服务器防护_阿里云防ddos_3天试用

服务器防护_阿里云防ddos_3天试用

Microsoft Defender Attack Surface Reduction Recommensions SpalantirFollowJan 11·15分钟阅读

这篇博客文章根据Palantir的信息安全团队在过去两年从Windows Defender Attack Surface Reduction(ASR)安全控制系列收集的审计数据提供了一组建议。我们希望它将帮助正在考虑部署的其他安全小组。我们将根据生产部署经验强调每个设置的注意事项。

对于本主题的新手,Windows Defender Attack Surface Reduction(ASR)是Microsoft提供的一组控件的名称,高防cdn代理,这些控件限制Windows端点上的常见恶意软件和漏洞利用技术。

与Windows Defender漏洞利用防护不同,ASR控件是简单的开/关开关,管理员可以使用组策略或Intune在极短的时间内部署,特别是如果他们计划使用仅审核模式。

这段来自微软网站的内容提供了一个很好的概述:

ASR针对的是经常被攻击者滥用的软件行为,例如:

启动可执行文件和脚本,试图下载或运行运行运行模糊或其他可疑脚本的文件,这些行为通常不会在正常的日常工作中启动

这些行为有时在合法的应用程序中出现;然而,它们被认为是有风险的,因为它们通常被恶意软件滥用。攻击面减少规则可以约束此类危险行为,并有助于确保您的组织安全。

建议摘要

我们在这篇文章中的目的是为了给读者提供价值,但我们也承认所有设置都有其自身的环境细微差别。关于我们提出建议的原因,请参阅本摘要部分下面的说明。很可能您将在保护的网络中处理一组不同的约束。

服务器防护_阿里云防ddos_3天试用

对于那些希望直接进入其环境中的日志的人,信息将记录在两个不同的事件中:

仅审核:Windows事件1122锁定模式:Windows事件1121

在块模式下配置任何ASR设置将导致Windows拒绝该行为并记录该事件。显而易见的挑战是Windows可能会在某些环境中限制合法的使用案例,这正是我们希望通过本文帮助避免的。审计模式本身将为防御者提供出色的数据源,并可在大多数公司环境中使用集团策略在一小时内配置车队范围内。

关于ASR部署和事件日志转发的说明:在Palantir,我们大量使用Windows事件转发(WEF)来收集1121和1122事件进行分析。我们的WEF指南可以在这里找到,配置示例可以在这里找到。我们的ASR部署是通过设置此处描述的组策略设置来配置的。您可以对所有ASR规则使用单个策略;对于您配置的每个设置,您只需要在块模式和审核模式之间做出选择。另一种方法是创建多个策略,其中需要将异常授予块模式规则,将异常配置为更高优先级的组策略,受组策略对象上"应用组策略"访问控制项的限制。

规则分解

阻止从USB运行的不受信任和未签名进程

在阻止模式下配置"阻止从USB运行的不受信任和未签名进程"不会导致任何问题。我们在第一天以块模式配置了此规则,并且在过去18个月内没有注册与此ASR规则相关的任何事件。我们认为,在几乎任何公司环境中,以块模式部署此规则都是安全的。

建议:块模式。

阻止Adobe Reader创建子进程

我们在ASR之旅的早期发现,"阻止Adobe Reader子进程"确实会导致与Adobe目前处理某些更新的方式相关的小问题产品。

以下是一个示例事件:

消息=Windows Defender漏洞防护已阻止您的IT管理员不允许的操作。有关详细信息,请与您的IT管理员联系。ID:7674BA52-32EB-4A4F-A9A1-F0F9A1619A2C检测时间:2020-10-16T19:35:03.723Z用户:域\用户路径:C:\xxx\Acrobat\U DC\U Set-Up.exe进程名称:C:\xxx\AcroRd32.exe安全智能版本:1.325.883.0引擎版本:1.1.17500.4产品版本:4.18.2009.7

Adobe应用程序的更新机制尝试启动子进程来执行该工作。这是ASR规则的一个问题。

我们没有回滚规则,而是选择通过我们的中央软件修补和维护服务执行Adobe更新,这样Adobe就不需要启动子进程。为了增加PDF恶意软件的安全性,我们决定接受轻微的运营成本。

建议:阻止模式。提示:注意Adobe更新过程。确保您有其他更新方法。

阻止来自电子邮件客户端和网络邮件的可执行内容

热门推荐
  • 云盾_ddos高防ip如何使用_方法

      装有广告软件的假冒CCleaner应用 最近,Avast发现一款新的假冒移动CCleaner应用已在日本高防服务器百度应用商店发布(百度手机......

    05-17    来源:长虹华伟

    分享
  • 高防cdn_香港高防云服务器_快速解决

      新闻要闻McAfee实验室预测2017年将有14项安全发展确定了未来四年可能出现的三个法律障碍、10个供应商行动和11个云威胁对未......

    03-07    来源:长虹华伟

    分享
  • 云盾高防采集_ddos防攻击100g价格_如何防

      JimMetzler是一位杰出的研究员,也是Ashton Metzler&Associates的联合创始人,也是一位特邀博客写手。许多人把NFV与服务提供商联系......

    04-18    来源:长虹华伟

    分享
  • 网站防护_黑盾云_怎么防

      总部位于曼彻斯特的IT安全专家Avecto的七名员工成功地骑自行车到另一个海岸,以帮助该公司的慈善合作伙伴圣安医院(St ......

    10-11    来源:长虹华伟

    分享
  • ddos高防_珲春高铁到防川风景区_方法

      在IT领域,我们的工具是笔记本电脑、平板电脑和智能手机,我们的表演场地包括数据中心和服务器机房。想象一下,在这个......

    06-12    来源:长虹华伟

    分享
  • ddos防御工具_cdn防御ddos效果_打不死

      如果你参加过在维加斯举行的黑帽会议,那么欧洲版就差不多了,除了小得多。我有没有提到它小得多?营业厅由包括Rapid......

    02-28    来源:长虹华伟

    分享
  • ddos防火墙_ddos流量攻击_解决方案

      社交网络中的账户,尤其是那些拥有大量追随者的账户,对网络犯罪分子来说是一个美味的小吃——如果保护不力,黑客入侵......

    01-27    来源:长虹华伟

    分享
  • 云盾_网站ddos防护_免费试用

      脸谱网linkedin推特阅读时间:约5分钟。多年来,那些我们称之为"流氓安全产品"的蛇油安全程序的制造商们花了相当大的精力......

    03-30    来源:长虹华伟

    分享
  • 免备案高防cdn_服务器防断电设备_解决方

      Websense很高兴地宣布,随着CSA STAR自我评估的完成,它将被纳入云安全联盟(CSA)STAR注册中心。CSA安全、信任和保证注册中心......

    04-25    来源:长虹华伟

    分享
  • 云防护_国外高防_3天试用

      2014年,Illumio推出了Adaptive Security Platform(ASP),该平台具有分布式、基于主机的实施,包括所有数据中心和云计算环境的实......

    04-16    来源:长虹华伟

    分享
返回列表
Ctrl+D 将本页面保存为书签,全面了解最新资讯,方便快捷。