Włączanie reguł zmniejszania obszaru podatnego na ataki

  • 17 min

Obszar ataków obejmuje wszystkie miejsca, w których osoba atakująca może naruszyć bezpieczeństwo urządzeń lub sieci organizacji. Zmniejszenie obszaru podatnego na ataki oznacza ochronę urządzeń i sieci organizacji, co pozostawia atakującym mniej sposobów przeprowadzania ataków.

Reguły zmniejszania obszaru ataków dotyczą niektórych zachowań oprogramowania, które są często nadużywane przez osoby atakujące. Takie zachowania obejmują:

  • Uruchamianie plików wykonywalnych i skryptów, które próbują pobrać lub uruchomić pliki

  • Uruchamianie zaciemnionych lub w inny sposób podejrzanych skryptów

  • Wykonywanie zachowań, które aplikacje zwykle nie inicjują podczas normalnego codziennego działania.

Takie zachowania oprogramowania są czasami widoczne w uzasadnionych aplikacjach; jednak te zachowania są często uważane za ryzykowne, ponieważ są one często nadużywane przez złośliwe oprogramowanie. Reguły zmniejszania obszaru ataków mogą ograniczać ryzykowne zachowania i chronić organizację.

Każda reguła zmniejszania obszaru ataków zawiera jedno z czterech ustawień:

  • Nieskonfigurowane: wyłącz regułę zmniejszania obszaru podatnego na ataki

  • Blokuj: włączanie reguły zmniejszania obszaru podatnego na ataki

  • Inspekcja: Ocena sposobu, w jaki reguła zmniejszania obszaru ataków wpłynie na organizację, jeśli została włączona

  • Ostrzegaj: włącz regułę zmniejszania obszaru ataków, ale zezwól użytkownikowi końcowemu na obejście bloku

Reguły zmniejszania obszaru podatnego na ataki

Reguły zmniejszania obszaru ataków obsługują obecnie poniższe reguły:

  • Blokuj zawartość wykonywalną z klienta poczty e-mail i poczty internetowej
  • Blokuj wszystkie aplikacja pakietu Office licacje przed tworzeniem procesów podrzędnych
  • Blokowanie aplikacja pakietu Office licacji przed tworzeniem zawartości wykonywalnej
  • Blokowanie aplikacja pakietu Office licacji przed wstrzyknięciem kodu do innych procesów
  • Blokuj uruchamianie pobranej zawartości wykonywalnej w języku JavaScript lub VBScript
  • Blokuj wykonywanie potencjalnie zaciemnionych skryptów
  • Blokuj wywołania interfejsu API Win32 z makra pakietu Office
  • Korzystanie z zaawansowanej ochrony przed oprogramowaniem wymuszającym okup
  • Blokuj kradzież poświadczeń z podsystemu lokalnego urzędu zabezpieczeń systemu Windows (lsass.exe)
  • Blokuj tworzenie procesów pochodzących z poleceń PSExec i WMI
  • Blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB
  • Blokowanie uruchamiania plików wykonywalnych, chyba że spełniają kryteria występowania, wieku lub listy zaufanych
  • Blokuj tworzenie procesów podrzędnych przez aplikacje komunikacyjne pakietu Office
  • Blokowanie tworzenia procesów podrzędnych przez program Adobe Reader
  • Blokowanie trwałości za pośrednictwem subskrypcji zdarzeń usługi WMI

Wykluczanie plików i folderów z reguł zmniejszania obszaru podatnego na ataki

Pliki i foldery można wykluczyć z oceny przez większość reguł zmniejszania obszaru ataków. Oznacza to, że nawet jeśli reguła zmniejszania obszaru podatnego na ataki określa, że plik lub folder zawiera złośliwe zachowanie, nie zablokuje uruchomienia pliku, co oznacza również, że potencjalnie niebezpieczne pliki mogą być uruchamiane i infekowane urządzenia.

Reguły zmniejszania obszaru podatnego na ataki można wykluczyć z wyzwalania na podstawie skrótów certyfikatów i plików, zezwalając na określone wskaźniki plików i certyfikatów usługi Defender for Endpoint.

Można określić poszczególne pliki lub foldery (przy użyciu ścieżek folderów lub w pełni kwalifikowanych nazw zasobów), ale nie można określić, do których reguł mają zastosowanie wykluczenia. Wykluczenie jest stosowane tylko wtedy, gdy zostanie uruchomiona wykluczona aplikacja lub usługa. Jeśli na przykład dodasz wykluczenie dla usługi aktualizacji, która jest już uruchomiona, usługa aktualizacji będzie nadal wyzwalać zdarzenia do momentu zatrzymania i ponownego uruchomienia usługi.

Tryb inspekcji na potrzeby oceny

Użyj trybu inspekcji, aby ocenić, w jaki sposób reguły zmniejszania obszaru ataków będą miały wpływ na twoją organizację, jeśli zostały one włączone. Najlepiej najpierw uruchamiać wszystkie reguły w trybie inspekcji, aby zrozumieć ich wpływ na aplikacje biznesowe. Wiele aplikacji biznesowych jest pisanych z ograniczonymi problemami z zabezpieczeniami i mogą wykonywać zadania w sposób podobny do złośliwego oprogramowania. Monitorując dane inspekcji i dodając wykluczenia dla niezbędnych aplikacji, można wdrożyć reguły zmniejszania obszaru podatnego na ataki bez wpływu na produktywność.

Powiadomienia po wyzwoleniu reguły

Za każdym razem, gdy reguła zostanie wyzwolona, na urządzeniu zostanie wyświetlone powiadomienie. Powiadomienie można dostosować przy użyciu danych firmowych i informacji kontaktowych. Powiadomienie jest również wyświetlane w portalu usługi Microsoft Defender.

Konfigurowanie reguł zmniejszania obszaru podatnego na ataki

Te reguły można ustawić dla urządzeń z dowolną z następujących edycji i wersji systemu Windows:

  • Windows 10 Pro, wersja 1709 lub nowsza
  • Windows 10 Enterprise, wersja 1709 lub nowsza
  • Windows Server, wersja 1803 (półroczny kanał) lub nowszy
  • Windows Server 2019
  • Windows Server 2016
  • Windows Server 2012 R2
  • Windows Server 2022

Reguły zmniejszania obszaru podatnego na ataki można włączyć przy użyciu dowolnej z następujących metod:

  • Microsoft Intune
  • Zarządzanie urządzeniami mobilnymi (MDM)
  • Microsoft Endpoint Configuration Manager
  • Zasady grupy
  • PowerShell

Zalecane jest zarządzanie na poziomie przedsiębiorstwa, takie jak usługa Intune lub program Microsoft Endpoint Configuration Manager. Zarządzanie na poziomie przedsiębiorstwa zastąpi wszelkie sprzeczne zasady grupy lub ustawienia programu PowerShell podczas uruchamiania.

Intune

Profile konfiguracji urządzeń:

  1. Wybierz pozycję Profile konfiguracji > urządzeń. Wybierz istniejący profil programu Endpoint Protection lub utwórz nowy. Aby utworzyć nowy profil, wybierz pozycję Utwórz profil i wprowadź informacje dla tego profilu. W polu Typ profilu wybierz pozycję Ochrona punktu końcowego. Jeśli wybrano istniejący profil, wybierz pozycję Właściwości , a następnie wybierz pozycję Ustawienia.

  2. W okienku Ochrona punktu końcowego wybierz pozycję Windows Defender Exploit Guard, a następnie wybierz pozycję Zmniejszenie obszaru podatnego na ataki. Wybierz odpowiednie ustawienie dla każdej reguły.

  3. W obszarze Wyjątki zmniejszania obszaru podatnego na ataki wprowadź poszczególne pliki i foldery. Możesz również wybrać pozycję Importuj, aby zaimportować plik CSV zawierający pliki i foldery do wykluczenia z reguł zmniejszania obszaru podatnego na ataki. Każdy wiersz w pliku CSV powinien być sformatowany w następujący sposób:

    C:\folder, %ProgramFiles%\folder\file, C:\path

  4. Wybierz przycisk OK w trzech okienkach konfiguracji. Następnie wybierz pozycję Utwórz, jeśli tworzysz nowy plik programu Endpoint Protection lub Zapisz, jeśli edytujesz istniejący plik.

Zasady zabezpieczeń punktu końcowego:

  1. Wybierz pozycję Zmniejszenie obszaru ataków zabezpieczeń > punktu końcowego. Wybierz istniejącą regułę lub utwórz nową. Aby utworzyć nowy, wybierz pozycję Utwórz zasady i wprowadź informacje dla tego profilu. W polu Typ profilu wybierz pozycję Reguły zmniejszania obszaru podatnego na ataki. Jeśli wybrano istniejący profil, wybierz pozycję Właściwości , a następnie wybierz pozycję Ustawienia.

  2. W okienku Ustawienia konfiguracji wybierz pozycję Redukcja obszaru podatnego na ataki, a następnie wybierz odpowiednie ustawienie dla każdej reguły.

  3. W obszarze Lista dodatkowych folderów, które muszą być chronione, lista aplikacji, które mają dostęp do folderów chronionych, oraz Wykluczanie plików i ścieżek z reguł zmniejszania obszaru podatnego na ataki wprowadź poszczególne pliki i foldery. Możesz również wybrać pozycję Importuj, aby zaimportować plik CSV zawierający pliki i foldery do wykluczenia z reguł zmniejszania obszaru podatnego na ataki. Każdy wiersz w pliku CSV powinien być sformatowany w następujący sposób:

    C:\folder, %ProgramFiles%\folder\file, C:\path

  4. Wybierz pozycję Dalej w trzech okienkach konfiguracji, a następnie wybierz pozycję Utwórz , jeśli tworzysz nowe zasady lub Zapisz , jeśli edytujesz istniejące zasady.

Zarządzanie urządzeniami przenośnymi

Aby zarządzać regułami zmniejszania obszaru ataków w zarządzaniu urządzeniami przenośnymi:

  • Użyj dostawcy ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules dostawcy usług konfiguracji (CSP), aby indywidualnie włączyć i ustawić tryb dla każdej reguły.

  • Postępuj zgodnie z dokumentacją dotyczącą zarządzania urządzeniami przenośnymi w temacie Reguły zmniejszania obszaru podatnego na ataki dotyczące używania wartości identyfikatora GUID.

  • Ścieżka OMA-URI: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules

  • Wartość: 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84=2|3B576869-A4EC-4529-8536-B80A7769E899=1|D4F940AB-401B-4EfC-AADC-AD5F3C50688A=2|D3E037E1-3EB8-44C8-A917-57927947596D=1|5BEB7EFE-FD9A-4556-801D-275E5FFC04CC=0|BE9BA2D9-53EA-4CDC-84E5-9B1EEEEEEE46550=1

  • Wartości umożliwiające włączenie, wyłączenie lub włączenie w trybie inspekcji to:

    • Wyłącz = 0

    • Blokuj (włącz regułę zmniejszania obszaru ataków) = 1

    • Inspekcja = 2

  • Użyj dostawcy ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions dostawcy usług konfiguracji (CSP), aby dodać wykluczenia.

Przykład:

  • Ścieżka OMA-URI: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions

  • Wartość: c:\path|e:\path|c:\wlisted.exe

Microsoft Endpoint Configuration Manager

Aby zarządzać regułami zmniejszania obszaru ataków w programie Microsoft Endpoint Configuration Manager:

  1. W programie Microsoft Endpoint Configuration Manager przejdź do pozycji Zasoby i zgodność > programu Endpoint Protection > Windows Defender Exploit Guard.

  2. Wybierz pozycję Strona główna > Utwórz zasady funkcji Exploit Guard.

  3. Wprowadź nazwę i opis, wybierz pozycję Redukcja obszaru podatnego na ataki, a następnie wybierz pozycję Dalej.

  4. Wybierz, które reguły będą blokować lub przeprowadzać inspekcję akcji, a następnie wybierz pozycję Dalej.

  5. Przejrzyj ustawienia i wybierz przycisk Dalej , aby utworzyć zasady.

  6. Po utworzeniu zasad wybierz pozycję Zamknij.

Zasady grupy

Aby zarządzać regułami zmniejszania obszaru ataków w zasadach grupy:

Ostrzeżenie

Jeśli zarządzasz komputerami i urządzeniami za pomocą usługi Intune, programu Configuration Manager lub innej platformy zarządzania na poziomie przedsiębiorstwa, oprogramowanie do zarządzania zastąpi wszelkie sprzeczne ustawienia zasad grupy podczas uruchamiania.

  1. Na komputerze zarządzania zasadami grupy otwórz konsolę zarządzania zasadami grupy, kliknij prawym przyciskiem myszy obiekt zasad grupy, który chcesz skonfigurować, a następnie wybierz polecenie Edytuj.

  2. W Edytorze zarządzania zasadami grupy przejdź do pozycji Konfiguracja komputera i wybierz pozycję Szablony administracyjne.

  3. Rozwiń drzewo do składników systemu Windows Program antywirusowy Microsoft Defender > zmniejszenie obszaru ataków > usługi Windows Defender Exploit Guard>.

  4. Wybierz pozycję Konfiguruj reguły zmniejszania obszaru podatnego na ataki i wybierz pozycję Włączone. Następnie można ustawić pojedynczy stan dla każdej reguły w sekcji opcje.

  5. Wybierz pozycję Pokaż... i wprowadź identyfikator reguły w kolumnie Nazwa wartości i wybrany stan w kolumnie Wartość w następujący sposób:

    Disable = 0 Blokuj (włącz regułę zmniejszania obszaru podatnego na ataki) = 1 Inspekcja = 2

  6. Aby wykluczyć pliki i foldery z reguł zmniejszania obszaru podatnego na ataki, wybierz ustawienie Wykluczanie plików i ścieżek z reguł zmniejszania obszaru podatnego na ataki i ustaw opcję Włączone. Wybierz pozycję Pokaż i wprowadź każdy plik lub folder w kolumnie Nazwa wartości. Wprowadź wartość 0 w kolumnie Wartość dla każdego elementu.

PowerShell

Aby zarządzać regułami zmniejszania obszaru ataków za pomocą programu PowerShell:

Ostrzeżenie

Jeśli zarządzasz komputerami i urządzeniami przy użyciu usługi Intune, programu Configuration Manager lub innej platformy zarządzania na poziomie przedsiębiorstwa, oprogramowanie do zarządzania zastąpi wszystkie sprzeczne ustawienia programu PowerShell podczas uruchamiania. Aby umożliwić użytkownikom definiowanie wartości przy użyciu programu PowerShell, użyj opcji "Zdefiniowane przez użytkownika" dla reguły na platformie zarządzania.

  1. Wpisz program PowerShell w menu Start, kliknij prawym przyciskiem myszy program Windows PowerShell i wybierz polecenie Uruchom jako administrator.

  2. Wprowadź następujące polecenie cmdlet:

    Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Enabled

  3. Aby włączyć reguły zmniejszania obszaru podatnego na ataki w trybie inspekcji, użyj następującego polecenia cmdlet:

    Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions AuditMode

  4. Aby wyłączyć reguły zmniejszania obszaru podatnego na ataki, użyj następującego polecenia cmdlet:

    Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Disabled

  5. Należy określić stan oddzielnie dla każdej reguły, ale można połączyć reguły i stany na liście rozdzielanej przecinkami.

  6. W poniższym przykładzie zostaną włączone dwie pierwsze reguły, trzecia reguła zostanie wyłączona, a czwarta reguła zostanie włączona w trybie inspekcji:

    Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID 1>,<rule ID 2>,<rule ID 3>,<rule ID 4> -AttackSurfaceReductionRules_Actions Enabled, Enabled, Disabled, AuditMode

  7. Możesz również użyć czasownika Add-MpPreference programu PowerShell, aby dodać nowe reguły do istniejącej listy.

  8. Set-MpPreference zawsze zastąpi istniejący zestaw reguł. Jeśli chcesz dodać do istniejącego zestawu, należy zamiast tego użyć polecenia Add-MpPreference. Listę reguł i ich bieżący stan można uzyskać przy użyciu polecenia Get-MpPreference.

  9. Aby wykluczyć pliki i foldery z reguł zmniejszania obszaru podatnego na ataki, użyj następującego polecenia cmdlet:

    Add-MpPreference -AttackSurfaceReductionOnlyExclusions "<fully qualified path or resource>"

  10. Kontynuuj używanie polecenia Add-MpPreference -AttackSurfaceReductionOnlyExclusions, aby dodać więcej plików i folderów do listy.

Ważne

Użyj polecenia Add-MpPreference, aby dołączyć lub dodać aplikacje do listy. Użycie polecenia cmdlet Set-MpPreference spowoduje zastąpienie istniejącej listy.

Lista zdarzeń zmniejszania obszaru ataków

Wszystkie zdarzenia zmniejszania obszaru ataków znajdują się w obszarze Dzienniki > aplikacji i usług systemu Microsoft > Windows w podglądzie zdarzeń systemu Windows.