Hyökkäyspinnan pienentämissääntöjen esittelyt
Koskee seuraavia:
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender for Business
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defenderin virustentorjunta
Hyökkäyspinnan vähentämissäännöt kohdistuvat tiettyihin käyttäytymisiin, joita haittaohjelmat ja haittaohjelmat käyttävät yleensä koneiden tartuttamiseen, kuten:
- Office-sovelluksissa tai verkkosähköpostissa käytetyt suoritettavat tiedostot ja komentosarjat, jotka yrittävät ladata tai suorittaa tiedostoja
- Virheelliset tai muuten epäilyttävät komentosarjat
- Sovellusten käyttämät käyttäytymiset, joita ei aloiteta normaalin päivittäisen työn aikana
Skenaariovaatimukset ja määritys
- Windows 11, Windows 10 1709 koontiversio 16273 tai uudempi
- Windows Server 2022, Windows Server 2019, Windows Server 2016 tai Windows Server 2012 R2 yhdistetyllä MDE-asiakasohjelmalla.
- Microsoft Defenderin virustentorjunta
- Microsoft 365 -sovellukset (Office, pakollinen Officen säännöille ja esimerkkeille)
- Lataa hyökkäyspinnan pienentäminen PowerShell-komentosarjat
PowerShell-komennot
Add-MpPreference -AttackSurfaceReductionRules_Ids BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536-B80A7769E899 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D3E037E1-3EB8-44C8-A917-57927947596D -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D1E49AAC-8F56-4280-B9BA-993A6D77406C -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids C1DB55AB-C21A-4637-BB3F-A12568109D35 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-CD74-433A-B99E-2ECDC07BFC25 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids e6db77e5-3df2-4cf1-b95a-636979351e5b -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids a8f5898e-1dc8-49a9-9878-85004b8a61e6 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-49E8-8B27-EB1D0A1CE869 -AttackSurfaceReductionRules_Actions AuditMode
Add-MpPreference -AttackSurfaceReductionRules_Ids 7674BA52-37EB-4A4F-A9A1-F0F9A1619A2C -AttackSurfaceReductionRules_Actions AuditMode
Säännön tilat
| Valtion | Tila | Numeerinen arvo |
|---|---|---|
| Poistettu käytöstä | = ei käytössä | 0 |
| Käytössä | = lohkotila | 1 |
| Tarkastuksen | = valvontatila | 2 |
Tarkista määritykset
Get-MpPreference
Testaa tiedostoja
Huomautus – joihinkin testitiedostoihin on upotettu useita hyödyntöjä ja ne käynnistävät useita sääntöjä
| Säännön nimi | Säännön GUID-tunnus |
|---|---|
| Estä suoritettava sisältö sähköpostiasiakkaasta ja webmailista | BE9BA2D9-53EA-4CDC-84E5-9B1EE46550 |
| Estä Office-sovelluksia luomasta aliprosesseja | D4F940AB-401B-4EFC-AADC-AD5F3C50688A |
| Estä Office-sovelluksia luomasta suoritettavaa sisältöä | 3B576869-A4EC-4529-8536-B80A7769E899 |
| Estä Office-sovelluksia lisäämästä muihin prosesseihin | 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84 |
| Impede JavaScript ja VBScript suoritustiedostojen käynnistämiseen | D3E037E1-3EB8-44C8-A917-57927947596D |
| Estä mahdollisesti hämärtyneiden komentosarjojen suorittaminen | 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC |
| Estä Win32-tuonti makrokoodista Officessa | 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B |
| {Estä prosessin luonti, joka on peräisin PSExec & WMI -komennoista | D1E49AAC-8F56-4280-B9BA-993A6D77406C |
| Block Ei-luotettavien tai allekirjoittamattomien suoritustiedostojen suorittaminen siirrettävissä USB-tietovälineissä | B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4 |
| Aggressiivinen kiristyshaittaohjelmien estäminen | C1DB55AB-C21A-4637-BB3F-A12568109D35 |
| Estä suoritettavien tiedostojen suorittaminen, elleivät ne täytä levinneisyyttä, ikää tai luotettuja luetteloehtoja | 01443614-CD74-433A-B99E-2ECDC07BFC25 |
| Estä Adobe Readeria luomasta aliprosesseja | 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c |
| Hyödynnettyjen haavoittuvassa asemassa olevien allekirjoitettujen ohjainten väärinkäytön estäminen | 56a863a9-875e-4185-98a7-b882c64b5ce5 |
| Estä tunnistetietojen varastaminen Windowsin paikallisen suojausviranomaisen alijärjestelmästä (lsass.exe) | 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 |
| Estä pysyvyys WMI-tapahtumatilauksen kautta | e6db77e5-3df2-4cf1-b95a-636979351e5b |
| Estä verkkosellien luominen palvelimia varten | a8f5898e-1dc8-49a9-9878-85004b8a61e6 |
Skenaarioita
Asennus
Lataa ja suorita tämä asennuskomentosarja. Ennen kuin suoritat komentosarjan, määritä suorituskäytännöksi Rajoittamaton tällä PowerShell-komennolla:
Set-ExecutionPolicy Unrestricted
Voit sen sijaan suorittaa seuraavat manuaaliset vaiheet:
- Create kansion kohdassa c: nimetty esittely, "c:\demo"
- Tallenna tämä puhdas tiedosto c:\demoon.
- Ota kaikki säännöt käyttöön PowerShell-komennolla.
Skenaario 1: Hyökkäyspinnan pienentäminen estää useita heikkouksia sisältävän testitiedoston
- Ota kaikki säännöt käyttöön lohkotilassa PowerShell-komentojen avulla (voit kopioida liittämisen kaikki)
- Lataa ja avaa mikä tahansa testitiedosto tai -asiakirjat sekä ota tarvittaessa muokkaus ja sisältö käyttöön.
Skenaarion 1 odotetut tulokset
Näet heti Toiminto estetty -ilmoituksen.
Skenaario 2: ASR-sääntö estää testitiedoston vastaavan haavoittuvuuden
Määritä testattava sääntö käyttämällä edellisen vaiheen PowerShell-komentoa.
Esimerkki
Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions EnabledLataa ja avaa testattavan säännön testitiedosto/asiakirja sekä ota muokkaus ja sisältö käyttöön pyydettässä.
Esimerkki: Estä Office-sovelluksia luomasta aliprosesseja D4F940AB-401B-4EFC-AADC-AD5F3C50688A
Skenaarion 2 odotetut tulokset
Näet heti Toiminto estetty -ilmoituksen.
Skenaario 3 (Windows 10 tai uudempi): ASR-sääntö estää allekirjoittamattoman USB-sisällön suorittamisen
- Määritä sääntö USB-suojausta (
B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4) varten.
Add-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4 -AttackSurfaceReductionRules_Actions Enabled
- Lataa tiedosto ja sijoita se USB-muistiin ja suorita se Estä ei-luotettavien tai allekirjoittamattomien suoritettavien tiedostojen suorittaminen siirrettävässä USB-tietovälineissä
Skenaarion 3 odotetut tulokset
Näet heti Toiminto estetty -ilmoituksen.
Skenaario 4: Mitä tapahtuisi ilman hyökkäyksen pinnan pienentämistä?
Poista käytöstä kaikki hyökkäysalueen pienentämissäännöt käyttämällä Tyhjennys-osion PowerShell-komentoja.
Lataa mikä tahansa testitiedosto tai -tiedosto ja ota pyydettäessa käyttöön muokkaus ja sisältö.
Skenaarion 4 odotetut tulokset
- Kansiossa c:\demo olevat tiedostot salataan, joten näyttöön tulee varoitussanoma
- Suorita testitiedosto uudelleen tiedostojen salauksen purkamiseksi
Puhdistaminen
Lataa ja suorita tämä puhdistuskomentosarja
Vaihtoehtoisesti voit suorittaa seuraavat manuaaliset vaiheet:
Add-MpPreference -AttackSurfaceReductionRules_Ids BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536-B80A7769E899 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D3E037E1-3EB8-44C8-A917-57927947596D -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D1E49AAC-8F56-4280-B9BA-993A6D77406C -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids C1DB55AB-C21A-4637-BB3F-A12568109D35 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-CD74-433A-B99E-2ECDC07BFC25 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids e6db77e5-3df2-4cf1-b95a-636979351e5b -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids a8f5898e-1dc8-49a9-9878-85004b8a61e6 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-49E8-8B27-EB1D0A1CE869 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 7674BA52-37EB-4A4F-A9A1-F0F9A1619A2C -AttackSurfaceReductionRules_Actions Disabled
Puhdista c:\demo-salaus suorittamalla tiedoston salaus/salauksen purku
Tutustu myös seuraaviin ohjeartikkeleihin:
Hyökkäyspinnan pienentämissääntöjen käyttöönotto-opas
Hyökkäyksen pinnan pienentämissääntöjen viittaus
Microsoft Defender for Endpoint – esittelyskenaariot
Vihje
Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.