Включение правил сокращения направлений атак
Область применения:
- Microsoft Defender для конечной точки (план 1)
- Microsoft Defender для конечной точки (план 2)
- Microsoft Defender XDR
- Антивирусная программа в Microsoft Defender
Платформы
- Windows
Совет
Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.
Правила сокращения направлений атак помогают предотвратить действия, которые вредоносные программы часто используют для компрометации устройств и сетей.
Требования
Функции сокращения направлений атак в разных версиях Windows
Вы можете задать правила сокращения направлений атак для устройств под управлением любого из следующих выпусков и версий Windows:
- Windows 11 Профессиональная
- Windows 11 Корпоративная
- Windows 10 Pro версии 1709 или более поздней
- Windows 10 Корпоративная версии 1709 или более поздней
- Windows Server версии 1803 (Semi-Annual Channel) или более поздней
- Windows Server 2012 R2
- Windows Server 2016
- Windows Server 2019
- Windows Server 2022
Чтобы использовать весь набор функций правил сокращения направлений атак, вам потребуется следующее:
- Microsoft Defender антивирусная программа в качестве основной avy (защита в режиме реального времени)
- Защита от доставки в облако в (некоторые правила требуют этого)
- лицензия Windows 10 Корпоративная E5 или E3
Хотя правила сокращения направлений атак не требуют лицензии Windows E5, с лицензией Windows E5 вы получаете расширенные возможности управления, включая мониторинг, аналитику и рабочие процессы, доступные в Defender для конечной точки, а также возможности создания отчетов и конфигурации на портале Microsoft Defender XDR. Эти расширенные возможности недоступны с лицензией E3, но вы по-прежнему можете использовать Просмотр событий для просмотра событий правил сокращения направлений атак.
Каждое правило сокращения направлений атаки содержит один из четырех параметров:
- Не настроено | Отключено: отключите правило сокращения направлений атак.
- Блокировать. Включение правила сокращения направлений атак
- Аудит. Оцените, как правило сокращения направлений атак повлияет на вашу организацию, если оно включено.
- Предупреждение: включите правило сокращения направлений атаки, но разрешите конечному пользователю обходить блок.
Мы рекомендуем использовать правила сокращения направлений атак с лицензией Windows E5 (или аналогичным номером SKU лицензирования), чтобы воспользоваться преимуществами расширенных возможностей мониторинга и создания отчетов, доступных в Microsoft Defender для конечной точки (Defender для конечной точки). Однако если у вас есть другая лицензия, например Windows Professional или Windows E3, которая не включает расширенные возможности мониторинга и создания отчетов, вы можете разработать собственные средства мониторинга и создания отчетов на основе событий, создаваемых в каждой конечной точке при активации правил сокращения направлений атаки (например, переадресация событий).
Совет
Дополнительные сведения о лицензировании Windows см. в статье лицензирование Windows 10 и руководство по корпоративному лицензированию для Windows 10.
Вы можете включить правила сокращения направлений атак с помощью любого из следующих методов:
- Microsoft Intune
- Управление мобильными устройствами (MDM)
- Microsoft Configuration Manager
- Групповая политика
- PowerShell
Рекомендуется управлять на уровне предприятия, например Intune или Microsoft Configuration Manager. Управление корпоративного уровня перезаписывает все конфликтующие параметры групповая политика или PowerShell при запуске.
Исключение файлов и папок из правил сокращения направлений атак
Вы можете исключить файлы и папки из оценки большинства правил сокращения направлений атак. Это означает, что даже если правило сокращения направлений атаки определяет, что файл или папка содержит вредоносное поведение, оно не блокирует запуск файла.
Важно!
Исключение файлов или папок может значительно снизить защиту, предоставляемую правилами сокращения направлений атак. Исключенные файлы будут разрешены к запуску, и отчет или событие не будут записаны. Если правила сокращения направлений атаки обнаруживают файлы, которые, по мнению пользователя, не должны быть обнаружены, сначала следует использовать режим аудита для тестирования правила. Исключение применяется только при запуске исключенного приложения или службы. Например, если добавить исключение для уже запущенной службы обновлений, служба обновления продолжает активировать события до тех пор, пока служба не будет остановлена и не перезапущена.
При добавлении исключений учитывайте следующие моменты:
- Исключения обычно основаны на отдельных файлах или папках (с использованием путей к папкам или полного пути к файлу, который следует исключить).
- Пути исключения могут использовать переменные среды и подстановочные знаки. См. раздел Использование подстановочных знаков в списках исключений имени файла и папки или расширений.
- При развертывании с помощью групповая политика или PowerShell исключения применяются ко всем правилам сокращения направлений атак. С помощью Intune можно настроить исключение для определенного правила сокращения направлений атак. См . раздел Настройка правил сокращения направлений атаки для исключений для каждого правила.
- Исключения можно добавить на основе хэшей сертификатов и файлов, разрешив указанные индикаторы файлов и сертификатов Defender для конечной точки. См. обзор индикаторов.
Конфликт политик
Если конфликтующая политика применяется через MDM и GP, приоритет имеет параметр, применяемый из GP.
Правила сокращения направлений атаки для управляемых устройств теперь поддерживают поведение для слияния параметров из разных политик, чтобы создать надмножество политик для каждого устройства. Объединяются только параметры, которые не конфликтуют, а конфликтующие не добавляются в надмножество правил. Ранее, если две политики включали конфликты для одного параметра, обе политики помечались как конфликтующие, и параметры из любого профиля не развертывались. Поведение слияния правил сокращения направлений атаки выглядит следующим образом:
- Правила сокращения направлений атак из следующих профилей оцениваются для каждого устройства, к которому применяются правила:
- Профили > конфигурации устройств > Профиль > защиты конечных точек Microsoft DefenderСокращение направлений атак Exploit Guard>.
- > Политика сокращения направлений> атак безопасностиконечных точек Правила сокращения направлений атак.
- Базовые показатели безопасности > конечных > точек Microsoft Defenderправила сокращения направлений атакATP.>
- Параметры, не имеющие конфликтов, добавляются в надмножество политики для устройства.
- Если две или несколько политик имеют конфликтующие параметры, конфликтующие параметры не добавляются в объединенную политику, а параметры, которые не конфликтуют, добавляются в политику надмножества, применяемую к устройству.
- Удерживаются только конфигурации для конфликтующих параметров.
- Правила сокращения направлений атак из следующих профилей оцениваются для каждого устройства, к которому применяются правила:
Методы конфигурации
В этом разделе содержатся сведения о конфигурации для следующих методов конфигурации:
- Intune
- Настраиваемый профиль в Intune
- MDM
- Microsoft Configuration Manager
- Групповая политика
- PowerShell
Следующие процедуры для включения правил сокращения направлений атак включают инструкции по исключению файлов и папок.
Intune
Профили конфигурации устройств
Выберите Профили конфигурации> устройств. Выберите существующий профиль защиты конечных точек или создайте новый. Чтобы создать новый, выберите Создать профиль и введите сведения для этого профиля. В поле Тип профиля выберите Endpoint Protection. Если вы выбрали существующий профиль, выберите Свойства , а затем — Параметры.
В области Защита конечных точек выберите Exploit Guard в Защитнике Windows, а затем — Сокращение направлений атак. Выберите нужный параметр для каждого правила сокращения направлений атак.
В разделе Исключения уменьшения направлений атаки введите отдельные файлы и папки. Вы также можете выбрать Импорт , чтобы импортировать CSV-файл, содержащий файлы и папки, которые следует исключить из правил сокращения направлений атаки. Каждая строка в CSV-файле должна быть отформатирована следующим образом:
C:\folder
,%ProgramFiles%\folder\file
,C:\path
Нажмите кнопку ОК на трех панелях конфигурации. Затем выберите Создать , если вы создаете новый файл endpoint protection, или Сохранить, если вы редактировать существующий файл.
Политика безопасности конечных точек
ВыберитеСокращение зоны атак с безопасностью>конечных точек. Выберите существующее правило сокращения направлений атак или создайте новое. Чтобы создать новую, выберите Создать политику и введите сведения для этого профиля. В поле Тип профиля выберите Правила сокращения направлений атак. Если вы выбрали существующий профиль, выберите Свойства , а затем — Параметры.
В области Параметры конфигурации выберите Сокращение направлений атаки , а затем выберите нужный параметр для каждого правила сокращения направлений атаки.
В разделе Список дополнительных папок, которые необходимо защитить, Список приложений, имеющих доступ к защищенным папкам и Исключить файлы и пути из правил сокращения направлений атаки, введите отдельные файлы и папки. Вы также можете выбрать Импорт , чтобы импортировать CSV-файл, содержащий файлы и папки, которые следует исключить из правил сокращения направлений атаки. Каждая строка в CSV-файле должна быть отформатирована следующим образом:
C:\folder
,%ProgramFiles%\folder\file
,C:\path
Нажмите кнопку Далее на трех панелях конфигурации, а затем выберите Создать , если вы создаете новую политику, или Сохранить, если вы редактируете существующую политику.
Настраиваемый профиль в Intune
Вы можете использовать Microsoft Intune OMA-URI для настройки настраиваемых правил сокращения направлений атак. В следующей процедуре для примера используется правило Блокировать злоупотребление эксплуатируемыми уязвимыми подписанными драйверами .
Откройте Центр администрирования Microsoft Intune. В меню Главная выберите Устройства, выберите Профили конфигурации, а затем — Создать профиль.
В разделе Создание профиля в двух раскрывающихся списках выберите следующее:
- В разделе Платформа выберите Windows 10 и более поздних версий.
- В поле Тип профиля выберите Шаблоны.
- Если правила сокращения направлений атак уже заданы в разделе Безопасность конечных точек, в поле Тип профиля выберите Каталог параметров.
Выберите Настраиваемый, а затем — Создать.
Откроется средство "Настраиваемый шаблон" для шага 1 Основные сведения. В разделе 1 Основные сведения в поле Имя введите имя шаблона, а в поле Описание можно ввести описание (необязательно).
Нажмите кнопку Далее. Откроется шаг 2 Параметры конфигурации . Для параметра Параметры OMA-URI нажмите кнопку Добавить. Теперь отображаются два варианта: Добавить и Экспортировать.
Нажмите кнопку Добавить еще раз. Откроется раздел Добавление ПАРАМЕТРОВ OMA-URI строки . В разделе Добавление строки выполните следующие действия.
В поле Имя введите имя правила.
В поле Описание введите краткое описание.
В поле OMA-URI введите или вставьте конкретную ссылку OMA-URI для добавляемого правила. OMA-URI, используемый для этого примера правила, см. в разделе MDM этой статьи. Идентификаторы GUID правил сокращения направлений атаки см. в разделе Описание каждого правила статьи Правила сокращения направлений атаки.
В поле Тип данных выберите Строка.
В поле Значение введите или вставьте значение GUID, знак = и значение State без пробелов (GUID=StateValue). Где:
- 0: отключить (отключить правило сокращения направлений атак)
- 1. Блокировать (включить правило сокращения направлений атак)
- 2. Аудит (оцените, как правило сокращения направлений атак повлияет на вашу организацию, если оно включено)
- 6. Предупреждение (включите правило сокращения направлений атаки, но разрешите конечному пользователю обходить блок)
Выберите Сохранить. Добавление закрытия строки . В Пользовательский выберите Далее. На шаге 3 теги области область теги являются необязательными. Выполните одно из следующих действий.
- Выберите Выбрать теги области, выберите тег область (необязательно) и нажмите кнопку Далее.
- Или нажмите кнопку Далее.
На шаге 4 Назначения в разделе Включенные Группы для групп, к которым нужно применить это правило, выберите один из следующих вариантов:
- Добавление групп
- Добавление всех пользователей
- Добавление всех устройств
В разделе Исключенные группы выберите все группы, которые нужно исключить из этого правила, а затем нажмите кнопку Далее.
На шаге 5 Правила применимости для следующих параметров выполните следующие действия:
В разделе Правило выберите Назначить профиль, если, или Не назначать профиль, если
В разделе Свойство выберите свойство, к которому требуется применить это правило.
В поле Значение введите применимое значение или диапазон значений.
Нажмите кнопку Далее. На шаге 6 Просмотр и создание просмотрите выбранные и введенные параметры и сведения, а затем нажмите кнопку Создать.
Правила активны и действуют в течение нескольких минут.
Примечание.
Обработка конфликтов:
Если назначить устройству две разные политики сокращения направлений атак, могут возникнуть потенциальные конфликты политик в зависимости от того, назначены ли правилам разные состояния, имеется ли управление конфликтами и является ли результатом ошибка. Неконфликтные правила не приводят к ошибке, и такие правила применяются правильно. Применяется первое правило, а последующие неконфликтные правила объединяются в политику.
MDM
Используйте поставщик службы конфигурации (CSP) ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules , чтобы по отдельности включить и задать режим для каждого правила.
Ниже приведен пример для справки с использованием значений GUID для справочника по правилам сокращения направлений атак.
OMA-URI path: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules
Value: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84=2|3b576869-a4ec-4529-8536-b80a7769e899=1|d4f940ab-401b-4efc-aadc-ad5f3c50688a=2|d3e037e1-3eb8-44c8-a917-57927947596d=1|5beb7efe-fd9a-4556-801d-275e5ffc04cc=0|be9ba2d9-53ea-4cdc-84e5-9b1eeee46550=1
В режиме аудита необходимо включить (блокировать), отключить, предупредить или включить следующие значения:
- 0: отключить (отключить правило сокращения направлений атак)
- 1. Блокировать (включить правило сокращения направлений атак)
- 2. Аудит (оцените, как правило сокращения направлений атак повлияет на вашу организацию, если оно включено)
- 6. Предупреждение (включите правило сокращения направлений атаки, но разрешите конечному пользователю обходить блок). Режим предупреждения доступен для большинства правил сокращения направлений атак.
Используйте поставщик службы конфигурации ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions для добавления исключений.
Пример:
OMA-URI path: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions
Value: c:\path|e:\path|c:\Exclusions.exe
Примечание.
Обязательно введите значения OMA-URI без пробелов.
Microsoft Configuration Manager
В Microsoft Configuration Manager перейдите в раздел Активы и соответствие>Endpoint Protection>Exploit Guard в Защитнике Windows.
Выберите HomeCreate Exploit Guard Policy (Создать> политику Exploit Guard).
Введите имя и описание, выберите Сокращение направлений атаки и нажмите кнопку Далее.
Выберите правила, которые будут блокировать или выполнять аудит действий, и нажмите кнопку Далее.
Просмотрите параметры и нажмите кнопку Далее , чтобы создать политику.
После создания политики нажмите Закрыть.
Предупреждение
Существует известная проблема с применимостью сокращения направлений атаки на версии ОС сервера, которая помечается как совместимая без фактического применения. В настоящее время нет ETA для того, когда это будет исправлено.
Групповая политика
Предупреждение
Если вы управляете компьютерами и устройствами с помощью Intune, Configuration Manager или другой платформы управления корпоративного уровня, программное обеспечение для управления перезапишет все конфликтующие параметры групповая политика при запуске.
Для этого на компьютере, управляющем групповыми политиками, откройте Консоль управления групповой политикой, щелкните правой кнопкой мыши нужный объект групповой политики и выберите Изменить.
В редакторе управления групповыми политиками перейдите к конфигурации компьютера и выберите Административные шаблоны.
Разверните дерево для компонентов> Windows Microsoft Defender Антивирусная программа> Microsoft DefenderСокращение зоны атакExploit Guard>.
Выберите Настроить правила сокращения направлений атак и выберите Включено. Затем можно задать отдельное состояние для каждого правила в разделе параметров. Выберите Показать... и введите идентификатор правила в столбце Имя значения и выбранное состояние в столбце Значение следующим образом:
0: отключить (отключить правило сокращения направлений атак)
1. Блокировать (включить правило сокращения направлений атак)
2. Аудит (оцените, как правило сокращения направлений атак повлияет на вашу организацию, если оно включено)
6. Предупреждение (включите правило сокращения направлений атаки, но разрешите конечному пользователю обходить блок)
Чтобы исключить файлы и папки из правил сокращения направлений атак, выберите параметр Исключить файлы и пути из правил сокращения направлений атаки и задайте для параметра Включено. Выберите Показать и введите каждый файл или папку в столбце Имя значения . Введите 0 в столбце Значение для каждого элемента.
Предупреждение
Не используйте кавычки, так как они не поддерживаются ни для столбца Имя значения , ни для столбца Значение . Идентификатор правила не должен содержать начальные или конечные пробелы.
PowerShell
Предупреждение
Если вы управляете компьютерами и устройствами с помощью Intune, Configuration Manager или другой платформы управления корпоративного уровня, программное обеспечение для управления перезаписывает все конфликтующие параметры PowerShell при запуске.
Введите powershell в меню «Пуск», щелкните правой кнопкой мыши Windows PowerShell и выберите Запуск от имени администратора.
Введите один из следующих командлетов. (Дополнительные сведения, например идентификатор правила, см. в справочнике по правилам сокращения направлений атак.)
Задача Командлет PowerShell Включение правил сокращения направлений атак Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Enabled
Включение правил сокращения направлений атак в режиме аудита Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions AuditMode
Включение правил сокращения направлений атак в режиме предупреждения Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Warn
Включение сокращения направлений атаки Блок злоупотреблений эксплуатируемыми уязвимыми подписанными драйверами Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Enabled
Отключение правил сокращения направлений атак Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Disabled
Важно!
Необходимо указать состояние отдельно для каждого правила, но можно объединять правила и состояния в списке, разделенном запятыми.
В следующем примере первые два правила включены, третье правило отключено, а четвертое правило включено в режиме аудита:
Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID 1>,<rule ID 2>,<rule ID 3>,<rule ID 4> -AttackSurfaceReductionRules_Actions Enabled, Enabled, Disabled, AuditMode
Вы также можете использовать
Add-MpPreference
команду PowerShell для добавления новых правил в существующий список.Предупреждение
Set-MpPreference
перезаписывает существующий набор правил. Если вы хотите добавить в существующий набор, используйтеAdd-MpPreference
вместо него. Список правил и их текущее состояние можно получить с помощьюGet-MpPreference
.Чтобы исключить файлы и папки из правил сокращения направлений атак, используйте следующий командлет:
Add-MpPreference -AttackSurfaceReductionOnlyExclusions "<fully qualified path or resource>"
Продолжайте использовать
Add-MpPreference -AttackSurfaceReductionOnlyExclusions
для добавления дополнительных файлов и папок в список.Важно!
Используйте
Add-MpPreference
для добавления или добавления приложений в список. С помощью командлетаSet-MpPreference
перезаписывается существующий список.
Статьи по теме
- Справочник по правилам сокращения направлений атак
- Оценка сокращения направлений атак
- Сокращение направлений атак: вопросы и ответы
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.