אלי שלמה

הגדרת ASR באמצעות Microsoft Intune

by · 23/12/2017

מתקפות יכולות להיות שונות אך לכולם עדיין יהיה מכנה משותף של סט הרצת פעולות עם סקריפטים שונים, גישה לתיקיות שונות, גישה והתקשרות אל שרתי התוקף.

ישנם מצבים בהם תוכן זדוני מכיל רק את החלק הראשוני של המתקפה של ביצוע injecting לתוך תהליך מסוים ורק לאחר פרק זמן מסוים מפעיל סט פעולות שונות במסגרת המתקפה.

הבעיה העיקרית שמופיעה ביומיום היא שלמרות כל מערכות הדואר אשר מבצעות סינון כולל Sandbox ועוד מערכות נוספות שאמורות להגן על קבצים שמכילים תוכן זדוני, עדיין אחרי הכל משתמשים עלולים לקבל תוכן זדוני בשתי רמות:

  • קבצים מבוססים Macro אשר מכילים תוכן זדוני
  • קישורים ולינקים לאתרים לא אמינים

המאמרים הקודמים התמקדו ביכולות השונות של Windows Defender Exploit Guard והיכולות שניתן לקבל עמם כולל חוקים ותצורת העבודה בכל רכיב ולכן המאמר הנוכחי יתמקד בהפעלה של יכולות Attack Surface Reduction באמצעות Microsoft Intune.

Attack Surface Reduction מכיל סט של פעולות אשר כל תפקידן הוא לבצע חסימה של פעולות חשודות מתוך מסמכים המכילים Macro, יחד עם זאת Attack Surface Reduction שומר על הפרודוקטיביות של המשתמש ואינו מונע ממנו מסמכים רלוונטיים שאין בהם תוכן זדוני.

Attack Surface Reduction מתמודד וחוסם פעולות חשודות בכמה רמות ועם סט פעולות שונות:

אפליקציות מבוססות Office

  • חסימה או מעקב של תוכן זדוני במחשב מקומי
  • חסימה או מעקב של הרצת תוכן זדוני מול process
  • חסימה או מעקב של הרצת תוכן זדוני מול child process
  • חסימה או מעקב של תוכן מבוסס WIN32

סקריפטים

  • חסימה או מעקב של סקריפטים מבוססים VB, PS,Java
  • חסימה או מעקב של סקריפטים אשר מבצעים תקשורת מול שרתי התוקף

דואר

  • חסימה או מעקב של הרצת תוכן מקובץ אשר ירד מתוך המייל (Outlook או מבוסס browser)

הגדרת Attack Surface Reduction

ניתן להפעיל חוקי Attack Surface Reduction בשתי רמות: מעקב וחסימה או את שתיהן יחדיו. במקביל לכך ניתן להגדיר Attack Surface Reduction מתוך הפלטפורמות הבאות: Group Policy, Microsoft Intune, SCCM, PowerShell.

כלל החוקים הקיימים של Attack Surface Reduction הם חוקים ברמת Office, Email, Script ולכל אחד מהם ישנו Guid ספציפי וכן חוקים שאינם עובדים עם תיקיות שלא הוגדרו לסריקה.

image

על מנת להגדיר Attack Surface Reduction באמצעות Microsoft Intune יש לבצע את הפעולות הבאות:
מתוך ממשק Microsoft Intune נבחר באפשרות Device Configurationimage

לאחר מכן נבחר באפשרות Profiles ונבחר ביצירת Policy חדש או עריכה של קיים

image

בהגדרות Policy נבחר באפשרויות הבאות:

  • Platform Windows 10 and later
  • Profile Type Endpoint Protection

לאחר מכן נבחר באפשרות Windows Defender Exploit Guardimage

לאחר מכן נבחר באפשרות Attack Surface Reduction ונגדיר את החוקים הנדרשים ובסיום נאשר את כל ההגדרות שבוצעו.image

בדיקת תקינות וסימולציה – לאחר ביצוע הגדרות נוודא תקינות בתחנת הקצה ונבצע סימולציה לבדיקת החוקים של Attack Surface Reduction.

בדיקת הגדרות ברמת תחנת קצה – מתוך תחנת הקצה נריץ את הפקודה Get-MpPreference עם הפרמטרים השונים בשביל לקבל את אותם הגדרות רלוונטיות
image

בנוסף נוכל לוודא שישנו Event שמספרו 5007 במצב 1

image

לאחר מכן נוכל לסמך פעולה מסוימת של מתקפה כדוגמת Ransomware ונוודא האם ישנה חסימה

כך זה נראה בממשק Event Viewer
image

המשתמש יקבל בתחנה המקומית התראה לגבי הרצת קובץ עם תוכן זדוני כדוגמת Ransomwareimage

ישנם כלים רבים ודרכי סימולציה בכדי לבצע בדיקה וסימולציה של המתקפה, אחד הכלים הוא Exploit Guard Evaluation Package

Tags:

You may also like...

השאר תגובה