts Office pour effectuer directement des exploits qui fonctionnent entièrement en mémoire et sont souvent indétectables par les analyses antivirus classiques.
Le pire, c’est que pour qu’un programme malveillant reçoive une entrée, il suffit à l’utilisateur d’activer les macros sur un fichier Office ayant une apparence légitime, ou d’ouvrir une pièce jointe susceptible de compromettre la sécurité de la machine.
C'est ici que la réduction de la surface d'attaque vient à la rescousse.
Avantages de la réduction de la surface d'attaque
La technologie Attack Surface Reduction propose un ensemble d’intelligence intégrée capable de bloquer l’exécution des comportements sous-jacents utilisés par ces documents malveillants sans entraver les scénarios de production. En bloquant les comportements malveillants, indépendamment de la menace ou de l'exploit, Attack Surface Reduction peut protéger les entreprises contre les attaques du jour zéro jamais vues auparavant et équilibrer leurs exigences en matière de sécurité et de productivité.
ASR couvre trois comportements principaux:
- Applications bureautiques
- Scripts et
- Courriels
Pour les applications Office, la règle de réduction de la surface d'attaque peut:
- Empêcher les applications Office de créer du contenu exécutable
- Empêcher les applications Office de créer des processus enfants
- Empêcher les applications Office d'injecter du code dans un autre processus
- Bloquer les importations Win32 à partir du code de macro dans Office
- Bloquer le code de macro masqué
De nombreuses macros bureautiques malveillantes peuvent infecter un PC en injectant et en lançant des fichiers exécutables. Attack Surface Reduction peut protéger contre cela, ainsi que contre DDEDownloader, qui a récemment infecté des PC à travers le monde. Cet exploit utilise la fenêtre contextuelle Dynamic Data Exchange dans les documents officiels pour exécuter un téléchargeur PowerShell tout en créant un processus enfant que la règle ASR bloque efficacement!
Pour le script, la règle de réduction de la surface d'attaque peut:
- Bloquer les codes JavaScript, VBScript et PowerShell malveillants qui ont été masqués
- Bloquer JavaScript et VBScript de l'exécution de la charge téléchargée depuis Internet
Pour le courrier électronique, ASR peut:
Bloquer l'exécution du contenu exécutable supprimé du courrier électronique (webmail / mail-client)
Un jour après, le spear-phishing a augmenté et même les emails personnels des employés sont ciblés. ASR permet aux administrateurs d’entreprise d’appliquer des stratégies de fichiers dans leurs courriels personnels pour les courriers Web et clients de messagerie des périphériques de la société afin de les protéger des menaces.
Comment fonctionne la réduction de la surface d'attaque
ASR fonctionne à travers des règles identifiées par leur ID de règle unique. Afin de configurer l'état ou le mode de chaque règle, celles-ci peuvent être gérées avec:
- Stratégie de groupe
- PowerShell
- CSP MDM
Ils peuvent être utilisés lorsque seules certaines règles doivent être activées ou si les règles doivent être activées en mode individuel.
Pour toutes les applications métiers exécutées au sein de votre entreprise, il est possible de personnaliser les exclusions basées sur les fichiers et les dossiers si vos applications incluent des comportements inhabituels pouvant être affectés par la détection ASR.
Pour réduire la surface d’attaque, Windows Defender Antivirus doit être l’AV principal et la fonctionnalité de protection en temps réel doit être activée. La version de base de Windows 10 Security suggère que la plupart des règles en mode bloc mentionnées ci-dessus devraient être activées pour protéger vos appareils contre toutes les menaces!
Pour en savoir plus, visitez docs.microsoft.com.
Articles Similaires:
- Comment configurer Windows Defender Exploit Guard (WDEG) dans Windows 10
- Surface 3 specs, prix. Comparaison avec Surface Pro 3
- Apple iPad vs tablette Microsoft Surface RT - Bataille pour la gloire!
- Surface Pro 3 Spécifications, caractéristiques, images et vidéo
- Surface Team répond aux questions sur la tablette Surface
