Udostępnij za pośrednictwem


Dokumentacja reguł zmniejszania obszaru podatnego na ataki

Dotyczy:

Platformy:

  • System Windows

Ten artykuł zawiera informacje o regułach zmniejszania obszaru ataków Ochrona punktu końcowego w usłudze Microsoft Defender (reguły asr):

Ważna

Niektóre informacje zawarte w tym artykule odnoszą się do wersji wstępnej produktu, który może zostać znacznie zmodyfikowany do czasu wydania wersji komercyjnej. Firma Microsoft nie udziela żadnych gwarancji, wyrażonych ani dorozumianych, w odniesieniu do informacji podanych tutaj.

Porada

Aby zapoznać się z tym artykułem, zapoznaj się z naszym przewodnikiem po konfiguracji Ochrona punktu końcowego w usłudze Microsoft Defender, aby zapoznać się z najlepszymi rozwiązaniami i poznać podstawowe narzędzia, takie jak zmniejszanie obszaru podatnego na ataki i ochrona nowej generacji. Aby uzyskać dostosowane środowisko oparte na środowisku, możesz uzyskać dostęp do przewodnika automatycznej konfiguracji usługi Defender for Endpoint w Centrum administracyjne platformy Microsoft 365.

Reguły zmniejszania obszaru ataków według typu

Reguły zmniejszania obszaru ataków są skategoryzowane jako jeden z dwóch typów:

  • Standardowe reguły ochrony: są minimalnym zestawem reguł, które firma Microsoft zaleca, aby zawsze włączyć, podczas oceniania wymagań dotyczących efektu i konfiguracji innych reguł usługi ASR. Te reguły zwykle mają minimalny lub żaden zauważalny wpływ na użytkownika końcowego.

  • Inne reguły: reguły wymagające pewnej miary wykonania udokumentowanych kroków wdrażania [Test planu > (inspekcja) > Włączanie (tryby bloku/ostrzegania)], zgodnie z opisem w przewodniku wdrażania reguł zmniejszania obszaru ataków

Aby uzyskać najprostszą metodę włączania standardowych reguł ochrony, zobacz: Uproszczona standardowa opcja ochrony.

Nazwa reguły usługi ASR: Standardowa reguła ochrony? Inna reguła?
Blokowanie nadużyć wobec wykorzystywanych, narażonych na zagrożenia podpisanych kierowców Tak
Zablokuj programowi Adobe Reader tworzenie procesów podrzędnych Tak
Blokowanie tworzenia procesów podrzędnych przez wszystkie aplikacje pakietu Office Tak
Blokuj kradzież poświadczeń z podsystemu lokalnego urzędu zabezpieczeń systemu Windows (lsass.exe) Tak
Blokuj zawartość wykonywalną z klienta poczty e-mail i poczty internetowej Tak
Blokuj uruchamianie plików wykonywalnych, chyba że spełniają kryterium występowania, wieku lub listy zaufanych Tak
Blokuj wykonywanie potencjalnie zaciemnionych skryptów Tak
Blokowanie uruchamiania pobranej zawartości wykonywalnej w języku JavaScript lub VBScript Tak
Blokowanie tworzenia zawartości wykonywalnej przez aplikacje pakietu Office Tak
Blokuj aplikacjom pakietu Office wstrzykiwanie kodu do innych procesów Tak
Blokowanie tworzenia procesów podrzędnych przez aplikację komunikacyjną pakietu Office Tak
Blokowanie trwałości za pośrednictwem subskrypcji zdarzeń WMI Tak
Blokuj tworzenie procesów pochodzących z poleceń PSExec i WMI Tak
Blokuj ponowne uruchamianie maszyny w trybie awaryjnym (wersja zapoznawcza) Tak
Blokuj niezaufane i niepodpisane procesy uruchamiane z portu USB Tak
Blokowanie użycia skopiowanych lub personifikowanych narzędzi systemowych (wersja zapoznawcza) Tak
Blokuj tworzenie programu WebShell dla serwerów Tak
Blokuj wywołania interfejsu API Win32 z makr pakietu Office Tak
Korzystanie z zaawansowanej ochrony przed oprogramowaniem wymuszającym okup Tak

Microsoft Defender wykluczeń programu antywirusowego i reguł usługi ASR

Microsoft Defender wykluczenia programu antywirusowego mają zastosowanie do niektórych funkcji Ochrona punktu końcowego w usłudze Microsoft Defender, takich jak niektóre reguły zmniejszania obszaru ataków.

Następujące reguły usługi ASR NIE uwzględniają wykluczeń programu antywirusowego Microsoft Defender:

Nazwa reguł usługi ASR:
Zablokuj programowi Adobe Reader tworzenie procesów podrzędnych
Blokuj tworzenie procesów pochodzących z poleceń PSExec i WMI
Blokuj kradzież poświadczeń z podsystemu lokalnego urzędu zabezpieczeń systemu Windows (lsass.exe)
Blokowanie tworzenia zawartości wykonywalnej przez aplikacje pakietu Office
Blokuj aplikacjom pakietu Office wstrzykiwanie kodu do innych procesów
Blokowanie tworzenia procesów podrzędnych przez aplikację komunikacyjną pakietu Office

Uwaga

Aby uzyskać informacje na temat konfigurowania wykluczeń dla reguł, zobacz sekcję Zatytułowaną Konfigurowanie reguł asr dla wykluczeń reguł w temacie Testowanie reguł zmniejszania obszaru ataków.

Reguły usługi ASR i wskaźniki naruszenia zabezpieczeń usługi Defender for Endpoint (IOC)

Następujące reguły usługi ASR NIE uwzględniają Ochrona punktu końcowego w usłudze Microsoft Defender wskaźników kompromisu (MKOl):

Nazwa reguły usługi ASR Opis
Blokuj kradzież poświadczeń z podsystemu lokalnego urzędu zabezpieczeń systemu Windows (lsass.exe) Nie uwzględnia wskaźników naruszenia zabezpieczeń dla plików lub certyfikatów.
Blokuj aplikacjom pakietu Office wstrzykiwanie kodu do innych procesów Nie uwzględnia wskaźników naruszenia zabezpieczeń dla plików lub certyfikatów.
Blokuj wywołania interfejsu API Win32 z makr pakietu Office Nie uwzględnia wskaźników naruszenia zabezpieczeń certyfikatów.

Obsługiwane systemy operacyjne reguł usługi ASR

Poniższa tabela zawiera listę obsługiwanych systemów operacyjnych dla reguł, które są obecnie udostępniane do ogólnej dostępności. Reguły są wymienione w kolejności alfabetycznej w tej tabeli.

Uwaga

O ile nie wskazano inaczej, minimalna kompilacja systemu Windows10 to wersja 1709 (RS3, kompilacja 16299) lub nowsza; minimalna kompilacja Windows Server to wersja 1809 lub nowsza. Reguły zmniejszania obszaru ataków w Windows Server 2012 R2 i Windows Server 2016 są dostępne dla urządzeń dołączonych przy użyciu nowoczesnego ujednoliconego pakietu rozwiązań. Aby uzyskać więcej informacji, zobacz New Windows Server 2012 R2 and 2016 functionality in the modern unified solution (Nowe funkcje Windows Server 2012 R2 i 2016 w nowoczesnym ujednoliconym rozwiązaniu).

Nazwa reguły System Windows 11
i
Windows 10
Windows Server 2022
i
Windows Server 2019
Serwer z systemem Windows Windows Server 2016 [1, 2] Serwer z systemem Windows
2012 R2 [1, 2]
Blokowanie nadużyć wobec wykorzystywanych, narażonych na zagrożenia podpisanych kierowców T T T
wersja 1803 (półroczny kanał enterprise) lub nowszy
T T
Zablokuj programowi Adobe Reader tworzenie procesów podrzędnych T
wersja 1809 lub nowsza [3]
T T T T
Blokowanie tworzenia procesów podrzędnych przez wszystkie aplikacje pakietu Office T T T T T
Blokuj kradzież poświadczeń z podsystemu lokalnego urzędu zabezpieczeń systemu Windows (lsass.exe) T
wersja 1803 lub nowsza [3]
T T T T
Blokuj zawartość wykonywalną z klienta poczty e-mail i poczty internetowej T T T T T
Blokuj uruchamianie plików wykonywalnych, chyba że spełniają kryterium występowania, wieku lub listy zaufanych T
wersja 1803 lub nowsza [3]
T T T T
Blokuj wykonywanie potencjalnie zaciemnionych skryptów T T T T T
Blokowanie uruchamiania pobranej zawartości wykonywalnej w języku JavaScript lub VBScript T T T N N
Blokowanie tworzenia zawartości wykonywalnej przez aplikacje pakietu Office T T T T T
Blokuj aplikacjom pakietu Office wstrzykiwanie kodu do innych procesów T T T T T
Blokowanie tworzenia procesów podrzędnych przez aplikację komunikacyjną pakietu Office T T T T T
Blokowanie trwałości za pomocą subskrypcji zdarzeń Instrumentacji zarządzania Windows (WMI) T
wersja 1903 (kompilacja 18362) lub nowsza [3]
T T
wersja 1903 (kompilacja 18362) lub nowsza
N N
Blokuj tworzenie procesów pochodzących z poleceń PSExec i WMI T
wersja 1803 lub nowsza [3]
T T T T
Blokuj ponowne uruchamianie maszyny w trybie awaryjnym (wersja zapoznawcza) T T T T T
Blokuj niezaufane i niepodpisane procesy uruchamiane z portu USB T T T T T
Blokowanie użycia skopiowanych lub personifikowanych narzędzi systemowych (wersja zapoznawcza) T T T T T
Blokuj tworzenie programu WebShell dla serwerów N T
Tylko rola programu Exchange
T
Tylko rola programu Exchange
T
Tylko rola programu Exchange
T
Tylko rola programu Exchange
Blokuj wywołania interfejsu API Win32 z makr pakietu Office T N N N N
Korzystanie z zaawansowanej ochrony przed oprogramowaniem wymuszającym okup T
wersja 1803 lub nowsza [3]
T T T T

(1) Odnosi się do nowoczesnego ujednoliconego rozwiązania dla Windows Server 2012 i 2016 roku. Aby uzyskać więcej informacji, zobacz Dołączanie serwerów z systemem Windows do usługi Defender for Endpoint.

(2) W przypadku Windows Server 2016 i Windows Server 2012 R2 minimalna wymagana wersja programu Microsoft Endpoint Configuration Manager to wersja 2111.

(3) Wersja i numer kompilacji mają zastosowanie tylko do systemu Windows10.

Obsługiwane systemy zarządzania konfiguracją reguł usługi ASR

Poniżej tej tabeli znajdują się linki do informacji o wersjach systemu zarządzania konfiguracją, do których odwołuje się ta tabela.

Nazwa reguły Microsoft Intune Microsoft Endpoint Configuration Manager zasady grupy[1] PowerShell[1]
Blokowanie nadużyć wobec wykorzystywanych, narażonych na zagrożenia podpisanych kierowców T T T
Zablokuj programowi Adobe Reader tworzenie procesów podrzędnych T T T
Blokowanie tworzenia procesów podrzędnych przez wszystkie aplikacje pakietu Office T T

CB 1710
T T
Blokuj kradzież poświadczeń z podsystemu lokalnego urzędu zabezpieczeń systemu Windows (lsass.exe) T T

CB 1802
T T
Blokuj zawartość wykonywalną z klienta poczty e-mail i poczty internetowej T T

CB 1710
T T
Blokuj uruchamianie plików wykonywalnych, chyba że spełniają kryterium występowania, wieku lub listy zaufanych T T

CB 1802
T T
Blokuj wykonywanie potencjalnie zaciemnionych skryptów T T

CB 1710
T T
Blokowanie uruchamiania pobranej zawartości wykonywalnej w języku JavaScript lub VBScript T T

CB 1710
T T
Blokowanie tworzenia zawartości wykonywalnej przez aplikacje pakietu Office T T

CB 1710
T T
Blokuj aplikacjom pakietu Office wstrzykiwanie kodu do innych procesów T T

CB 1710
T T
Blokowanie tworzenia procesów podrzędnych przez aplikację komunikacyjną pakietu Office T T

CB 1710
T T
Blokowanie trwałości za pośrednictwem subskrypcji zdarzeń WMI T T T
Blokuj tworzenie procesów pochodzących z poleceń PSExec i WMI T T T
Blokuj ponowne uruchamianie maszyny w trybie awaryjnym (wersja zapoznawcza) T T T
Blokuj niezaufane i niepodpisane procesy uruchamiane z portu USB T T

CB 1802
T T
Blokowanie użycia skopiowanych lub personifikowanych narzędzi systemowych (wersja zapoznawcza) T T T
Blokuj tworzenie programu WebShell dla serwerów T T T
Blokuj wywołania interfejsu API Win32 z makr pakietu Office T T

CB 1710
T T
Korzystanie z zaawansowanej ochrony przed oprogramowaniem wymuszającym okup T T

CB 1802
T T

(1) Reguły zmniejszania obszaru ataków można skonfigurować dla każdej reguły przy użyciu identyfikatora GUID dowolnej reguły.

Alert reguły usługi ASR i szczegóły powiadomień

Powiadomienia wyskakujące są generowane dla wszystkich reguł w trybie bloku. Reguły w żadnym innym trybie nie generują wyskakujących powiadomień.

W przypadku reguł z określonym stanem reguły:

  • Reguły usługi ASR z \ASR Rule, Rule State\ kombinacjami są używane do wyskakujących alertów (wyskakujących powiadomień) na Ochrona punktu końcowego w usłudze Microsoft Defender tylko dla urządzeń na poziomie bloku chmury "Wysoki".
  • Urządzenia, które nie są na wysokim poziomie bloku chmury, nie generują alertów dla żadnych ASR Rule, Rule State kombinacji
  • Alerty EDR są generowane dla reguł usługi ASR w określonych stanach dla urządzeń na poziomie bloku chmury "High+"
  • Powiadomienia wyskakujące są wykonywane tylko w trybie bloku, a w przypadku urządzeń na poziomie bloku chmury "Wysoki"
Nazwa reguły Stan reguły Alerty EDR Powiadomienia wyskakujące
Blokowanie nadużyć wobec wykorzystywanych, narażonych na zagrożenia podpisanych kierowców N T
Zablokuj programowi Adobe Reader tworzenie procesów podrzędnych Blokuj T T
Blokowanie tworzenia procesów podrzędnych przez wszystkie aplikacje pakietu Office N T
Blokuj kradzież poświadczeń z podsystemu lokalnego urzędu zabezpieczeń systemu Windows (lsass.exe) N N
Blokuj zawartość wykonywalną z klienta poczty e-mail i poczty internetowej T T
Blokuj uruchamianie plików wykonywalnych, chyba że spełniają kryterium występowania, wieku lub listy zaufanych N T
Blokuj wykonywanie potencjalnie zaciemnionych skryptów Inspekcja lub blokowanie Y (w trybie bloku)
N (w trybie inspekcji)
Y (w trybie bloku)
Blokowanie uruchamiania pobranej zawartości wykonywalnej w języku JavaScript lub VBScript Blokuj T T
Blokowanie tworzenia zawartości wykonywalnej przez aplikacje pakietu Office N T
Blokuj aplikacjom pakietu Office wstrzykiwanie kodu do innych procesów N T
Blokowanie tworzenia procesów podrzędnych przez aplikację komunikacyjną pakietu Office N T
Blokowanie trwałości za pośrednictwem subskrypcji zdarzeń WMI Inspekcja lub blokowanie Y (w trybie bloku)
N (w trybie inspekcji)
Y (w trybie bloku)
Blokuj tworzenie procesów pochodzących z poleceń PSExec i WMI N T
Blokuj ponowne uruchamianie maszyny w trybie awaryjnym (wersja zapoznawcza) N N
Blokuj niezaufane i niepodpisane procesy uruchamiane z portu USB Inspekcja lub blokowanie Y (w trybie bloku)
N (w trybie inspekcji)
Y (w trybie bloku)
Blokowanie użycia skopiowanych lub personifikowanych narzędzi systemowych (wersja zapoznawcza) N N
Blokuj tworzenie programu WebShell dla serwerów N N
Blokuj wywołania interfejsu API Win32 z makr pakietu Office N T
Korzystanie z zaawansowanej ochrony przed oprogramowaniem wymuszającym okup Inspekcja lub blokowanie Y (w trybie bloku)
N (w trybie inspekcji)
Y (w trybie bloku)

Reguła usługi ASR do macierzy GUID

Nazwa reguły Identyfikator GUID reguły
Blokowanie nadużyć wobec wykorzystywanych, narażonych na zagrożenia podpisanych kierowców 56a863a9-875e-4185-98a7-b882c64b5ce5
Zablokuj programowi Adobe Reader tworzenie procesów podrzędnych 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c
Blokowanie tworzenia procesów podrzędnych przez wszystkie aplikacje pakietu Office d4f940ab-401b-4efc-aadc-ad5f3c50688a
Blokuj kradzież poświadczeń z podsystemu lokalnego urzędu zabezpieczeń systemu Windows (lsass.exe) 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2
Blokuj zawartość wykonywalną z klienta poczty e-mail i poczty internetowej be9ba2d9-53ea-4cdc-84e5-9b1eeee46550
Blokuj uruchamianie plików wykonywalnych, chyba że spełniają kryterium występowania, wieku lub listy zaufanych 01443614-cd74-433a-b99e-2ecdc07bfc25
Blokuj wykonywanie potencjalnie zaciemnionych skryptów 5beb7efe-fd9a-4556-801d-275e5ffc04cc
Blokowanie uruchamiania pobranej zawartości wykonywalnej w języku JavaScript lub VBScript d3e037e1-3eb8-44c8-a917-57927947596d
Blokowanie tworzenia zawartości wykonywalnej przez aplikacje pakietu Office 3b576869-a4ec-4529-8536-b80a7769e899
Blokuj aplikacjom pakietu Office wstrzykiwanie kodu do innych procesów 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84
Blokowanie tworzenia procesów podrzędnych przez aplikację komunikacyjną pakietu Office 26190899-1602-49e8-8b27-eb1d0a1ce869
Blokowanie trwałości za pośrednictwem subskrypcji zdarzeń WMI
* Wykluczenia plików i folderów nie są obsługiwane.
e6db77e5-3df2-4cf1-b95a-636979351e5b
Blokuj tworzenie procesów pochodzących z poleceń PSExec i WMI d1e49aac-8f56-4280-b9ba-993a6d77406c
Blokuj ponowne uruchamianie maszyny w trybie awaryjnym (wersja zapoznawcza) 33ddedf1-c6e0-47cb-833e-de6133960387
Blokuj niezaufane i niepodpisane procesy uruchamiane z portu USB b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4
Blokowanie użycia skopiowanych lub personifikowanych narzędzi systemowych (wersja zapoznawcza) c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb
Blokuj tworzenie programu WebShell dla serwerów a8f5898e-1dc8-49a9-9878-85004b8a61e6
Blokuj wywołania interfejsu API Win32 z makr pakietu Office 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b
Korzystanie z zaawansowanej ochrony przed oprogramowaniem wymuszającym okup c1db55ab-c21a-4637-bb3f-a12568109d35

Tryby reguł usługi ASR

  • Nie skonfigurowano lub wyłącz: stan, w którym reguła usługi ASR nie jest włączona lub jest wyłączona. Kod dla tego stanu = 0.
  • Blokuj: stan, w którym jest włączona reguła usługi ASR. Kod dla tego stanu to 1.
  • Inspekcja: stan, w którym reguła usługi ASR jest oceniana pod kątem wpływu, jaki miałaby na organizację lub środowisko, jeśli zostałaby włączona (ustawiona na wartość bloku lub ostrzeżenia). Kod dla tego stanu to 2.
  • Ostrzegać Stan, w którym reguła usługi ASR jest włączona i wyświetla użytkownikowi końcowemu powiadomienie, ale umożliwia użytkownikowi końcowemu obejście bloku. Kod dla tego stanu to 6.

Tryb ostrzeżenia to typ trybu bloku, który ostrzega użytkowników o potencjalnie ryzykownych akcjach. Użytkownicy mogą pominąć komunikat ostrzegawczy bloku i zezwolić na akcję bazową. Użytkownicy mogą wybrać przycisk OK , aby wymusić blok, lub wybrać opcję obejścia — Odblokuj — za pośrednictwem wyskakujących powiadomień wyskakujących użytkownika końcowego generowanych w czasie blokowania. Po odblokowaniu ostrzeżenia operacja jest dozwolona do następnego wystąpienia komunikatu ostrzegawczego, w którym to czasie użytkownik końcowy będzie musiał ponownie sformułować akcję.

Po kliknięciu przycisku zezwalania blok jest pomijany przez 24 godziny. Po 24 godzinach użytkownik końcowy będzie musiał ponownie zezwolić na blok. Tryb ostrzegania dla reguł usługi ASR jest obsługiwany tylko dla urządzeń RS5+ (1809+). Jeśli obejście jest przypisane do reguł usługi ASR na urządzeniach ze starszymi wersjami, reguła jest w trybie zablokowanym.

Możesz również ustawić regułę w trybie ostrzeżenia za pośrednictwem programu PowerShell, określając AttackSurfaceReductionRules_Actions ją jako "Warn". Przykład:

Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Warn

Opisy reguł

Blokowanie nadużyć wobec wykorzystywanych, narażonych na zagrożenia podpisanych kierowców

Ta reguła uniemożliwia aplikacji zapisanie na dysku wrażliwego sterownika podpisanego. W środowisku naturalnym, wrażliwe sterowniki podpisane mogą być wykorzystywane przez aplikacje lokalne - które mają wystarczające uprawnienia - aby uzyskać dostęp do jądra. Wrażliwe sterowniki podpisane umożliwiają osobom atakującym wyłączanie lub obchodzenie rozwiązań zabezpieczeń, co ostatecznie prowadzi do naruszenia zabezpieczeń systemu.

Reguła Blokuj nadużywanie wykorzystywanych sterowników podpisanych przez luki w zabezpieczeniach nie blokuje załadowania sterownika już istniejącego w systemie.

Uwaga

Tę regułę można skonfigurować przy użyciu Intune identyfikatora OMA-URI. Zobacz Intune OMA-URI, aby skonfigurować reguły niestandardowe. Tę regułę można również skonfigurować przy użyciu programu PowerShell. Aby zbadać sterownik, użyj tej witryny sieci Web, aby przesłać sterownik do analizy.

nazwa Intune:Block abuse of exploited vulnerable signed drivers

nazwa Configuration Manager: Nie jest jeszcze dostępna

GUID: 56a863a9-875e-4185-98a7-b882c64b5ce5

Zaawansowany typ akcji wyszukiwania zagrożeń:

  • AsrVulnerableSignedDriverAudited
  • AsrVulnerableSignedDriverBlocked

Zablokuj programowi Adobe Reader tworzenie procesów podrzędnych

Ta reguła zapobiega atakom, blokując programowi Adobe Reader tworzenie procesów.

Złośliwe oprogramowanie może pobierać i uruchamiać ładunki oraz wyrwać się z programu Adobe Reader za pośrednictwem inżynierii społecznej lub exploitów. Blokując generowanie procesów podrzędnych przez program Adobe Reader, złośliwe oprogramowanie próbujące użyć programu Adobe Reader jako wektora ataku nie może się rozprzestrzeniać.

nazwa Intune:Process creation from Adobe Reader (beta)

nazwa Configuration Manager: Nie jest jeszcze dostępna

GUID: 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c

Zaawansowany typ akcji wyszukiwania zagrożeń:

  • AsrAdobeReaderChildProcessAudited
  • AsrAdobeReaderChildProcessBlocked

Zależności: program antywirusowy Microsoft Defender

Blokowanie tworzenia procesów podrzędnych przez wszystkie aplikacje pakietu Office

Ta reguła uniemożliwia aplikacjom pakietu Office tworzenie procesów podrzędnych. Aplikacje pakietu Office obejmują Word, Excel, PowerPoint, OneNote i Access.

Tworzenie złośliwych procesów podrzędnych jest typową strategią złośliwego oprogramowania. Złośliwe oprogramowanie, które nadużywa pakietu Office jako wektora, często uruchamia makra VBA i wykorzystuje kod do pobrania i próby uruchomienia większej liczby ładunków. Jednak niektóre uzasadnione aplikacje biznesowe mogą również generować procesy podrzędne dla niegroźnych celów; na przykład zduplikowanie wiersza polecenia lub użycie programu PowerShell do skonfigurowania ustawień rejestru.

nazwa Intune:Office apps launching child processes

nazwa Configuration Manager:Block Office application from creating child processes

GUID: d4f940ab-401b-4efc-aadc-ad5f3c50688a

Zaawansowany typ akcji wyszukiwania zagrożeń:

  • AsrOfficeChildProcessAudited
  • AsrOfficeChildProcessBlocked

Zależności: program antywirusowy Microsoft Defender

Blokuj kradzież poświadczeń z podsystemu lokalnego urzędu zabezpieczeń systemu Windows

Uwaga

Jeśli włączono ochronę LSA i włączono funkcję Credential Guard , ta reguła zmniejszania obszaru ataków nie jest wymagana.

Ta reguła pomaga zapobiegać kradzieży poświadczeń przez zablokowanie usługi podsystemu lokalnego urzędu zabezpieczeń (LSASS).

Usługa LSASS uwierzytelnia użytkowników, którzy logują się na komputerze z systemem Windows. Microsoft Defender Credential Guard w systemie Windows zwykle uniemożliwia próby wyodrębnienia poświadczeń z usługi LSASS. Niektóre organizacje nie mogą włączyć funkcji Credential Guard na wszystkich swoich komputerach z powodu problemów ze zgodnością z niestandardowymi sterownikami kart inteligentnych lub innymi programami, które ładują się do lokalnego urzędu zabezpieczeń (LSA). W takich przypadkach osoby atakujące mogą używać narzędzi takich jak Mimikatz, aby zeskrobać hasła zwykłego tekstu i skróty NTLM z usługi LSASS.

Domyślnie stan tej reguły jest ustawiony na blok. W większości przypadków wiele procesów wywołuje LSASS w celu uzyskania praw dostępu, które nie są potrzebne. Na przykład, gdy początkowy blok reguły asr powoduje kolejne wywołanie mniejszego uprawnienia, które następnie zakończy się powodzeniem. Aby uzyskać informacje o typach praw, które są zwykle wymagane podczas wywołań procesu do LSASS, zobacz: Zabezpieczenia procesu i prawa dostępu.

Włączenie tej reguły nie zapewnia dodatkowej ochrony, jeśli włączono ochronę LSA, ponieważ reguła usługi ASR i ochrona LSA działają podobnie. Jeśli jednak nie można włączyć ochrony LSA, tę regułę można skonfigurować tak, aby zapewniała równoważną ochronę przed złośliwym oprogramowaniem docelowym lsass.exe.

Porada

  1. Zdarzenia inspekcji usługi ASR nie generują wyskakujących powiadomień. Jednak ponieważ reguła LSASS ASR generuje dużą liczbę zdarzeń inspekcji, z których prawie wszystkie można bezpiecznie zignorować, gdy reguła jest włączona w trybie bloku, można pominąć ocenę trybu inspekcji i przejść do blokowania wdrożenia trybu, zaczynając od niewielkiego zestawu urządzeń i stopniowo rozszerzając się, aby pokryć resztę.
  2. Reguła została zaprojektowana tak, aby pomijać raporty blokowe/wyskakujące dla przyjaznych procesów. Jest również przeznaczony do porzucania raportów dla zduplikowanych bloków. W związku z tym reguła dobrze nadaje się do włączenia w trybie bloku, niezależnie od tego, czy powiadomienia wyskakujące są włączone, czy wyłączone. 
  3. Usługa ASR w trybie ostrzegania jest przeznaczona do prezentowania użytkownikom wyskakujących powiadomień blokowych zawierających przycisk "Odblokuj". Ze względu na "bezpieczny do zignorowania" charakter bloków LSASS ASR i ich duży wolumin, tryb WARN nie jest zalecane dla tej reguły (niezależnie od tego, czy powiadomienia wyskakujące są włączone lub wyłączone).

Uwaga

W tym scenariuszu reguła usługi ASR jest klasyfikowana jako "nie dotyczy" w ustawieniach usługi Defender for Endpoint w portalu Microsoft Defender. Reguła blokuj kradzież poświadczeń z podsystemu ASR lokalnego urzędu zabezpieczeń systemu Windows nie obsługuje trybu WARN. W niektórych aplikacjach kod wylicza wszystkie uruchomione procesy i próbuje je otworzyć z wyczerpującymi uprawnieniami. Ta reguła nie zezwala na akcję otwierania procesu aplikacji i rejestruje szczegóły w dzienniku zdarzeń zabezpieczeń. Ta reguła może generować dużo szumu. Jeśli masz aplikację, która po prostu wylicza usługę LSASS, ale nie ma rzeczywistego wpływu na funkcjonalność, nie ma potrzeby dodawania jej do listy wykluczeń. Sam wpis dziennika zdarzeń nie musi wskazywać na złośliwe zagrożenie.

nazwa Intune:Flag credential stealing from the Windows local security authority subsystem

nazwa Configuration Manager:Block credential stealing from the Windows local security authority subsystem

GUID: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2

Zaawansowany typ akcji wyszukiwania zagrożeń:

  • AsrLsassCredentialTheftAudited
  • AsrLsassCredentialTheftBlocked

Zależności: program antywirusowy Microsoft Defender

Znane problemy: Te aplikacje i reguła "Blokuj kradzież poświadczeń z podsystemu lokalnego urzędu zabezpieczeń systemu Windows" są niezgodne:

Nazwa aplikacji Aby uzyskać informacje
Quest Dirsync Password Sync Synchronizacja haseł dirsync nie działa po zainstalowaniu usługi Windows Defender, błąd: "VirtualAllocEx failed: 5" (4253914)

Aby uzyskać pomoc techniczną, skontaktuj się z dostawcą oprogramowania.

Blokuj zawartość wykonywalną z klienta poczty e-mail i poczty internetowej

Ta reguła blokuje otwarcie poczty e-mail w aplikacji Microsoft Outlook lub Outlook.com i innych popularnych dostawców poczty internetowej przed propagowaniem następujących typów plików:

  • Pliki wykonywalne (takie jak .exe, .dll lub scr)
  • Pliki skryptów (takie jak .ps1 programu PowerShell, pliki vbs języka Visual Basic lub javascript .js)

nazwa Intune:Execution of executable content (exe, dll, ps, js, vbs, etc.) dropped from email (webmail/mail client) (no exceptions)

nazwa Microsoft Configuration Manager:Block executable content from email client and webmail

GUID: be9ba2d9-53ea-4cdc-84e5-9b1eeee46550

Zaawansowany typ akcji wyszukiwania zagrożeń:

  • AsrExecutableEmailContentAudited
  • AsrExecutableEmailContentBlocked

Zależności: program antywirusowy Microsoft Defender

Uwaga

Reguła Blokuj zawartość wykonywalną z klienta poczty e-mail i poczty internetowej ma następujące alternatywne opisy, w zależności od używanej aplikacji:

  • Intune (profile konfiguracji): wykonywanie zawartości wykonywalnej (np. dll, ps, js, vbs itp.) porzucone z poczty e-mail (poczta internetowa/klient poczty) (bez wyjątków).
  • Configuration Manager: blokuj pobieranie zawartości wykonywalnej z klientów poczty e-mail i poczty internetowej.
  • zasady grupy: blokuj zawartość wykonywalną z klienta poczty e-mail i poczty internetowej.

Blokuj uruchamianie plików wykonywalnych, chyba że spełniają kryterium występowania, wieku lub listy zaufanych

Ta reguła blokuje uruchamianie plików wykonywalnych, takich jak .exe, .dll lub scr. W związku z tym uruchamianie niezaufanych lub nieznanych plików wykonywalnych może być ryzykowne, ponieważ początkowo nie jest jasne, czy pliki są złośliwe.

Ważna

Aby korzystać z tej reguły, należy włączyć ochronę dostarczaną przez chmurę . Reguła Blokuj uruchamianie plików wykonywalnych, chyba że spełniają kryterium występowania, wieku lub listy zaufanej z identyfikatorem GUID 01443614-cd74-433a-b99e-2ecdc07bfc25 , jest własnością firmy Microsoft i nie jest określane przez administratorów. Ta reguła używa ochrony dostarczanej przez chmurę do regularnego aktualizowania swojej listy zaufanej. Można określić poszczególne pliki lub foldery (przy użyciu ścieżek folderów lub w pełni kwalifikowanych nazw zasobów), ale nie można określić, do których reguł lub wykluczeń mają zastosowanie.

nazwa Intune:Executables that don't meet a prevalence, age, or trusted list criteria

nazwa Configuration Manager:Block executable files from running unless they meet a prevalence, age, or trusted list criteria

GUID: 01443614-cd74-433a-b99e-2ecdc07bfc25

Zaawansowany typ akcji wyszukiwania zagrożeń:

  • AsrUntrustedExecutableAudited
  • AsrUntrustedExecutableBlocked

Zależności: program antywirusowy Microsoft Defender, ochrona w chmurze

Blokuj wykonywanie potencjalnie zaciemnionych skryptów

Ta reguła wykrywa podejrzane właściwości w zaciemnionym skryptze.

Uwaga

Skrypty programu PowerShell są teraz obsługiwane dla reguły "Blokuj wykonywanie potencjalnie zaciemnionych skryptów".

Ważna

Aby korzystać z tej reguły, należy włączyć ochronę dostarczaną przez chmurę.

Zaciemnianie skryptów jest powszechną techniką, z którą korzystają zarówno autorzy złośliwego oprogramowania, jak i uzasadnione aplikacje, aby ukryć własność intelektualną lub skrócić czas ładowania skryptu. Autorzy złośliwego oprogramowania używają również zaciemniania, aby utrudnić odczytywanie złośliwego kodu, co utrudnia ścisłą kontrolę ludzi i oprogramowania zabezpieczającego.

nazwa Intune:Obfuscated js/vbs/ps/macro code

nazwa Configuration Manager:Block execution of potentially obfuscated scripts

GUID: 5beb7efe-fd9a-4556-801d-275e5ffc04cc

Zaawansowany typ akcji wyszukiwania zagrożeń:

  • AsrObfuscatedScriptAudited
  • AsrObfuscatedScriptBlocked

Zależności: program antywirusowy Microsoft Defender, interfejs skanowania oprogramowania chroniącego przed złośliwym kodem (AMSI)

Blokowanie uruchamiania pobranej zawartości wykonywalnej w języku JavaScript lub VBScript

Ta reguła uniemożliwia skryptom uruchamianie potencjalnie złośliwej pobranej zawartości. Złośliwe oprogramowanie napisane w języku JavaScript lub VBScript często działa jako narzędzie do pobierania i uruchamiania innego złośliwego oprogramowania z Internetu. Chociaż nie jest to typowe, aplikacje biznesowe czasami używają skryptów do pobierania i uruchamiania instalatorów.

nazwa Intune:js/vbs executing payload downloaded from Internet (no exceptions)

nazwa Configuration Manager:Block JavaScript or VBScript from launching downloaded executable content

GUID: d3e037e1-3eb8-44c8-a917-57927947596d

Zaawansowany typ akcji wyszukiwania zagrożeń:

  • AsrScriptExecutableDownloadAudited
  • AsrScriptExecutableDownloadBlocked

Zależności: program antywirusowy Microsoft Defender, amsi

Blokowanie tworzenia zawartości wykonywalnej przez aplikacje pakietu Office

Ta reguła uniemożliwia aplikacjom pakietu Office, w tym Word, Excelowi i PowerPoint, tworzenie potencjalnie złośliwej zawartości wykonywalnej przez blokowanie zapisu złośliwego kodu na dysku. Złośliwe oprogramowanie, które nadużywa pakietu Office jako wektora, może próbować wyrwać się z pakietu Office i zapisać złośliwe składniki na dysku. Te złośliwe składniki przetrwałyby ponowne uruchomienie komputera i utrwaliłyby się w systemie. W związku z tym ta reguła broni się przed powszechną techniką trwałości. Ta reguła blokuje również wykonywanie niezaufanych plików, które mogły zostać zapisane przez makra pakietu Office, które mogą być uruchamiane w plikach pakietu Office.

nazwa Intune:Office apps/macros creating executable content

nazwa Configuration Manager:Block Office applications from creating executable content

GUID: 3b576869-a4ec-4529-8536-b80a7769e899

Zaawansowany typ akcji wyszukiwania zagrożeń:

  • AsrExecutableOfficeContentAudited
  • AsrExecutableOfficeContentBlocked

Zależności: program antywirusowy Microsoft Defender, RPC

Blokuj aplikacjom pakietu Office wstrzykiwanie kodu do innych procesów

Ta reguła blokuje próby wstrzyknięcia kodu z aplikacji pakietu Office do innych procesów.

Uwaga

Reguła Blokuj aplikacjom wstrzykiwanie kodu do innych procesów asr nie obsługuje trybu WARN.

Ważna

Ta reguła wymaga ponownego uruchomienia Aplikacje Microsoft 365 (aplikacji pakietu Office), aby zmiany konfiguracji zaczęły obowiązywać.

Osoby atakujące mogą próbować przeprowadzić migrację złośliwego kodu do innych procesów za pomocą aplikacji pakietu Office, aby kod mógł zostać zamapowany jako czysty proces. Nie ma znanych uzasadnionych celów biznesowych do wstrzykiwania kodu.

Ta reguła ma zastosowanie do Word, Excel, OneNote i PowerPoint.

nazwa Intune:Office apps injecting code into other processes (no exceptions)

nazwa Configuration Manager:Block Office applications from injecting code into other processes

GUID: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84

Zaawansowany typ akcji wyszukiwania zagrożeń:

  • AsrOfficeProcessInjectionAudited
  • AsrOfficeProcessInjectionBlocked

Zależności: program antywirusowy Microsoft Defender

Znane problemy: Te aplikacje i reguła "Blokuj aplikacjom pakietu Office wstrzykiwanie kodu do innych procesów" są niezgodne:

Nazwa aplikacji Aby uzyskać informacje
Avecto (BeyondTrust) Privilege Guard Wrzesień 2024 r. (platforma: 4.18.24090.11 | Silnik 1.1.24090.11).
Zabezpieczenia Heimdal nie dotyczy

Aby uzyskać pomoc techniczną, skontaktuj się z dostawcą oprogramowania.

Blokowanie tworzenia procesów podrzędnych przez aplikację komunikacyjną pakietu Office

Ta reguła uniemożliwia programowi Outlook tworzenie procesów podrzędnych, a jednocześnie zezwala na prawidłowe funkcje programu Outlook. Ta reguła chroni przed atakami inżynierii społecznej i uniemożliwia wykorzystanie kodu przed nadużywaniem luk w zabezpieczeniach w programie Outlook. Chroni również przed regułami programu Outlook i formami wykorzystującymi luki w zabezpieczeniach , których osoby atakujące mogą używać w przypadku naruszenia poświadczeń użytkownika.

Uwaga

Ta reguła blokuje porady dotyczące zasad DLP i etykietki narzędzi w programie Outlook. Ta reguła dotyczy tylko programu Outlook i Outlook.com.

nazwa Intune:Process creation from Office communication products (beta)

nazwa Configuration Manager: niedostępna

GUID: 26190899-1602-49e8-8b27-eb1d0a1ce869

Zaawansowany typ akcji wyszukiwania zagrożeń:

  • AsrOfficeCommAppChildProcessAudited
  • AsrOfficeCommAppChildProcessBlocked

Zależności: program antywirusowy Microsoft Defender

Blokowanie trwałości za pośrednictwem subskrypcji zdarzeń WMI

Ta reguła uniemożliwia złośliwemu oprogramowaniu nadużywanie usługi WMI w celu uzyskania trwałości na urządzeniu.

Zagrożenia bez plików stosują różne taktyki, aby pozostać w ukryciu, aby uniknąć bycia widocznym w systemie plików i uzyskać okresową kontrolę nad wykonywaniem. Niektóre zagrożenia mogą nadużywać repozytorium WMI i modelu zdarzeń, aby pozostać w ukryciu.

Uwaga

Jeśli CcmExec.exe (agent SCCM) zostanie wykryty na urządzeniu, reguła usługi ASR zostanie sklasyfikowana jako "nie dotyczy" w ustawieniach usługi Defender for Endpoint w portalu Microsoft Defender.

nazwa Intune:Persistence through WMI event subscription

nazwa Configuration Manager: niedostępna

GUID: e6db77e5-3df2-4cf1-b95a-636979351e5b

Zaawansowany typ akcji wyszukiwania zagrożeń:

  • AsrPersistenceThroughWmiAudited
  • AsrPersistenceThroughWmiBlocked

Zależności: program antywirusowy Microsoft Defender, RPC

Blokuj tworzenie procesów pochodzących z poleceń PSExec i WMI

Ta reguła blokuje uruchamianie procesów utworzonych za pośrednictwem programu PsExec i usługi WMI . Zarówno program PsExec, jak i usługa WMI mogą zdalnie wykonywać kod. Istnieje ryzyko, że złośliwe oprogramowanie nadużywa funkcji programu PsExec i WMI do celów dowodzenia i kontroli lub rozprzestrzeniania infekcji w sieci organizacji.

Ostrzeżenie

Tej reguły należy używać tylko wtedy, gdy zarządzasz urządzeniami za pomocą Intune lub innego rozwiązania MDM. Ta reguła jest niezgodna z zarządzaniem za pośrednictwem Configuration Manager punktu końcowego firmy Microsoft, ponieważ ta reguła blokuje polecenia usługi WMI, których klient Configuration Manager używa do poprawnego działania.

nazwa Intune:Process creation from PSExec and WMI commands

nazwa Configuration Manager: Nie dotyczy

GUID: d1e49aac-8f56-4280-b9ba-993a6d77406c

Zaawansowany typ akcji wyszukiwania zagrożeń:

  • AsrPsexecWmiChildProcessAudited
  • AsrPsexecWmiChildProcessBlocked

Zależności: program antywirusowy Microsoft Defender

Blokuj ponowne uruchamianie maszyny w trybie awaryjnym (wersja zapoznawcza)

Ta reguła uniemożliwia wykonywanie poleceń w celu ponownego uruchomienia maszyn w trybie awaryjnym. Tryb awaryjny to tryb diagnostyczny, który ładuje tylko podstawowe pliki i sterowniki potrzebne do uruchomienia systemu Windows. Jednak w trybie awaryjnym wiele produktów zabezpieczeń jest wyłączonych lub działa w ograniczonej pojemności, co pozwala osobom atakującym na dalsze uruchamianie poleceń powodujących naruszenie lub po prostu wykonywanie i szyfrowanie wszystkich plików na maszynie. Ta reguła blokuje takie ataki, uniemożliwiając procesom ponowne uruchamianie maszyn w trybie awaryjnym.

Uwaga

Ta funkcja jest obecnie dostępna w wersji zapoznawczej. Dodatkowe uaktualnienia w celu poprawy skuteczności są w trakcie opracowywania.

nazwa Intune:[PREVIEW] Block rebooting machine in Safe Mode

nazwa Configuration Manager: Nie jest jeszcze dostępna

GUID: 33ddedf1-c6e0-47cb-833e-de6133960387

Zaawansowany typ akcji wyszukiwania zagrożeń:

  • AsrSafeModeRebootedAudited

  • AsrSafeModeRebootBlocked

  • AsrSafeModeRebootWarnBypassed

Zależności: program antywirusowy Microsoft Defender

Blokuj niezaufane i niepodpisane procesy uruchamiane z portu USB

Dzięki tej regule administratorzy mogą uniemożliwić uruchamianie niezapisanych lub niezaufanych plików wykonywalnych z dysków wymiennych USB, w tym kart SD. Zablokowane typy plików obejmują pliki wykonywalne (takie jak .exe, .dll lub scr)

Ważna

Pliki skopiowane z dysku USB na dysk zostaną zablokowane przez tę regułę, jeśli i kiedy ma zostać wykonane na dysku.

nazwa Intune:Untrusted and unsigned processes that run from USB

nazwa Configuration Manager:Block untrusted and unsigned processes that run from USB

GUID: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4

Zaawansowany typ akcji wyszukiwania zagrożeń:

  • AsrUntrustedUsbProcessAudited
  • AsrUntrustedUsbProcessBlocked

Zależności: program antywirusowy Microsoft Defender

Blokowanie użycia skopiowanych lub personifikowanych narzędzi systemowych (wersja zapoznawcza)

Ta reguła blokuje korzystanie z plików wykonywalnych, które są identyfikowane jako kopie narzędzi systemu Windows. Te pliki są duplikatami lub oszustami oryginalnych narzędzi systemowych. Niektóre złośliwe programy mogą próbować skopiować lub personifikować narzędzia systemu Windows, aby uniknąć wykrycia lub uzyskania uprawnień. Zezwolenie na takie pliki wykonywalne może prowadzić do potencjalnych ataków. Ta reguła uniemożliwia propagację i wykonywanie takich duplikatów i oszustów narzędzi systemowych na maszynach z systemem Windows.

Uwaga

Ta funkcja jest obecnie dostępna w wersji zapoznawczej. Dodatkowe uaktualnienia w celu poprawy skuteczności są w trakcie opracowywania.

nazwa Intune:[PREVIEW] Block use of copied or impersonated system tools

nazwa Configuration Manager: Nie jest jeszcze dostępna

GUID: c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb

Zaawansowany typ akcji wyszukiwania zagrożeń:

  • AsrAbusedSystemToolAudited

  • AsrAbusedSystemToolBlocked

  • AsrAbusedSystemToolWarnBypassed

Zależności: program antywirusowy Microsoft Defender

Blokuj tworzenie programu WebShell dla serwerów

Ta reguła blokuje tworzenie skryptu powłoki internetowej na serwerze Microsoft Server w roli programu Exchange. Skrypt powłoki internetowej to specjalnie spreparowany skrypt, który umożliwia atakującemu kontrolowanie naruszonego serwera. Powłoka internetowa może obejmować funkcje, takie jak odbieranie i wykonywanie złośliwych poleceń, pobieranie i wykonywanie złośliwych plików, kradzież i eksfiltrowanie poświadczeń oraz poufnych informacji, identyfikowanie potencjalnych celów itp.

nazwa Intune:Block Webshell creation for Servers

GUID: a8f5898e-1dc8-49a9-9878-85004b8a61e6

Zależności: program antywirusowy Microsoft Defender

Blokuj wywołania interfejsu API Win32 z makr pakietu Office

Ta reguła uniemożliwia makra VBA wywoływanie interfejsów API Win32. Usługa Office VBA umożliwia wywołania interfejsu API Win32. Złośliwe oprogramowanie może nadużywać tej funkcji, na przykład wywoływania interfejsów API Win32 w celu uruchomienia złośliwego kodu powłoki bez pisania czegokolwiek bezpośrednio na dysku. Większość organizacji nie polega na możliwości wywoływania interfejsów API Win32 w ich codziennym funkcjonowaniu, nawet jeśli używają makr w inny sposób.

nazwa Intune:Win32 imports from Office macro code

nazwa Configuration Manager:Block Win32 API calls from Office macros

GUID: 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b

Zaawansowany typ akcji wyszukiwania zagrożeń:

  • AsrOfficeMacroWin32ApiCallsAudited
  • AsrOfficeMacroWin32ApiCallsBlocked

Zależności: program antywirusowy Microsoft Defender, amsi

Korzystanie z zaawansowanej ochrony przed oprogramowaniem wymuszającym okup

Ta reguła zapewnia dodatkową warstwę ochrony przed oprogramowaniem wymuszającym okup. Używa zarówno heurystyki klienta, jak i chmury, aby określić, czy plik przypomina oprogramowanie wymuszające okup. Ta reguła nie blokuje plików o co najmniej jednej z następujących cech:

  • Plik został już uznany za bez szwanku w chmurze firmy Microsoft.
  • Plik jest prawidłowym podpisanym plikiem.
  • Plik jest wystarczająco rozpowszechniony, aby nie być uważanym za oprogramowanie wymuszające okup.

Reguła ma tendencję do błądzić po stronie ostrożności, aby zapobiec ransomware.

nazwa Intune:Advanced ransomware protection

nazwa Configuration Manager:Use advanced protection against ransomware

GUID: c1db55ab-c21a-4637-bb3f-a12568109d35

Zaawansowany typ akcji wyszukiwania zagrożeń:

  • AsrRansomwareAudited
  • AsrRansomwareBlocked

Zależności: program antywirusowy Microsoft Defender, ochrona w chmurze

Zobacz też

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.