Демонстрации правил сокращения направлений атак
Область применения:
- Microsoft Defender для конечной точки (план 2)
- Microsoft Defender для бизнеса
- Microsoft Defender для конечной точки (план 1)
- Антивирусная программа в Microsoft Defender
Правила сокращения направлений атаки нацелены на определенное поведение, которое обычно используется вредоносными программами и вредоносными приложениями для заражения компьютеров, например:
- Исполняемые файлы и скрипты, используемые в приложениях Office или веб-почте, которые пытаются скачать или запустить файлы
- Скрипты, которые замаскированы или иным образом подозрительны
- Поведение, которое выполняется приложениями, которое не инициируется во время обычной повседневной работы
Требования к сценарию и настройка
- Windows 11, Windows 10 1709 сборка 16273 или более поздняя версия
- Windows Server 2022, Windows Server 2019, Windows Server 2016 или Windows Server 2012 R2 с единым клиентом MDE.
- Антивирусная программа в Microsoft Defender
- Приложения Microsoft 365 (Office; требуется для правил Office и примера)
- Скачивание сценариев PowerShell для сокращения направлений атак
Команды PowerShell
Add-MpPreference -AttackSurfaceReductionRules_Ids BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536-B80A7769E899 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D3E037E1-3EB8-44C8-A917-57927947596D -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D1E49AAC-8F56-4280-B9BA-993A6D77406C -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids C1DB55AB-C21A-4637-BB3F-A12568109D35 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-CD74-433A-B99E-2ECDC07BFC25 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids e6db77e5-3df2-4cf1-b95a-636979351e5b -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids a8f5898e-1dc8-49a9-9878-85004b8a61e6 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-49E8-8B27-EB1D0A1CE869 -AttackSurfaceReductionRules_Actions AuditMode
Add-MpPreference -AttackSurfaceReductionRules_Ids 7674BA52-37EB-4A4F-A9A1-F0F9A1619A2C -AttackSurfaceReductionRules_Actions AuditMode
Состояния правил
| Состояние | Режим | Числовое значение |
|---|---|---|
| Отключено | = Выкл. | 0 |
| Включено | = режим блокировки | 1 |
| Аудит | = режим аудита | 2 |
Проверка настроек
Get-MpPreference
Тестовые файлы
Примечание. В некоторых тестовых файлах внедрено несколько эксплойтов и активируется несколько правил.
| Имя правила | GUID правила |
|---|---|
| Блокировка исполняемого содержимого из почтового клиента и веб-почты | BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550 |
| Запрет приложений Office создавать дочерние процессы | D4F940AB-401B-4EFC-AADC-AD5F3C50688A |
| Запрет приложениям Office создавать исполняемое содержимое | 3B576869-A4EC-4529-8536-B80A7769E899 |
| Запрет внедрения приложений Office в другие процессы | 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84 |
| Препятствовать запуску исполняемых файлов JavaScript и VBScript | D3E037E1-3EB8-44C8-A917-57927947596D |
| Блокировать выполнение потенциально запутывающихся скриптов | 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC |
| Блокировка импорта Win32 из кода макросов в Office | 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B |
| {Блокировать создание процессов из psExec & команд WMI | D1E49AAC-8F56-4280-B9BA-993A6D77406C |
| Блокировать выполнение ненадежных или неподписанных исполняемых файлов на съемных USB-носителях | B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4 |
| Защита от агрессивных программ-шантажистов | C1DB55AB-C21A-4637-BB3F-A12568109D35 |
| Блокировать выполнение исполняемых файлов, если они не соответствуют критериям распространенности, возраста или списка доверия. | 01443614-CD74-433A-B99E-2ECDC07BFC25 |
| Запретить Adobe Reader создавать дочерние процессы | 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c |
| Блокировать злоупотребление эксплуатируемыми уязвимыми подписанными драйверами | 56a863a9-875e-4185-98a7-b882c64b5ce5 |
| Блокировка кражи учетных данных из подсистемы локального центра безопасности Windows (lsass.exe) | 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 |
| Блокировка сохраняемости с помощью подписки на события WMI | e6db77e5-3df2-4cf1-b95a-636979351e5b |
| Блокировать создание WebShell для серверов | a8f5898e-1dc8-49a9-9878-85004b8a61e6 |
Сценарии
Setup
Скачайте и запустите этот скрипт установки. Перед запуском скрипта задайте для политики выполнения значение Неограниченную с помощью следующей команды PowerShell:
Set-ExecutionPolicy Unrestricted
Вместо этого можно выполнить следующие действия вручную:
- Create папку в папке c: с именем demo, "c:\demo"
- Сохраните этот чистый файл в c:\demo.
- Включите все правила с помощью команды PowerShell.
Сценарий 1. Сокращение направлений атаки блокирует тестовый файл с несколькими уязвимостями
- Включение всех правил в блочном режиме с помощью команд PowerShell (можно скопировать все)
- Скачайте и откройте любой из тестовых файлов или документов, а также включите редактирование и содержимое, если появится соответствующий запрос.
Ожидаемые результаты сценария 1
Вы сразу же увидите уведомление "Действие заблокировано".
Сценарий 2. Правило ASR блокирует тестовый файл с соответствующей уязвимостью
Настройте правило, которое требуется протестировать, с помощью команды PowerShell из предыдущего шага.
Пример:
Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions EnabledСкачайте и откройте тестовый файл или документ для правила, которое вы хотите протестировать, и включите редактирование и содержимое, если появится соответствующий запрос.
Пример . Запрет приложений Office создавать дочерние процессы D4F940AB-401B-4EFC-AADC-AD5F3C50688A
Ожидаемые результаты сценария 2
Вы сразу же увидите уведомление "Действие заблокировано".
Сценарий 3 (Windows 10 или более поздней версии): правило ASR блокирует выполнение неподписаного USB-содержимого
- Настройте правило для защиты USB (
B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4).
Add-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4 -AttackSurfaceReductionRules_Actions Enabled
- Скачайте файл и положите его на USB-накопитель и выполните его блокировка выполнения ненадежных или неподписанных исполняемых файлов на съемных USB-носителях.
Ожидаемые результаты сценария 3
Вы сразу же увидите уведомление "Действие заблокировано".
Сценарий 4. Что произойдет без сокращения направлений атак
Отключите все правила сокращения направлений атак с помощью команд PowerShell в разделе очистки.
Скачайте любой тестовый файл или документ и включите редактирование и содержимое, если появится соответствующий запрос.
Ожидаемые результаты сценария 4
- Файлы в c:\demo зашифрованы, и вы должны получить предупреждающее сообщение
- Выполните тестовый файл еще раз, чтобы расшифровать файлы
Очистка
Скачивание и запуск этого сценария очистки
Кроме того, можно выполнить следующие действия вручную:
Add-MpPreference -AttackSurfaceReductionRules_Ids BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536-B80A7769E899 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D3E037E1-3EB8-44C8-A917-57927947596D -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D1E49AAC-8F56-4280-B9BA-993A6D77406C -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids C1DB55AB-C21A-4637-BB3F-A12568109D35 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-CD74-433A-B99E-2ECDC07BFC25 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids e6db77e5-3df2-4cf1-b95a-636979351e5b -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids a8f5898e-1dc8-49a9-9878-85004b8a61e6 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-49E8-8B27-EB1D0A1CE869 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 7674BA52-37EB-4A4F-A9A1-F0F9A1619A2C -AttackSurfaceReductionRules_Actions Disabled
Очистка шифрования c:\demo путем запуска файла шифрования и расшифровки
См. также
Руководство по развертыванию правил сокращения направлений атак
Справочник по правилам сокращения направлений атак
Microsoft Defender для конечной точки — демонстрационные сценарии
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.