IT infrastruktúránkat érintő támadási felületek csökkentése

A klasszikus védelmi megoldásokat ismerjük, antivírus szoftver, tűzfal, nem látogatunk kétes oldalakat, stb. Sajnos ezek kevesek lehetnek, ha alkalmazásokon keresztül érkezik a fenyegetés. Az alkalmazások tartalmazhatnak régi, elavult megoldásokat, amelyeket a kártevők kihasználhatnak. Jellemző példa erre a makrók, amelyek nagyszerű eszközök, de rosszindulatú módon is bevethetők.

A Microsoft Attack Surface Reduction (ASR) megoldásával az alkalmazásokat kihasználó támadások sikeresen megakadályozhatók, azonban csak Windows 10 Enterprise kiadással működik. Cserébe Intune-ból és SCCM-mel is kezelhető.

Az ASR segítségével letiltható, hogy Office és Adobe programok futtatható állományokat hozzanak létre vagy pl. WMI-n keresztül folyamatokat indítsanak. Könnyen látható, hogy pár legitim eset kivételével ezek bizony kártékony viselkedésre utalhatnak, tehát blokkolandóak. Emellett a scriptek (JavaScript, VBScript) működése is felügyelhető.

További szabályozható beállítások:

• Block executable content from email client and webmail: Régi, de annál hasznosabb funkció, ami megakadályozza, hogy levelezőklienssel ne lehessen futtatható állományokat megnyitni.
   
• Block Office Communication Applications from Creating Child Processes: Megakadályozza, hogy az Office alkalmazások újabb processeket hozzanak létre. Ha szükség van rá, kivételként engedélyezhető, de alapból blokkolásra van beállítva.
   
• Block Adobe Reader from Creating Child Processes: A PDF fájlok a támadók kedvenc felülete. Sok sebezhetőséget tartalmaz, a cégek sok esetben lassan foltozzák a szoftvert, ráadásul a PDF rendszerint nem kelt gyanút a munkavállalókban sem. Itt jó szolgáltatot tehet az szabály, miszerint egy PDF gyanús, ha processeket szeretne indítani.
   
• Use advanced protection against ransomware: Egy plusz védelmi vonal, ha egy futtatható állomány kártevőre hajaz, letiltja futását, még akkor is, ha alapból engedélyezve van.
   
• Block process creations originating from PSExec and WMI commands: Ez a beállítás arra szolgál, hogy PSExec és WMI ne hozhasson létre processeket. Ugyanakkor, ha SCCM-et használunk, ezt NE állítsuk be, mert csúnyán belekavarhat az SCCM kliens működésébe!
   
• Block untrusted and unsigned processes that run from USB: Bár az usb használata csökkenő tendenciát mutat, azért hasznos ez a beállítás, miszerint egy pendriveon tárolt, digitális aláíráson lévő állomány nem indulhat el közvetlenül.
   
• Block credential stealing from the Windows local security authority subsystem: Ez a beállítás nem engedi, hogy külső alkalmazások jelszavakat vagy hash-eket szedjenek ki a memóriából.

A teljes szabálylista itt érhető el: https://docs.microsoft.com/hu-hu/windows/security/...

Az ASR bevezetésekor érdemes monitorozással kezdeni, hogy a későbbi blokkolás mit érintene (pl. pénzügy esetén makrók generálása stb). Az Audit mode-dal ezt alaposan meg tudjuk vizsgálni, kivételeket képezni. Ezután jöhet a Block mode, ami a fenti szabályok alapján már tiltást végez.

Windows 10 E5 vagy M365 E5 licensz birtokában megkapjuk a Microsoft Defender ATP szoftvert is, amivel az ASR teljesen kompatibilis, és az ezzel kapcsolatos riasztások és policyk központilag kezelhetők.

A fentiek fényében tehát nagyon ajánlott az ASR bevezetése, ezzel is csökkentve a támadási felületet.

Pajzsok fel!

Istvánffy Zoltán

Microsoft Cloud Solution Architect, Microsoft Certified Trainer

Qualysoft Informatikai Zrt.

zoltan.istvanffy@qualysoft.com|My LinkedIn Profile