来自 安全 2022-06-08 08:30 的文章

服务器防护_阿里云防ddos_3天试用

服务器防护_阿里云防ddos_3天试用

Microsoft Defender Attack Surface Reduction Recommensions SpalantirFollowJan 11·15分钟阅读

这篇博客文章根据Palantir的信息安全团队在过去两年从Windows Defender Attack Surface Reduction(ASR)安全控制系列收集的审计数据提供了一组建议。我们希望它将帮助正在考虑部署的其他安全小组。我们将根据生产部署经验强调每个设置的注意事项。

对于本主题的新手,Windows Defender Attack Surface Reduction(ASR)是Microsoft提供的一组控件的名称,这些控件限制Windows端点上的常见恶意软件和漏洞利用技术。

与Windows Defender漏洞利用防护不同,ddos防御产品介绍,ASR控件是简单的开/关开关,管理员可以使用组策略或Intune在极短的时间内部署,特别是如果他们计划使用仅审核模式。

这段来自微软网站的内容提供了一个很好的概述:

ASR针对的是经常被攻击者滥用的软件行为,例如:

启动可执行文件和脚本,试图下载或运行运行运行模糊或其他可疑脚本的文件,这些行为通常不会在正常的日常工作中启动

这些行为有时在合法的应用程序中出现;然而,它们被认为是有风险的,因为它们通常被恶意软件滥用。攻击面减少规则可以约束此类危险行为,并有助于确保您的组织安全。

建议摘要

我们在这篇文章中的目的是为了给读者提供价值,但我们也承认所有设置都有其自身的环境细微差别。关于我们提出建议的原因,请参阅本摘要部分下面的说明。很可能您将在保护的网络中处理一组不同的约束。

服务器防护_阿里云防ddos_3天试用

对于那些希望直接进入其环境中的日志的人,信息将记录在两个不同的事件中:

仅审核:Windows事件1122锁定模式:Windows事件1121

在块模式下配置任何ASR设置将导致Windows拒绝该行为并记录该事件。显而易见的挑战是Windows可能会在某些环境中限制合法的使用案例,这正是我们希望通过本文帮助避免的。审计模式本身将为防御者提供出色的数据源,并可在大多数公司环境中使用集团策略在一小时内配置车队范围内。

关于ASR部署和事件日志转发的说明:在Palantir,我们大量使用Windows事件转发(WEF)来收集1121和1122事件进行分析。我们的WEF指南可以在这里找到,配置示例可以在这里找到。我们的ASR部署是通过设置此处描述的组策略设置来配置的。您可以对所有ASR规则使用单个策略;对于您配置的每个设置,您只需要在块模式和审核模式之间做出选择。另一种方法是创建多个策略,其中需要将异常授予块模式规则,将异常配置为更高优先级的组策略,受组策略对象上"应用组策略"访问控制项的限制。

规则分解

阻止从USB运行的不受信任和未签名进程

在阻止模式下配置"阻止从USB运行的不受信任和未签名进程"不会导致任何问题。我们在第一天以块模式配置了此规则,并且在过去18个月内没有注册与此ASR规则相关的任何事件。我们认为,在几乎任何公司环境中,以块模式部署此规则都是安全的。

建议:块模式。

阻止Adobe Reader创建子进程

我们在ASR之旅的早期发现,"阻止Adobe Reader子进程"确实会导致与Adobe目前处理某些更新的方式相关的小问题产品。

以下是一个示例事件:

消息=Windows Defender漏洞防护已阻止您的IT管理员不允许的操作。有关详细信息,请与您的IT管理员联系。ID:7674BA52-32EB-4A4F-A9A1-F0F9A1619A2C检测时间:2020-10-16T19:35:03.723Z用户:域\用户路径:C:\xxx\Acrobat\U DC\U Set-Up.exe进程名称:C:\xxx\AcroRd32.exe安全智能版本:1.325.883.0引擎版本:1.1.17500.4产品版本:4.18.2009.7

Adobe应用程序的更新机制尝试启动子进程来执行该工作。这是ASR规则的一个问题。

我们没有回滚规则,而是选择通过我们的中央软件修补和维护服务执行Adobe更新,这样Adobe就不需要启动子进程。为了增加PDF恶意软件的安全性,我们决定接受轻微的运营成本。

建议:阻止模式。提示:注意Adobe更新过程。确保您有其他更新方法。

阻止来自电子邮件客户端和网络邮件的可执行内容