Povolení pravidel redukce prostoru pro útoky

  • 17 min

Vaše prostor pro útoky zahrnuje všechna místa, kde by útočník mohl ohrozit zařízení nebo sítě vaší organizace. Omezení prostoru pro útoky znamená ochranu zařízení a sítě vaší organizace, což útočníkům umožňuje méně způsobů, jak provádět útoky.

Pravidla omezení prostoru pro útoky cílí na určité chování softwaru, které útočníci často zneužívají. Mezi taková chování patří:

  • Spouštění spustitelných souborů a skriptů, které se pokoušejí stáhnout nebo spustit soubory

  • Spouštění obfuskovaných nebo jinak podezřelých skriptů

  • Chování, které aplikace obvykle nespouštět během běžné každodenní práce.

Takové chování softwaru se někdy projevuje v legitimních aplikacích; Toto chování se ale často považuje za rizikové, protože se běžně zneužívají malwarem. Pravidla snížení počtu prostorů pro útoky můžou omezit rizikové chování a zajistit bezpečnost vaší organizace.

Každé pravidlo redukce prostoru pro útoky obsahuje jedno ze čtyř nastavení:

  • Nenakonfigurováno: Zakázání pravidla omezení prostoru pro útoky

  • Blok: Povolení pravidla omezení prostoru pro útoky

  • Audit: Vyhodnocení toho, jak by pravidlo snížení počtu prostorů pro útok mělo vliv na vaši organizaci, pokud je povolené

  • Upozornění: Povolte pravidlo omezení možností útoku, ale povolte koncovému uživateli obejít blok.

Pravidla omezení prostoru pro útoky

Pravidla redukce prostoru pro útoky v současné době podporují následující pravidla:

  • Blokování spustitelného obsahu z e-mailového klienta a webové pošty
  • Blokování vytváření podřízených procesů aplikace Office
  • Blokování aplikace Office řešování vytváření spustitelného obsahu
  • Blokování aplikace Office řeknutí vkládání kódu do jiných procesů
  • Blokování spouštění staženého spustitelného obsahu v JavaScriptu nebo VBScriptu
  • Blokování spouštění potenciálně obfuskovaných skriptů
  • Blokování volání rozhraní API Win32 z makra Office
  • Použití pokročilé ochrany proti ransomwaru
  • Blokování krádeže přihlašovacích údajů ze subsystému místní autority zabezpečení Windows (lsass.exe)
  • Blokování vytváření procesů pocházejících z příkazů PSExec a WMI
  • Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB
  • Blokování spuštění spustitelných souborů, pokud nesplňují kritéria pro prevalenci, věk nebo důvěryhodný seznam
  • Blokování komunikačních aplikací Office v vytváření podřízených procesů
  • Blokování vytváření podřízených procesů v aplikaci Adobe Reader
  • Blokování trvalosti prostřednictvím odběru událostí rozhraní WMI

Vyloučení souborů a složek z pravidel omezení možností útoku

Soubory a složky můžete vyloučit z vyhodnocení většiny pravidel redukce prostoru pro útoky. To znamená, že i když pravidlo redukce prostoru útoku určuje, že soubor nebo složka obsahují škodlivé chování, nezablokuje spuštění souboru, což také znamená, že potenciálně nebezpečné soubory mohou spouštět a infikovat vaše zařízení.

Pravidla redukce prostoru útoku se vyloučí z aktivace na základě certifikátů a hodnot hash souborů povolením zadaných indikátorů souboru a certifikátu Defenderu for Endpoint.

Můžete zadat jednotlivé soubory nebo složky (pomocí cest ke složkám nebo plně kvalifikovaných názvů prostředků), ale nemůžete určit, na která pravidla se vyloučení vztahují. Vyloučení se použije pouze při spuštění vyloučené aplikace nebo služby. Pokud například přidáte vyloučení pro službu aktualizace, která je již spuštěná, služba aktualizace bude dál spouštět události, dokud se služba nezastaví a restartuje.

Režim auditu pro vyhodnocení

Pomocí režimu auditování vyhodnoťte, jak by pravidla redukce prostoru útoku měla vliv na vaši organizaci, pokud by byla povolená. Nejlepší je nejprve spustit všechna pravidla v režimu auditu, abyste pochopili jejich dopad na obchodní aplikace. Řada obchodních aplikací je napsána s omezenými bezpečnostními obavami a můžou provádět úlohy způsobem, který se zdá být podobný malwaru. Monitorováním dat auditu a přidáním vyloučení pro nezbytné aplikace můžete nasadit pravidla snížení počtu útoků bez dopadu na produktivitu.

Oznámení při aktivaci pravidla

Při každé aktivaci pravidla se na zařízení zobrazí oznámení. Oznámení můžete přizpůsobit podrobnostmi o vaší společnosti a kontaktními údaji. Oznámení se také zobrazí na portálu Microsoft Defenderu.

Konfigurace pravidel redukce prostoru pro útoky

Tato pravidla můžete nastavit pro zařízení s některou z následujících edicí a verzí Windows:

  • Windows 10 Pro verze 1709 nebo novější
  • Windows 10 Enterprise verze 1709 nebo novější
  • Windows Server verze 1803 (Půlroční kanál) nebo novější
  • Windows Server 2019
  • Windows Server 2016
  • Windows Server 2012 R2
  • Windows Server 2022

Pravidla snížení počtu útoků můžete povolit pomocí některé z těchto metod:

  • Microsoft Intune
  • Správa mobilních zařízení (MDM)
  • Microsoft Endpoint Configuration Manager
  • Zásady skupiny
  • PowerShell

Doporučuje se správa na podnikové úrovni, jako je Intune nebo Microsoft Endpoint Configuration Manager. Správa na podnikové úrovni přepíše všechna konfliktní nastavení zásad skupiny nebo PowerShellu při spuštění.

Intune

Profily konfigurace zařízení:

  1. Vyberte Profily konfigurace > zařízení. Zvolte existující profil ochrany koncových bodů nebo vytvořte nový. Pokud chcete vytvořit nový profil, vyberte Vytvořit profil a zadejte informace pro tento profil. Jako typ profilu vyberte Endpoint Protection. Pokud jste vybrali existující profil, vyberte Vlastnosti a pak vyberte Nastavení.

  2. V podokně Ochrana koncového bodu vyberte Ochranu Exploit Guard v programu Windows Defender a pak vyberte Omezení prostoru útoku. Vyberte požadované nastavení pro každé pravidlo.

  3. V části Výjimky redukce prostoru útoku zadejte jednotlivé soubory a složky. Můžete také vybrat možnost Importovat a importovat soubor CSV, který obsahuje soubory a složky, které se mají vyloučit z pravidel redukce prostoru útoku. Každý řádek v souboru CSV by měl být formátovaný takto:

    C:\folder, %ProgramFiles%\folder\file, C:\path

  4. Na třech podoknech konfigurace vyberte OK . Pak vyberte Vytvořit, pokud vytváříte nový soubor ochrany koncových bodů, nebo pokud upravujete existující soubor, vyberte Uložit.

Zásady zabezpečení koncových bodů:

  1. Vyberte snížení počtu možností útoku na zabezpečení > koncového bodu. Zvolte existující pravidlo nebo vytvořte nové. Pokud chcete vytvořit novou, vyberte Vytvořit zásadu a zadejte informace pro tento profil. Jako typ profilu vyberte pravidla redukce prostoru útoku. Pokud jste vybrali existující profil, vyberte Vlastnosti a pak vyberte Nastavení.

  2. V podokně Nastavení konfigurace vyberte Omezení prostoru útoku a pak vyberte požadované nastavení pro každé pravidlo.

  3. V části Seznam dalšíchsch Můžete také vybrat možnost Importovat a importovat soubor CSV, který obsahuje soubory a složky, které se mají vyloučit z pravidel redukce prostoru útoku. Každý řádek v souboru CSV by měl být formátovaný takto:

    C:\folder, %ProgramFiles%\folder\file, C:\path

  4. Ve třech podoknech konfigurace vyberte Další a pak vyberte Vytvořit , pokud vytváříte novou zásadu, nebo pokud upravujete existující zásadu, vyberte Uložit .

Správa mobilních zařízení

Správa pravidel redukce prostoru pro útoky ve správě mobilních zařízení:

  • Pomocí poskytovatele konfiguračních služeb (CSP) ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules můžete jednotlivě povolit a nastavit režim pro každé pravidlo.

  • Postupujte podle referenčních informací ke správě mobilních zařízení v pravidlech redukce prostoru útoku pro používání hodnot GUID.

  • Cesta OMA-URI: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules

  • Hodnota: 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84=2|3B576869-A4EC-4529-8536-B80A7769E899=1|D4F940AB-401B-4EfC-AADC-AD5F3C50688A=2|D3E037E1-3EB8-44C8-A917-57927947596D=1|5BEB7EFE-FD9A-4556-801D-275E5FFC04CC=0|BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550=1

  • Hodnoty, které se mají povolit, zakázat nebo povolit v režimu auditu, jsou:

    • Zakázat = 0

    • Block (enable attack surface reduction rule) = 1

    • Audit = 2

  • K přidání vyloučení použijte poskytovatele konfiguračních služeb ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions (CSP).

Příklad:

  • Cesta OMA-URI: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions

  • Hodnota: c:\path|e:\path|c:\wlisted.exe

Microsoft Endpoint Configuration Manager

Správa pravidel omezení prostoru pro útoky v Microsoft Endpoint Configuration Manageru:

  1. V Microsoft Endpoint Configuration Manageru přejděte na Prostředky a dodržování předpisů > Endpoint Protection > Exploit Guard v programu Windows Defender.

  2. Vyberte Možnost Domů > Vytvořit zásady ochrany Exploit Guard.

  3. Zadejte název a popis, vyberte Omezení prostoru útoku a vyberte Další.

  4. Zvolte, která pravidla budou blokovat nebo auditovat akce, a vyberte Další.

  5. Zkontrolujte nastavení a výběrem možnosti Další vytvořte zásadu.

  6. Po vytvoření zásady vyberte Zavřít.

Zásady skupiny

Správa pravidel snížení počtu možností útoku v zásadách skupiny:

Upozorňující

Pokud spravujete počítače a zařízení pomocí Intune, Configuration Manageru nebo jiné platformy pro správu na podnikové úrovni, software pro správu přepíše všechna konfliktní nastavení zásad skupiny při spuštění.

  1. Na počítači pro správu zásad skupiny otevřete konzolu pro správu zásad skupiny, klikněte pravým tlačítkem myši na objekt zásad skupiny, který chcete konfigurovat, a vyberte Upravit.

  2. V Editoru pro správu zásad skupiny přejděte do konfigurace počítače a vyberte Šablony pro správu.

  3. Rozbalte strom na součásti > systému Windows Antivirová ochrana v programu Microsoft Defender > zmenšení prostoru útoku Exploit Guard > v programu Windows Defender.

  4. Vyberte Konfigurovat pravidla redukce prostoru pro útoky a vyberte Povoleno. Pak můžete nastavit jednotlivé stavy pro každé pravidlo v oddílu možností.

  5. Vyberte Zobrazit... a zadejte ID pravidla do sloupce Název hodnoty a zvolený stav ve sloupci Hodnota následujícím způsobem:

    Disable = 0 Block (enable attack surface reduction rule) = 1 Audit = 2

  6. Pokud chcete vyloučit soubory a složky z pravidel redukce prostoru útoku, vyberte nastavení Vyloučit soubory a cesty z nastavení omezení prostoru útoku a nastavte možnost Povoleno. Vyberte Zobrazit a zadejte každý soubor nebo složku ve sloupci Název hodnoty. Do sloupce Hodnota pro každou položku zadejte hodnotu 0 .

PowerShell

Správa pravidel omezení prostoru pro útoky pomocí PowerShellu:

Upozorňující

Pokud spravujete počítače a zařízení pomocí Intune, Configuration Manageru nebo jiné platformy pro správu na podnikové úrovni, software pro správu přepíše všechna konfliktní nastavení PowerShellu při spuštění. Pokud chcete uživatelům umožnit definovat hodnotu pomocí PowerShellu, použijte pro pravidlo na platformě pro správu možnost Definované uživatelem.

  1. Do nabídka Start zadejte PowerShell, klikněte pravým tlačítkem na Windows PowerShell a vyberte Spustit jako správce.

  2. Zadejte následující rutinu:

    Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Enabled

  3. Pokud chcete v režimu auditování povolit pravidla redukce prostoru pro útoky, použijte následující rutinu:

    Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions AuditMode

  4. Pokud chcete vypnout pravidla redukce prostoru pro útoky, použijte následující rutinu:

    Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Disabled

  5. Pro každé pravidlo musíte zadat stav jednotlivě, ale v seznamu odděleném čárkami můžete kombinovat pravidla a stavy.

  6. V následujícím příkladu se povolí první dvě pravidla, třetí pravidlo se zakáže a čtvrté pravidlo se povolí v režimu auditu:

    Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID 1>,<rule ID 2>,<rule ID 3>,<rule ID 4> -AttackSurfaceReductionRules_Actions Enabled, Enabled, Disabled, AuditMode

  7. K přidání nových pravidel do existujícího seznamu můžete také použít příkaz Add-MpPreference PowerShellu.

  8. Set-MpPreference vždy přepíše existující sadu pravidel. Pokud chcete přidat do existující sady, měli byste místo toho použít Add-MpPreference. Seznam pravidel a jejich aktuálního stavu můžete získat pomocí get-MpPreference.

  9. Pokud chcete vyloučit soubory a složky z pravidel redukce prostoru útoku, použijte následující rutinu:

    Add-MpPreference -AttackSurfaceReductionOnlyExclusions "<fully qualified path or resource>"

  10. Pokračujte v přidávání dalších souborů a složek do seznamu pomocí add-MpPreference -AttackSurfaceReductionOnlyExclusions.

Důležité

K přidání nebo přidání aplikací do seznamu použijte Add-MpPreference. Pomocí rutiny Set-MpPreference přepíšete existující seznam.

Seznam událostí snížení počtu možností útoku

Všechny události redukce prostoru pro útok se nacházejí v části Aplikace a služby protokoly > systému Microsoft > Windows v prohlížeči událostí systému Windows.