- \n
- Block executable content from email client and webmail<\/li>\n
- Block Office applications from creating child processes<\/li>\n
- Block Office applications from creating executable content<\/li>\n
- Block Office applications from injecting code into other processes<\/li>\n
- Block JavaScript or VBScript from launching downloaded executable content<\/li>\n
- Block execution of potentially obfuscated scripts<\/li>\n
- Block Win32 API calls from Office macro<\/li>\n
- Block executable files from running unless they meet a prevalence, age, or trusted list criteria<\/li>\n
- Use advanced protection against ransomware<\/li>\n
- Block credential stealing from the Windows local security authority subsystem (lsass.exe)<\/li>\n
- Block process creations originating from PSExec and WMI commands<\/li>\n
- Block untrusted and unsigned processes that run from USB<\/li>\n<\/ul>\n<\/blockquote>\n
Um sich einzulesen, startet man am besten mit der Dokumentation zur Attack Surface Reduction<\/a>. Hier werden die zur Verf\u00fcgung stehenden Regeln vorgestellt und erkl\u00e4rt. Anschlie\u00dfend widmet man sich dem Thema der Aktivierung der Regeln<\/a>, hier sind unter anderem GroupPolicies oder PowerShell die Mittel der Wahl (ein Anwender-GUI existiert hierzu derzeit nicht).<\/p>\n
Ein Sample-Script um einige (aus meiner Sicht recht sinnvolle) Attack-Surface-Reduction Regeln zu aktivieren habe ich in meinem GitHub Repo bereitgestellt: Enable-ExploitGuard-AttackSurfaceReduction.ps1<\/a><\/p>\n
Einige der Regeln k\u00f6nnen au\u00dferdem mit Ausnahmen versehen werden. Dies ist beispielsweise n\u00f6tig, um einzelne Anwendungsf\u00e4lle die ein auff\u00e4lliges\/geblocktes Szenario zeigen dennoch zuzulassen – erl\u00e4utert wird dies im Customizing Teil der Dokumentation<\/a>.<\/p>\n
![\"Windows](\"https:\/\/hitco.at\/blog\/wp-content\/uploads\/Defender-Exploit-Guard-Attack-Surface-Reduction.png\")