IT Tips & Tricks Series: ใช้ ASR Rules สร้างเกราะกำบังระดับอัจฉริยะให้ Endpoint
ในฐานะ IT Infrastructure Consultant หรือ System Engineer Manager สิ่งหนึ่งที่เราต้องยอมรับคือ แอนตี้ไวรัสแบบดั้งเดิม (Signatures-based) มักจะตามไม่ทันการโจมตีประเภท Living off the Land (LotL) หรือการที่แฮกเกอร์ใช้เครื่องมือที่มีอยู่แล้วใน Windows (เช่น PowerShell, WMI, Office Macros) มาใช้รันมัลแวร์หรือขโมยรหัสผ่าน
ต่อให้มัลแวร์นั้นจะใหม่แกะกล่องจนแอนตี้ไวรัสยังไม่มีฐานข้อมูล (Zero-day) แต่ถ้าเราเปิดใช้งาน Attack Surface Reduction (ASR) Rules บน Microsoft Defender ระบบจะบล็อก "พฤติกรรม" ที่ผิดปกติเหล่านั้นทันทีครับ
1. ASR Rules คืออะไร? (ลึกแต่เข้าใจง่าย)
ASR คือชุดกฎเกณฑ์อัจฉริยะที่ทำหน้าที่ควบคุมและจำกัดพฤติกรรมที่มีความเสี่ยงสูง โดยเน้นไปที่ช่องทาง (Vectors) ที่แฮกเกอร์ชอบใช้บ่อยที่สุด เช่น:
การสั่งให้แอปพลิเคชันตระกูล Office (Word, Excel) ไปสั่งรันสคริปต์หรือสร้าง Child Process
การพยายามเข้าไปอ่านหน่วยความจำของระบบเพื่อขโมยรหัสผ่าน (Credential Stealing)
การรันสคริปต์ที่แอบซ่อนตัวมากับอีเมล
2. 3 กฎเหล็กที่แอดมินมือโปรต้องเปิดใช้งาน (Recommended Rules)
Microsoft มีกฎ ASR ให้เลือกใช้เกือบ 20 ข้อ แต่สำหรับเริ่มต้น Hardening ระบบให้ปลอดภัยสูงสุด แนะนำ 3 ข้อนี้ครับ:
Rule: Block credential stealing from the Windows local security authority subsystem (lsass.exe)
พฤติกรรม: บล็อกแฮกเกอร์ไม่ให้ใช้เครื่องมืออย่าง Mimikatz เข้าไปดัมพ์รหัสผ่านจากหน่วยความจำ (LSASS)
Rule: Block Office applications from creating child processes
พฤติกรรม: ป้องกันมัลแวร์ประเภทมาโคร (Macro) ในไฟล์เอกสาร หลอกสั่งรัน PowerShell หรือ CMD ลึกๆ หลังบ้าน
Rule: Block executable content from email client and webmail
พฤติกรรม: สกัดกั้นไฟล์ตระกูล
.exe,.scr,.ps1ที่หลุดรอดจากระบบกรองเมล ไม่ให้ User เผลอกดรันจากหน้า Outlook
[Table: โหมดการทำงานของ ASR Rules]
| Mode | การทำงานหลังบ้าน | ผลกระทบต่อ User | เหมาะสำหรับ |
| Audit | บันทึก Log ลงระบบ แต่ไม่บล็อก | ไม่มีผลกระทบ (ทำงานได้ปกติ) | ทดสอบระบบช่วง 1-2 สัปดาห์แรก |
| Block | บล็อกพฤติกรรมทันที และบันทึก Log | แอปที่ทำผิดกฎจะรันไม่ได้ | ระบบ Production ที่นิ่งแล้ว |
| Warn | ขึ้นเตือนให้ User กดอนุญาตเองได้ | มี Pop-up ขึ้นให้ตัดสินใจ | พนักงานกลุ่ม Power Users / Dev |
3. วิธีการ Deploy ผ่าน Microsoft Intune
คุณสามารถสั่งควบคุมนโยบาย ASR ทั้งหมดในองค์กรได้ง่ายๆ จากส่วนกลางผ่านหน้าหน้าจอ Intune ครับ:
ไปที่ Microsoft Intune Admin Center
เลือก Endpoint security > Attack surface reduction
กด Create Policy เลือก Platform เป็น Windows 10 and later และ Profile เป็น Attack Surface Reduction rules
ตั้งค่ากฎแต่ละข้อเป็น Block (หรือ Audit สำหรับเครื่องที่ต้องการทดสอบก่อน) จากนั้นสั่ง Assign ไปยังกลุ่มอุปกรณ์เป้าหมาย
[ Microsoft Intune Admin Center ]
│
(Deploy ASR Policy)
▼
[ Windows 11 Endpoint ] ──(User เปิดไฟล์ Word ที่มีมาโคร)──► [ พยายามรัน PowerShell ]
│
(ASR Rule: Blocked! ❌)
💡 สรุปส่งท้ายสำหรับชาว IT
"การโจมตีที่น่ากลัวที่สุด คือการใช้เครื่องมือปกติทำเรื่องที่ผิดปกติ" การเปิดใช้งาน Attack Surface Reduction (ASR) Rules จะช่วยบีบพื้นที่การโจมตีให้แคบลง และช่วยตัดไฟแต่ต้นลมก่อนที่แรนซัมแวร์หรือแฮกเกอร์จะขยับขยายวงกว้าง (Lateral Movement) ในเครือข่ายของคุณครับ
#ITTTSeries #MicrosoftDefender #MDE #AttackSurfaceReduction #ASRRules #MicrosoftIntune #EndpointSecurity #CyberSecurity #ITAdminLife #SecurityHardening #BloggerIT
Comments
Post a Comment