Поделиться через


Использование политики Microsoft Intune для управления правилами сокращения направлений атак

Когда антивирусная программа Defender используется на Windows 10 и Windows 11 устройствах, вы можете использовать политики безопасности Microsoft Intune конечных точек для сокращения направлений атак, чтобы управлять этими параметрами на своих устройствах.

Политики сокращения направлений атак (ASR) можно использовать для уменьшения направлений атак на устройствах, сводя к минимуму места, где ваша организация уязвима для киберугроз и атак. Intune политики ASR поддерживают следующие профили:

  • Правила сокращения направлений атак. Используйте этот профиль для определения поведения, которое вредоносные программы и вредоносные приложения обычно используют для заражения компьютеров. Примерами такого поведения являются использование исполняемых файлов и скриптов в приложениях Office, веб-почта, которая пытается скачать или запустить файлы, а также скрытые или иным образом подозрительные сценарии, которые приложения обычно не запускают во время повседневной работы.

  • Управление устройствами. Используйте этот профиль для разрешения, блокировки и защиты съемных носителей с помощью элементов управления, которые могут отслеживать и предотвращать угрозы со стороны неавторизованных периферийных устройств от компрометации ваших устройств. и функции управления, помогающие предотвратить угрозы в несанкционированных периферийных устройствах от компрометации ваших устройств.

Дополнительные сведения см. в статье Обзор сокращения направлений атак в документации по защите от угроз Windows.

Политики сокращения направлений атак находятся в узле Безопасность конечных точекЦентра администрирования Microsoft Intune.

Применимо к:

Предварительные требования для профилей сокращения направлений атак

  • Устройства должны работать Windows 10 или Windows 11
  • Антивирусная программа Defender должна быть основной антивирусной программой на устройстве

Поддержка управления безопасностью для Microsoft Defender для конечной точки:

При использовании управления безопасностью для Microsoft Defender для конечной точки для поддержки устройств, подключенных к Defender без регистрации в Intune, сокращение направлений атак применяется к устройствам под управлением Windows 10, Windows 11 и Windows Server. Дополнительные сведения см. в статье Правила ASR, поддерживаемые операционными системами в документации по защите от угроз Windows.

Поддержка клиентов Configuration Manager:

Этот сценарий находится в предварительной версии и требует использования Configuration Manager текущей версии ветви 2006 или более поздней.

  • Настройка подключения клиента для устройств Configuration Manager. Чтобы обеспечить поддержку развертывания политики уменьшения направлений атак на устройствах, управляемых Configuration Manager, настройте подключение клиента. Настройка подключения клиента включает настройку Configuration Manager коллекций устройств для поддержки политик безопасности конечных точек из Intune.

    Сведения о настройке подключения клиента см. в статье Настройка подключения клиента для поддержки политик защиты конечных точек.

Управление доступом на основе ролей (RBAC)

Рекомендации по назначению правильного уровня разрешений и прав для управления Intune политики сокращения направлений атак см. в статье Assign-role-based-access-controls-for-endpoint-security-policy.

Профили сокращения направлений атак

Доступные профили для политики сокращения направлений атак зависят от выбранной платформы.

Примечание.

Начиная с апреля 2022 г. начали выпускаться новые профили для политики сокращения направлений атак. Когда новый профиль становится доступным, он использует то же имя профиля, который он заменяет, и включает те же параметры, что и старый профиль, но в более новом формате параметров, как показано в каталоге параметров. Созданные ранее экземпляры этих профилей остаются доступными для использования и редактирования, но все создаваемые экземпляры будут иметь новый формат. Обновлены следующие профили:

  • Правила сокращения направлений атак (5 апреля 2022 г.)
  • Защита от эксплойтов (5 апреля 2022 г.)
  • Управление устройством (23 мая 2022 г.)
  • Изоляция приложений и браузеров (18 апреля 2023 г.)

Устройства, управляемые Intune

Платформа: Windows:

Профили для этой платформы поддерживаются на Windows 10 и Windows 11 устройствах, зарегистрированных в Intune.

  • Правила уменьшения поверхности атаки

Доступные профили для этой платформы:

  • Правила сокращения направлений атаки . Настройка параметров для правил сокращения направлений атак, предназначенных для поведения, которое вредоносные программы и вредоносные приложения обычно используют для заражения компьютеров, в том числе:

    • Исполняемые файлы и скрипты, используемые в приложениях Office или веб-почте, которые пытаются скачать или запустить файлы
    • Скрытые или иным образом подозрительные скрипты
    • Поведение, которое приложения обычно не запускают во время обычной повседневной работы

    Уменьшение уязвимой области означает, что злоумышленники предлагают меньше способов выполнения атак.

    Поведение слияния для правил сокращения направлений атаки в Intune:

    Правила сокращения направлений атаки поддерживают слияние параметров из разных политик для создания надмножества политик для каждого устройства. Параметры, которые не конфликтуют, объединяются, а конфликтующие параметры не добавляются в надмножество правил. Ранее, если две политики включали конфликты для одного параметра, обе политики помечались как конфликтующие, и параметры из любого профиля не развертывались.

    Поведение слияния правил сокращения направлений атаки выглядит следующим образом:

    • Правила сокращения направлений атаки из следующих профилей оцениваются для каждого устройства, к которого применяются правила:
      • Политика конфигурации > устройств > Профиль > защиты конечных точек Microsoft Defender Сокращение направлений атак Exploit Guard >
      • Политика сокращения направлений > атак безопасности > конечных точек Правила сокращения направлений атак
      • Базовые показатели безопасности > конечных > точек Microsoft Defender для конечной точки базовые правила сокращения направлений> атак.
    • Параметры, не имеющие конфликтов, добавляются в надмножество политики для устройства.
    • Если две или несколько политик имеют конфликтующие параметры, конфликтующие параметры не добавляются в объединенную политику, а параметры, которые не конфликтуют, добавляются в политику надмножества, применяемую к устройству.
    • Удерживаются только конфигурации для конфликтующих параметров.
  • Управление устройствами — с помощью параметров управления устройствами можно настроить многоуровневый подход для защиты съемных носителей. Microsoft Defender для конечной точки предоставляет несколько функций мониторинга и управления для предотвращения угроз в несанкционированных периферийных устройствах.

    Intune профили для управления устройствами:

    Дополнительные сведения об управлении устройствами Microsoft Defender для конечной точки см. в следующих статьях документации по Defender:

  • Изоляция приложений и браузеров— управление параметрами для Application Guard Защитника Windows (Application Guard) в составе Defender для конечной точки. Application Guard помогает предотвратить старые и новые атаки и может изолировать корпоративные сайты как ненадежные, определяя при этом, какие сайты, облачные ресурсы и внутренние сети являются доверенными.

    Дополнительные сведения см. в Application Guard документации по Microsoft Defender для конечной точки.

  • Управление приложениями . Параметры управления приложениями могут помочь устранить угрозы безопасности, ограничив приложения, которые пользователи могут запускать, и код, выполняемый в System Core (ядро). Управление параметрами, которые могут блокировать неподписанные скрипты и MSIs, а также ограничивать выполнение Windows PowerShell в режиме ограниченного языка.

    Дополнительные сведения см. в разделе Управление приложениями в документации по Microsoft Defender для конечной точки.

    Примечание.

    Если вы используете этот параметр, поведение CSP AppLocker в настоящее время предлагает пользователю перезагрузить компьютер при развертывании политики.

  • Защита от эксплойтов . Параметры защиты от эксплойтов могут помочь защититься от вредоносных программ, которые используют эксплойты для заражения устройств и распространения. Защита от эксплойтов состоит из множества мер по устранению рисков, которые могут применяться как к операционной системе, так и к отдельным приложениям.

  • Веб-защита (устаревшая версия Microsoft Edge) — параметры, которыми можно управлять для веб-защиты в Microsoft Defender для конечной точки настроить защиту сети для защиты компьютеров от веб-угроз. При интеграции Microsoft Edge или сторонних браузеров, таких как Chrome и Firefox, веб-защита предотвращает веб-угрозы без веб-прокси и может защитить компьютеры, находясь вне или в локальной среде. Веб-защита останавливает доступ к:

    • Фишинговые сайты
    • Векторы вредоносных программ
    • Сайты эксплойтов
    • Ненадежные сайты или сайты с низкой репутацией
    • Сайты, заблокированные с помощью настраиваемого списка индикаторов.

    Дополнительные сведения см. в статье Защита веб-сайтов в документации по Microsoft Defender для конечной точки.

Устройства, управляемые с помощью управления параметрами безопасности Defender для конечной точки

При использовании сценария управления безопасностью для Microsoft Defender для конечной точки для поддержки устройств, управляемых Defender, которые не зарегистрированы в Intune, вы можете использовать платформу Windows для управления параметрами на устройствах под управлением Windows 10, Windows 11 и Windows Server. Дополнительные сведения см. в статье Правила ASR, поддерживаемые операционными системами в документации по защите от угроз Windows.

Для этого сценария поддерживаются следующие профили:

  • Правила сокращения направлений атаки . Настройка параметров для правил сокращения направлений атак, предназначенных для поведения, которое вредоносные программы и вредоносные приложения обычно используют для заражения компьютеров, включая:
    • Исполняемые файлы и скрипты, используемые в приложениях Office или веб-почте, которые пытаются скачать или запустить файлы.
    • Скрытые или иным образом подозрительные скрипты.
    • Поведение, которое приложения обычно не запускают во время обычной повседневной работы Сокращение направлений атак означает, что злоумышленники предлагают меньше способов выполнения атак.

Важно!

Управление безопасностью для Microsoft Defender для конечной точки поддерживает только профиль правил сокращения направлений атак. Все остальные профили сокращения направлений атаки не поддерживаются.

Устройства, управляемые Configuration Manager

Сокращение направлений атак

Поддержка устройств, управляемых Configuration Manager, доступна в предварительной версии.

Управление параметрами сокращения направлений атак для Configuration Manager устройств при использовании подключения клиента.

Путь к политике:

  • Безопасность конечных > точек Подключение windows для уменьшения > поверхности (ConfigMgr)

Профили:

  • Изоляция приложений и браузеров(ConfigMgr)
  • Правила сокращения направлений атак (ConfigMgr)
  • Защита от эксплойтов(ConfigMgr)(предварительная версия)
  • Веб-защита (ConfigMgr)(предварительная версия)

Требуемая версия Configuration Manager:

  • Configuration Manager текущей версии ветви 2006 или более поздней

Поддерживаемые платформы устройств Configuration Manager:

  • Windows 10 и более поздних версий (x86, x64, ARM64)
  • Windows 11 и более поздних версий (x86, x64, ARM64)

Группы повторно используемых параметров для профилей элементов управления устройствами

В общедоступной предварительной версии профили управления устройствами поддерживают использование повторно используемых групп параметров для управления параметрами для следующих групп параметров на устройствах для платформы Windows :

  • Устройство принтера. Для устройства принтера доступны следующие параметры профиля управления устройством:

    • PrimaryId
    • PrinterConnectionID
    • VID_PID

    Сведения о параметрах устройств принтера см. в статье Обзор защиты принтера в документации по Microsoft Defender для конечной точки.

  • Съемные носители. Для съемных носителей доступны следующие параметры профиля управления устройствами:

    • Класс устройства
    • Код устройства
    • Идентификатор оборудования
    • Идентификатор экземпляра
    • Основной идентификатор
    • Код продукта
    • Серийный номер
    • Идентификатор поставщика
    • Идентификатор поставщика и идентификатор продукта

    Сведения о вариантах съемных носителей см. в Microsoft Defender для конечной точки контроль доступа управления устройствами в документации по Microsoft Defender для конечной точки.

При использовании многократно используемой группы параметров с профилем управления устройством вы настраиваете действия , чтобы определить, как используются параметры в этих группах.

Каждое правило, добавляемое в профиль, может включать как группы повторно используемых параметров, так и отдельные параметры, которые добавляются непосредственно в правило. Однако рассмотрите возможность использования каждого правила для групп параметров с возможностью повторного использования или для управления параметрами, добавляемыми непосредственно в правило. Это разделение может помочь упростить будущие конфигурации или изменения, которые вы можете внести.

Инструкции по настройке многократно используемых групп, а затем их добавлению в этот профиль см. в статье Использование повторно используемых групп параметров с политиками Intune.

Исключения для правил сокращения направлений атаки

Intune поддерживает следующие два параметра, чтобы исключить определенные пути к файлам и папкам из оценки с помощью правил сокращения направлений атак:

  • Глобальный. Используйте исключения только для уменьшения направлений атак.

    Снимок экрана параметра Исключения только для уменьшения направлений атаки.

    Если устройству назначена по крайней мере одна политика, которая настраивает исключения только для уменьшения направлений атак, настроенные исключения применяются ко всем правилам сокращения направлений атаки, предназначенным для этого устройства. Это происходит из-за того, что устройства получают надмножество параметров правил уменьшения направлений атаки из всех применимых политик, а исключениями параметров нельзя управлять для отдельных параметров. Чтобы избежать применения исключений ко всем параметрам на устройстве, не используйте этот параметр. Вместо этого настройте исключения asr only per rule для отдельных параметров.

    Дополнительные сведения см. в документации по CSP Defender: Defender/AttackSurfaceReductionOnlyExclusions.

  • Отдельные параметры: использование исключений ASR только для каждого правила

    Снимок экрана с параметром

    Если в профиле правила уменьшения направлений атаки задано значение, отличное от Не настроено, Intune предоставляет возможность использовать исключения только для каждого правила ASR для этого отдельного параметра. С помощью этого параметра можно настроить исключение файлов и папок, которые изолированы от отдельных параметров, в отличие от использования глобального параметра Attack Surface Reduction Only Exclusions , который применяет его исключения ко всем параметрам на устройстве.

    По умолчанию asr Only Per Rule Exclusions имеет значение Не настроено.

    Важно!

    Политики ASR не поддерживают функцию слияния для исключений asr Only Per Rule, и конфликт политик может возникнуть, если несколько политик настраивают исключения только для каждого правила ASR для одного и того же конфликта устройств. Чтобы избежать конфликтов, объедините конфигурации исключений asr only per rule в одну политику ASR. Мы изучаем добавление слияния политик для исключений ASR только для каждого правила в будущем обновлении.

Слияние политик для параметров

Слияние политик помогает избежать конфликтов, если несколько профилей, которые применяются к одному и тому же устройству, настраивают один и тот же параметр с разными значениями, что создает конфликт. Чтобы избежать конфликтов, Intune оценивает применимые параметры из каждого профиля, применяемого к устройству. Затем эти параметры объединяются в один надмножество параметров.

Для политики сокращения направлений атак следующие профили поддерживают слияние политик:

  • Управление устройствами

Слияние политик для профилей управления устройствами

Профили управления устройствами поддерживают слияние политик для идентификаторов USB-устройств. Параметры профиля, управляющие идентификаторами устройств и поддерживающие слияние политик, включают:

  • Разрешить установку аппаратного устройства по идентификаторам устройств
  • Блокировка установки оборудования с помощью идентификаторов устройств
  • Разрешить установку аппаратного устройства по классам установки
  • Блокировка установки аппаратного устройства по классам установки
  • Разрешить установку аппаратного устройства по идентификаторам экземпляров устройств
  • Блокировка установки оборудования с помощью идентификаторов экземпляров устройств

Слияние политик применяется к конфигурации каждого параметра в разных профилях, которые применяют этот параметр к устройству. Результатом является один список для каждого из поддерживаемых параметров, применяемых к устройству. Например:

  • При слиянии политик оцениваются списки классов установки , настроенных в каждом экземпляре статьи Разрешить установку аппаратного устройства классами установки , которые применяются к устройству. Эти списки объединяются в один список разрешений, в котором удаляются все повторяющиеся классы установки.

    Удаление дубликатов из списка выполняется для удаления общего источника конфликтов. Затем объединенный список разрешенных доставляется на устройство.

Слияние политик не сравнивает и не объединяет конфигурации из разных параметров. Например:

  • В первом примере, в котором несколько списков из раздела Разрешить установку аппаратного устройства с помощью классов установки были объединены в один список, у вас есть несколько экземпляров параметра Блокировать установку аппаратного устройства классами установки , которые применяются к одному и тому же устройству. Все связанные списки блокировок объединяются в один список блокировок для устройства, которое затем развертывается на устройстве.

    • Список разрешений для классов установки не сравнивается и не объединяется с списком блокировок для классов установки.
    • Вместо этого устройство получает оба списка, так как они из двух разных параметров. Затем устройство применяет наиболее строгий параметр для установки по классам установки.

    В этом примере класс установки, определенный в списке блокировок, переопределяет тот же класс установки, если он найден в списке разрешенных. В результате класс установки будет заблокирован на устройстве.

Дальнейшие действия

Настройка политик безопасности конечных точек.

Просмотрите сведения о параметрах в профилях для профилей сокращения направлений атаки.