Omówienie wdrażania reguł zmniejszania obszaru podatnego na ataki

Dotyczy:

• Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
• Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)

Powierzchnie ataków to wszystkie miejsca, w których twoja organizacja jest narażona na ataki cybernetyczne i ataki. Zmniejszenie obszaru ataków oznacza ochronę urządzeń i sieci organizacji, co sprawia, że osoby atakujące mają mniej sposobów ataku. Konfigurowanie reguł zmniejszania obszaru ataków w usłudze Microsoft Defender for Endpoint może pomóc.

Reguły zmniejszania obszaru ataków dotyczą pewnych zachowań oprogramowania, takich jak:

• Uruchamianie plików wykonywalnych i skryptów, które próbują pobrać lub uruchomić pliki
• Uruchamianie zaciemnionych lub w inny sposób podejrzanych skryptów
• Zachowania, których aplikacje zwykle nie występują podczas normalnej codziennej pracy

Zmniejszając różne powierzchnie ataków, możesz przede wszystkim zapobiec atakom.

Ta kolekcja wdrożeń zawiera informacje o następujących aspektach reguł zmniejszania obszaru ataków:

• wymagania dotyczące reguł zmniejszania obszaru podatnego na ataki
• planowanie wdrożenia reguł zmniejszania obszaru ataków
• reguły zmniejszania obszaru podatnego na ataki testowe
• konfigurowanie i włączanie reguł zmniejszania obszaru ataków
• najlepsze rozwiązania dotyczące zasad zmniejszania obszaru podatnego na ataki
• reguły zmniejszania obszaru ataków — zaawansowane wyszukiwanie zagrożeń
• podgląd zdarzeń reguł zmniejszania obszaru ataków

Kroki wdrażania reguł zmniejszania obszaru podatnego na ataki

Podobnie jak w przypadku każdej nowej implementacji na szeroką skalę, która może potencjalnie wpłynąć na twoje operacje biznesowe, ważne jest, aby być metodycznym w planowaniu i implementacji. Staranne planowanie i wdrażanie reguł zmniejszania obszaru podatnego na ataki jest niezbędne, aby zapewnić, że działają najlepiej w przypadku unikatowych przepływów pracy klientów. Aby pracować w środowisku, należy dokładnie zaplanować, przetestować, zaimplementować i zoperalizować reguły zmniejszania obszaru podatnego na ataki.

Ważne zastrzeżenie przed wdrożeniem

Zalecamy włączenie następujących trzech standardowych reguł ochrony. Aby uzyskać ważne informacje na temat dwóch typów reguł zmniejszania obszaru ataków, zobacz Reguły zmniejszania obszaru podatnego na ataki według typu.

• Blokuj kradzież poświadczeń z podsystemu lokalnego urzędu zabezpieczeń systemu Windows (lsass.exe)
• Blokowanie nadużyć wobec wykorzystywanych, narażonych na zagrożenia podpisanych kierowców
• Blokowanie trwałości za pomocą subskrypcji zdarzeń Instrumentacji zarządzania Windows (WMI)

Zazwyczaj można włączyć standardowe reguły ochrony z minimalnym lub żadnym zauważalnym wpływem na użytkownika końcowego. Aby uzyskać prostą metodę włączania standardowych reguł ochrony, zobacz Uproszczona standardowa opcja ochrony.

Uwaga

W przypadku klientów, którzy korzystają z systemu HIPS firmy innej niż Microsoft i przechodzą do reguł zmniejszania obszaru podatnego na ataki w usłudze Microsoft Defender for Endpoint, firma Microsoft zaleca uruchomienie rozwiązania HIPS wraz z wdrażaniem reguł zmniejszania obszaru ataków do momentu przejścia z trybu inspekcji do trybu bloku. Należy pamiętać, że aby uzyskać rekomendacje dotyczące wykluczeń, musisz skontaktować się z dostawcą oprogramowania antywirusowego spoza firmy Microsoft.

Przed rozpoczęciem testowania lub włączenia reguł zmniejszania obszaru ataków

Podczas wstępnego przygotowywania ważne jest zrozumienie możliwości wprowadzonych systemów. Zrozumienie możliwości ułatwia określenie, które reguły zmniejszania obszaru ataków są najważniejsze dla ochrony organizacji. Ponadto istnieje kilka wymagań wstępnych, które należy spełnić podczas przygotowywania wdrożenia zmniejszania obszaru podatnego na ataki.

Ważna

Ten przewodnik zawiera obrazy i przykłady, które pomogą Ci zdecydować, jak skonfigurować reguły zmniejszania obszaru ataków; te obrazy i przykłady mogą nie odzwierciedlać najlepszych opcji konfiguracji środowiska.

Przed rozpoczęciem zapoznaj się z omówieniem zmniejszania obszaru podatnego na ataki i demistyfikacją reguł zmniejszania obszaru podatnego na ataki — część 1 , aby uzyskać podstawowe informacje. Aby zrozumieć obszary pokrycia i potencjalnego wpływu, zapoznaj się z bieżącym zestawem reguł zmniejszania obszaru podatnego na ataki; zobacz Dokumentacja reguł zmniejszania obszaru podatnego na ataki. Podczas zapoznania się z zestawem reguł zmniejszania obszaru ataków zanotuj mapowania identyfikatorów GUID dla reguł; zobacz Attack surface reduction rule to GUID matrix (Reguła zmniejszania obszaru podatnego na ataki) do macierzy GUID.

Reguły zmniejszania obszaru ataków to tylko jedna z możliwości zmniejszania obszaru ataków w usłudze Microsoft Defender for Endpoint. Ten dokument zawiera bardziej szczegółowe informacje na temat efektywnego wdrażania reguł zmniejszania obszaru podatnego na ataki w celu powstrzymania zaawansowanych zagrożeń, takich jak oprogramowanie wymuszające okup obsługiwane przez człowieka i inne zagrożenia.

Lista reguł zmniejszania obszaru ataków według kategorii

W poniższej tabeli przedstawiono reguły zmniejszania obszaru ataków według kategorii:

Zagrożenia polimorficzne	Przenoszenie poprzeczne & kradzież poświadczeń	Reguły aplikacji zwiększających produktywność	Reguły poczty e-mail	Reguły skryptów	Reguły błędów
Blokuj uruchamianie plików wykonywalnych, chyba że spełniają one kryteria występowania (1000 maszyn), wieku lub listy zaufanych	Blokuj tworzenie procesów pochodzących z poleceń PSExec i WMI	Blokuj aplikacjom pakietu Office możliwość tworzenia zawartości wykonywalnej	Blokuj zawartość wykonywalną z klienta poczty e-mail i poczty internetowej	Blokuj zaciemniony kod JS/VBS/PS/macro	Blokowanie nadużyć wobec wykorzystywanych kierowców podpisanych w trudnej sytuacji [1]
Blokuj niezaufane i niepodpisane procesy uruchamiane z portu USB	Blokuj kradzież poświadczeń z podsystemu lokalnego urzędu zabezpieczeń systemu Windows (lsass.exe)[2]	Blokuj aplikacjom pakietu Office możliwość tworzenia procesów podrzędnych	Blokuj tworzenie procesów podrzędnych tylko aplikacjom komunikacyjnym pakietu Office	Blokowanie uruchamiania pobranej zawartości wykonywalnej JS/VBS
Korzystanie z zaawansowanej ochrony przed oprogramowaniem wymuszającym okup	Blokowanie trwałości za pośrednictwem subskrypcji zdarzeń WMI	Blokuj aplikacjom pakietu Office wstrzykiwanie kodu do innych procesów	Blokuj aplikacjom komunikacyjnym pakietu Office możliwość tworzenia procesów podrzędnych
		Zablokuj programowi Adobe Reader tworzenie procesów podrzędnych

(1) Blokuj nadużywanie wykorzystywanych, narażonych na zagrożenia podpisanych sterowników jest teraz dostępny w obszarze Endpoint Security>Attack Surface Reduction.

(2) Niektóre reguły zmniejszania obszaru podatnego na ataki generują znaczny szum, ale nie blokują funkcjonalności. Jeśli na przykład aktualizujesz przeglądarę Chrome, przeglądarka Chrome uzyskuje dostęp do lsass.exe; hasła są przechowywane w systemie lsass na urządzeniu. Przeglądarka Chrome nie powinna jednak uzyskiwać dostępu do urządzenia lokalnego lsass.exe. Jeśli włączysz regułę, aby zablokować dostęp do lsass, zobaczysz wiele zdarzeń. Te zdarzenia są dobrymi zdarzeniami, ponieważ proces aktualizacji oprogramowania nie powinien uzyskiwać dostępu do lsass.exe. Użycie tej reguły uniemożliwia aktualizacjom przeglądarki Chrome uzyskiwanie dostępu do plików lsass, ale nie blokuje aktualizowania przeglądarki Chrome. Dotyczy to również innych aplikacji, które wywołują niepotrzebne wywołania lsass.exe. Blokuj dostęp do reguły lsass blokuje niepotrzebne wywołania lsass, ale nie blokuje uruchamiania aplikacji.

Wymagania dotyczące infrastruktury zmniejszania obszaru podatnego na ataki

Mimo że istnieje wiele metod implementowania reguł zmniejszania obszaru ataków, ten przewodnik jest oparty na infrastrukturze składającej się z

• Microsoft Entra ID
• Microsoft Intune
• Urządzenia z systemami Windows 10 i Windows 11
• Licencje usługi Microsoft Defender for Endpoint E5 lub Windows E5

Aby w pełni wykorzystać reguły zmniejszania obszaru ataków i raportowanie, zalecamy użycie licencji Microsoft Defender XDR E5 lub Windows E5 i A5. Dowiedz się więcej na stronie Minimalne wymagania dotyczące usługi Microsoft Defender dla punktu końcowego.

Uwaga

Istnieje wiele metod konfigurowania reguł zmniejszania obszaru ataków. Reguły zmniejszania obszaru ataków można skonfigurować przy użyciu: Microsoft Intune, PowerShell, Zasad grupy, Programu Microsoft Configuration Manager (ConfigMgr), identyfikatora OMA-URI usługi Intune. Jeśli używasz innej konfiguracji infrastruktury niż wymieniona w temacie Wymagania dotyczące infrastruktury, możesz dowiedzieć się więcej na temat wdrażania reguł zmniejszania obszaru ataków przy użyciu innych konfiguracji tutaj: Włącz reguły zmniejszania obszaru ataków.

Zależności reguł zmniejszania obszaru ataków

Program antywirusowy Microsoft Defender musi być włączony i skonfigurowany jako podstawowe rozwiązanie antywirusowe i musi być w następującym trybie:

• Podstawowe rozwiązanie antywirusowe/chroniące przed złośliwym kodem
• Stan: Tryb aktywny

Program antywirusowy Microsoft Defender nie może być w żadnym z następujących trybów:

• Bierny
• Tryb pasywny z wykrywaniem punktów końcowych i odpowiedzią (EDR) w trybie bloku
• Ograniczone okresowe skanowanie (LPS)
• Wyłączony

Aby uzyskać więcej informacji , zobacz Ochrona dostarczana przez chmurę i Program antywirusowy Microsoft Defender .

Aby włączyć reguły zmniejszania obszaru ataków, należy włączyć usługę Cloud Protection (MAPS)

Program antywirusowy Microsoft Defender bezproblemowo współpracuje z usługami firmy Microsoft w chmurze. Te usługi ochrony w chmurze, nazywane również usługą Microsoft Advanced Protection Service (MAPS), zwiększają standardową ochronę w czasie rzeczywistym, zapewniając prawdopodobnie najlepszą ochronę antywirusową. Ochrona w chmurze ma kluczowe znaczenie dla zapobiegania naruszeniom złośliwego oprogramowania i krytycznego składnika reguł zmniejszania obszaru podatnego na ataki. Włącz ochronę dostarczaną przez chmurę w programie antywirusowym Microsoft Defender.

Składniki programu antywirusowego Microsoft Defender muszą być bieżącymi wersjami reguł zmniejszania obszaru ataków

Następujące wersje składników programu antywirusowego Microsoft Defender muszą być nie więcej niż dwie wersje starsze niż najbardziej obecnie dostępna wersja:

• Wersja aktualizacji platformy antywirusowej Microsoft Defender — platforma antywirusowa Microsoft Defender jest aktualizowana co miesiąc.
• Wersja aparatu antywirusowego Microsoft Defender — aparat antywirusowy Microsoft Defender jest aktualizowany co miesiąc.
• Analiza zabezpieczeń programu antywirusowego Microsoft Defender — firma Microsoft stale aktualizuje analizę zabezpieczeń usługi Microsoft Defender (znaną również jako definicja i podpis) w celu rozwiązania najnowszych zagrożeń i uściślenia logiki wykrywania.

Utrzymywanie bieżących wersji programu antywirusowego Microsoft Defender pomaga zmniejszyć liczbę fałszywie dodatnich wyników reguł zmniejszania obszaru ataków i ulepsza możliwości wykrywania programu antywirusowego Microsoft Defender. Aby uzyskać więcej informacji na temat bieżących wersji i sposobu aktualizowania różnych składników programu antywirusowego Microsoft Defender, odwiedź stronę Pomoc techniczna platformy antywirusowej Microsoft Defender.

Zastrzeżeniem

Niektóre reguły nie działają dobrze, jeśli niepodpisane, wewnętrznie opracowane aplikacje i skrypty są w dużym użyciu. Wdrożenie reguł zmniejszania obszaru podatnego na ataki jest trudniejsze, jeśli podpisywanie kodu nie jest wymuszane.

Inne artykuły w tej kolekcji wdrożeń

Reguły zmniejszania obszaru ataków testowych

Włączanie reguł zmniejszania obszaru ataków

Operacjonalizowanie reguł zmniejszania obszaru podatnego na ataki

Dokumentacja reguł zmniejszania obszaru podatnego na ataki

Odwołanie

Blogi

Demistyfikacja reguł zmniejszania obszaru podatnego na ataki — część 1

Demistyfikacja reguł zmniejszania powierzchni ataków — część 2

Demistyfikacja reguł zmniejszania powierzchni ataków — część 3

Demistyfikacja reguł zmniejszania obszaru podatnego na ataki — część 4

Zbieranie reguł zmniejszania obszaru podatnego na ataki

Omówienie zmniejszania obszaru ataków

Używanie reguł zmniejszania obszaru ataków w celu zapobiegania infekcji złośliwym oprogramowaniem

Włączanie reguł zmniejszania obszaru ataków — alternatywne konfiguracje

Dokumentacja reguł zmniejszania obszaru podatnego na ataki

Zmniejszanie obszaru podatnego na ataki — często zadawane pytania

Microsoft Defender

Rozwiązywanie problemów z wynikami fałszywie pozytywnymi/negatywnymi w ochronie punktu końcowego w usłudze Microsoft Defender

Ochrona dostarczana w chmurze i program antywirusowy Microsoft Defender

Włączanie ochrony dostarczanej w chmurze w programie antywirusowym Microsoft Defender

Konfigurowanie i weryfikowanie wykluczeń na podstawie rozszerzenia, nazwy lub lokalizacji

Obsługa platformy antywirusowej Microsoft Defender

Omówienie spisu w centrum administracyjnym usługi Microsoft 365 Apps

Tworzenie planu wdrożenia dla systemu Windows

Skorzystaj z kontroli dostępu opartej na rolach (RBAC) i tagów zakresu na potrzeby rozproszonej infrastruktury IT w usłudze Intune

Przypisywanie profilów urządzeń w usłudze Microsoft Intune

Lokacje zarządzania

Centrum administracyjne usługi Microsoft Intune

Zmniejszanie obszaru podatnego na ataki

Konfiguracje reguł zmniejszania obszaru ataków

Wykluczenia reguł zmniejszania obszaru ataków

Porada

Chcesz dowiedzieć się więcej? Skontaktuj się ze społecznością zabezpieczeń firmy Microsoft w naszej społeczności technicznej: Microsoft Defender for Endpoint Tech Community.