Windows 10 – og i forlengelse av det, Windows 11 – er de sikreste operativsystemene Microsoft noensinne har utviklet. Men ikke alle funksjoner er slått på som standard. Enkelte er avhengig av maskinvare, som en TPM-sikkerhetsbrikke og støtte for virtualisering. Andre kan skape utfordringer for eldre applikasjoner. Noen er tungvinte å bruke og vedlikeholde. Sikkerhet dreier seg ikke om å pøse på med den ene beskyttelsesmekanisme etter den andre. Det er viktig at du selv velger den beskyttelsen du trenger og ikke hindrer brukere i å være produktive.
Angrepsflatereduksjon er et viktig aspekt ved cybersikkerhet. Det dreier seg om langt mer enn å aktivere et antivirusprogram. Man prøver å begrense eksponeringen av systemer så mye som mulig for å redusere faren for et vellykket angrep. Det sikrer at ondsinnede aktiviteter ikke kan utføres, og at enheter er installert med de siste oppdateringene. I Windows er dette innebygde funksjoner som med fordel bør konfigureres i Intune og overvåkes med Defender for Endpoint. Men du kan også klare deg med bare gruppepolicyer og PowerShell.
Oversikt over angrepsflatereduksjon
Angrepsflatereduksjon (Attack Surface Reduction – ASR) fjerner risikable eller unødvendige overflater og hindrer farlig kode i å kjøre. Det er en samlebetegnelse for mange innebygde funksjoner i Windows 10 som bidrar til å redusere risikoen for at et angrep kan kompromittere enhetene dine. Det dreier seg om å være føre vâr og herde endepunkter. ASR-regler eller Regler for reduksjon av angrepsoverflaten tar sikte på å hindre spesifikke aktiviteter som ofte brukes i forskjellige typer angrep. De fleste dekker oppførselen til Microsoft Office-produkter, andre er mer generelle. Reglene krever at Defender Antivirus kjører i aktiv modus uten tredjepartsløsning.
Maskinvarebasert isolering beskytter og opprettholder integriteten til et system når det starter og mens det kjører. Du kan kjøre Microsoft Edge i en isolert virtuell maskin for å beskytte deg mot ondsinnede nettsteder. Med tillegg kan du også benytte Chrome og Firefox. Applikasjonskontroll sørger for at programmene du bruker, eksplisitt er klarert (hvitelistet); det er til forskjell fra tradisjonelt antivirus, som svartelister. Utnyttelsesbeskyttelse hjelper med å beskytte operativsystem og apper mot å bli utnyttet. Beskyttelsen fungerer samen med antivirusløsninger fra tredjeparter.
Nettverksbeskyttelse utvider beskyttelsen til nettverkstrafikk og tilkoblingen til organisasjonens enheter (krever aktiv Defender Antivirus). Kontrollert mappetilgang blokkerer skadelige eller mistenkelige apper, inkludert løsepengevirus, fra å gjøre endringer i filer i de viktigste systemmappene dine (krever aktiv Defender Antivirus). Enhetsbeskyttelse opererer på maskinvare-nivå og garderer blant annet mot DMA-angrep. Web-beskyttelse sikrer enheter mot nett-trusler og hjelper å regulere uønsket innhold. Beskyttelse mot løsepengevirus sikrer deg ikke fullstendig, men kommer med flere mekanismer for å forebygge og slå ned på denne type angrep.
Regler for reduksjon av angrepsoverflaten
I del I av bloggen konsentrerer vi oss om 16 regler som bidrar til å redusere angrepsoverflaten. Intune, som del av Microsoft Endpoint Manager, har forenklet oppsettet av Windows-enheter ved å samle konfigurasjonsprofiler under Endpoint Security. Regler for reduksjon av angrepsoverflaten setter du opp ved å velge Attack surface reduction.
Klikk på Create profile. Windows 10 eller senere er forhåndsvalgt som plattform. Profilene du kan velge mellom, er Isolasjon av app og nettleser, Enhetskontroll, ASR-regler, Utnyttelsesbeskyttelse, Nettbeskyttelse for gamle Edge og Applikasjonskontroll. Velg Attack surface reduction rules. Da får du opp skjermbildet ovenfor. For enkelte av reglene kan du velge mellom Ikke konfigurert, Aktiver, Brukerdefinert, Overvåkingsmodus, Advar. For andre står valget mellom Ikke konfigurert, Blokker, Overvåkingsmodus og Deaktiver.
Overvåking med Defender for Endpoint
Ved at reglene integreres i Defender for Endpoint kan du overvåke og gjennomgå analyser av varsler i sanntid, finjustere ekskluderinger, konfigurere ASR-regler og få frem hendelsesrapporter. Gå inn i portalen for Microsoft 365 Defender (security.microsoft.com) og Konfigurasjonsbehandling. Klikk på Go to attack surface management. Under Detections kan du se gjennom aktiviteter som tyder på mulige sikkerhetsbrudd som oppdages av regler for reduksjon av angrepsflaten på enhetene dine.
Under Configuration identifiserer og reparerer du enheter med begrenset beskyttelse på grunn av manglende forutsetninger eller feilkonfigurerte regler. Under Legg til utelatelser kan du ekskludere mapper og filer som reglene ikke skal gjelde for. Skjermbildet viser ikke helt reelle forhold. Windows 10-maskinene er fjernet og offboardet, men henger igjen en god stund i Defender for Endpoint. Apple macOS støttes dessverre ikke ennå. Her er de fleste reglene blokkert eller aktivert. Men først bør man nøye seg med å overvåke dem, observere om de skaper problemer i miljøet – noe vi gjorde en tomåneders tid.
Overvåking med Hendelseslisten
Åpne Start-menyen, velg Kjør, skriv eventvwr og trykk på Enter. Utvid applikasjons- og tjenestelogger, Microsoft, Windows. Gå deretter til mappen som er oppført under leverandør/kilde. Dobbeltklikk på delelementet for å se hendelser. Bla gjennom hendelsene for å finne den du leter etter. Du bør opprette tilpassede visninger; alle hendelser er også forklart: View attack surface reduction events.
Oversikt over de enkelte reglene
Vær oppmerksom på at du må kjøre Windows Defender Virus- og trusselbeskyttelse i aktiv modus for at ASR-reglene skal virke. Med tredjeparts antivirus går Windows Defender over til å opererere passivt; da vil de ikke fungere. Det skyldes at de er tett integrert i Windows Defender og i sin tid kom som del av trusselbeskyttelsen.
Blokker innhold som kan kjøres fra e-postklient og nettbasert e-post(Block executable content from e-mail client and webmail). Hindre at programmer og skript åpnes fra en e-postmelding (Outlook eller Outlook på nettet).
Blokker alle Office-programmer fra å opprette underordnede prosesser(Block all Office applications from creating child processes). Hindre visse Office-programmer (Word, Excel, PowerPoint, OneNote og Access) i å opprette nye (underordnede) prosesser. Utføres ofte gjennom ondsinnede makroer.
Blokker Office-programmer fra å opprette kjørbart innhold (Block Office applications from creating executable content). Forhindre kode, for eksempel kjøring i en makro, for å skrive kjørbare filer til disk. Dette er en vanlig teknikk som brukes til å vedvare på enheten og overleve en omstart.
Blokker Office-programmer fra å sende kode inn i andre prosesser(Block Office applications from injecting code into other processes). Å injisere kode i andre prosesser er også en vanlig angrepsteknikk. Gitt at det ikke er noen gode grunner til at dette vil skje fra Office-applikasjoner (f.eks. fra en makro), forhindrer denne regelen forebyggende sånn aktivitet.
Blokker JavaScript eller VBScript fra å starte nedlastet innhold som kan kjøres(Block JavaScript or VBScript from launching downloaded executable content). JavaScript og VBScript brukes ofte som fase én for annen ondsinnet kode som lastes ned og kjøres fra disse skriptene. Denne regelen forhindrer at disse skripttyper starter andre kjørbare filer.
Blokker kjøring av mulig uforståelige skripter(Block execution of potentially obfuscated scripts). Stopp skript som bruker skjult kode fra å kjøre. Gjelder JavaScript, Visual Basic Scripts, PowerShell og Office-makroer.
Blokker Win32 API-kall fra Office-makro (Block Win32 API calls from Office macros). Hindrer Visual Basic for Applications (brukt i makroer) i å kalle Win32 APIer. Dette gjøres noen ganger med ondsinnet kode for å starte skall-kode (shell) og forhindre skriving av filer til disk (filløse angrep).
Blokker kjørbare filer fra å kjøre med mindre de overholder vilkår for forekomst, alder eller klarert liste(Block executable files from running unless they meet a prevalence, age, or trusted list criterion). Forhindre at uvanlige applikasjoner kjøres på enheten. Apper evalueres på hvor utbredt det er (sett på mer enn 1 000 enheter), alder (utgitt for mer enn 24 timer siden) og plassering (hvilken plassering er kjørbare filer lagret på og kjørt fra).
Bruk avansert beskyttelse mot løsepengevirus(Use advanced protection against ransomware). Legger et nytt lag til i beskyttelsen mot løsepengevirus over hva Defender Antivirus gjør. Filer kontrolleres/analyseres og blokkeres i tillegg hvis de blir funnet mistenkelige. Filer som tidligere har blitt merket som sikre, har en gyldig signatur eller er vanlige (utbredt) i organisasjonen, er ikke blokkert.
Blokker legitimasjonstyveri fra delsystemet for lokale sikkerhetsinstanser i Windows (lsass.exe)(Block credential stealing from the Windows local security authority subsystem). Local Security Subsystem-prosessen (LSASS) er ansvarlig for å autentisere alle brukere som logger på en enhet. Denne regelen kan da gå inn og forhindre dumping av legitimasjon fra prosessen.
Blokker opprettelse av prosesser som kommer fra PSExec- og WMI-kommandoer(Block process creations originating from PSExec and WMI commands). Dette forhindrer at prosesser opprettes ved hjelp av enten PSExec og WMI. Førstnevnte brukes mye under angrep, mens det er også legitime brukstilfeller. WMI brukes av Endpoint Configuration Manager.
Blokker ikke-klarerte og usignerte prosesser som kjøres fra USB(Blokker upålitelige og usignerte prosesser som kjøres fra USB). Hindre usignerte og upålitelige filer fra å kjøre fra en flyttbar USB -stasjon eller lagringskort.
Blokker Office-kommunikasjonsprogrammer fra å opprette underordnede prosesser(Block Office communication application from creating child processes). Gjelder for Outlook og forhindrer at den oppretter underordnede prosesser. Dette er også en vanlig angrepsteknikk der en ondsinnet aktør prøver å overbevise en bruker om å åpne et vedlegg til en phishing -e -post, og at vedlegget kan inneholde kjørbart innhold. NB! Regelen deaktiverer Policy Tips.
Blokker Adobe Reader fra å opprette underordnede prosesser(Block Adobe Reader from creating child processes). Forhindre at Adobe Acrobat Reader oppretter underordnede prosesser. Dette vil være tilfelle når en PDF-fil er blitt manipulert, og den prøver å skape en ny prosess når filen åpnes.
Blokker misbruk av utnyttede sårbare signerte drivere(Block abuse of exploited vulnerable signed drivers). Forhindre at et program skriver en sårbar driver til disk. Drivere har vanligvis tilstrekkelige privilegier som har tilgang til kjernen, og kan dermed gjøre alvorlige skader på systemet.
Blokker vedvarende abonnement for WMI-arrangement(Block persistence through WMI event subscription). Forhindre at ondsinnet kode vedvarer på enheten gjennom WMI. Dette observeres ofte med for eksempel filløs skadevare.
Avsluttende ord
Det burde være hevet over enhver tvil at disse reglene i høy grad kan gardere deg mot mange former for angrep. Dessverre krever de at den innbygde virus- og trusselbeskyttelsen i Windows 10 og 11 må kjøre i aktiv modus og ikke fungerer sammen med tredjeparts antivirus. En annen ting å være obs på er at enkelte av funksjonene kan ødelegge for programmer du er avhengig av. Test reglene nøye i overvåkingsmodus før du håndhever dem.
Microsoft Defender antivirus må ikke forveksles med Defender for Endpoint. Sistnevnte er ikke en forutsetning for ASR-reglene, men er en avgjort fordel. Den bidrar til overvåking, rapportering og feilretting. I del II av bloggen følger vi opp med de andre forbyggende funksjonene som reduserer eksponeringen av tjenester.
I gjennomgangen av de enkelte reglene for reduksjon av angrepsflaten står fremstillingen i gjeld til selve standardverket om sikkerhet i Microsoft 365, Microsoft 365 Security for IT Pros ved Michael Van Horenbeeck og andre MVPer.