Létezik rá teljes körű biztonsági megoldás
A jó védekezés egyik alapvetése, hogy a támadási felületet csökkentjük. Ugyanez igaz az IT-ra is, érdemes minél kisebb teret hagyni a sebezhető pontoknak (másik megközelítés, hogy addig kell növelni a támadó ROI-ját, ameddig más célpontot nem keres).
A klasszikus védelmi megoldásokat ismerjük, antivírus szoftver, tűzfal, nem látogatunk kétes oldalakat, stb. Sajnos ezek kevesek lehetnek, ha alkalmazásokon keresztül érkezik a fenyegetés. Az alkalmazások tartalmazhatnak régi, elavult megoldásokat, amelyeket a kártevők kihasználhatnak. Jellemző példa erre a makrók, amelyek nagyszerű eszközök, de rosszindulatú módon is bevethetők.
A Microsoft Attack Surface Reduction (ASR) megoldásával az alkalmazásokat kihasználó támadások sikeresen megakadályozhatók, azonban csak Windows 10 Enterprise kiadással működik. Cserébe Intune-ból és SCCM-mel is kezelhető.
Az ASR segítségével letiltható, hogy Office és Adobe programok futtatható állományokat hozzanak létre vagy pl. WMI-n keresztül folyamatokat indítsanak. Könnyen látható, hogy pár legitim eset kivételével ezek bizony kártékony viselkedésre utalhatnak, tehát blokkolandóak. Emellett a scriptek (JavaScript, VBScript) működése is felügyelhető.
További szabályozható beállítások:
A teljes szabálylista itt érhető el: https://docs.microsoft.com/hu-hu/windows/security/...
Az ASR bevezetésekor érdemes monitorozással kezdeni, hogy a későbbi blokkolás mit érintene (pl. pénzügy esetén makrók generálása stb). Az Audit mode-dal ezt alaposan meg tudjuk vizsgálni, kivételeket képezni. Ezután jöhet a Block mode, ami a fenti szabályok alapján már tiltást végez.
Windows 10 E5 vagy M365 E5 licensz birtokában megkapjuk a Microsoft Defender ATP szoftvert is, amivel az ASR teljesen kompatibilis, és az ezzel kapcsolatos riasztások és policyk központilag kezelhetők.
Az alábbi képen látható, hogy egy átlagos hétfői napon több(!), mint 1800 ASR-block történt...
A fentiek fényében tehát nagyon ajánlott az ASR bevezetése, ezzel is csökkentve a támadási felületet.
Pajzsok fel!
Kiberbiztonság a modern irodában eBook
Istvánffy Zoltán
Microsoft Cloud Solution Architect, Microsoft Certified Trainer
Qualysoft Informatikai Zrt.