Защита основных восьми пользовательских приложений

Злоумышленники часто нацеливается на рабочие станции, использующие вредоносные веб-сайты, электронные письма или съемные носители в попытке извлечь конфиденциальную информацию. Усиление защиты приложений на рабочих станциях является важной частью снижения этого риска. Благодаря своей эффективности защита пользовательских приложений является одним из основных 8 из стратегий ACSC по устранению инцидентов кибербезопасности.

Злоумышленники часто пытаются использовать уязвимости, обнаруженные в более старых неподдерживаемых версиях приложений. Новые версии продуктов Майкрософт обеспечивают значительное улучшение функций безопасности, функциональных возможностей и обеспечивают повышенную стабильность. Часто именно отсутствие улучшенных функций безопасности позволяет злоумышленнику легко скомпрометировать старые версии приложений. Чтобы снизить этот риск, следует использовать последнюю поддерживаемую версию продуктов Майкрософт.

Ресурсы и ссылки

Для удобства Intune требуется развернуть следующие политики для связанного элемента управления:

• OfficeMacroHardening-PreventActivationofOLE.ps1
  • Этот скрипт PowerShell используется для выполнения следующих элементов управления:
    • Microsoft Office настроен так, чтобы предотвратить активацию пакетов OLE.
• UserApplicationHardening-RemoveFeatures.ps1
  • Этот скрипт PowerShell используется для выполнения следующих элементов управления:
    • Интернет-Обозреватель отключен или удален.
    • платформа .NET Framework 3.5 (включая .NET 2.0 и 3.0) отключена или удалена.
    • Windows PowerShell 2.0 отключена или удалена.
• Рекомендации по ужесточение защиты Microsoft Edge для ACSC
  • Этот профиль конфигурации устройств Intune используется для выполнения следующих элементов управления:
    • Веб-браузеры не обрабатывают веб-объявления из Интернета.
    • Реализованы рекомендации по обеспечению защиты ACSC или поставщиков для веб-браузеров.
• Рекомендации по усилением защиты Windows ACSC — правила сокращения направлений атак
  • Этот Intune профиль правила уменьшения направлений атак с безопасностью конечных точек используется для выполнения следующих элементов управления:
    • Microsoft Office не может создавать дочерние процессы.
    • Microsoft Office не может создавать исполняемое содержимое.
    • Microsoft Office не может внедрять код в другие процессы.

Веб-браузеры не обрабатывают Java из Интернета

Java не устанавливается по умолчанию на Windows 10 или Windows 11.

Элемент управления ISM, декабрь 2024 г.	Устранение рисков
1486	Java не устанавливается по умолчанию на Windows 10 или Windows 11.

Веб-браузеры не обрабатывают веб-объявления из Интернета

Все доступные параметры конфигурации для отключения рекламы в Microsoft Edge настраиваются при развертывании базовых показателей безопасности Microsoft Edge и усиления защиты ACSC для Microsoft Edge.

Дополнительные блокировки можно добиться с помощью сторонних расширений для Microsoft Edge, фильтрации сети в шлюзе или использования защищенной службы DNS. Однако реализация этих элементов находится за пределами область этого документа.

Элемент управления ISM, декабрь 2024 г.	Устранение рисков
1485	Политика "Настройка рекламы для сайтов с навязчивой рекламой" настроена для включения.

Интернет-Обозреватель 11 отключен или удален

Интернет-Обозреватель 11 отсутствует на Windows 11.

15 июня 2022 г. корпорация Майкрософт удалила интернет-Обозреватель 11. Для организации, которая по-прежнему требует интернет-Обозреватель для обеспечения совместимости прежних версий, режим Internet Обозреватель (режим IE) в Microsoft Edge обеспечивает простой и единый браузер. Пользователи могут получать доступ к устаревшим приложениям из Microsoft Edge без необходимости переключения на Интернет Обозреватель 11.

После настройки режима IE администратор может отключить интернет-Обозреватель 11 в качестве автономного браузера. Интернет-Обозреватель 11 значков в меню "Пуск" и на панели задач удаляются. Пользователи перенаправляются в Microsoft Edge при попытке запустить ярлыки или сопоставления файлов, использующие Интернет Обозреватель 11, или при непосредственном вызове двоичного файла iexplore.exe.

Чтобы настроить интернет-Обозреватель открывать для определенных веб-сайтов непосредственно в Microsoft Edge, настройте политики режима IE. Дополнительные сведения см. в разделе Настройка политик режима IE.

Сведения о реализации отключения Интернета Обозреватель 11

Чтобы использовать Intune для отключения интернет-Обозреватель 11 в качестве автономного браузера для Windows 10 устройств, выполните следующие действия:

1. Создайте новую политику каталога параметров.
2. Просмотрите по категориям и выполните поиск: Отключить Интернет Обозреватель 11 как автономный браузер (пользователь).
3. Перейдите в раздел *Административные шаблоны\Компоненты Windows\Internet Обозреватель и выберите параметр Отключить Интернет Обозреватель 11 как автономный браузер (пользователь).
4. Включите параметр Отключить интернет-Обозреватель 11 в качестве автономного браузера (пользователь).
5. Разверните политику для набора устройств или пользователей.

Кроме того, чтобы полностью удалить интернет-Обозреватель 11:

1. Добавьте UserApplicationHardening-RemoveFeatures.ps1в качестве скрипта PowerShell со следующими параметрами:

• Запустите этот скрипт, используя учетные данные для входа: Нет
• Принудительное применение проверка подписи скрипта: Нет
• Выполнение скрипта на 64-разрядном узле PowerShell: Нет

2. Назначьте сценарий группе развертывания.

Примечание.

Этот скрипт также отключает платформа .NET Framework 3.5 (включая .NET 2.0 и 3.0) и Windows PowerShell 2.0.

Элемент управления ISM, декабрь 2024 г.	Устранение рисков
1666	Политика "Настройка списка сайтов в режиме предприятия" настраивается со списком веб-сайтов организации. Internet Обозреватель 11 был удален политикой "Отключить Интернет Обозреватель 11 как автономный браузер", настроенной какВключить, или удален с помощью скрипта.

Microsoft Office не может создавать дочерние процессы

Блокировать создание дочерних процессов в Microsoft Office можно с помощью политики безопасности конечных точек сокращения направлений атак (ASR), развернутой с помощью Intune.

Корпорация Майкрософт предоставила на сайте GitHub Intune реализации руководства по защите Windows ACSC. Правило ASR, которое запрещает Microsoft Office создавать дочерние процессы, содержится в этом руководстве.

Сведения о реализации блокировки создания дочерних процессов

Чтобы реализовать блокировку создания дочерних процессов, выполните приведенные далее действия.

1. Перейдите в раздел Graph Обозреватель и выполните проверку подлинности.
2. Создайте запрос POST , используя бета-схему для конечной точки политики сокращения направлений атак: https://graph.microsoft.com/beta/deviceManagement/templates/0e237410-1367-4844-bd7f-15fb0f08943b/createInstance.
3. Скопируйте JSON в политику acsc Windows Hardening Guidelines-Attack Surface Reduction и вставьте его в текст запроса.
4. При необходимости измените значение имени (необязательно).

Эта политика безопасности конечных точек ASR содержит конкретное правило ASR: Запретить всем приложениям Office создавать дочерние процессы (D4F940AB-401B-4EFC-AADC-AD5F3C50688A).

Примечание.

При импорте этого профиля правила ASR Microsoft Office блокирует создание исполняемого содержимого (3B576869-A4EC-4529-8536-B80A7769E899) и внедрение кода в другой процесс (75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84).

Примечание.

Эта политика сокращения направлений атаки (ASR) настраивает каждое из правил ASR, рекомендуемых ACSC в режиме аудита. Правила ASR должны быть проверены на наличие проблем совместимости в любой среде перед применением.

Элемент управления ISM, декабрь 2024 г.	Устранение рисков
1667	Включено правило ASR "Блокировать создание дочерних процессов для всех приложений Office".

Microsoft Office заблокирован для создания исполняемого содержимого

Блокировка Microsoft Office от создания дочерних процессов (3B576869-A4EC-4529-8536-B80A7769E899) может быть выполнена с помощью политики безопасности конечных точек сокращения направлений атак (ASR), развернутой с помощью Intune.

Элемент управления ISM, декабрь 2024 г.	Устранение рисков
1668	Включено правило ASR "Блокировать приложения Office от создания исполняемого содержимого".

Microsoft Office не может внедрять код в другие процессы

Блокировка Microsoft Office от создания дочерних процессов (75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84) может быть реализована с помощью политики безопасности конечных точек сокращения направлений атаки (ASR), развернутой через Intune.

Элемент управления ISM, декабрь 2024 г.	Устранение рисков
1669	Включено правило ASR "Блокировать внедрение кода в другие процессы приложений Office".

Microsoft Office настроен для предотвращения активации пакетов OLE

Разверните сценарий PowerShellOfficeMacroHardening-PreventActivationofOLE.ps1, чтобы импортировать разделы реестра, которые блокируют активацию пакетов OLE в Excel, PowerPoint и Word.

Сведения о реализации для предотвращения активации пакетов OLE

Чтобы реализовать предотвращение активации пакетов OLE, выполните приведенные далее действия.

1. Добавьте OfficeMacroHardening-PreventActivationofOLE.ps1в качестве скрипта PowerShell со следующими параметрами:

• Запустите этот скрипт с учетными данными для входа: Да
• Принудительное применение проверка подписи скрипта: Нет
• Выполнение скрипта на 64-разрядном узле PowerShell: Нет

2. Назначьте сценарий группе развертывания.

Примечание.

Этот скрипт PowerShell предназначен специально для Office 2016 и более поздних версий. Скрипт для предотвращения активации OLE для Office 2013 предоставляется здесь: OfficeMacroHardening-PreventActivationofOLE-Office2013.ps1.

Скрипт не подписан. Если требуется подписывание скрипта, ознакомьтесь со следующей документацией, чтобы подписать скрипт, чтобы его можно было выполнить на устройствах Windows: Методы подписывания скриптов и измените проверка Принудительное применение подписи скрипта на : Да.

Элемент управления ISM, декабрь 2024 г.	Устранение рисков
1542	Активация пакетов OLE была запрещена с помощью скрипта.

Программное обеспечение PDF заблокировано для создания дочерних процессов

Microsoft Edge настроен как средство просмотра PDF по умолчанию для Windows 10 и Windows 11. Просмотр PDF-файлов можно дополнительно ужесточить с помощью политик, включенных в ACSC, или руководства по обеспечению безопасности поставщиков для веб-браузеров.

Кроме того, если ваша организация использует Adobe Reader в качестве программного обеспечения PDF по умолчанию, настройте соответствующее правило сокращения направлений атаки, чтобы запретить Adobe Reader создавать дочерние процессы, выполнив следующие действия.

1. В Intune перейдите кразделу Снижение уровня атак с безопасностью> конечных точек.
2. Создайте (или измените) новую политику безопасности конечных точек сокращения направлений атак.
3. Установите параметр Запретить Adobe Reader создавать дочерние процессы в значение Включить.
4. Назначьте политику правила сокращения направлений атаки группе.

Элемент управления ISM, декабрь 2024 г.	Устранение рисков
1670	Включено правило ASR "Блокировать создание дочерних процессов в Adobe Reader".

Руководство по обеспечению защиты для веб-браузеров, программного обеспечения Microsoft Office и PDF

Веб-браузер и программное обеспечение PDF с Microsoft Edge

Microsoft Edge устанавливается по умолчанию в Windows 10 и Windows 11 и является рекомендуемой веб-браузерой. Microsoft Edge является браузером по умолчанию и средством просмотра PDF-файлов, если не настроено иное.

Корпорация Майкрософт и ACSC предоставили рекомендации и конкретные политики для усиления защиты Microsoft Edge. Оба набора рекомендаций должны развертываться одновременно.

Сведения о реализации с использованием базовых показателей безопасности Microsoft Edge

Чтобы реализовать базовые показатели безопасности, выполните следующие действия.

1. Перейдите в разделБазовые показатели безопасности>конечных> точекMicrosoft Edge.
2. Создайте новый базовый план Microsoft Edge, выбрав Создать профиль.
3. Просмотрите конфигурацию и назначьте группе базовый план безопасности.

Сведения о реализации рекомендаций по усилением защиты Microsoft Edge

Чтобы реализовать рекомендации по обеспечению защиты, выполните следующие действия.

1. Сохраните политику acsc Microsoft Edge Hardening Guidelines на локальном устройстве.
2. Перейдите к консоли Microsoft Intune.
3. Импорт политики в разделе Устройства > Профили > конфигурации Windows > Создать > политику импорта
4. Присвойте политике имя, выберите Обзор файлов в разделе Файл политики и перейдите к сохраненной политике из шага 1.
5. Нажмите Save (Сохранить)

Примечание.

Корпорация Майкрософт также выпустила Intune политики, которые были составлены для того, чтобы помочь организациям соблюдать Windows 10 Рекомендации по защите Windows 10 Австралийского центра кибербезопасности (ACSC). В этих политиках также содержатся рекомендуемые политики усиления безопасности ACSC для Microsoft Edge.

Элемент управления ISM, декабрь 2024 г.	Устранение рисков
1412, 1860	— Развертывание базовых показателей безопасности Microsoft Edge — Разверните руководство по обеспечению защиты Microsoft Edge для ACSC.

Microsoft Office: Microsoft Apps для предприятия

Microsoft Apps для бизнеса с помощью рекомендуемых параметров для усиления защиты Microsoft 365, Office 2021, Office 2019 и Office 2016 из ACSC в рамках основного раздела Настройка параметров макросов Microsoft Office 8.

Элемент управления ISM, декабрь 2024 г.	Устранение рисков
1859	Разверните рекомендации по обеспечению безопасности Office ACSC.

Параметры безопасности программного обеспечения веб-браузера, Microsoft Office и PDF не могут быть изменены пользователями

Когда политики, указанные в этом документе, развертываются с помощью Intune, параметры, содержащиеся в них, применяются и не могут быть изменены обычными пользователями.

Элемент управления ISM, декабрь 2024 г.	Устранение рисков
1585	Когда политики, указанные в этом документе, развертываются с помощью Intune, параметры, содержащиеся в них, применяются и не могут быть изменены обычными пользователями.

платформа .NET Framework 3.5 (включая .NET 2.0 и 3.0) отключена или удалена

Развертывание скрипта PowerShellUserApplicationHardening-RemoveFeatures.ps1 отключает компонент платформа .NET Framework 3.5 (включая .NET 2.0 и 3.0), если он установлен.

Элемент управления ISM, декабрь 2024 г.	Устранение рисков
ISM-1655	платформа .NET Framework 3.5 (включая .NET 2.0 и 3.0) отключена или удалена.

Windows PowerShell 2.0 отключено или удалено

Развертывание сценария PowerShellUserApplicationHardening-RemoveFeatures.ps1 отключает компонент Windows PowerShell 2.0, если он установлен.

Элемент управления ISM, декабрь 2024 г.	Устранение рисков
1612	Windows PowerShell 2.0 отключена или удалена с помощью предоставленного скрипта.

PowerShell настроен для использования ограниченного языкового режима

Ограниченный языковой режим включен в документе о стратегии устранения рисков для основных восьми элементов управления приложениями.

Заблокированные выполнения сценариев PowerShell централизованно регистрируются и защищаются от несанкционированного изменения и удаления, отслеживаются на наличие признаков компрометации и выполняются действия при обнаружении событий кибербезопасности.

Microsoft Defender для конечной точки (MDE) можно использовать для получения и хранения журналов из конечных точек, которые можно использовать для обнаружения событий кибербезопасности.

В Microsoft Defender для конечной точки Advanced Hunting можно выполнить аудит выполнения скрипта. Microsoft Defender для конечной точки функция расширенной охоты регистрирует несколько событий управления приложениями, включая событие с идентификатором 8029, которое сообщает о заблокированных скриптах или скриптах, принудительно выполняемых в ограниченном языковом режиме.

Кроме того, переадресация событий WDAC может использоваться для мониторинга событий в стороннем решении для мониторинга.

Ссылки:

Общие сведения об идентификаторах событий управления приложениями (Windows) — безопасность | WindowsЗапрос событий управления приложениями с помощью расширенной охоты (Windows) — безопасность Windows

Intune можно использовать для простого подключения устройств к MDE.

События создания процесса командной строки регистрируются централизованно

Как и при выполнении заблокированных сценариев PowerShell, события создания процесса командной строки, которые являются предшественниками для указания компрометации, собираются при регистрации устройства в Defender для конечной точки. События можно просмотреть на портале Defender для конечной точки на странице устройства в разделе Временная шкала.

Сведения о реализации для подключения конечных точек к Microsoft Defender для конечной точки

Чтобы реализовать конечные точки подключения к MDE:

1. Создайте профиль конфигурации Windows с типом Template>Microsoft Defender для конечной точки (настольные устройства под управлением Windows 10 или более поздней версии).
2. Задайте для параметра Ускорение передачи данных телеметрии значениеВключить.
3. Назначьте политику группе развертывания.

После подключения устройств к MDE выполнение PowerShell записывается для проверки, и при необходимости можно выполнить действия. Дополнительные сведения см. в разделе Действия реагирования на устройство в Microsoft Defender для конечной точки.

Элемент управления ISM, декабрь 2024 г.	Устранение рисков
1664, 1665, 1405	Идентификаторы событий управления приложениями записываются Defender для конечной точки при регистрации устройств в Defender для конечной точки.
1899	События создания процесса командной строки, которые являются предшественниками для признаков компрометации, фиксируются Defender для конечной точки при регистрации устройств в Defender для конечной точки.