Ukázky pravidel omezení potenciální oblasti útoku
Platí pro:
- Plán 2 pro Microsoft Defender pro koncový bod
- Microsoft Defender pro firmy
- Plán 1 pro Microsoft Defender for Endpoint
- Antivirová ochrana v Microsoft Defenderu
Pravidla omezení potenciální oblasti útoku cílí na konkrétní chování, která obvykle používají malware a škodlivé aplikace k napadení počítačů, například:
- Spustitelné soubory a skripty používané v aplikacích Office nebo webové poště, které se pokoušejí stáhnout nebo spustit soubory
- Skripty, které jsou obfuskované nebo jinak podezřelé
- Chování, které aplikace provádějí a které se neiniciuje během normální každodenní práce
Požadavky a nastavení scénáře
- Windows 11 Windows 10 1709 build 16273 nebo novější
- Windows Server 2022, Windows Server 2019, Windows Server 2016 nebo Windows Server 2012 R2 se sjednoceným klientem MDE.
- Antivirová ochrana v Microsoft Defenderu
- Microsoft 365 Apps (Office; povinné pro pravidla a ukázku Office)
- Stažení skriptů PowerShellu pro omezení potenciální oblasti útoku
Příkazy PowerShellu
Add-MpPreference -AttackSurfaceReductionRules_Ids BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536-B80A7769E899 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D3E037E1-3EB8-44C8-A917-57927947596D -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D1E49AAC-8F56-4280-B9BA-993A6D77406C -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids C1DB55AB-C21A-4637-BB3F-A12568109D35 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-CD74-433A-B99E-2ECDC07BFC25 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids e6db77e5-3df2-4cf1-b95a-636979351e5b -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids a8f5898e-1dc8-49a9-9878-85004b8a61e6 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-49E8-8B27-EB1D0A1CE869 -AttackSurfaceReductionRules_Actions AuditMode
Add-MpPreference -AttackSurfaceReductionRules_Ids 7674BA52-37EB-4A4F-A9A1-F0F9A1619A2C -AttackSurfaceReductionRules_Actions AuditMode
Stavy pravidel
| Stav | Režim | Číselná hodnota |
|---|---|---|
| Zakázáno | = Vypnuto | 0 |
| Povoleno | = Režim blokování | 1 |
| Auditu | = Režim auditování | 2 |
Ověření konfigurace
Get-MpPreference
Testovací soubory
Poznámka: Některé testovací soubory mají více vložených zneužití a aktivují více pravidel.
| Název pravidla | Identifikátor GUID pravidla |
|---|---|
| Blokování spustitelného obsahu z e-mailového klienta a webové pošty | BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550 |
| Blokování aplikací Office ve vytváření podřízených procesů | D4F940AB-401B-4EFC-AADC-AD5F3C50688A |
| Blokování aplikací Office ve vytváření spustitelného obsahu | 3B576869-A4EC-4529-8536-B80A7769E899 |
| Blokování vkládání aplikací Office do jiných procesů | 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84 |
| Znemožnění spouštění spustitelných souborů javascriptu a jazyka VBScript | D3E037E1-3EB8-44C8-A917-57927947596D |
| Blokování spouštění potenciálně obfuskovaných skriptů | 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC |
| Blokování importů Win32 z kódu makra v Office | 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B |
| {Blokování vytváření procesů pocházejících z příkazů rozhraní WMI & PSExec | D1E49AAC-8F56-4280-B9BA-993A6D77406C |
| Blokování spouštění nedůvěryhodných nebo nepodepsaných spustitelných souborů na vyměnitelném médiu USB | B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4 |
| Prevence agresivního ransomwaru | C1DB55AB-C21A-4637-BB3F-A12568109D35 |
| Blokovat spuštění spustitelných souborů, pokud nesplňují kritéria pro rozšíření, věk nebo seznam důvěryhodných souborů | 01443614-CD74-433A-B99E-2ECDC07BFC25 |
| Blokovat Adobe Readeru vytváření podřízených procesů | 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c |
| Blokovat zneužití zneužít ohrožených podepsaných ovladačů | 56a863a9-875e-4185-98a7-b882c64b5ce5 |
| Blokování krádeže přihlašovacích údajů ze subsystému místní autority zabezpečení Windows (lsass.exe) | 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 |
| Blokování trvalosti prostřednictvím odběru událostí WMI | e6db77e5-3df2-4cf1-b95a-636979351e5b |
| Blokování vytváření webového prostředí pro servery | a8f5898e-1dc8-49a9-9878-85004b8a61e6 |
Scénáře
Instalace
Stáhněte a spusťte tento instalační skript. Před spuštěním skriptu nastavte pomocí tohoto příkazu PowerShellu zásadu spouštění na Hodnotu Bez omezení:
Set-ExecutionPolicy Unrestricted
Místo toho můžete provést tyto ruční kroky:
- Create složku v části c: pojmenovanou demo, "c:\demo".
- Uložte tento čistý soubor do c:\demo.
- Pomocí příkazu PowerShellu povolte všechna pravidla.
Scénář 1: Omezení potenciální oblasti útoku blokuje testovací soubor s několika ohroženími zabezpečení
- Povolení všech pravidel v režimu blokování pomocí příkazů PowerShellu (můžete zkopírovat vložit vše)
- Stáhněte a otevřete libovolný testovací soubor nebo dokumenty a po zobrazení výzvy povolte úpravy a obsah.
Scénář 1 – očekávané výsledky
Okamžitě by se mělo zobrazit oznámení o zablokování akce.
Scénář 2: Pravidlo ASR blokuje testovací soubor s odpovídající chybou zabezpečení
Nakonfigurujte pravidlo, které chcete otestovat, pomocí příkazu PowerShellu z předchozího kroku.
Například:
Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions EnabledStáhněte a otevřete testovací soubor nebo dokument pro pravidlo, které chcete testovat, a po zobrazení výzvy povolte úpravy a obsah.
Příklad: Blokování aplikací Office ve vytváření podřízených procesů D4F940AB-401B-4EFC-AADC-AD5F3C50688A
Scénář 2 – očekávané výsledky
Okamžitě by se mělo zobrazit oznámení o zablokování akce.
Scénář 3 (Windows 10 nebo novější): Pravidlo ASR blokuje spuštění nepodepsaného obsahu USB
- Nakonfigurujte pravidlo pro ochranu USB (
B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4).
Add-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4 -AttackSurfaceReductionRules_Actions Enabled
- Stáhněte si soubor a vložte ho na USB flash disk a spusťte ho a zablokujte spuštění nedůvěryhodných nebo nepodepsaných spustitelných souborů uvnitř vyměnitelného média USB.
Scénář 3 – očekávané výsledky
Okamžitě by se mělo zobrazit oznámení o zablokování akce.
Scénář 4: Co by se stalo bez zmenšení prostoru útoku
Pomocí příkazů PowerShellu v části vyčištění vypněte všechna pravidla omezení potenciální oblasti útoku.
Stáhněte si libovolný testovací soubor nebo dokument a po zobrazení výzvy povolte úpravy a obsah.
Scénář 4 – očekávané výsledky
- Soubory v c:\demo jsou šifrované a měla by se zobrazit zpráva upozornění.
- Spuštěním testovacího souboru znovu dešifrujte soubory.
Vyčištění
Stažení a spuštění tohoto skriptu pro čištění
Případně můžete provést tyto ruční kroky:
Add-MpPreference -AttackSurfaceReductionRules_Ids BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536-B80A7769E899 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D3E037E1-3EB8-44C8-A917-57927947596D -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D1E49AAC-8F56-4280-B9BA-993A6D77406C -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids C1DB55AB-C21A-4637-BB3F-A12568109D35 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-CD74-433A-B99E-2ECDC07BFC25 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids e6db77e5-3df2-4cf1-b95a-636979351e5b -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids a8f5898e-1dc8-49a9-9878-85004b8a61e6 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-49E8-8B27-EB1D0A1CE869 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 7674BA52-37EB-4A4F-A9A1-F0F9A1619A2C -AttackSurfaceReductionRules_Actions Disabled
Vyčištění šifrování c:\demo spuštěním souboru encrypt/decrypt
Viz také
Průvodce nasazením pravidel omezení potenciální oblasti útoku
Referenční informace k pravidlu omezení potenciální oblasti útoku
Microsoft Defender for Endpoint – ukázkové scénáře
Tip
Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.