Dela via

Skapa och distribuera en Exploit Guard-princip

  • Artikel

Gäller för: Configuration Manager (aktuell gren)

Du kan konfigurera och distribuera Configuration Manager principer som hanterar alla fyra komponenterna i Windows Defender Exploit Guard. Dessa komponenter omfattar:

  • Minskning av attackytan
  • Reglerad mappåtkomst
  • Exploateringsskydd
  • Nätverksskydd

Efterlevnadsdata för Exploit Guard-principdistribution är tillgängliga från Configuration Manager-konsolen.

Obs!

Configuration Manager aktiverar inte den här valfria funktionen som standard. Du måste aktivera den här funktionen innan du använder den. Mer information finns i Aktivera valfria funktioner från uppdateringar.

Förutsättningar

Hanterade enheter måste köra Windows 10 1709 eller senare. Den lägsta Versionen av Windows Server är version 1809 eller senare tills endast Server 2019. Följande krav måste också uppfyllas, beroende på vilka komponenter och regler som konfigurerats:

Exploit Guard-komponent Ytterligare krav
Minskning av attackytan Enheter måste ha Microsoft Defender för Endpoint alltid aktiverat skydd.
Reglerad mappåtkomst Enheter måste ha Microsoft Defender för Endpoint alltid aktiverat skydd.
Exploateringsskydd Ingen
Nätverksskydd Enheter måste ha Microsoft Defender för Endpoint alltid aktiverat skydd.

Skapa en Exploit Guard-princip

  1. I Configuration Manager-konsolen går du till Tillgångar och efterlevnad>Endpoint Protection och klickar sedan på Windows Defender Exploit Guard.

  2. Klicka på Skapa exploateringsprincip i gruppen Skapa på fliken Start.

  3. På sidan Allmänt i guiden Skapa konfigurationsobjekt anger du ett namn och en valfri beskrivning för konfigurationsobjektet.

  4. Välj sedan de Exploit Guard-komponenter som du vill hantera med den här principen. För varje komponent du väljer kan du sedan konfigurera ytterligare information.

    • Minskning av attackytan: Konfigurera Office-hot, skripthot och e-posthot som du vill blockera eller granska. Du kan också exkludera specifika filer eller mappar från den här regeln.
    • Kontrollerad mappåtkomst: Konfigurera blockering eller granskning och lägg sedan till appar som kan kringgå den här principen. Du kan också ange ytterligare mappar som inte skyddas som standard.
    • Sårbarhetsskydd: Ange en XML-fil som innehåller inställningar för att minimera sårbarheter i systemprocesser och appar. Du kan exportera de här inställningarna från appen Windows Defender Security Center på en Windows 10 eller senare enhet.
    • Nätverksskydd: Ange nätverksskydd för att blockera eller granska åtkomst till misstänkta domäner.

  5. Slutför guiden för att skapa principen, som du senare kan distribuera till enheter.

    Varning

    XML-filen för exploateringsskydd bör vara säker när den överförs mellan datorer. Filen ska tas bort efter import eller förvaras på en säker plats.

Distribuera en Exploit Guard-princip

När du har skapat Exploit Guard-principer använder du guiden Distribuera exploit guard-princip för att distribuera dem. Om du vill göra det öppnar du Configuration Manager-konsolen till Tillgångar och efterlevnad>Endpoint Protection och klickar sedan på Distribuera Exploit Guard-princip.

Viktigt

När du distribuerar en Exploit Guard-princip, till exempel minskning av attackytan eller kontrollerad mappåtkomst, tas inställningarna för Exploit Guard inte bort från klienterna om du tar bort distributionen. Delete not supported registreras i klientens ExploitGuardHandler.log om du tar bort klientens Exploit Guard-distribution. Följande PowerShell-skript kan köras under SYSTEMkontext för att ta bort de här inställningarna:

$defenderObject = Get-WmiObject -Namespace "root/cimv2/mdm/dmmap" -Class "MDM_Policy_Config01_Defender02" -Filter "InstanceID='Defender' and ParentID='./Vendor/MSFT/Policy/Config'"
$defenderObject.AttackSurfaceReductionRules = $null
$defenderObject.AttackSurfaceReductionOnlyExclusions = $null
$defenderObject.EnableControlledFolderAccess = $null
$defenderObject.ControlledFolderAccessAllowedApplications = $null
$defenderObject.ControlledFolderAccessProtectedFolders = $null
$defenderObject.EnableNetworkProtection = $null
$defenderObject.Put()

$exploitGuardObject = Get-WmiObject -Namespace "root/cimv2/mdm/dmmap" -Class "MDM_Policy_Config01_ExploitGuard02" -Filter "InstanceID='ExploitGuard' and ParentID='./Vendor/MSFT/Policy/Config'"
$exploitGuardObject.ExploitProtectionSettings = $null
$exploitGuardObject.Put()

principinställningar för Windows Defender Exploit Guard

Principer och alternativ för minskning av attackytan

Minskning av attackytan kan minska angreppsytan för dina program med intelligenta regler som stoppar de vektorer som används av Office, skript och e-postbaserad skadlig kod. Läs mer om minskning av attackytan och de händelse-ID:er som används för den.

  • Filer och mappar som ska undantas från reglerna för minskning av attackytan – Klicka på Ange och ange vilka filer eller mappar som ska undantas.

  • Email hot:

    • Blockera körbart innehåll från e-postklienten och webbmeddelandet.
      • Inte konfigurerad
      • Blockera
      • Granskning

  • Office-hot:

    • Blockera Office-program från att skapa underordnade processer.
      • Inte konfigurerad
      • Blockera
      • Granskning
    • Blockera Office-program från att skapa körbart innehåll.
      • Inte konfigurerad
      • Blockera
      • Granskning
    • Blockera Office-program från att mata in kod i andra processer.
      • Inte konfigurerad
      • Blockera
      • Granskning
    • Blockera Win32 API-anrop från Office-makron.
      • Inte konfigurerad
      • Blockera
      • Granskning

  • Skripthot:

    • Blockera JavaScript eller VBScript från att starta nedladdat körbart innehåll.
      • Inte konfigurerad
      • Blockera
      • Granskning
    • Blockera körning av potentiellt dolda skript.
      • Inte konfigurerad
      • Blockera
      • Granskning

  • Utpressningstrojanhot: (från och med Configuration Manager version 1802)

    • Använd avancerat skydd mot utpressningstrojaner.
      • Inte konfigurerad
      • Blockera
      • Granskning

  • Operativsystemhot: (från och med Configuration Manager version 1802)

    • Blockera stöld av autentiseringsuppgifter från undersystemet windows lokal säkerhetsmyndighet.
      • Inte konfigurerad
      • Blockera
      • Granskning
    • Blockera körbara filer från att köras om de inte uppfyller kriterierna för prevalens, ålder eller betrodd lista.
      • Inte konfigurerad
      • Blockera
      • Granskning

  • Hot mot externa enheter: (från och med Configuration Manager version 1802)

    • Blockera obetrodda och osignerade processer som körs från USB.
      • Inte konfigurerad
      • Blockera
      • Granskning

Reglerade åtkomstprinciper och alternativ för mappar

Hjälper till att skydda filer i viktiga systemmappar från ändringar som görs av skadliga och misstänkta appar, inklusive skadlig kod för filkryptering av utpressningstrojaner. Mer information finns i Kontrollerad mappåtkomst och de händelse-ID:t som används.

  • Konfigurera kontrollerad mappåtkomst:
    • Blockera
    • Blockera endast disksektorer (från och med Configuration Manager version 1802)
      • Tillåter endast kontrollerad mappåtkomst för startsektorer och aktiverar inte skydd av specifika mappar eller standardskyddade mappar.
    • Granskning
    • Granska endast disksektorer (från och med Configuration Manager version 1802)
      • Tillåter endast kontrollerad mappåtkomst för startsektorer och aktiverar inte skydd av specifika mappar eller standardskyddade mappar.
    • Inaktiverad
  • Tillåt appar via Kontrollerad mappåtkomst – Klicka på Ange och ange appar.
  • Ytterligare skyddade mappar – Klicka på Ange och ange ytterligare skyddade mappar.

Principer för exploateringsskydd

Tillämpar metoder för att minska exploateringen på operativsystemprocesser och appar som din organisation använder. De här inställningarna kan exporteras från appen Windows Defender Security Center på Windows 10 eller senare enheter. Mer information finns i Sårbarhetsskydd.

  • XML för sårbarhetsskydd: -Klicka på Bläddra och ange den XML-fil som ska importeras.

    Varning

    XML-filen för exploateringsskydd bör vara säker när den överförs mellan datorer. Filen ska tas bort efter import eller förvaras på en säker plats.

Nätverksskyddsprincip

Hjälper till att minimera attackytan på enheter från Internetbaserade attacker. Tjänsten begränsar åtkomsten till misstänkta domäner som kan vara värdar för nätfiskebedrägerier, kryphål och skadligt innehåll. Mer information finns i Nätverksskydd.

  • Konfigurera nätverksskydd:
    • Blockera
    • Granskning
    • Inaktiverad