Polityki Attack Surface Reduction (ASR) – skuteczna część ochrony przed malware

Kamil Grabowski, Inżynier Infrastruktury IT

Attack Surface Reduction (ASR) to zestaw technik, zasad i mechanizmów bezpieczeństwa, które mają na celu zminimalizowanie wszelkich potencjalnych wektorów ataku na system, aplikację czy infrastrukturę. Termin „powierzchnia ataku” odnosi się do elementów, które narażają organizację na ryzyko – na przykład nieużywane usługi, otwarte porty, makra w dokumentach czy skrypty.

Zasady te pozwalają nam skutecznie zablokować typowe ścieżki ataku phishingowego już na etapie uruchamiania złośliwego kodu. Na przykład reguły ASR mogą zablokować aplikacje biurowe (takie jak Word, Excel, Outlook) oraz czytniki PDF (jak Acrobat Reader czy EdgePDF) przed tworzeniem jakichkolwiek procesów potomnych. Dzięki temu, nawet jeśli ofiara otworzy złośliwy dokument z wbudowanym kodem, wszelkie próby pobrania i uruchomienia instalatora „sterownika” lub droppera PowerShell zostaną automatycznie zablokowane. Dodatkowo możemy dostosować polityki, aby uniemożliwić:

ładowanie niepodpisanych lub niezaufanych sterowników (ochrona przed ładowaniem sterowników),
uruchamianie skryptów PowerShell, JavaScript czy WSH spoza określonych katalogów (na przykład tylko z folderu %SystemRoot%\System32),
wykonywanie plików .exe, .dll, .ps1 czy .js na podstawie reguł opartych na znanych sygnaturach lub atrybutach (takich jak podpis cyfrowy czy certyfikat zaufanego wydawcy).

Całość polityk można podejrzeć tutaj: https://learn.microsoft.com/en-us/defender-endpoint/attack-surface-reduction-rules-reference

Takie podejście znacząco ogranicza liczbę wektorów, przez które atakujący mogą wstrzyknąć i uruchomić złośliwy kod, jednocześnie zapewniając pełną funkcjonalność systemu dla zweryfikowanych, bezpiecznych aplikacji i komponentów.

Kluczowe elementy wdrożenia zasad Attack Surface Reduction

I. Odpowiedni system operacyjny:

Windows 10 (Pro, Enterprise lub Education) w wersji 1709 lub nowszej
Windows 11 (wszystkie edycje)
Windows Server 2019 i 2022 (dla niektórych reguł ASR wspierane są również Server 2016, po odpowiednim skonfigurowaniu)
Windows Defender Antivirus z funkcją Exploit Guard (ASR)

ASR jest już wbudowane w Windows Defender Antivirus we wszystkich wymienionych systemach – nie potrzebujesz żadnej dodatkowej subskrypcji ani licencji. Nie musisz mieć ani planu 1, ani planu 2 Microsoft Defender for Endpoint, ponieważ reguły ASR można aktywować lokalnie na każdej maszynie z Windows (przez Group Policy, Intune lub PowerShell).

II. Włączenie kanału „Operational” dla Windows Defender Exploit Guard

Aby móc śledzić i analizować, które akcje zostały zablokowane lub zarejestrowane przez reguły ASR, musisz w systemie Windows włączyć i skonfigurować odpowiedni kanał dziennika zdarzeń.

Rozpocznij od otwarcia Podglądu zdarzeń (Event Viewer) i przejdź do: Applications and Services Logs → Microsoft → Windows → Windows Defender Exploit Guard → Operational.

Kliknij prawym przyciskiem myszy i wybierz opcję Enable Log, aby rozpocząć rejestrowanie zdarzeń ASR (Event IDs od 1121 do 1125, z których każdy odpowiada innej regule ASR).

III. Identyfikacja i interpretacja zdarzeń ASR

Event ID 1121: reguła ASR zablokowała uruchomienie procesu potomnego
Event ID 1122: reguła ASR zablokowała modyfikację pliku
Event ID 1123–1125: inne typy blokad (np. wstrzykiwanie kodu, ładowanie DLL)

Każde zdarzenie zawiera szczegóły, takie jak nazwa reguły, ścieżka do pliku, konto użytkownika oraz nazwa aplikacji, która próbowała wykonać zabronioną akcję.

IV. Przekazywanie i centralne monitorowanie

Jeśli korzystasz z SIEM (np. Azure Sentinel, Splunk, Wazuh), skonfiguruj Windows Event Forwarding (WEF) lub bezpośredni konektor, aby wysyłać kanał Windows Defender Exploit Guard\Operational do centralnego repozytorium.

Dzięki odpowiedniej konfiguracji Podglądu zdarzeń i forwardingu zyskasz wgląd w każde zablokowane wywołanie przez reguły ASR, co jest kluczowe do oceny skuteczności polityk oraz szybkiego dostosowywania reguł do rzeczywistości.

Opcjonalnie, ale bardziej zalecane, jest wykorzystanie Microsoft Defender for Endpoint – dla centralnego zarządzania i raportowania, co znacznie ułatwia sprawę.

Rozważając wdrożenie Microsoft Defender for Endpoint, warto wiedzieć, że oferuje on jedną, scentralizowaną konsolę do zarządzania zasadami ASR. Dzięki temu można monitorować ich skuteczność oraz generować raporty o incydentach. Administratorzy mają możliwość przeglądania w czasie rzeczywistym zdarzeń blokowanych przez reguły ASR, śledzenia trendów nieautoryzowanych prób uruchomienia procesów czy ładowania DLL, a także szybkiego wprowadzania korekt polityk bez konieczności ręcznej konfiguracji na każdej maszynie.

V. Subskrypcje Defender for Endpoint

Plan 2 (część Microsoft 365 E5 lub samodzielne MDE P2) oferuje pełen zestaw funkcji EDR, zaawansowane raporty, integrację z zarządzaniem zagrożeniami i lukami oraz automatyczne rekomendacje zmian w regułach ASR. To rozwiązanie „wszystko w jednym” umożliwia definiowanie, testowanie (tryb audytu) i wymuszanie (tryb blokady) zasad ASR w wielu grupach urządzeń z poziomu jednej konsoli.

Plan 1 (Microsoft 365 E3 Security) zapewnia podstawowe widoki zdarzeń ASR oraz raporty zbiorcze, ale nie oferuje zaawansowanej telemetrii ani automatycznych sugestii. Choć ułatwia pracę zespołów bezpieczeństwa, nie jest niezbędny do działania reguł ASR.

VI. Mechanizm dystrybucji polityk ASR

Group Policy (Active Directory)
- Import szablonów ADMX dla Windows Defender Exploit Guard.
- Konfiguracja reguł w gałęzi: Computer Configuration → Administrative Templates → Windows Components → Microsoft Defender Antivirus → Microsoft Defender Exploit Guard → Attack Surface Reduction Rules.
- Polityki natychmiast propagują się do wszystkich komputerów w danej OU.
Microsoft Intune (Azure AD)
- Utworzenie profilu konfiguracyjnego: Endpoint protection → Windows Defender Exploit Guard → zakładka Attack surface reduction.
- Przypisywanie do grup urządzeń – zmiany trafiają do urządzeń zarządzonych przez Intune w ciągu kilkunastu minut.
PowerShell (lokalne/remote)
Przy pomocy cmdletów, na przykład:
# Włączenie reguły blokującej tworzenie procesów potomnych przez aplikacje biurowe

Set-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EFC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions Enabled

Można wdrożyć skrypty przy użyciu narzędzi takich jak SCCM, Intune Script lub innej automatyzacji.

Dlaczego warto postawić na ASR w ochronie przed zagrożeniami?

ASR to zestaw reguł wbudowanych w Windows Defender Exploit Guard, które blokują niebezpieczne operacje aplikacji, takie jak tworzenie procesów potomnych przez Office czy ładowanie niezaufanych sterowników. Dzięki temu minimalizuje się najczęstsze wektory ataku i utrudnia uruchomienie złośliwego kodu. ASR to kluczowy, lekki element wielowarstwowej ochrony, który znacząco podnosi bezpieczeństwo środowiska.

Warto wspomnieć, że człowiek zawsze będzie najsłabszym ogniwem w łańcuchu bezpieczeństwa – wystarczy tylko chwila nieuwagi, by przypadkowo kliknąć w złośliwy link lub uruchomić niebezpieczny kod. Reguły ASR znacząco ograniczają skutki takich błędów, automatycznie blokując podejrzane działania aplikacji i uniemożliwiając instalację nieautoryzowanych sterowników czy skryptów. Dzięki temu, nawet jeśli użytkownik popełni błąd, atak zostaje zatrzymany na poziomie systemu, co daje zespołom bezpieczeństwa więcej czasu na reakcję. Polityki ASR powinny stanowić jeden z filarów wielowarstwowej strategii bezpieczeństwa, a nie jej całość.