Podejście i najlepsze rozwiązania dotyczące oprogramowania wymuszającego okup zespołu reagowania na zdarzenia firmy Microsoft

Oprogramowanie wymuszane przez człowieka nie jest problemem złośliwego oprogramowania - jest to problem przestępczy. Rozwiązania używane do rozwiązywania problemów towarowych nie są wystarczające, aby zapobiec zagrożeniu, które bardziej przypomina aktora zagrożenia dla państwa narodu, który:

• Wyłącza lub odinstalowuje oprogramowanie antywirusowe przed szyfrowaniem plików
• Wyłącza usługi zabezpieczeń i rejestrowanie, aby uniknąć wykrywania
• Lokalizuje i usuwa kopie zapasowe przed wysłaniem żądania okupu

Te akcje są często wykonywane przy użyciu legalnych programów , takich jak Quick Assist w maju 2024 r., które mogą już znajdować się w twoim środowisku w celach administracyjnych. W rękach przestępczych te narzędzia służą do przeprowadzania ataków.

Reagowanie na rosnące zagrożenie oprogramowaniem wymuszającym okup wymaga połączenia nowoczesnej konfiguracji przedsiębiorstwa, up-to-date produktów zabezpieczających i wyszkolonych pracowników ds. zabezpieczeń w celu wykrywania zagrożeń i reagowania na nie przed utratą danych.

Zespół reagowania na zdarzenia firmy Microsoft (dawniej DART/CRSP) reaguje na naruszenia zabezpieczeń, aby pomóc klientom stać się cyberodpornym. Reagowanie na zdarzenia firmy Microsoft zapewnia reaktywną reakcję na zdarzenia i zdalne proaktywne badania. Reagowanie na zdarzenia firmy Microsoft korzysta ze strategicznych partnerstw firmy Microsoft z organizacjami zabezpieczeń na całym świecie i wewnętrznymi grupami produktów firmy Microsoft, aby zapewnić najbardziej kompletne i dokładne badanie.

W tym artykule opisano, jak reagowanie na incydenty przez Microsoft obsługuje ataki ransomware, aby pomóc klientom firmy Microsoft w tworzeniu najlepszych praktyk dla własnych procedur operacji zabezpieczeń. Aby uzyskać informacje na temat sposobu, w jaki firma Microsoft korzysta z najnowszej sztucznej inteligencji do łagodzenia skutków oprogramowania wymuszającego okup, przeczytaj nasz artykuł o Microsoft Security Copilot, który omawia obronę przed takimi atakami.

Jak reagowanie na zdarzenia firmy Microsoft korzysta z usług zabezpieczeń firmy Microsoft

Reagowanie na zdarzenia firmy Microsoft opiera się w dużej mierze na danych dotyczących wszystkich badań i korzysta z usług zabezpieczeń firmy Microsoft, takich jak Microsoft Defender for Office 365, Microsoft Defender for Endpoint, Microsoft Defender for Identityi Microsoft Defender for Cloud Apps.

Aby uzyskać najnowsze aktualizacje środków bezpieczeństwa zespołu reagowania na zdarzenia firmy Microsoft, zapoznaj się z Ninja Hub.

Usługa Microsoft Defender dla punktu końcowego

Defender for Endpoint to platforma zabezpieczeń punktu końcowego przedsiębiorstwa firmy Microsoft, która ułatwia analitykom zabezpieczeń sieci przedsiębiorstwa zapobieganie zaawansowanym zagrożeniom, wykrywanie, badanie i reagowanie na nie. Usługa Defender for Endpoint może wykrywać ataki przy użyciu zaawansowanej analizy behawioralnej i uczenia maszynowego. Analitycy mogą używać usługi Defender for Endpoint do oceny analizy behawioralnej aktora zagrożeń.

Analitycy mogą również wykonywać zaawansowane zapytania wyszukiwania, aby zidentyfikować wskaźniki naruszenia (IOC) lub wyszukać znane działania aktorów zagrożeń.

Defender for Endpoint zapewnia dostęp w czasie rzeczywistym do monitorowania i analizy przez ekspertów Microsoft Defender w związku z trwającą aktywnością podejrzanego podmiotu. Możesz również współpracować z ekspertami na żądanie, aby uzyskać więcej informacji na temat alertów i zdarzeń.

Microsoft Defender for Identity

Usługa Defender for Identity bada znane konta z naruszonymi zabezpieczeniami, aby zidentyfikować inne potencjalnie naruszone konta w organizacji. Usługa Defender for Identity wysyła alerty dotyczące znanych złośliwych działań, takich jak ataki DCSync, próby zdalnego wykonywania kodu i ataki typu pass-the-hash.

Microsoft Defender for Cloud Apps

Usługa Defender for Cloud Apps (wcześniej znana jako Microsoft Cloud App Security) umożliwia analitykowi wykrywanie nietypowych zachowań w aplikacjach w chmurze w celu identyfikowania oprogramowania wymuszającego okup, naruszonych zabezpieczeń użytkowników lub nieautoryzowanych aplikacji. Defender for Cloud Apps to rozwiązanie brokera zabezpieczeń dostępu do chmury (CASB) firmy Microsoft, które umożliwia monitorowanie usług i danych w chmurze, do których uzyskują dostęp użytkownicy w usługach w chmurze.

Wskaźnik bezpieczeństwa Microsoft

Usługi Microsoft Defender XDR udostępniają zalecenia dotyczące korygowania na żywo w celu zmniejszenia obszaru ataków. Wskaźnik bezpieczeństwa firmy Microsoft to pomiar stanu zabezpieczeń organizacji z wyższą liczbą wskazującą, że podjęto więcej akcji poprawy. przeczytaj dokumentację dotyczącą wskaźnika bezpieczeństwa, aby dowiedzieć się więcej o tym, jak organizacja może używać tej funkcji do określania priorytetów akcji korygowania dla ich środowiska.

Podejście reagowania na zdarzenia firmy Microsoft do przeprowadzania dochodzeń dotyczących zdarzeń oprogramowania wymuszającego okup

Określenie, w jaki sposób aktor zagrożeń uzyskał dostęp do środowiska, ma kluczowe znaczenie dla identyfikowania luk w zabezpieczeniach, przeprowadzania ograniczania ataków i zapobiegania przyszłym atakom. W niektórych przypadkach aktor zagrożenia podejmuje kroki, aby zakryć swoje ślady i zniszczyć dowody, więc możliwe, że cały łańcuch zdarzeń może nie być widoczny.

Poniżej przedstawiono trzy kluczowe kroki w badaniach oprogramowania wymuszającego okup reagowania na zdarzenia firmy Microsoft:

Krok	Goal	Pytania wstępne
1. Ocena bieżącej sytuacji	Omówienie zakresu	Co początkowo wiedziało o ataku wymuszającym okup? O której godzinie/dacie po raz pierwszy dowiedziałeś się o zdarzeniu? Jakie dzienniki są dostępne i czy istnieje jakiekolwiek wskazanie, że aktor uzyskuje obecnie dostęp do systemów?
2. Identyfikowanie aplikacji biznesowych ,których dotyczy problem	Pobieranie systemów z powrotem w tryb online	Czy aplikacja wymaga tożsamości? Czy są dostępne kopie zapasowe aplikacji, konfiguracji i danych? Czy zawartość i integralność kopii zapasowych są regularnie weryfikowane przy użyciu ćwiczenia przywracania?
3. Określanie procesu odzyskiwania po naruszeniu zabezpieczeń (CR)	Usuwanie aktora zagrożeń ze środowiska	Nie dotyczy

Krok 1. Ocena bieżącej sytuacji

Ocena obecnej sytuacji ma kluczowe znaczenie dla zrozumienia zakresu zdarzenia oraz określenia najlepszych osób, które mają pomóc, oraz zaplanować i ograniczyć zadania badania i korygowania. Zadawanie następujących początkowych pytań ma kluczowe znaczenie dla określenia źródła i zakresu sytuacji.

Jak zidentyfikowaliśmy atak wymuszającego okup?

Jeśli pracownicy IT zidentyfikowali początkowe zagrożenie, takie jak usunięte kopie zapasowe, alerty antywirusowe, alerty wykrywania i reagowania na punkty końcowe (EDR) lub podejrzane zmiany systemu, często można podjąć szybkie zdecydowane środki udaremnienia ataku. Te miary zwykle obejmują wyłączenie całej komunikacji przychodzącej i wychodzącej z Internetu. Chociaż ta miara może tymczasowo wpływać na operacje biznesowe, które zwykle będą miały znacznie mniejszy wpływ niż pomyślne wdrożenie oprogramowania wymuszającego okup.

Jeśli użytkownik zadzwoni do działu pomocy technicznej IT zidentyfikował zagrożenie, może być wystarczające ostrzeżenie przed podjęciem środków obronnych, aby zapobiec lub zminimalizować skutki ataku. Jeśli jednostka zewnętrzna, taka jak organy ścigania lub instytucja finansowa zidentyfikowała zagrożenie, prawdopodobnie szkody zostały już wyrządzone. W tym momencie aktor zagrożenia może mieć kontrolę administracyjną nad siecią. Te dowody mogą obejmować zakres od notatek okupu, przez zablokowane ekrany, do żądań okupu.

Jaka data/godzina po raz pierwszy dowiedziała się o zdarzeniu?

Ustalenie początkowej daty i godziny aktywności jest ważne, aby ułatwić zawężenie zakresu wstępnej oceny dla działań osoby zagrażającej. Dodatkowe pytania mogą obejmować:

• Jakich aktualizacji brakowało w tej dacie? Ważne jest, aby zidentyfikować wszelkie wykorzystane luki w zabezpieczeniach.
• Jakie konta były używane w tej dacie?
• Jakie nowe konta zostały utworzone od tej daty?

Jakie dzienniki są dostępne i czy istnieje jakiekolwiek wskazanie, że aktor uzyskuje obecnie dostęp do systemów?

Dzienniki — takie jak oprogramowanie antywirusowe, EDR i wirtualna sieć prywatna (VPN) — mogą pokazywać dowody na podejrzenie naruszenia. Pytania dotyczące działań następczych mogą obejmować:

• Czy dzienniki są agregowane w rozwiązaniu do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM), takimi jak Microsoft Sentinel, Splunk, ArcSight i inne? Jaki jest okres przechowywania tych danych?
• Czy istnieją jakieś podejrzane systemy, w których występują nietypowe działania?
• Czy istnieją podejrzane konta, które wydają się być pod kontrolą aktywnego aktora zagrożeń?
• Czy istnieją jakieś dowody na aktywne polecenia i kontrolki (C2s) w EDR, zaporze, sieci VPN, internetowym serwerze proxy i innych dziennikach?

Aby ocenić sytuację, może być potrzebny kontroler domeny usług Active Directory Domain Services (AD DS), który nie został naruszony, niedawna kopia zapasowa kontrolera domeny lub ostatni kontroler domeny przełączony w tryb offline na potrzeby konserwacji lub uaktualnień. Określ również, czy uwierzytelnianie wieloskładnikowe (MFA) było wymagane dla wszystkich użytkowników w firmie i czy użyto identyfikatora Entra firmy Microsoft.

Krok 2. Identyfikowanie aplikacji biznesowych, które są niedostępne z powodu zdarzenia

Ten krok ma kluczowe znaczenie w uzyskaniu najszybszego sposobu na powrót systemów do trybu online przy jednoczesnym uzyskaniu niezbędnych dowodów.

Czy aplikacja wymaga tożsamości?

• Jak jest przeprowadzane uwierzytelnianie?
• W jaki sposób poświadczenia, takie jak certyfikaty lub wpisy tajne, są przechowywane i zarządzane?

Czy są dostępne przetestowane kopie zapasowe aplikacji, konfiguracji i danych?

• Czy zawartość i integralność kopii zapasowych są regularnie weryfikowane przy użyciu ćwiczenia przywracania? Ta kontrola jest ważna po zmianie zarządzania konfiguracją lub uaktualnieniach wersji.

Krok 3. Określanie procesu odzyskiwania po naruszeniu zabezpieczeń

Ten krok może być konieczny w przypadku naruszenia zabezpieczeń płaszczyzny sterowania, która zazwyczaj jest usługą AD DS.

Badanie powinno zawsze dostarczać dane wyjściowe, które są przekazywane bezpośrednio do procesu CR. CR to proces, który usuwa kontrolę aktora zagrożeń ze środowiska i taktycznie zwiększa stan zabezpieczeń w określonym przedziale czasu. Cr odbywa się po naruszeniu zabezpieczeń. Aby dowiedzieć się więcej na temat cr, przeczytaj zespół crSP zespołu ds. praktyk zabezpieczeń odzyskiwania zabezpieczeń firmy Microsoft: Zespół ratowniczy walczący z cyberatakami obok artykułu na blogu klientów .

Po zebraniu odpowiedzi na pytania w krokach 1 i 2 można utworzyć listę zadań i przypisać właścicieli. Pomyślny udział w procesie reagowania na incydenty wymaga dokładnej, szczegółowej dokumentacji każdego zadania (na przykład właściciela, statusu, ustaleń, daty i godziny) w celu zebrania wyników.

Zalecenia i najlepsze rozwiązania dotyczące reagowania na zdarzenia firmy Microsoft

Poniżej przedstawiono zalecenia i najlepsze rozwiązania dotyczące ograniczania i działań po zdarzeniu firmy Microsoft.

Zamknięcia

Zawieranie może się zdarzyć tylko wtedy, gdy określisz, co należy zawierać. W przypadku oprogramowania wymuszającego okup aktor zagrożenia ma na celu uzyskanie poświadczeń kontroli administracyjnej nad serwerem o wysokiej dostępności, a następnie wdrożenie oprogramowania wymuszającego okup. W niektórych przypadkach aktor zagrożeń identyfikuje poufne dane i eksfiltruje je do lokalizacji, którą kontroluje.

Odzyskiwanie taktyczne jest unikatowe dla środowiska, branży i poziomu wiedzy oraz doświadczenia IT w twojej organizacji. Kroki opisane poniżej są zalecane w przypadku krótkoterminowego i taktycznego powstrzymania. Aby dowiedzieć się więcej na temat długoterminowych wskazówek, zobacz Zabezpieczanie uprzywilejowanego dostępu. Aby uzyskać kompleksowy wgląd w obronę przed oprogramowaniem wymuszającym okup i wymuszeniem, zobacz Oprogramowanie wymuszane przez człowieka.

Następujące kroki zawierania można wykonać w miarę odnajdowania nowych wektorów zagrożeń.

Krok 1. Ocena zakresu sytuacji

• Które konta użytkowników zostały naruszone?
• Których urządzeń dotyczy problem?
• Których aplikacji dotyczy problem?

Krok 2. Zachowanie istniejących systemów

• Wyłącz wszystkie uprzywilejowane konta użytkowników z wyjątkiem niewielkiej liczby kont używanych przez administratorów, aby ułatwić resetowanie integralności infrastruktury usług AD DS. Jeśli uważasz, że konto użytkownika zostało naruszone, wyłącz je natychmiast.
• Odizoluj zainfekowane systemy od sieci, ale ich nie wyłączaj.
• Izoluj co najmniej jeden (i najlepiej dwa) znany dobry kontroler domeny w każdej domenie. Odłącz je od sieci lub wyłącz, aby zapobiec rozprzestrzenianiu się oprogramowania wymuszającego okup do krytycznych systemów, przy czym priorytetem jest zabezpieczenie tożsamości jako najbardziej podatnego na ataki wektora. Jeśli wszystkie kontrolery domeny są wirtualne, upewnij się, że system i dyski danych platformy wirtualizacyjnej są kopiowane zapasowo na zewnętrzne nośniki w trybie offline, które nie są połączone z siecią.
• Izoluj krytyczne, pewne serwery aplikacji, takie jak SAP, baza danych zarządzania konfiguracją (CMDB), systemy rozliczeniowe i księgowe.

Te dwa kroki można wykonać jednocześnie, gdy zostaną odnalezione nowe wektory zagrożeń. Aby odizolować zagrożenie od sieci, wyłącz te wektory zagrożeń, a następnie wyszukaj znany niekompromizowany system.

Inne działania taktyczne ograniczania obejmują:

• zresetuj hasło krbtgt dwukrotnie bez zwłoki. Rozważ użycie skryptowego , powtarzalnego procesu. Ten skrypt umożliwia zresetowanie hasła konta krbtgt i powiązanych kluczy przy jednoczesnym zminimalizowaniu prawdopodobieństwa problemów z uwierzytelnianiem Kerberos. Aby zminimalizować problemy, okres istnienia krbtgt można zmniejszyć co najmniej jeden raz przed pierwszym zresetowaniem hasła, aby szybko wykonać te kroki. Wszystkie kontrolery domeny, które planujesz zachować w środowisku, muszą być w trybie online.

• Wdróż zasady grupy w całej domenie, które uniemożliwiają Administratorom domeny logowanie się do czegokolwiek poza kontrolerami domen oraz, jeśli istnieją, uprzywilejowanymi stacjami roboczymi przeznaczonymi wyłącznie dla administratorów.

• Zainstaluj wszystkie brakujące aktualizacje zabezpieczeń dla systemów operacyjnych i aplikacji. Każda brakująca aktualizacja jest potencjalnym wektorem zagrożeń, który może szybko identyfikować i używać aktorów oprogramowania wymuszającego okup. Usługa zarządzania zagrożeniami i podatnościami w Microsoft Defender dla Endpoint oferuje łatwy sposób sprawdzenia, czego brakuje, a także wpływu brakujących aktualizacji.

  • W przypadku urządzeń z systemem Windows 10 (lub nowszym) upewnij się, że bieżąca wersja (lub n-1) jest uruchomiona na każdym urządzeniu.

  • Wdrażanie reguł zmniejszania obszaru ataków (ASR), aby zapobiec infekcji złośliwym oprogramowaniem.

  • Włącz wszystkie funkcje zabezpieczeń systemu Windows 10.

• Sprawdź, czy każda zewnętrzna aplikacja, w tym dostęp do sieci VPN, jest chroniona przez uwierzytelnianie wieloskładnikowe (MFA), najlepiej przy użyciu aplikacji uwierzytelniania uruchomionej na zabezpieczonym urządzeniu.

• W przypadku urządzeń, które nie korzystają z usługi Defender dla punktu końcowego jako podstawowego oprogramowania antywirusowego, przed ponownym połączeniem ich z siecią przeprowadź pełne skanowanie za pomocą skanera bezpieczeństwa firmy Microsoft w izolowanych znanych bezpiecznych systemach.

• W przypadku wszystkich starszych systemów operacyjnych należy uaktualnić do obsługiwanego systemu operacyjnego lub zlikwidować te urządzenia. Jeśli te opcje nie są dostępne, podejmij wszelkie możliwe działania, aby odizolować te urządzenia, w tym izolację sieciową/VLAN, zasady zabezpieczeń protokołu internetowego (IPsec) i ograniczenia dotyczące logowania. Te kroki ułatwiają zapewnienie dostępności tych systemów tylko przez użytkowników/urządzenia w celu zapewnienia ciągłości działania.

Najbardziej ryzykowne konfiguracje składają się z uruchamiania systemów o znaczeniu krytycznym w starszych systemach operacyjnych, tak jak System Windows NT 4.0 i aplikacje, wszystkie na starszym sprzęcie. Nie tylko te systemy operacyjne i aplikacje są niezabezpieczone i podatne na zagrożenia, ale jeśli ten sprzęt ulegnie awarii, kopie zapasowe zwykle nie mogą być przywracane na nowoczesnym sprzęcie. Te aplikacje nie mogą działać bez starszego sprzętu. Zdecydowanie rozważ przekonwertowanie tych aplikacji w celu uruchomienia na bieżących systemach operacyjnych i sprzęcie.

Działania po zdarzeniu

Reagowanie na zdarzenia firmy Microsoft zaleca wdrożenie następujących zaleceń dotyczących zabezpieczeń i najlepszych rozwiązań po każdym zdarzeniu.

• Upewnij się, że najlepsze rozwiązania są dostępne dla rozwiązań do obsługi poczty e-mail i współpracy, aby zapobiec używaniu ich przez podmioty zagrożeń, jednocześnie umożliwiając użytkownikom wewnętrznym łatwe i bezpieczne uzyskiwanie dostępu do zawartości zewnętrznej.

• Postępuj zgodnie z najlepszymi rozwiązaniami w zakresie zabezpieczeń zero trust dla rozwiązań dostępu zdalnego do wewnętrznych zasobów organizacyjnych.

• Począwszy od administratorów o krytycznym wpływie, postępuj zgodnie z najlepszymi rozwiązaniami dotyczącymi zabezpieczeń kont, w tym używanie uwierzytelniania bez hasła lub uwierzytelniania wieloskładnikowego.

• Zaimplementuj kompleksową strategię, aby zmniejszyć ryzyko naruszenia uprzywilejowanego dostępu.

  • W przypadku dostępu administracyjnego do chmury i lasu/domeny należy użyć modelu dostępu uprzywilejowanego (PAM) firmy Microsoft.

  • W przypadku zarządzania administracyjnego punktu końcowego użyj lokalnego rozwiązania do zarządzania hasłami administracyjnymi (LAPS).

• Wdroż ochronę danych, aby zablokować techniki ransomware i zapewnić szybkie i niezawodne odzyskiwanie po ataku.

• Przejrzyj systemy krytyczne. Sprawdź ochronę i kopie zapasowe na wypadek usunięcia lub zaszyfrowania przez cyberprzestępców. Przeglądanie i okresowe testowanie i weryfikowanie tych kopii zapasowych.

• Zapewnij szybkie wykrywanie i korygowanie typowych ataków na punkt końcowy, pocztę e-mail i tożsamość.

• Aktywnie odnajdywanie i ciągłe ulepszanie stanu zabezpieczeń środowiska.

• Aktualizowanie procesów organizacyjnych w celu zarządzania głównymi zdarzeniami wymuszania oprogramowania wymuszającego okup i usprawnianie outsourcingu w celu uniknięcia problemów.

PAM

Użycie usługi PAM (wcześniej znanej jako model administracji warstwowej) zwiększa stan zabezpieczeń identyfikatora Entra firmy Microsoft, który obejmuje:

• Rozdzielenie kont administracyjnych w środowisku "zaplanowanym", co oznacza jedno konto dla każdego poziomu (zwykle cztery poziomy):

• Płaszczyzna sterowania (wcześniej warstwa 0): Administrowanie kontrolerami domeny i innymi kluczowymi usługami tożsamości, takimi jak Active Directory Federation Services (ADFS) lub Microsoft Entra Connect. Obejmują one również aplikacje serwera, które wymagają uprawnień administracyjnych do usług AD DS, takich jak Exchange Server.

• Dwa następne samoloty były wcześniej warstwą 1:

  • Płaszczyzna zarządzania: zarządzanie zasobami, monitorowanie i zabezpieczenia.

  • Płaszczyzna danych/obciążenia: aplikacje i serwery aplikacji.

• Dwa następne samoloty były wcześniej warstwą 2:

  • Dostęp użytkowników: prawa dostępu dla użytkowników (takich jak konta).

  • Dostęp do aplikacji: prawa dostępu dla aplikacji.

• Każda z tych płaszczyzn ma oddzielną administracyjną stację roboczą dla każdej płaszczyzny i ma dostęp tylko do systemów w tej płaszczyźnie. Konta z innych płaszczyzn mają zablokowany dostęp do stacji roboczych i serwerów w różnych płaszczyznach przez przydziały praw użytkownika ustawione dla tych urządzeń.

PAM zapewnia:

• Naruszone konto użytkownika ma dostęp tylko do swojej płaszczyzny.

• Bardziej wrażliwe konta użytkowników nie mogą uzyskiwać dostępu do stacji roboczych i serwerów z niższym poziomem bezpieczeństwa. Pomaga to zapobiec ruchowi bocznemu aktora zagrożeń.

OKRĄŻEŃ

Domyślnie systemy Microsoft Windows i AD DS nie mają scentralizowanego zarządzania lokalnymi kontami administracyjnymi na stacjach roboczych i serwerach członkowskich. Ten brak zarządzania może spowodować typowe hasło dla wszystkich tych kont lokalnych lub przynajmniej dla grup urządzeń. Taka sytuacja umożliwia podmiotom zagrożeń naruszenie zabezpieczeń jednego konta administratora lokalnego w celu uzyskania dostępu do innych stacji roboczych lub serwerów w organizacji.

LAP S firmy Microsoft ogranicza to zagrożenie przy użyciu rozszerzenia po stronie klienta zasad grupy, które zmienia lokalne hasło administracyjne w regularnych odstępach czasu na stacjach roboczych i serwerach zgodnie z zestawem zasad. Każde z tych haseł jest inne i przechowywane jako atrybut w obiekcie komputera usług AD DS. Ten atrybut można pobrać z prostej aplikacji klienckiej, w zależności od uprawnień przypisanych do tego atrybutu.

SYSTEM LAPS wymaga rozszerzenia schematu usług AD DS, aby umożliwić dodatkowy atrybut, zainstalowania szablonów zasad grupy LAPS oraz instalacji małego rozszerzenia po stronie klienta na każdej stacji roboczej i serwerze członkowskim, aby zapewnić funkcjonalność po stronie klienta.

Program LAPS można pobrać z Centrum pobierania Microsoft .

Dodatkowe zasoby oprogramowania wymuszającego okup

Następujące zasoby firmy Microsoft pomagają wykrywać ataki wymuszające okup i chronić zasoby organizacyjne:

• Oprogramowanie wymuszane przez człowieka

• Szybka ochrona przed oprogramowaniem wymuszającym okup i wymuszeniem

• 2023 Raport firmy Microsoft na temat ochrony zasobów cyfrowych (patrz strony 17–26)

• Oprogramowanie wymuszające okup: wszechobecny i ciągły raport analizy zagrożeń zagrożeń w portalu usługi Microsoft Defender

• Analiza przypadku oprogramowania wymuszającego okup reagowania na zdarzenia firmy Microsoft

Microsoft 365:

• Wdrażanie ochrony oprogramowania wymuszającego okup dla dzierżawy platformy Microsoft 365
• Maksymalizowanie odporności oprogramowania wymuszającego okup za pomocą platformy Azure i platformy Microsoft 365
• Odzyskiwanie po ataku wymuszającym okup
• Ochrona przed złośliwym oprogramowaniem i oprogramowaniem wymuszającym okup
• Ochrona komputera z systemem Windows 10 przed oprogramowaniem wymuszającym okup
• Obsługa oprogramowania wymuszającego okup w usłudze SharePoint Online
• Raporty analizy zagrożeń dotyczące oprogramowania wymuszającego okup w portalu usługi Microsoft Defender
• Wykorzystaj sztuczną inteligencję do obrony przed ransomware dzięki Microsoft Security Copilot

Microsoft Defender XDR:

• Znajdowanie oprogramowania wymuszającego okup za pomocą zaawansowanego wyszukiwania zagrożeń

Microsoft Azure:

• Azure Defenses for Ransomware Attack
• Maksymalizowanie odporności oprogramowania wymuszającego okup za pomocą platformy Azure i platformy Microsoft 365
• Plan tworzenia kopii zapasowych i przywracania w celu ochrony przed oprogramowaniem wymuszającym okup
• Pomoc w ochronie przed oprogramowaniem wymuszającym okup dzięki usłudze Microsoft Azure Backup (26-minutowe wideo)
• Odzyskiwanie po naruszeniu bezpieczeństwa tożsamości systemowej
• Zaawansowane wieloetapowe wykrywanie ataków w usłudze Microsoft Sentinel
• Wykrywanie łączenia oprogramowania wymuszającego okup w usłudze Microsoft Sentinel

aplikacje Microsoft Defender dla Chmury:

• Tworzenie zasad wykrywania anomalii w aplikacjach Defender dla Chmury