Jaa


Hyökkäyspinnan pienentämissääntöjen käyttöönotto

Koskee seuraavia:

Käyttöympäristöt

  • Windows

Vihje

Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.

Hyökkäyspinnan vähentämissäännöt auttavat ehkäisemään toimia, joita haittaohjelmat käyttävät usein väärin laitteiden ja verkkojen vaarantumiseen.

Vaatimukset

Hyökkäyspinnan vähentämisominaisuudet Windows-versioissa

Voit määrittää hyökkäyspinnan vähentämissääntöjä laitteille, joissa on käytössä jokin seuraavista Windowsin versioista ja versioista:

Jotta voit käyttää kaikkia hyökkäyspinnan vähentämissääntöjä, tarvitset seuraavat:

  • Microsoft Defender virustentorjunta ensisijaiseksi AV:ksi (reaaliaikainen suojaus käytössä)
  • Cloud-Delivery Protection (jotkin säännöt edellyttävät sitä)
  • Windows 10 Enterprise E5- tai E3-käyttöoikeus

Vaikka hyökkäysalueen vähentämissäännöt eivät edellytä Windows E5 -käyttöoikeutta, Windows E5 -käyttöoikeudella saat lisähallintaominaisuuksia, kuten valvontaa, analytiikkaa ja työnkulkuja, jotka ovat käytettävissä Defender for Endpointissa, sekä raportointi- ja määritysominaisuuksia Microsoft Defender XDR-portaalissa. Nämä lisäominaisuudet eivät ole käytettävissä E3-käyttöoikeudella, mutta voit silti tarkastella hyökkäyksen pinnan pienentämissääntöjen tapahtumia Tapahtumienvalvonta.

Jokainen hyökkäyspinnan pienentämissääntö sisältää yhden neljästä asetuksista:

  • Ei määritetty | Poistettu käytöstä: Poista hyökkäysalueen pienennyssääntö käytöstä
  • Lohko: Ota hyökkäysalueen pienentämissääntö käyttöön
  • Valvonta: Arvioi, miten hyökkäyspinnan pienentämissääntö vaikuttaisi organisaatioosi, jos se on käytössä
  • Varoitus: Ota hyökkäysalueen pienentämissääntö käyttöön, mutta salli käyttäjän ohittaa lohko

Suosittelemme käyttämään hyökkäysalueen vähentämissääntöjä Windows E5 -käyttöoikeudella (tai vastaavalla käyttöoikeus SKU:lla) hyödyntääksesi Microsoft Defender for Endpoint (Defender for Endpoint) käytettävissä olevia kehittyneitä valvonta- ja raportointiominaisuuksia. Jos sinulla on kuitenkin toinen käyttöoikeus, kuten Windows Professional tai Windows E3, joka ei sisällä kehittyneitä valvonta- ja raportointiominaisuuksia, voit kehittää omia valvonta- ja raportointityökaluja tapahtumien lisäksi, jotka luodaan jokaisessa päätepisteessä hyökkäyksen pinnan pienentämissääntöjen käynnistyessä (esimerkiksi Tapahtumien edelleenlähetys).

Vihje

Lisätietoja Windowsin käyttöoikeuksista on artikkelissa Windows 10 Käyttöoikeus ja volyymikäyttöoikeusopas Windows 10.

Voit ottaa hyökkäyspinnan pienentämissäännöt käyttöön käyttämällä mitä tahansa seuraavista menetelmistä:

Yritystason hallintaa, kuten Intune tai Microsoft Configuration Manager, suositellaan. Yritystason hallinta korvaa kaikki ryhmäkäytäntö tai PowerShell-asetukset käynnistyksen yhteydessä.

Jätä pois tiedostoja ja kansioita hyökkäysalueen vähentämissäännöistä

Useimmat hyökkäyspinnan pienentämissäännöt eivät voi arvioida tiedostoja ja kansioita. Tämä tarkoittaa sitä, että vaikka hyökkäysalueen pienentämissääntö määrittäisi, että tiedosto tai kansio sisältää haitallista toimintaa, se ei estä tiedoston suorittamista.

Tärkeää

Tiedostojen tai kansioiden jättäminen pois voi heikentää huomattavasti hyökkäysalueen pienentämissääntöjen tarjoamaa suojausta. Pois jätettyjen tiedostojen suorittaminen on sallittua, eikä raporttia tai tapahtumaa tallenneta. Jos hyökkäyspinnan vähentämissäännöt havaitsevat tiedostoja, joita ei mielestäsi pitäisi havaita, testaa sääntö ensin valvontatilassa. Poikkeusta sovelletaan vain, kun pois jätetty sovellus tai palvelu käynnistyy. Jos esimerkiksi lisäät poissulkemisen jo käynnissä olevalle päivityspalvelulle, päivityspalvelu jatkaa tapahtumien käynnistämistä, kunnes palvelu pysäytetään ja käynnistetään uudelleen.

Kun lisäät poissulkemisia, pidä mielessä seuraavat asiat:

Käytäntöristiriita

  1. Jos ristiriitaista käytäntöä käytetään MDM:n ja GP:n kautta, GP:ssä käytetty asetus on etusijalla.

  2. Hyökkäyspinnan vähentämissäännöt hallituille laitteille tukevat nyt eri käytäntöjen asetusten yhdistämistä luodakseen kullekin laitteelle käytännön yläjoukon. Vain asetukset, jotka eivät ole ristiriidassa, yhdistetään, kun taas ristiriitaisia asetuksia ei lisätä sääntöjen yläjoukkoon. Aiemmin, jos kaksi käytäntöä sisälsi ristiriitoja yhdelle asetukselle, molemmat käytännöt merkittiin ristiriitaisiksi eikä kummankaan profiilin asetuksia otettu käyttöön. Hyökkäysalueen pienentämissäännön yhdistäminen toimii seuraavasti:

    • Hyökkäyspinnan vähentämissäännöt seuraavista profiileista arvioidaan kullekin laitteelle, johon sääntöjä sovelletaan:
    • Asetukset, joissa ei ole ristiriitoja, lisätään laitteen käytännön yläjoukkoon.
    • Kun vähintään kahdella käytännöllä on ristiriitaisia asetuksia, ristiriitaisia asetuksia ei lisätä yhdistettyyn käytäntöön, kun taas asetukset, jotka eivät ole ristiriidassa, lisätään laitteeseen sovellettavaan yläjoukkokäytäntöön.
    • Vain ristiriitaisten asetusten määritykset pidätetään.

Määritysmenetelmät

Tässä osassa on määritystiedot seuraaville määritysmenetelmille:

Seuraavat hyökkäysalueen vähentämissääntöjen käyttöönoton menettelyt sisältävät ohjeita siitä, miten tiedostot ja kansiot jätetään pois.

Intune

Laitemääritysprofiilit

  1. Valitse Laitemääritysprofiilit>. Valitse aiemmin luotu päätepisteen suojausprofiili tai luo uusi. Jos haluat luoda uuden, valitse Luo profiili ja anna tiedot tälle profiilille. Valitse Profiilityyppi-kohdassaPäätepisteen suojaus. Jos olet valinnut aiemmin luodun profiilin, valitse Ominaisuudet ja valitse sitten Asetukset.

  2. Valitse Päätepisteen suojaus -ruudussa Windows Defender Exploit Guard ja valitse sitten Attack Surface Reduction. Valitse haluamasi asetus kullekin hyökkäysalueen pienentämissäännölle.

  3. Kirjoita Attack Surface Reduction -kohtaan yksittäiset tiedostot ja kansiot. Voit myös valita Tuo tuodaksesi CSV-tiedoston, joka sisältää tiedostoja ja kansioita, jotka eivät sisälly hyökkäysalueen vähennyssääntöihin. CSV-tiedoston kunkin rivin tulee olla muotoiltu seuraavasti:

    C:\folder, %ProgramFiles%\folder\file, C:\path

  4. Valitse kolmesta määritysruudusta OK. Valitse sitten Luo , jos olet luomassa uutta päätepisteen suojaustiedostoa, tai Tallenna , jos muokkaat aiemmin luotua tiedostoa.

Päätepisteen suojauskäytäntö

  1. Valitse Päätepisteen tietoturvahyökkäyksen>pinnan pienentäminen. Valitse aiemmin luotu hyökkäyspinnan pienentämissääntö tai luo uusi. Jos haluat luoda uuden, valitse Luo käytäntö ja anna tiedot tälle profiilille. Valitse Profiilityyppi-kohdassaHyökkäyspinnan pienentämissäännöt. Jos olet valinnut aiemmin luodun profiilin, valitse Ominaisuudet ja valitse sitten Asetukset.

  2. Valitse Määritysasetukset-ruudussaHyökkäyspinnan pienentäminen ja valitse sitten haluamasi asetus kullekin hyökkäyspinnan pienentämissäännölle.

  3. Anna suojattavan lisäkansion luettelo-kohtaanLuettelo sovelluksista, joilla on suojattujen kansioiden käyttöoikeus, ja Jätä pois tiedostoja ja polkuja hyökkäysalueen vähentämissäännöistä ja kirjoita yksittäisiä tiedostoja ja kansioita. Voit myös valita Tuo tuodaksesi CSV-tiedoston, joka sisältää tiedostoja ja kansioita, jotka eivät sisälly hyökkäysalueen vähennyssääntöihin. CSV-tiedoston kunkin rivin tulee olla muotoiltu seuraavasti:

    C:\folder, %ProgramFiles%\folder\file, C:\path

  4. Valitse kolme määritysruutua seuraava ja valitse sitten Luo , jos olet luomassa uutta käytäntöä, tai Tallenna , jos muokkaat aiemmin luotua käytäntöä.

Mukautettu profiili Intune

Microsoft Intune OMA-URI:n avulla voit määrittää mukautetut hyökkäyspinnan pienentämissäännöt. Seuraavassa toimenpiteessä käytetään esimerkiksi sääntöä Haavoittuvassa asemassa olevien allekirjoitettujen ohjainten väärinkäytön estäminen .

  1. Avaa Microsoft Intune hallintakeskus. Valitse Aloitus-valikostaLaitteet, valitse Määritysprofiilit ja valitse sitten Luo profiili.

    Luo profiili -sivu Microsoft Intune hallintakeskuksen portaalissa.

  2. Valitse luo profiili -kohdassa seuraavista kahdesta avattavasta luettelosta seuraavat:

    • Valitse käyttöympäristössäWindows 10 ja uudemmat
    • Valitse Profiilityyppi-kohdassaMallit
    • Jos hyökkäysalueen vähentämissäännöt on jo määritetty päätepisteen suojauksen kautta, valitse Profiilityyppi-kohdasta Asetukset Luettelo.

    Valitse Mukautettu ja valitse sitten Luo.

    Sääntöprofiilin määritteet Microsoft Intune hallintakeskusportaalissa.

  3. Mukautettu malli -työkalu avautuu vaiheeseen 1 Perusteet. Kirjoita 1 Perustiedot-kohdassaNimi-kohtaan mallisi nimi, ja kuvaus-kohtaan voit kirjoittaa kuvauksen (valinnainen).

    Microsoft Intune hallintakeskuksen portaalin perusmääritteet

  4. Valitse Seuraava. Vaihe 2 Määritysasetukset avautuu. Valitse OMA-URI-asetukset valitsemalla Lisää. Näkyviin tulee nyt kaksi vaihtoehtoa: Lisää ja vie.

    Microsoft Intune hallintakeskusportaalin määritysasetukset.

  5. Valitse Lisää uudelleen. Lisää rivi OMA-URI-asetukset avautuu. Toimi seuraavasti Lisää rivi -kohdassa:

    • Kirjoita Nimi-kohtaan säännön nimi.

    • Kirjoita Kuvaus-ruutuun lyhyt kuvaus.

    • Kirjoita tai liitä OMA-URI-kohtaan tietty OMA-URI-linkki lisättävälle säännölle. Katso tämän artikkelin MDM-osiosta OMA-URI, jota käytetään tässä esimerkkisäännössä. Lisätietoja hyökkäyksen pinnan pienentämissäännön GUIDS-tunnuksista on artikkelin kohdassa Säännön kuvaukset : Hyökkäyspinnan pienentämissäännöt.

    • Valitse Tietotyyppi-kohdassaMerkkijono.

    • Kirjoita arvoon GUID-arvo, = -merkki ja State-arvo ilman välilyöntejä (GUID=StateValue). Jossa:

      • 0: Poista käytöstä (Poista hyökkäysalueen pienennyssääntö käytöstä)
      • 1: Estä (Ota hyökkäyspinnan pienentämissääntö käyttöön)
      • 2: Valvonta (Arvioi, miten hyökkäyspinnan pienentämissääntö vaikuttaisi organisaatioosi, jos se on käytössä)
      • 6: Varoita (Ota hyökkäysalueen pienentämissääntö käyttöön, mutta salli käyttäjän ohittaa lohko)

    OMA URI -määritys Microsoft Intune hallintakeskusportaalissa

  6. Valitse Tallenna. Lisää rivi sulkeutuu. Valitse Mukautettu-kohdassaSeuraava. Vaiheen 3 käyttöaluetunnisteet ovat valinnaisia. Tee jokin seuraavista toimista:

    • Valitse Valitse käyttöaluetunnisteet, valitse käyttöaluetunniste (valinnainen) ja valitse sitten Seuraava.
    • Tai valitse Seuraava
  7. Valitse vaiheessa 4 VarauksetSisällytetyt Ryhmät ryhmille, joita haluat tämän säännön käyttöön, seuraavista vaihtoehdoista:

    • Ryhmien lisääminen
    • Lisää kaikki käyttäjät
    • Lisää kaikki laitteet

    Määritykset Microsoft Intune hallintakeskusportaalissa

  8. Valitse Pois jätetyissä ryhmissä ryhmät, jotka haluat jättää pois tästä säännöstä, ja valitse sitten Seuraava.

  9. Toimi vaiheessa 5 seuraavien asetusten soveltuvuussääntöjen mukaisesti:

    • Valitse Sääntö-kohdassa joko Määritä profiili, jos tai Älä määritä profiilia, jos

    • Valitse Ominaisuus-kohdassa ominaisuus, jota haluat tämän säännön käytettävän

    • Syötä Arvo-kohtaan soveltuva arvo tai arvoalue

    Microsoft Intune hallintakeskuksen portaalin soveltuvuussäännöt

  10. Valitse Seuraava. Tarkista vaiheessa 6 Tarkista + luo, tarkista valitsemasi ja syöttämäsi asetukset ja tiedot ja valitse sitten Luo.

    Tarkista ja luo -vaihtoehto Microsoft Intune hallintakeskuksen portaalissa

    Säännöt ovat aktiivisia ja reaaliaikaisia muutamassa minuutissa.

Huomautus

Ristiriitojen käsittely:

Jos määrität laitteelle kaksi erilaista hyökkäysalueen vähentämiskäytäntöä, mahdollisia käytäntöristiriitoja voi ilmetä sen mukaan, onko sääntöjä määritetty eri tiloissa, onko ristiriitainen hallinta käytössä ja onko tulos virhe. Jos sääntöjä ei ole muodostettu, ne eivät aiheuta virhettä, ja ne on otettu käyttöön oikein. Käytetään ensimmäistä sääntöä, ja sen jälkeiset yhteensovintamattomat säännöt yhdistetään käytäntöön.

MDM

Käytä ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules-määrityspalveluntarjoajaa (CSP) ottaaksesi jokaisen säännön tilan käyttöön ja määrittääksesi sen tilan erikseen.

Seuraavassa on esimerkki viitteeksi, jossa käytetään HYÖKKÄYKSEN pinnan pienentämissääntöjen viitettä guiD-arvoja.

OMA-URI path: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules

Value: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84=2|3b576869-a4ec-4529-8536-b80a7769e899=1|d4f940ab-401b-4efc-aadc-ad5f3c50688a=2|d3e037e1-3eb8-44c8-a917-57927947596d=1|5beb7efe-fd9a-4556-801d-275e5ffc04cc=0|be9ba2d9-53ea-4cdc-84e5-9b1eeee46550=1

Valvontatilassa käyttöön otettavat arvot (Estä), Poista käytöstä, Varoita tai ota käyttöön:

  • 0: Poista käytöstä (Poista hyökkäysalueen pienennyssääntö käytöstä)
  • 1: Estä (Ota hyökkäyspinnan pienentämissääntö käyttöön)
  • 2: Valvonta (Arvioi, miten hyökkäyspinnan pienentämissääntö vaikuttaisi organisaatioosi, jos se on käytössä)
  • 6: Varoita (Ota hyökkäysalueen pienentämissääntö käyttöön, mutta salli käyttäjän ohittaa lohko). Varoitustila on käytettävissä useimmille hyökkäysalueen vähentämissäännöille.

Lisää poissulkemisia käyttämällä ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions-määrityspalveluntarjoajaa (CSP).

Esimerkki:

OMA-URI path: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions

Value: c:\path|e:\path|c:\Exclusions.exe

Huomautus

Muista antaa OMA-URI-arvot ilman välilyöntejä.

Microsoft Configuration Manager

  1. Siirry Microsoft Configuration Manager kohtaan Assets and Compliance>Endpoint Protection>Windows Defender Exploit Guard.

  2. Valitse Aloitus>Luo hyödyntämissuojan käytäntö.

  3. Kirjoita nimi ja kuvaus, valitse Attack Surface Reduction ja valitse Seuraava.

  4. Valitse, mitkä säännöt estävät tai valvovat toimintoja, ja valitse Seuraava.

  5. Tarkista asetukset ja luo käytäntö valitsemalla Seuraava .

  6. Kun käytäntö on luotu, valitse Sulje.

Varoitus

Attack Surface Reduction -määrityksen soveltuvuudessa palvelinkäyttöjärjestelmäversioihin on tunnettu ongelma, joka on merkitty yhteensopivaksi ilman varsinaista pakottamista. Tällä hetkellä ETA:a ei ole, milloin tämä korjataan.

Ryhmäkäytäntö

Varoitus

Jos hallitset tietokoneita ja laitteita Intune, Configuration Manager tai muulla yritystason hallintaympäristöllä, hallintaohjelmisto korvaa kaikki käynnistyksen yhteydessä mahdollisesti olevat ristiriitaiset ryhmäkäytäntö asetukset.

  1. Avaa ryhmäkäytäntö hallintatietokoneessa ryhmäkäytäntö hallintakonsoli, napsauta hiiren kakkospainikkeella ryhmäkäytäntö Objekti, jonka haluat määrittää, ja valitse Muokkaa.

  2. Siirry ryhmäkäytäntö Hallintaeditorissatietokoneen määritykseen ja valitse hallintamallit.

  3. Laajenna puu Windowsin osiin>Microsoft Defender virustentorjunta>Microsoft Defender Hyödynnä Guard-hyökkäyksen>pinnan pienentämistä.

  4. Valitse Määritä Hyökkäyspinnan pienentämissäännöt ja valitse Käytössä. Voit sitten määrittää kunkin säännön yksittäisen tilan Asetukset-osassa. Valitse Näytä... ja kirjoita säännön tunnus Arvonimi-sarakkeeseen ja valitsemasi tila Arvo-sarakkeeseen seuraavasti:

    • 0: Poista käytöstä (Poista hyökkäysalueen pienennyssääntö käytöstä)

    • 1: Estä (Ota hyökkäyspinnan pienentämissääntö käyttöön)

    • 2: Valvonta (Arvioi, miten hyökkäyspinnan pienentämissääntö vaikuttaisi organisaatioosi, jos se on käytössä)

    • 6: Varoita (Ota hyökkäysalueen pienentämissääntö käyttöön, mutta salli käyttäjän ohittaa lohko)

      hyökkäyspinnan vähentämissäännöt ryhmäkäytäntö

  5. Jos haluat jättää tiedostoja ja kansioita pois hyökkäysalueen vähentämissäännöistä, valitse Sulje tiedostot ja polut hyökkäysalueen pienentämissääntöjen asetuksesta ja määritä asetukseksi Käytössä. Valitse Näytä ja kirjoita kukin tiedosto tai kansio Arvon nimi - sarakkeeseen. Kirjoita kunkin kohteen Arvo-sarakkeeseen 0.

    Varoitus

    Älä käytä lainausmerkkejä, sillä Niitä ei tueta Value-nimisarakkeessa tai Value-sarakkeessa . Säännön tunnuksella ei saa olla alussa tai lopussa olevia välilyöntejä.

PowerShell

Varoitus

Jos hallitset tietokoneita ja laitteita Intune, Configuration Manager tai jollakin toisella yritystason hallintaympäristöllä, hallintaohjelmisto korvaa kaikki käynnistettäessä mahdolliset ristiriitaiset PowerShell-asetukset.

  1. Kirjoita powershell aloitusvalikossa, napsauta Windows PowerShell hiiren kakkospainikkeella ja valitse Suorita järjestelmänvalvojana.

  2. Kirjoita jokin seuraavista cmdlet-komennoista. (Lisätietoja, kuten säännön tunnus, on kohdassa Hyökkäyspinnan pienentämissääntöjen viite.)

    Tehtävä PowerShellin cmdlet-komento
    Hyökkäyspinnan pienentämissääntöjen käyttöönotto Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Enabled
    Hyökkäyspinnan pienentämissääntöjen käyttöönotto valvontatilassa Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions AuditMode
    Hyökkäyspinnan pienentämissääntöjen käyttöönotto varoitustilassa Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Warn
    Ota käyttöön hyökkäyspinnan vähentäminen Hyödynnettyjen, haavoittuvassa asemassa olevien allekirjoitettujen ohjainten väärinkäytön estäminen Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Enabled
    Poista käytöstä hyökkäyspinnan pienentämissäännöt Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Disabled

    Tärkeää

    Sinun on määritettävä osavaltio erikseen kullekin säännölle, mutta voit yhdistää säännöt ja osavaltiot pilkuin eroteltuun luetteloon.

    Seuraavassa esimerkissä kaksi ensimmäistä sääntöä ovat käytössä, kolmas sääntö on poistettu käytöstä ja neljäs sääntö on otettu käyttöön valvontatilassa: Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID 1>,<rule ID 2>,<rule ID 3>,<rule ID 4> -AttackSurfaceReductionRules_Actions Enabled, Enabled, Disabled, AuditMode

    Voit myös lisätä uusia sääntöjä aiemmin luotuun luetteloon PowerShell-verbin avulla Add-MpPreference .

    Varoitus

    Set-MpPreference korvaa aiemmin luodun sääntöjoukon. Jos haluat lisätä aiemmin luotuun joukkoon, käytä Add-MpPreference sitä. Voit saada luettelon säännöistä ja niiden nykyisestä tilasta käyttämällä -toimintoa Get-MpPreference.

  3. Jos haluat jättää tiedostoja ja kansioita pois hyökkäysalueen vähentämissäännöistä, käytä seuraavaa cmdlet-komentoa:

    Add-MpPreference -AttackSurfaceReductionOnlyExclusions "<fully qualified path or resource>"

    Jatka käyttöä Add-MpPreference -AttackSurfaceReductionOnlyExclusions tiedostojen ja kansioiden lisäämiseen luetteloon.

    Tärkeää

    Käytä Add-MpPreference sovellusten lisäämiseksi luetteloon. Cmdlet-komennon Set-MpPreference käyttäminen korvaa aiemmin luodun luettelon.

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.