Site icon

הגדרת ASR באמצעות Microsoft Intune

מתקפות יכולות להיות שונות אך לכולם עדיין יהיה מכנה משותף של סט הרצת פעולות עם סקריפטים שונים, גישה לתיקיות שונות, גישה והתקשרות אל שרתי התוקף.

ישנם מצבים בהם תוכן זדוני מכיל רק את החלק הראשוני של המתקפה של ביצוע injecting לתוך תהליך מסוים ורק לאחר פרק זמן מסוים מפעיל סט פעולות שונות במסגרת המתקפה.

הבעיה העיקרית שמופיעה ביומיום היא שלמרות כל מערכות הדואר אשר מבצעות סינון כולל Sandbox ועוד מערכות נוספות שאמורות להגן על קבצים שמכילים תוכן זדוני, עדיין אחרי הכל משתמשים עלולים לקבל תוכן זדוני בשתי רמות:

המאמרים הקודמים התמקדו ביכולות השונות של Windows Defender Exploit Guard והיכולות שניתן לקבל עמם כולל חוקים ותצורת העבודה בכל רכיב ולכן המאמר הנוכחי יתמקד בהפעלה של יכולות Attack Surface Reduction באמצעות Microsoft Intune.

Attack Surface Reduction מכיל סט של פעולות אשר כל תפקידן הוא לבצע חסימה של פעולות חשודות מתוך מסמכים המכילים Macro, יחד עם זאת Attack Surface Reduction שומר על הפרודוקטיביות של המשתמש ואינו מונע ממנו מסמכים רלוונטיים שאין בהם תוכן זדוני.

Attack Surface Reduction מתמודד וחוסם פעולות חשודות בכמה רמות ועם סט פעולות שונות:

אפליקציות מבוססות Office

סקריפטים

דואר

הגדרת Attack Surface Reduction

ניתן להפעיל חוקי Attack Surface Reduction בשתי רמות: מעקב וחסימה או את שתיהן יחדיו. במקביל לכך ניתן להגדיר Attack Surface Reduction מתוך הפלטפורמות הבאות: Group Policy, Microsoft Intune, SCCM, PowerShell.

כלל החוקים הקיימים של Attack Surface Reduction הם חוקים ברמת Office, Email, Script ולכל אחד מהם ישנו Guid ספציפי וכן חוקים שאינם עובדים עם תיקיות שלא הוגדרו לסריקה.

על מנת להגדיר Attack Surface Reduction באמצעות Microsoft Intune יש לבצע את הפעולות הבאות:
מתוך ממשק Microsoft Intune נבחר באפשרות Device Configuration

לאחר מכן נבחר באפשרות Profiles ונבחר ביצירת Policy חדש או עריכה של קיים

בהגדרות Policy נבחר באפשרויות הבאות:

לאחר מכן נבחר באפשרות Windows Defender Exploit Guard

לאחר מכן נבחר באפשרות Attack Surface Reduction ונגדיר את החוקים הנדרשים ובסיום נאשר את כל ההגדרות שבוצעו.

בדיקת תקינות וסימולציה – לאחר ביצוע הגדרות נוודא תקינות בתחנת הקצה ונבצע סימולציה לבדיקת החוקים של Attack Surface Reduction.

בדיקת הגדרות ברמת תחנת קצה – מתוך תחנת הקצה נריץ את הפקודה Get-MpPreference עם הפרמטרים השונים בשביל לקבל את אותם הגדרות רלוונטיות

בנוסף נוכל לוודא שישנו Event שמספרו 5007 במצב 1

לאחר מכן נוכל לסמך פעולה מסוימת של מתקפה כדוגמת Ransomware ונוודא האם ישנה חסימה

כך זה נראה בממשק Event Viewer

המשתמש יקבל בתחנה המקומית התראה לגבי הרצת קובץ עם תוכן זדוני כדוגמת Ransomware

ישנם כלים רבים ודרכי סימולציה בכדי לבצע בדיקה וסימולציה של המתקפה, אחד הכלים הוא Exploit Guard Evaluation Package

Exit mobile version