|
|
知识路径: > 操作系统安全保护 > Windows操作系统安全分析与防护 > Windows操作系统安全分析(系统安全架构、系统安全机制、系统安全威胁分析等) > Windows安全机制 >
|
|
相关知识点:6个
|
|
|
|
|
针对常见的缓冲区溢出、恶意代码等攻击,微软公司的新版本操作系统Windows 7、Windows 10增加抗攻击安全机制,集成了内存保护机制,主要包括堆栈保护(Stack Protection)、安全结构例外处理SafeSEH(Safe Structured Exception Handling)、数据执行保护DEP(Data Execution Prevention)、地址随机化ASLR(Address Space Layout Randomization)、补丁保护PatchGuard、驱动程序签名(Driver Signing)等保护机制。Windows 10提供减少攻击面规则配置,具体如下:
|
|
|
|
阻止来自电子邮件客户端和Webmail的可执行内容。
|
|
|
|
该规则阻止Microsoft Outlook应用程序或其他Webmail程序打开电子邮件中的可执行文件、脚本文件,其中,执行文件类型有.exe,.dll或.scr,脚本文件有PowerShell.ps、VisualBasic.vbs或JavaScript.js文件。
|
|
|
|
|
|
恶意软件通常借用Office应用运行VBA宏或执行攻击代码。该规则阻止Word、Excel、PowerPoint、OneNote、Access等Office应用创建子进程。
|
|
|
|
|
|
恶意软件常常滥用Office作为攻击媒介,突破Office应用控制而将恶意组件保存到磁盘,使得恶意组件在计算机重新启动后存活下来,从而留在系统中。该规则用于防护持久性威胁,通过阻止Word、Excel、PowerPoint等Office应用程序创建潜在的恶意可执行内容,防止恶意代码写入磁盘。
|
|
|
|
|
|
攻击者有可能使用Office应用程序把恶意代码注入其他进程,将恶意代码伪装成干净的进程。该规则阻止将代码从Word、Excel、PowerPoint等Office应用程序注入其他进程。
|
|
|
|
阻止JavaScript或VBScript启动下载的可执行内容。
|
|
|
|
用JavaScript或VBScript编写的恶意软件通常从网上获取下载并启动其他恶意软件。该规则可防止脚本启动潜在的恶意下载内容。
|
|
|
|
|
|
脚本混淆是恶意软件作者和合法应用程序用来隐藏知识产权或减少脚本加载时间的常用技术。恶意软件作者使用混淆处理让恶意代码难以阅读,从而防止人、安全软件的严格审查。该规则可检测混淆脚本中的可疑属性。
|
|
|
|
|
|
Office VBA提供了调用Win32 API功能,但恶意软件会滥用此功能来启动恶意shellcode,而不直接将任何内容写入磁盘。该规则可用于防止使用VBA调用Win32 API功能。
|
|
|
|
|
|
启动执行不受信任或未知的可执行文件可能会导致潜在风险。该规则将阻止.exe、.dll或.scr等可执行文件类型启动,但在信任列表中的执行文件除外。
|
|
|
|
|
|
该规则要求扫描检查进入系统的可执行文件可信性。如果文件与勒索软件极为相似,则该规则将阻止它们运行,但在信任列表中的执行文件除外。
|
|
|
|
阻止从Windows本地安全授权子系统窃取身份凭据。
|
|
|
|
该规则通过锁定本地安全授权子系统服务(LSASS),以防止身份凭据被窃取。
|
|
|
|
|
|
该规则阻止运行通过PsExec和WMI创建的进程。PsExec和WMI都可以远程执行代码,因此存在恶意软件滥用此功能用于命令和控制目的,或将感染传播到整个组织网络的风险。
|
|
|
|
|
|
管理员使用此规则,可以阻止从USB(包括SD卡)运行未签名或不受信任的可执行文件、脚本文件,这些文件类型包括.exe、.dll、.scr、PowerShell.ps,VisualBasic.vbs或JavaScript.js。
|
|
|
|
|
|
该规则阻止Outlook创建子进程,但允许其正常的通信,可以抵御社会工程学攻击,防止利用Outlook漏洞攻击。
|
|
|
|
|
|
该规则通过阻止Adobe Reader创建其他进程来防止攻击。恶意软件常通过社会工程或漏洞利用,下载并启动其他有效负载,并突破Adobe Reader控制。通过阻止由Adobe Reader创建子进程,可以防止恶意软件将其用作攻击向量进行传播扩散。
|
|
|
|
|
|
该规则可防止恶意软件滥用WMI以持久性控制设备。无文件威胁使用各种策略来保持隐藏状态,以避免在文件系统中被查看到,进而实现定期执行控制。某些威胁可能会滥用WMI存储库和事件模型以使其保持隐藏状态。
|
|
|
