Jaa


Hyökkäyspinnan pienentämisominaisuuksien ymmärtäminen ja käyttäminen

Koskee seuraavia:

Käyttöympäristöt

  • Windows

Vihje

Haluatko kokea Microsoft Defender for Endpointin? Rekisteröidy maksuttomaan kokeiluversioon.

Hyökkäyspinnat ovat kaikki paikkoja, joissa organisaatiosi on altis kyberuhille ja hyökkäyksille. Defender for Endpoint sisältää useita ominaisuuksia, joiden avulla voit pienentää hyökkäyspintoja. Seuraavasta videosta saat lisätietoja hyökkäyspinnan vähentämisestä.

Hyökkäyspinnan pienentämisominaisuuksien määrittäminen

Voit määrittää hyökkäyspinnan pienentämisen ympäristössäsi seuraavasti:

  1. Ota laitteistopohjainen eristys käyttöön Microsoft Edgessä.

  2. Ota hyökkäyspinnan vähentämissäännöt käyttöön.

  3. Ota käyttöön sovelluksen ohjausobjekti.

    1. Tarkista peruskäytännöt Windowsissa. Katso Esimerkkejä peruskäytännöistä.

    2. Katso Windows Defenderin sovellusohjausobjektin suunnitteluopas.

    3. Katso Windows Defenderin sovellusohjausobjektin (WDAC) käytäntöjen käyttöönotto.

  4. Ota käyttöön hallittujen kansioiden käyttö.

  5. Ota laitteen ohjausobjekti käyttöön.

  6. Ota verkon suojaus käyttöön.

  7. Ota WWW-suojaus käyttöön.

  8. Ota käyttöön hyödynnön suojaus.

  9. Määritä verkon palomuuri.

    1. Yleiskatsaus Windowsin palomuurista, jossa on kehittynyt suojaus.

    2. Windowsin palomuurin suunnitteluoppaan avulla voit päättää, miten haluat suunnitella palomuurikäytännöt.

    3. Windowsin palomuurin käyttöönotto-oppaan avulla voit määrittää organisaatiosi palomuurin kehittyneellä suojauksella.

Vihje

Useimmissa tapauksissa, kun määrität hyökkäyspinnan vähentämisominaisuuksia, voit valita useista menetelmistä:

  • Microsoft Intune
  • Microsoft Configuration Manager
  • Ryhmäkäytäntö
  • PowerShellin cmdlet-komennot

Hyökkäyspinnan pienentämisen testaaminen Microsoft Defender for Endpoint

Osana organisaatiosi suojausryhmää voit määrittää hyökkäyspinnan vähentämisominaisuudet suoritettavaksi valvontatilassa, jotta näet, miten ne toimivat. Voit ottaa käyttöön seuraavat hyökkäysalueen vähentämissuojausominaisuudet valvontatilassa:

  • Hyökkäyspinta-alan rajoittamissäännöt
  • Hyökkäysten esto
  • Verkon suojaus
  • Hallittu kansion käyttö
  • Laitteen ohjausobjekti

Valvontatilan avulla näet tietueen siitä, mitä olisi tapahtunut, jos ominaisuus olisi otettu käyttöön.

Voit ottaa valvontatilan käyttöön, kun testaat ominaisuuksien toimintaa. Valvontatilan ottaminen käyttöön vain testausta varten auttaa estämään valvontatilaa vaikuttamasta toimialasovelluksiin. Voit myös saada käsityksen siitä, kuinka monta epäilyttävää tiedoston muokkausyritystä tapahtuu tietyn ajanjakson aikana.

Ominaisuudet eivät estä tai estä sovellusten, komentosarjojen tai tiedostojen muokkaamista. Windowsin tapahtumalokiin tallennetaan kuitenkin tapahtumat ikään kuin ominaisuudet olisivat täysin käytössä. Valvontatilassa voit tarkistaa tapahtumalokista, miten ominaisuus olisi vaikuttanut, jos se olisi käytössä.

Jos haluat etsiä valvotut merkinnät, siirry kohtaan Sovellukset ja palvelut>Microsoft>Windows>Windows Defender>Operational.

Saat lisätietoja jokaisesta tapahtumasta Defender for Endpointin avulla. Nämä tiedot ovat erityisen hyödyllisiä hyökkäyksen pinnan vähentämissääntöjen tutkimisessa. Defender for Endpoint -konsolin avulla voit tutkia ongelmia osana ilmoituksen aikajanaa ja tutkimuksia.

Voit ottaa valvontatilan käyttöön käyttämällä ryhmäkäytäntö, PowerShelliä ja määrityspalveluntarjoajia.

Valvonta-asetukset Valvontatilan ottaminen käyttöön Tapahtumien tarkasteleminen
Valvonta koskee kaikkia tapahtumia Ota hallittu kansion käyttö käyttöön Valvotut kansion käyttötapahtumat
Valvonta koskee yksittäisiä sääntöjä Vaihe 1: Hyökkäyspinnan vähentämissääntöjen testaaminen valvontatilan avulla Vaihe 2: Hyökkäyspinnan vähentämisen sääntöjen raportointisivun ymmärtäminen
Valvonta koskee kaikkia tapahtumia Ota verkon suojaus käyttöön Verkon suojaustapahtumat
Valvonta koskee yksittäisiä lievennyksiä Ota hyökkäysten esto käyttöön Hyödynnä suojaustapahtumia

Voit esimerkiksi testata hyökkäyspinnan vähentämissääntöjä valvontatilassa, ennen kuin otat ne käyttöön lohkotilassa. Hyökkäyspinnan vähentämissäännöt on ennalta määritetty kovettumaan yleisiä, tunnettuja hyökkäyspintoja. Hyökkäyspinnan vähentämissääntöjä voi käyttää useilla tavoilla. Suositeltu menetelmä on dokumentoitu seuraavissa hyökkäysalueen vähentämissääntöjen käyttöönottoartikkeleissa:

Näytä hyökkäysalueen vähentämistapahtumat

Tarkastele hyökkäyspinnan vähentämistapahtumia Tapahtumienvalvonta valvoaksesi, mitkä säännöt tai asetukset toimivat. Voit myös määrittää, ovatko kaikki asetukset liian meluisia tai vaikuttavatko ne päivittäiseen työnkulkuun.

Tapahtumien tarkasteleminen on kätevää, kun arvioit ominaisuuksia. Voit ottaa ominaisuuksien tai asetusten valvontatilan käyttöön ja tarkastella sitten, mitä olisi tapahtunut, jos ne olisivat täysin käytössä.

Tässä osiossa luetellaan kaikki tapahtumat, niihin liittyvä ominaisuus tai asetus sekä kuvataan, miten voit luoda mukautettuja näkymiä tiettyjen tapahtumien suodattamiseksi.

Saat yksityiskohtaisen raportoinnin tapahtumista, lohkoista ja varoituksista osana Windowsin suojaus jos sinulla on E5-tilaus ja käytät Microsoft Defender for Endpoint.

Tarkastele hyökkäysalueen vähentämisominaisuuksia mukautettujen näkymien avulla

Luo mukautettuja näkymiä Windows Tapahtumienvalvonta nähdäksesi vain tiettyjen ominaisuuksien ja asetusten tapahtumat. Helpoin tapa on tuoda mukautettu näkymä XML-tiedostona. Voit kopioida XML:n suoraan tältä sivulta.

Voit myös siirtyä manuaalisesti toimintoa vastaavalle tapahtuma-alueelle.

Tuo aiemmin luotu mukautettu XML-näkymä

  1. Luo tyhjä .txt ja kopioi käytettävän mukautetun näkymän XML-koodi .txt-tiedostoon. Tee tämä jokaiselle mukautetulle näkymälle, jota haluat käyttää. Nimeä tiedostot uudelleen seuraavasti (varmista, että muutat tyypin .txt .xml):

    • Hallittujen kansioiden käyttötapahtumien mukautettu näkymä: cfa-events.xml
    • Hyödynnä suojaustapahtumien mukautettua näkymää: ep-events.xml
    • Hyökkäyksen pinnanvähennystapahtumien mukautettu näkymä: asr-events.xml
    • Verkko- ja suojaustapahtumien mukautettu näkymä: np-events.xml
  2. Kirjoita Tapahtumienvalvonta Käynnistä-valikkoon ja avaa Tapahtumienvalvonta.

  3. Valitse Toiminnon>tuo mukautettu näkymä...

    Animaation korostaminen Tuo mukautettu näkymä Parillinen katselu -ikkunan vasemmalla puolella.

  4. Siirry kohtaan, johon poimit haluamasi mukautetun näkymän XML-tiedoston, ja valitse se.

  5. Valitse Avaa.

  6. Se luo mukautetun näkymän, joka suodattaa näyttämään vain kyseiseen ominaisuuteen liittyvät tapahtumat.

Kopioi XML suoraan

  1. Kirjoita Tapahtumienvalvonta Käynnistä-valikkoon ja avaa Windows-Tapahtumienvalvonta.

  2. Valitse vasemman paneelin Toiminnot-kohdastaLuo mukautettu näkymä...

    Animaatio, joka korostaa Luo mukautettu näkymä -vaihtoehdon Tapahtumienvalvonta-ikkunassa.

  3. Siirry XML-välilehteen ja valitse Muokkaa kyselyä manuaalisesti. Näkyviin tulee varoitus siitä, että et voi muokata kyselyä Suodatin-välilehdessä , jos käytät XML-asetusta. Valitse Kyllä.

  4. Liitä sen ominaisuuden XML-koodi, jonka tapahtumat haluat suodattaa XML-osaan.

  5. Valitse OK. Määritä suodattimen nimi. Tämä toiminto luo mukautetun näkymän, joka suodattaa näyttämään vain kyseiseen ominaisuuteen liittyvät tapahtumat.

HYÖKKÄYKSEN pinnan pienentämissäännön tapahtumien XML

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
   <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select>
   <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select>
  </Query>
</QueryList>

Valvotun kansion käyttötapahtumien XML

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
   <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
   <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
  </Query>
</QueryList>

XML-koodi suojauksen hyödyntämista varten

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Security-Mitigations/KernelMode">
   <Select Path="Microsoft-Windows-Security-Mitigations/KernelMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Concurrency">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Contention">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Messages">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Operational">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Power">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Render">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Tracing">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/UIPI">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Security-Mitigations/UserMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
  </Query>
</QueryList>

Verkon suojaustapahtumien XML

<QueryList>
 <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
  <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
  <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
 </Query>
</QueryList>

Luettelo hyökkäysalueen pienentämistapahtumista

Kaikki hyökkäyspinnan vähentämistapahtumat sijaitsevat kohdassa Sovellukset ja palvelut Lokit > Microsoft > Windows ja sitten kansio tai palvelu seuraavassa taulukossa esitetyllä tavalla.

Voit käyttää näitä tapahtumia Windowsin tapahtumienvalvontaohjelmassa:

  1. Avaa Käynnistä-valikko ja kirjoita tapahtumienvalvonta ja valitse sitten Tapahtumienvalvonta tulos.

  2. Laajenna Sovellukset ja palvelut -lokit > Microsoft > Windows ja siirry sitten alla olevan taulukon Provider/source-kohdassa lueteltuun kansioon.

  3. Näet tapahtumat kaksoisnapsauttamalla alikohdetta. Selaa tapahtumia ja etsi haluamasi.

    Animaatio, joka näyttää Tapahtumienvalvonta.

Ominaisuus Palvelu/lähde Tapahtuman tunnus Kuvaus
Hyökkäysten esto Suojauksen lievennykset (ydintila/käyttäjätila) 1 ACG-valvonta
Hyökkäysten esto Suojauksen lievennykset (ydintila/käyttäjätila) 2 ACG enforce
Hyökkäysten esto Suojauksen lievennykset (ydintila/käyttäjätila) 3 Älä salli aliprosessien valvontaa
Hyökkäysten esto Suojauksen lievennykset (ydintila/käyttäjätila) 4 Älä salli aliprosessien estoa
Hyökkäysten esto Suojauksen lievennykset (ydintila/käyttäjätila) 5 Estä matalan eheyden kuvien valvonta
Hyökkäysten esto Suojauksen lievennykset (ydintila/käyttäjätila) 6 Estä heikkojen eheyskuvien esto
Hyökkäysten esto Suojauksen lievennykset (ydintila/käyttäjätila) 7 Estä etäkuvien valvonta
Hyökkäysten esto Suojauksen lievennykset (ydintila/käyttäjätila) 8 Estä etäkuvalohko
Hyökkäysten esto Suojauksen lievennykset (ydintila/käyttäjätila) 9 Poista win32k-järjestelmäkutsujen valvonta käytöstä
Hyökkäysten esto Suojauksen lievennykset (ydintila/käyttäjätila) 10 Poista win32k-järjestelmäkutsujen esto käytöstä
Hyökkäysten esto Suojauksen lievennykset (ydintila/käyttäjätila) 11 Koodin eheyssuojan valvonta
Hyökkäysten esto Suojauksen lievennykset (ydintila/käyttäjätila) 12 Koodin eheyssuojalohko
Hyökkäysten esto Suojauksen lievennykset (ydintila/käyttäjätila) 13 EAF-tarkastus
Hyökkäysten esto Suojauksen lievennykset (ydintila/käyttäjätila) 14 EAF-pakota
Hyökkäysten esto Suojauksen lievennykset (ydintila/käyttäjätila) 15 EAF+-tarkastus
Hyökkäysten esto Suojauksen lievennykset (ydintila/käyttäjätila) 16 EAF+ pakota
Hyökkäysten esto Suojauksen lievennykset (ydintila/käyttäjätila) 17 IAF-tarkastus
Hyökkäysten esto Suojauksen lievennykset (ydintila/käyttäjätila) 18 IAF-täytäntöönpano
Hyökkäysten esto Suojauksen lievennykset (ydintila/käyttäjätila) 19 ROP StackPivot -valvonta
Hyökkäysten esto Suojauksen lievennykset (ydintila/käyttäjätila) 20 ROP StackPivot enforce
Hyökkäysten esto Suojauksen lievennykset (ydintila/käyttäjätila) 21 ROP CallerCheck -valvonta
Hyökkäysten esto Suojauksen lievennykset (ydintila/käyttäjätila) 22 ROP CallerCheck pakota
Hyökkäysten esto Suojauksen lievennykset (ydintila/käyttäjätila) 23 ROP SimExec -valvonta
Hyökkäysten esto Suojauksen lievennykset (ydintila/käyttäjätila) 24 ROP SimExec enforce
Hyökkäysten esto WER-Diagnostics 5 CFG-lohko
Hyökkäysten esto Win32K (operatiivinen) 260 Fontti, joka ei ole luotettu
Verkon suojaus Windows Defender (operational) 5007 Tapahtuma, kun asetuksia muutetaan
Verkon suojaus Windows Defender (operational) 1125 Tapahtuma, kun verkon suojaus käynnistyy valvontatilassa
Verkon suojaus Windows Defender (operational) 1126 Tapahtuma, kun verkon suojaus käynnistyy lohkotilassa
Hallittu kansion käyttö Windows Defender (operational) 5007 Tapahtuma, kun asetuksia muutetaan
Hallittu kansion käyttö Windows Defender (operational) 1124 Valvotun kansion käyttötapahtuma
Hallittu kansion käyttö Windows Defender (operational) 1123 Estettyjen valvottujen kansioiden käyttötapahtuma
Hallittu kansion käyttö Windows Defender (operational) 1127 Estettyjen valvottujen kansioiden käyttösektorin kirjoituslohkotapahtuma
Hallittu kansion käyttö Windows Defender (operational) 1128 Valvotun kansion käyttösektorin kirjoituslohkotapahtuma
Hyökkäyspinta-alan rajoittaminen Windows Defender (operational) 5007 Tapahtuma, kun asetuksia muutetaan
Hyökkäyspinta-alan rajoittaminen Windows Defender (operational) 1122 Tapahtuma, kun sääntö käynnistyy valvontatilassa
Hyökkäyspinta-alan rajoittaminen Windows Defender (operational) 1121 Tapahtuma, kun sääntö käynnistyy lohkotilassa

Huomautus

Käyttäjän näkökulmasta hyökkäysalueen pienentäminen Ilmoitustilailmoitukset tehdään Windowsin ilmoitusruutuna hyökkäyksen pinnan pienentämissäännöistä.

Hyökkäyspinnan vähentämisessä verkkosuojaus tarjoaa vain valvonta- ja estotilat.

Resurssit, joiden avulla saat lisätietoja hyökkäyspinnan vähentämisestä

Kuten videossa mainittiin, Defender for Endpoint sisältää useita hyökkäyspinnan vähentämisominaisuuksia. Lisätietoja saat seuraavista resursseista:

Artikkeli Kuvaus
Sovellusohjausobjekti Käytä sovelluksen ohjausobjektia niin, että sovelluksesi on ansaittava luottamus, jotta ne voidaan suorittaa.
Hyökkäyksen pinnan pienentämissääntöjen viittaus Antaa tietoja jokaisesta hyökkäyspinnan pienentämissäännöstä.
Hyökkäyspinnan pienentämissääntöjen käyttöönotto-opas Näyttää yleiskatsauksen ja edellytykset hyökkäysalueen vähentämissääntöjen käyttöönotolle. Sen jälkeen annetaan vaiheittaiset ohjeet testaukseen (valvontatila), käyttöönottoon (estotila) ja valvontaan.
Hallittu kansion käyttö Auta estämään haitallisia tai epäilyttäviä sovelluksia (mukaan lukien tiedostoja salaava kiristyshaittaohjelma) tekemästä muutoksia tärkeimpien järjestelmäkansioiden tiedostoihin (Edellyttää Microsoft Defender virustentorjuntaohjelma).
Laitehallinta Suojaa tietojen menettämiseltä valvomalla ja hallitsemalla organisaatiosi laitteissa, kuten siirrettävässä tallennustilassa ja USB-asemista, käytettyjä mediatiedostoja.
Hyökkäysten esto Auta suojaamaan organisaatiosi käyttämiä käyttöjärjestelmiä ja sovelluksia hyödyntämiltä. Hyödyntäminen toimii myös kolmannen osapuolen virustentorjuntaratkaisujen kanssa.
Laitteistopohjainen eristys Suojaa ja ylläpidä järjestelmän eheyttä, kun se käynnistyy ja kun se on käynnissä. Vahvista järjestelmän eheys paikallisen ja etäaseman avulla. Käytä Microsoft Edgen säilöeristystä haitallisten sivustojen suojaamiseen.
Verkon suojaus Laajenna suojaus organisaatiosi laitteiden verkkoliikenteelle ja yhteydelle. (Edellyttää virustentorjuntaohjelman Microsoft Defender).
Hyökkäyspinnan pienentämissääntöjen testaaminen Tarjoaa ohjeet hyökkäyspinnan vähentämissääntöjen testaamiseen valvontatilan avulla.
Verkkosuojaus Verkkosuojauksen avulla voit suojata laitteesi verkkouhkia vastaan ja säännellä ei-toivottua sisältöä.

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.