Demonstracje reguł zmniejszania obszaru ataków
Dotyczy:
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
- Microsoft Defender dla Firm
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
- Program antywirusowy Microsoft Defender
Reguły zmniejszania obszaru ataków dotyczą określonych zachowań, które są zwykle używane przez złośliwe oprogramowanie i złośliwe aplikacje do infekowania maszyn, takich jak:
- Pliki wykonywalne i skrypty używane w aplikacjach pakietu Office lub pocztą internetową, które próbują pobrać lub uruchomić pliki
- Skrypty, które są zaciemnione lub w inny sposób podejrzane
- Zachowania podejmowane przez aplikacje, które nie są inicjowane podczas normalnej codziennej pracy
Wymagania i konfiguracja scenariusza
- Windows 11, kompilacja Windows 10 1709 16273 lub nowsza
- Windows Server 2022, Windows Server 2019, Windows Server 2016 lub Windows Server 2012 R2 za pomocą ujednoliconego klienta MDE.
- Program antywirusowy Microsoft Defender
- Aplikacje Microsoft 365 (Office; wymagane dla reguł pakietu Office i przykładu)
- Pobieranie skryptów programu PowerShell służących do zmniejszania obszaru ataków
Polecenia programu PowerShell
Add-MpPreference -AttackSurfaceReductionRules_Ids BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536-B80A7769E899 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D3E037E1-3EB8-44C8-A917-57927947596D -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D1E49AAC-8F56-4280-B9BA-993A6D77406C -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids C1DB55AB-C21A-4637-BB3F-A12568109D35 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-CD74-433A-B99E-2ECDC07BFC25 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids e6db77e5-3df2-4cf1-b95a-636979351e5b -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids a8f5898e-1dc8-49a9-9878-85004b8a61e6 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-49E8-8B27-EB1D0A1CE869 -AttackSurfaceReductionRules_Actions AuditMode
Add-MpPreference -AttackSurfaceReductionRules_Ids 7674BA52-37EB-4A4F-A9A1-F0F9A1619A2C -AttackSurfaceReductionRules_Actions AuditMode
Stany reguł
| Stan | Tryb | Wartość liczbowa |
|---|---|---|
| Wyłączona | = Wyłączone | 0 |
| Włączone | = Tryb bloku | 1 |
| Inspekcji | = Tryb inspekcji | 2 |
Weryfikowanie konfiguracji
Get-MpPreference
Pliki testowe
Uwaga — niektóre pliki testowe mają wiele osadzonych exploitów i wyzwala wiele reguł
| Nazwa reguły | Identyfikator GUID reguły |
|---|---|
| Blokuj zawartość wykonywalną z klienta poczty e-mail i poczty internetowej | BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550 |
| Blokowanie tworzenia procesów podrzędnych przez aplikacje pakietu Office | D4F940AB-401B-4EFC-AADC-AD5F3C50688A |
| Blokowanie tworzenia zawartości wykonywalnej przez aplikacje pakietu Office | 3B576869-A4EC-4529-8536-B80A7769E899 |
| Blokowanie wstrzykiwania aplikacji pakietu Office do innych procesów | 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84 |
| Utrudnianie uruchamiania plików wykonywalnych w języku JavaScript i VBScript | D3E037E1-3EB8-44C8-A917-57927947596D |
| Blokuj wykonywanie potencjalnie zaciemnionych skryptów | 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC |
| Blokuj importowanie win32 z kodu makr w pakiecie Office | 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B |
| {Blokuj tworzenie procesów pochodzących z poleceń usługi PSExec & WMI | D1E49AAC-8F56-4280-B9BA-993A6D77406C |
| Blokuj wykonywanie niezaufanych lub niepodpisanych plików wykonywalnych wewnątrz wymiennych nośników USB | B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4 |
| Agresywna ochrona przed oprogramowaniem wymuszającym okup | C1DB55AB-C21A-4637-BB3F-A12568109D35 |
| Blokuj uruchamianie plików wykonywalnych, chyba że spełniają kryteria występowania, wieku lub listy zaufanych | 01443614-CD74-433A-B99E-2ECDC07BFC25 |
| Zablokuj programowi Adobe Reader tworzenie procesów podrzędnych | 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c |
| Blokowanie nadużyć wobec wykorzystywanych, narażonych na zagrożenia podpisanych kierowców | 56a863a9-875e-4185-98a7-b882c64b5ce5 |
| Blokuj kradzież poświadczeń z podsystemu lokalnego urzędu zabezpieczeń systemu Windows (lsass.exe) | 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 |
| Blokowanie trwałości za pośrednictwem subskrypcji zdarzeń WMI | e6db77e5-3df2-4cf1-b95a-636979351e5b |
| Blokuj tworzenie programu WebShell dla serwerów | a8f5898e-1dc8-49a9-9878-85004b8a61e6 |
Scenariuszy
Konfigurowanie
Pobierz i uruchom ten skrypt konfiguracji. Przed uruchomieniem zasad wykonywania zestawu skryptów na wartość Nieograniczone przy użyciu tego polecenia programu PowerShell:
Set-ExecutionPolicy Unrestricted
Zamiast tego możesz wykonać następujące czynności ręczne:
- Twórca folder w obszarze c: o nazwie demo " c:\demo"
- Zapisz ten czysty plik w pliku c:\demo.
- Włącz wszystkie reguły przy użyciu polecenia programu PowerShell.
Scenariusz 1. Redukcja obszaru podatnego na ataki blokuje plik testowy z wieloma lukami w zabezpieczeniach
- Włącz wszystkie reguły w trybie bloku przy użyciu poleceń programu PowerShell (możesz skopiować wszystkie)
- Pobierz i otwórz dowolny plik/dokumenty testowe oraz włącz edycję i zawartość, jeśli zostanie wyświetlony monit.
Oczekiwane wyniki scenariusza 1
Natychmiast powinno zostać wyświetlone powiadomienie "Akcja zablokowana".
Scenariusz 2. Reguła usługi ASR blokuje plik testowy z odpowiednią luką w zabezpieczeniach
Skonfiguruj regułę, którą chcesz przetestować przy użyciu polecenia programu PowerShell z poprzedniego kroku.
Przykład:
Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions EnabledPobierz i otwórz plik testowy/dokument dla reguły, którą chcesz przetestować, oraz włącz edycję i zawartość, jeśli zostanie wyświetlony monit.
Przykład: zablokuj aplikacjom pakietu Office tworzenie procesów podrzędnych D4F940AB-401B-4EFC-AADC-AD5F3C50688A
Oczekiwane wyniki scenariusza 2
Natychmiast powinno zostać wyświetlone powiadomienie "Akcja zablokowana".
Scenariusz 3 (Windows 10 lub nowszy): reguła usługi ASR blokuje wykonywanie niepodpisanej zawartości USB
- Skonfiguruj regułę ochrony USB (
B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4).
Add-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4 -AttackSurfaceReductionRules_Actions Enabled
- Pobierz plik i umieść go na pamięci USB i wykonaj polecenie Blokuj wykonywanie niezaufanych lub niepodpisanych plików wykonywalnych wewnątrz wymiennego nośnika USB
Oczekiwane wyniki scenariusza 3
Natychmiast powinno zostać wyświetlone powiadomienie "Akcja zablokowana".
Scenariusz 4. Co by się stało bez zmniejszania powierzchni ataku
Wyłącz wszystkie reguły zmniejszania obszaru ataków przy użyciu poleceń programu PowerShell w sekcji oczyszczania.
Pobierz dowolny plik testowy/dokument i włącz edycję i zawartość, jeśli zostanie wyświetlony monit.
Oczekiwane wyniki scenariusza 4
- Pliki w c:\demo są szyfrowane i powinien zostać wyświetlony komunikat ostrzegawczy
- Wykonaj ponownie plik testowy, aby odszyfrować pliki
Oczyszczanie
Pobierz i uruchom ten skrypt oczyszczania
Alternatywnie możesz wykonać następujące kroki ręczne:
Add-MpPreference -AttackSurfaceReductionRules_Ids BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536-B80A7769E899 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D3E037E1-3EB8-44C8-A917-57927947596D -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D1E49AAC-8F56-4280-B9BA-993A6D77406C -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids C1DB55AB-C21A-4637-BB3F-A12568109D35 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-CD74-433A-B99E-2ECDC07BFC25 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids e6db77e5-3df2-4cf1-b95a-636979351e5b -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids a8f5898e-1dc8-49a9-9878-85004b8a61e6 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-49E8-8B27-EB1D0A1CE869 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 7674BA52-37EB-4A4F-A9A1-F0F9A1619A2C -AttackSurfaceReductionRules_Actions Disabled
Wyczyść szyfrowanie c:\demo , uruchamiając plik szyfrowania/odszyfrowywania
Zobacz też
Przewodnik wdrażania reguł zmniejszania obszaru ataków
Dokumentacja reguł zmniejszania obszaru podatnego na ataki
Ochrona punktu końcowego w usłudze Microsoft Defender — scenariusze demonstracyjnych
Porada
Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.