Demonstrasjoner av angrepsoverflatereduksjonsregler
Gjelder for:
- Microsoft Defender for endepunkt plan 2
- Microsoft Defender for Business
- Microsoft Defender for endepunkt plan 1
- Microsoft Defender Antivirus
Regler for reduksjon av angrepsoverflater retter seg mot spesifikke virkemåter som vanligvis brukes av skadelig programvare og skadelige apper til å infisere maskiner, for eksempel:
- Kjørbare filer og skript som brukes i Office-apper eller nett-e-post som prøver å laste ned eller kjøre filer
- Skript som er obfuscated eller på annen måte mistenkelig
- Virkemåter som apper påtar seg som ikke startes under vanlig daglig arbeid
Scenariokrav og oppsett
- Windows 11, Windows 10 1709 bygg 16273 eller nyere
- Windows Server 2022, Windows Server 2019, Windows Server 2016 eller Windows Server 2012 R2 med den enhetlige MDE klienten.
- Microsoft Defender Antivirus
- Microsoft 365 Apps (Office; obligatorisk for Office-regler og -eksempel)
- Last ned PowerShell-skript for reduksjon av angrepsoverflate
PowerShell-kommandoer
Add-MpPreference -AttackSurfaceReductionRules_Ids BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536-B80A7769E899 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D3E037E1-3EB8-44C8-A917-57927947596D -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D1E49AAC-8F56-4280-B9BA-993A6D77406C -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids C1DB55AB-C21A-4637-BB3F-A12568109D35 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-CD74-433A-B99E-2ECDC07BFC25 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids e6db77e5-3df2-4cf1-b95a-636979351e5b -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids a8f5898e-1dc8-49a9-9878-85004b8a61e6 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-49E8-8B27-EB1D0A1CE869 -AttackSurfaceReductionRules_Actions AuditMode
Add-MpPreference -AttackSurfaceReductionRules_Ids 7674BA52-37EB-4A4F-A9A1-F0F9A1619A2C -AttackSurfaceReductionRules_Actions AuditMode
Regelstatuser
| Tilstand | Modus | Numerisk verdi |
|---|---|---|
| Deaktivert | = Av | 0 |
| Aktivert | = Blokkmodus | 1 |
| Tilsynet | = Overvåkingsmodus | 2 |
Bekreft konfigurasjon
Get-MpPreference
Test filer
Obs! Noen testfiler har flere utnyttelser innebygd og utløser flere regler
| Regelnavn | GUID for regel |
|---|---|
| Blokkere kjørbart innhold fra e-postklient og nettpost | BE9BA2D9-53EA-4CDC-84E5-9B1EEEEE46550 |
| Blokkere Office-programmer fra å opprette underordnede prosesser | D4F940AB-401B-4EFC-AADC-AD5F3C50688A |
| Blokkere Office-programmer fra å opprette kjørbart innhold | 3B576869-A4EC-4529-8536-B80A7769E899 |
| Blokkere Office-programmer fra å sette inn i andre prosesser | 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84 |
| Hindre JavaScript og VBScript til å starte kjørbare filer | D3E037E1-3EB8-44C8-A917-57927947596D |
| Blokkkjøring av potensielt obfuscated skript | 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC |
| Blokkere Win32-importer fra makrokode i Office | 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B |
| {Blokker prosessopprettinger med opprinnelse fra PSExec & WMI-kommandoer | D1E49AAC-8F56-4280-B9BA-993A6D77406C |
| Blokker kjøring av ikke-klarerte eller usignerte kjørbare filer i flyttbare USB-medier | B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4 |
| Aggressiv forebygging av løsepengevirus | C1DB55AB-C21A-4637-BB3F-A12568109D35 |
| Blokkere kjørbare filer fra å kjøre med mindre de oppfyller kriteriene for utbredelse, alder eller klarert liste | 01443614-CD74-433A-B99E-2ECDC07BFC25 |
| Blokkere Adobe Reader fra å opprette underordnede prosesser | 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c |
| Blokker misbruk av utnyttede sårbare signerte sjåfører | 56a863a9-875e-4185-98a7-b882c64b5ce5 |
| Blokkere legitimasjonsstjele fra delsystemet for lokale sikkerhetsmyndigheter i Windows (lsass.exe) | 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 |
| Blokker utholdenhet gjennom WMI-hendelsesabonnement | e6db77e5-3df2-4cf1-b95a-636979351e5b |
| Blokker oppretting av Webshell for servere | a8f5898e-1dc8-49a9-9878-85004b8a61e6 |
Scenarier
Konfigurasjon
Last ned og kjør installasjonsskriptet. Før kjøring av policyen for skriptsett kjøres ubegrenset ved hjelp av denne PowerShell-kommandoen:
Set-ExecutionPolicy Unrestricted
Du kan utføre disse manuelle trinnene i stedet:
- Opprett en mappe under c: med navnet demo, «c:\demo»
- Lagre denne rene filen i c:\demo.
- Aktiver alle regler ved hjelp av PowerShell-kommandoen.
Scenario 1: Reduksjon av angrepsoverflate blokkerer en testfil med flere sårbarheter
- Aktiver alle regler i blokkmodus ved hjelp av PowerShell-kommandoer (du kan kopiere lim inn alle)
- Last ned og åpne en av testfilene/dokumentene, og aktiver redigering og innhold hvis du blir bedt om det.
Forventede resultater for scenario 1
Du skal umiddelbart se et varsel om at handlingen er blokkert.
Scenario 2: ASR-regelen blokkerer testfilen med det tilsvarende sikkerhetsproblemet
Konfigurer regelen du vil teste ved hjelp av PowerShell-kommandoen fra forrige trinn.
Eksempel:
Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions EnabledLast ned og åpne testfilen/dokumentet for regelen du vil teste, og aktiver redigering og innhold hvis du blir bedt om det.
Eksempel: Blokkere Office-programmer fra å opprette underordnede prosesser D4F940AB-401B-4EFC-AADC-AD5F3C50688A
Forventede resultater for scenario 2
Du skal umiddelbart se et varsel om at handlingen er blokkert.
Scenario 3 (Windows 10 eller nyere): ASR-regel blokkerer usignert USB-innhold fra å kjøre
- Konfigurer regelen for USB-beskyttelse (
B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4).
Add-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4 -AttackSurfaceReductionRules_Actions Enabled
- Last ned filen og sett den på en USB-pinne, og utfør den Blokker kjøring av ikke-klarerte eller usignerte kjørbare filer i flyttbare USB-medier
Forventede resultater for scenario 3
Du skal umiddelbart se et varsel om at handlingen er blokkert.
Scenario 4: Hva ville skje uten reduksjon av angrepsoverflaten
Slå av alle regler for reduksjon av angrepsoverflaten ved hjelp av PowerShell-kommandoer i oppryddingsdelen.
Last ned en testfil/dokument, og aktiver redigering og innhold hvis du blir bedt om det.
Forventede resultater for scenario 4
- Filene i c:\demo krypteres, og du bør få en advarselsmelding
- Utfør testfilen på nytt for å dekryptere filene
Opprydding
Last ned og kjør dette oppryddingsskriptet
Du kan også utføre disse manuelle trinnene:
Add-MpPreference -AttackSurfaceReductionRules_Ids BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536-B80A7769E899 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D3E037E1-3EB8-44C8-A917-57927947596D -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D1E49AAC-8F56-4280-B9BA-993A6D77406C -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids C1DB55AB-C21A-4637-BB3F-A12568109D35 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-CD74-433A-B99E-2ECDC07BFC25 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids e6db77e5-3df2-4cf1-b95a-636979351e5b -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids a8f5898e-1dc8-49a9-9878-85004b8a61e6 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-49E8-8B27-EB1D0A1CE869 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 7674BA52-37EB-4A4F-A9A1-F0F9A1619A2C -AttackSurfaceReductionRules_Actions Disabled
Rydd opp i c:\ demokryptering ved å kjøre krypterings-/dekrypteringsfilen
Se også
Distribusjonsveiledning for distribusjon av regler for angrepsoverflate
Referanse for reduksjonsregler for angrepsoverflate
Microsoft Defender for endepunkt – demonstrasjonsscenarioer
Tips
Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.