了解和使用攻击面减少功能

适用于：

• Microsoft Defender XDR
• Microsoft Defender for Endpoint 计划 1
• Microsoft Defender for Endpoint 计划 2
• Microsoft Defender 防病毒

平台

• Windows

提示

希望体验 Microsoft Defender for Endpoint？ 注册免费试用版。

攻击面是组织容易受到网络威胁和攻击的所有位置。 Defender for Endpoint 包含多种功能，可帮助减少攻击面。 观看以下视频，详细了解攻击面减少。

配置攻击面减少功能

若要在环境中配置攻击面减少，请执行以下步骤：

1. 为 Microsoft Edge 启用基于硬件的隔离。

2. 启用攻击面减少规则。

3. 启用应用程序控制。

   1. 查看 Windows 中的基本策略。 请参阅 示例基本策略。

   2. 请参阅 Windows Defender 应用程序控制设计指南。

   3. 请参阅 部署 Windows Defender 应用程序控制 (WDAC) 策略。

4. 启用受控文件夹访问。

5. 启用 设备控制。

6. 打开网络保护。

7. 启用 Web 保护。

8. 启用攻击防护。

9. 设置网络防火墙。

   1. 获取 具有高级安全性的 Windows 防火墙的概述。

   2. 使用 Windows 防火墙设计指南 来决定如何设计防火墙策略。

   3. 使用 Windows 防火墙部署指南 设置具有高级安全性的组织防火墙。

提示

在大多数情况下，配置攻击面减少功能时，可以从以下几种方法中进行选择：

• Microsoft Intune
• Microsoft Configuration Manager
• 组策略
• PowerShell cmdlet

测试Microsoft Defender for Endpoint的攻击面减少

作为组织安全团队的一员，可以将攻击面减少功能配置为在审核模式下运行，以查看其工作原理。 可以在审核模式下启用以下攻击面减少安全功能：

• 攻击面减少规则
• 漏洞保护
• 网络保护
• 文件夹限制访问
• 设备控制

通过审核模式，可以查看启用该功能后 将 发生的情况的记录。

在测试功能的工作方式时，可以启用审核模式。 仅为测试启用审核模式有助于防止审核模式影响业务线应用。 还可以了解在特定时间段内发生的可疑文件修改尝试次数。

这些功能不会阻止或阻止修改应用、脚本或文件。 但是，Windows 事件日志会记录事件，就像完全启用这些功能一样。 使用审核模式时，可以查看事件日志，了解启用该功能后将产生什么效果。

若要查找审核的条目，请转到 “应用程序和服务>Microsoft>Windows>Defender>操作”。

使用 Defender for Endpoint 获取每个事件的更多详细信息。 这些详细信息对于调查攻击面减少规则特别有用。 使用 Defender for Endpoint 控制台，可以在警报时间线和调查方案中调查问题。

可以使用 组策略、PowerShell 和配置服务提供程序 (CSP) 启用审核模式。

审核选项	如何启用审核模式	如何查看事件
审核适用于所有事件	启用受控文件夹访问	受控文件夹访问事件
审核适用于单个规则	步骤 1：使用审核模式测试攻击面减少规则	步骤 2：了解攻击面减少规则报告页
审核适用于所有事件	启用网络保护	网络保护事件
审核适用于单个缓解措施	启用漏洞保护	Exploit Protection 事件

例如，在阻止模式下启用攻击面减少规则之前，可以在审核模式下测试攻击面减少规则。 攻击面减少规则是预定义的，用于强化常见的已知攻击面。 有几种方法可用于实现攻击面减少规则。 以下攻击面减少规则部署文章中介绍了首选方法：

• 攻击面减少规则部署概述
• 规划攻击面减少规则部署
• 测试攻击面减少规则
• 启用攻击面减少规则
• 操作攻击面减少规则

查看攻击面减少活动

查看事件查看器中的攻击面减少事件，以监视哪些规则或设置有效。 还可以确定任何设置是否过于“干扰”或影响日常工作流。

评估功能时，查看事件非常方便。 可以为功能或设置启用审核模式，然后查看完全启用这些功能或设置时会发生的情况。

本部分列出了所有事件及其关联的功能或设置，并介绍如何创建自定义视图以筛选到特定事件。

如果你有 E5 订阅并使用Microsoft Defender for Endpoint，则获取事件、块和警告的详细报告，作为Windows 安全中心的一部分。

使用自定义视图查看攻击面减少功能

在 Windows 事件查看器创建自定义视图，以便仅查看特定功能和设置的事件。 最简单的方法是将自定义视图导入为 XML 文件。 可以直接从此页面复制 XML。

还可以手动导航到与功能对应的事件区域。

导入现有 XML 自定义视图

1. 创建一个空 .txt 文件，并将要使用的自定义视图的 XML 复制到 .txt 文件中。 针对要使用的每个自定义视图执行此操作。 重命名文件，如下所示 (确保将类型从 .txt 更改为 .xml) ：

   • 受控文件夹访问事件自定义视图： cfa-events.xml
   • Exploit Protection 事件自定义视图： ep-events.xml
   • 攻击面减少事件自定义视图： asr-events.xml
   • 网络/保护事件自定义视图： np-events.xml

2. 在“开始”菜单中键入事件查看器，然后打开事件查看器。

3. 选择 “操作>导入自定义视图...”

   

4. 导航到提取所需自定义视图的 XML 文件的位置并选择它。

5. 选择 “打开”。

6. 它创建一个自定义视图，该视图筛选为仅显示与该功能相关的事件。

直接复制 XML

1. 在“开始”菜单中键入事件查看器，然后打开 Windows 事件查看器。

2. 在左侧面板的 “操作”下，选择“ 创建自定义视图...”

   

3. 转到“XML”选项卡，然后选择“ 手动编辑查询”。 如果使用的是 XML 选项，则会看到一条警告，指出无法使用“ 筛选 ”选项卡编辑查询。 选择“是”。

4. 将要从中筛选事件的功能的 XML 代码粘贴到“XML”部分。

5. 选择“确定”。 指定筛选器的名称。 此操作将创建一个自定义视图，该视图将筛选为仅显示与该功能相关的事件。

攻击面减少规则事件的 XML

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
   <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select>
   <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select>
  </Query>
</QueryList>

受控文件夹访问事件的 XML

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
   <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
   <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
  </Query>
</QueryList>

攻击保护事件的 XML

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Security-Mitigations/KernelMode">
   <Select Path="Microsoft-Windows-Security-Mitigations/KernelMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Concurrency">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Contention">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Messages">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Operational">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Power">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Render">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Tracing">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/UIPI">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Security-Mitigations/UserMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
  </Query>
</QueryList>

网络保护事件的 XML

<QueryList>
 <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
  <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
  <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
 </Query>
</QueryList>

攻击面减少事件列表

所有攻击面减少事件都位于 Windows 应用程序和服务日志>Microsoft>下，然后位于下表中列出的文件夹或提供程序下。

可以在 Windows 事件查看器中访问这些事件：

1. 打开“开始”菜单并键入事件查看器，然后选择事件查看器结果。

2. 在 Windows Microsoft>展开“应用程序和服务日志”>，然后转到下表中的“提供程序/源”下列出的文件夹。

3. 双击子项以查看事件。 滚动浏览事件以查找要查找的事件。

   

功能	提供程序/源	事件 ID	描述
漏洞保护	安全缓解（内核模式/用户模式）	1	ACG 审核
漏洞保护	安全缓解（内核模式/用户模式）	2	ACG 强制
漏洞保护	安全缓解（内核模式/用户模式）	3	不允许子进程审核
漏洞保护	安全缓解（内核模式/用户模式）	4	不允许子进程阻止
漏洞保护	安全缓解（内核模式/用户模式）	5	阻止低完整性图像审核
漏洞保护	安全缓解（内核模式/用户模式）	6	阻止低完整性图像阻止
漏洞保护	安全缓解（内核模式/用户模式）	7	阻止远程图像审核
漏洞保护	安全缓解（内核模式/用户模式）	8	阻止远程图像阻止
漏洞保护	安全缓解（内核模式/用户模式）	9	禁用 win32k 系统调用审核
漏洞保护	安全缓解（内核模式/用户模式）	10	禁用 win32k 系统调用阻止
漏洞保护	安全缓解（内核模式/用户模式）	11	代码完整性防护审核
漏洞保护	安全缓解（内核模式/用户模式）	12	代码完整性防护阻止
漏洞保护	安全缓解（内核模式/用户模式）	13	EAF 审核
漏洞保护	安全缓解（内核模式/用户模式）	14	EAF 强制
漏洞保护	安全缓解（内核模式/用户模式）	15	EAF+ 审核
漏洞保护	安全缓解（内核模式/用户模式）	16	EAF+ 强制
漏洞保护	安全缓解（内核模式/用户模式）	17	IAF 审核
漏洞保护	安全缓解（内核模式/用户模式）	18	IAF 强制
漏洞保护	安全缓解（内核模式/用户模式）	19	ROP StackPivot 审核
漏洞保护	安全缓解（内核模式/用户模式）	20	ROP StackPivot 强制
漏洞保护	安全缓解（内核模式/用户模式）	21	ROP CallerCheck 审核
漏洞保护	安全缓解（内核模式/用户模式）	22	ROP CallerCheck 强制
漏洞保护	安全缓解（内核模式/用户模式）	23	ROP SimExec 审核
漏洞保护	安全缓解（内核模式/用户模式）	24	ROP SimExec 强制
漏洞保护	WER-诊断	5	CFG 阻止
漏洞保护	Win32K (操作)	260	不受信任的字体
网络保护	Windows Defender (操作)	5007	更改设置时的事件
网络保护	Windows Defender (操作)	1125	网络保护在审核模式下触发的事件
网络保护	Windows Defender (操作)	1126	网络保护在阻止模式下触发的事件
文件夹限制访问	Windows Defender (操作)	5007	更改设置时的事件
文件夹限制访问	Windows Defender (操作)	1124	已审核的受控文件夹访问事件
文件夹限制访问	Windows Defender (操作)	1123	阻止的受控文件夹访问事件
文件夹限制访问	Windows Defender (操作)	1127	阻止的受控文件夹访问扇区写入阻止事件
文件夹限制访问	Windows Defender (操作)	1128	审核的受控文件夹访问扇区写入阻止事件
攻击面减少	Windows Defender (操作)	5007	更改设置时的事件
攻击面减少	Windows Defender (操作)	1122	在审核模式下触发规则时发生的事件
攻击面减少	Windows Defender (操作)	1121	在阻止模式下触发规则时的事件

注意

从用户的角度来看，攻击面减少警告模式通知作为攻击面减少规则的 Windows Toast 通知。

在减少攻击面方面，网络保护仅提供审核和阻止模式。

有关减少攻击面的详细信息的资源

如视频中所述，Defender for Endpoint 包括多个攻击面减少功能。 使用以下资源了解详细信息：

文章	说明
应用程序控制	使用应用程序控制，以便应用程序必须赢得信任才能运行。
攻击面减少规则参考	提供有关每个攻击面减少规则的详细信息。
攻击面减少规则部署指南	提供部署攻击面减少规则的概述信息和先决条件，以及测试 (审核模式) 、启用 (块模式) 和监视的分步指南。
受控文件夹访问	帮助防止恶意或可疑应用 (包括文件加密勒索软件恶意软件) 更改密钥系统文件夹中的文件 (需要Microsoft Defender防病毒) 。
设备控制	通过监视和控制组织中设备（如可移动存储和 U 盘）上使用的媒体，防止数据丢失。
漏洞保护	帮助保护组织使用的操作系统和应用不被利用。 Exploit Protection 还适用于第三方防病毒解决方案。
基于硬件的隔离	在系统启动和运行时保护和维护系统的完整性。 通过本地和远程证明验证系统完整性。 对 Microsoft Edge 使用容器隔离来帮助防范恶意网站。
网络保护	将保护扩展到组织的设备上的网络流量和连接。 （需要 Microsoft Defender 防病毒软件）。
测试攻击面减少规则	提供使用审核模式测试攻击面减少规则的步骤。
Web 保护功能	通过 Web 保护，你可以保护设备免受 Web 威胁，并帮助你管理不需要的内容。

提示

想要了解更多信息？ Engage技术社区中的Microsoft安全社区：Microsoft Defender for Endpoint技术社区。