Поделиться через

Создание и развертывание политики Exploit Guard

  • Статья

Относится к Configuration Manager (Current Branch)

Вы можете настроить и развернуть политики Configuration Manager, которые управляют всеми четырьмя компонентами Защитник Windows Exploit Guard. К этим компонентам относятся:

  • Сокращение направлений атак
  • Контролируемый доступ к папкам
  • Защита от эксплойтов
  • Защита сети

Данные о соответствии для развертывания политики Exploit Guard доступны в консоли Configuration Manager.

Примечание.

Configuration Manager не включает эту необязательную функцию по умолчанию. Перед ее использованием необходимо включить эту функцию. Дополнительные сведения см. в разделе Включение дополнительных функций из обновлений.

Предварительные требования

Управляемые устройства должны работать Windows 10 1709 или более поздней версии; минимальная сборка Windows Server — 1809 или более поздняя до Версии Server 2019. В зависимости от настроенных компонентов и правил также должны быть выполнены следующие требования:

Компонент Exploit Guard Дополнительные предварительные требования
Сокращение направлений атак На устройствах должна быть включена Microsoft Defender для конечной точки постоянная защита.
Контролируемый доступ к папкам На устройствах должна быть включена Microsoft Defender для конечной точки постоянная защита.
Защита от эксплойтов Нет
Защита сети На устройствах должна быть включена Microsoft Defender для конечной точки постоянная защита.

Создание политики Exploit Guard

  1. В консоли Configuration Manager перейдите в раздел Активы и соответствие>Endpoint Protection, а затем щелкните Защитник Windows Exploit Guard.

  2. На вкладке Главная в группе Создать щелкните Создать политику эксплойтов.

  3. На странице Общиемастера создания элемента конфигурации укажите имя и необязательное описание элемента конфигурации.

  4. Затем выберите компоненты Exploit Guard, которыми вы хотите управлять с помощью этой политики. Для каждого выбранного компонента можно настроить дополнительные сведения.

    • Сокращение направлений атак: Настройте угрозы Office, угрозы сценариев и угрозы электронной почты, которые вы хотите заблокировать или провести аудит. Из этого правила также можно исключить определенные файлы или папки.
    • Управляемый доступ к папкам: Настройте блокировку или аудит, а затем добавьте приложения, которые могут обойти эту политику. Можно также указать дополнительные папки, которые не защищены по умолчанию.
    • Защита от эксплойтов: Укажите XML-файл, содержащий параметры для устранения эксплойтов системных процессов и приложений. Эти параметры можно экспортировать из приложения Центра безопасности Защитник Windows на устройстве Windows 10 или более поздней версии.
    • Защита сети: Настройте защиту сети для блокировки или аудита доступа к подозрительным доменам.

  5. Завершите работу мастера, чтобы создать политику, которую позже можно развернуть на устройствах.

    Предупреждение

    XML-файл для защиты от эксплойтов должен быть в безопасности при его передаче между компьютерами. Файл должен быть удален после импорта или храниться в безопасном расположении.

Развертывание политики Exploit Guard

После создания политик Exploit Guard используйте мастер развертывания политики Exploit Guard, чтобы развернуть их. Для этого откройте консоль Configuration Manager в разделе Активы и соответствие>Endpoint Protection, а затем щелкните Развернуть политику Exploit Guard.

Важно!

После развертывания политики Exploit Guard, такой как сокращение направлений атаки или контролируемый доступ к папкам, параметры Exploit Guard не будут удалены из клиентов при удалении развертывания. Delete not supported записывается в ExploitGuardHandler.log клиента при удалении развертывания Exploit Guard клиента. Чтобы удалить эти параметры, в контексте SYSTEM можно запустить следующий скрипт PowerShell:

$defenderObject = Get-WmiObject -Namespace "root/cimv2/mdm/dmmap" -Class "MDM_Policy_Config01_Defender02" -Filter "InstanceID='Defender' and ParentID='./Vendor/MSFT/Policy/Config'"
$defenderObject.AttackSurfaceReductionRules = $null
$defenderObject.AttackSurfaceReductionOnlyExclusions = $null
$defenderObject.EnableControlledFolderAccess = $null
$defenderObject.ControlledFolderAccessAllowedApplications = $null
$defenderObject.ControlledFolderAccessProtectedFolders = $null
$defenderObject.EnableNetworkProtection = $null
$defenderObject.Put()

$exploitGuardObject = Get-WmiObject -Namespace "root/cimv2/mdm/dmmap" -Class "MDM_Policy_Config01_ExploitGuard02" -Filter "InstanceID='ExploitGuard' and ParentID='./Vendor/MSFT/Policy/Config'"
$exploitGuardObject.ExploitProtectionSettings = $null
$exploitGuardObject.Put()

параметры политики Exploit Guard Защитник Windows

Политики и параметры сокращения направлений атак

Сокращение направлений атак позволяет уменьшить область атаки приложений с помощью интеллектуальных правил, которые останавливают векторы, используемые вредоносными программами office, скриптами и почтовыми программами. Узнайте больше о сокращении направлений атак и идентификаторах событий, используемых для этого.

  • Файлы и папки, которые следует исключить из правил сокращения направлений атаки . Щелкните Задать и укажите все файлы или папки для исключения.

  • Email угрозы:

    • Блокировка исполняемого содержимого из почтового клиента и веб-почты.
      • Не настроено
      • Блокировка
      • Аудит

  • Угрозы Office:

    • Запретить приложению Office создавать дочерние процессы.
      • Не настроено
      • Блокировка
      • Аудит
    • Запретить приложениям Office создавать исполняемое содержимое.
      • Не настроено
      • Блокировка
      • Аудит
    • Запретить приложениям Office внедрять код в другие процессы.
      • Не настроено
      • Блокировка
      • Аудит
    • Заблокируйте вызовы API Win32 из макросов Office.
      • Не настроено
      • Блокировка
      • Аудит

  • Угрозы сценариев:

    • Запретить запуск скачаемого исполняемого содержимого в JavaScript или VBScript.
      • Не настроено
      • Блокировка
      • Аудит
    • Блокировать выполнение потенциально скрытых скриптов.
      • Not Configured
      • Блокировка
      • Аудит

  • Угрозы программ-шантажистов: (начиная с Configuration Manager версии 1802)

    • Используйте расширенную защиту от программ-шантажистов.
      • Не настроено
      • Блокировка
      • Аудит

  • Угрозы операционной системы: (начиная с Configuration Manager версии 1802)

    • Блокировка кражи учетных данных из подсистемы локального центра безопасности Windows.
      • Не настроено
      • Блокировка
      • Аудит
    • Блокировать выполнение исполняемых файлов, если они не соответствуют критериям распространенности, возраста или списка доверия.
      • Не настроено
      • Блокировка
      • Аудит

  • Угрозы для внешних устройств: (начиная с Configuration Manager версии 1802)

    • Блокировать недоверенные и неподписанные процессы, выполняемые с USB.
      • Не настроено
      • Блокировка
      • Аудит

Политики и параметры управляемого доступа к папкам

Помогает защитить файлы в ключевых системных папках от изменений, внесенных вредоносными и подозрительными приложениями, включая вредоносные программы-шантажисты, шифрующие файлы. Дополнительные сведения см. в разделе Контролируемый доступ к папкам и идентификаторы событий, которые он использует.

  • Настройка управляемого доступа к папкам:
    • Блокировка
    • Блокировать только секторы диска (начиная с Configuration Manager версии 1802)
      • Позволяет включить управляемый доступ к папкам только для загрузочных секторов и не включает защиту определенных папок или защищенных папок по умолчанию.
    • Аудит
    • Аудит только секторов диска (начиная с Configuration Manager версии 1802)
      • Позволяет включить управляемый доступ к папкам только для загрузочных секторов и не включает защиту определенных папок или защищенных папок по умолчанию.
    • Отключено
  • Разрешить приложения с помощью управляемого доступа к папкам . Щелкните Задать и укажите приложения.
  • Дополнительные защищенные папки . Щелкните Задать и укажите дополнительные защищенные папки.

Политики защиты от эксплойтов

Применяет методы устранения рисков эксплойтов к процессам и приложениям операционной системы, используемым вашей организацией. Эти параметры можно экспортировать из приложения Центра безопасности Защитник Windows на Windows 10 или более поздних устройствах. Дополнительные сведения см. в разделе Защита от эксплойтов.

  • XML-файл защиты от эксплойтов: щелкните Обзор и укажите XML-файл для импорта.

    Предупреждение

    XML-файл для защиты от эксплойтов должен быть в безопасности при его передаче между компьютерами. Файл должен быть удален после импорта или храниться в безопасном расположении.

Политика защиты сети

Помогает свести к минимуму область атак на устройствах, полученных от атак через Интернет. Служба ограничивает доступ к подозрительным доменам, в которых могут размещаться фишинговые аферы, эксплойты и вредоносное содержимое. Дополнительные сведения см. в разделе Защита сети.

  • Настройка защиты сети:
    • Блокировка
    • Аудит
    • Отключено