创建和部署 Exploit Guard 策略
适用于: Configuration Manager(current branch)
可以配置和部署Configuration Manager策略,用于管理 Windows Defender Exploit Guard 的所有四个组件。 这些组件包括:
- 攻击面减少
- 文件夹限制访问
- 漏洞保护
- 网络保护
可从 Configuration Manager 控制台中获取 Exploit Guard 策略部署的合规性数据。
注意
默认情况下,Configuration Manager不启用此可选功能。 在使用此功能之前,必须启用此功能。 有关详细信息,请参阅 从更新启用可选功能。
先决条件
托管设备必须运行 Windows 10 1709 或更高版本;最低 Windows Server 版本为 1809 或更高版本,直到 Server 2019 为止。 还必须满足以下要求,具体取决于配置的组件和规则:
| Exploit Guard 组件 | 附加先决条件 |
|---|---|
| 攻击面减少 | 设备必须启用Microsoft Defender for Endpoint始终启用保护。 |
| 文件夹限制访问 | 设备必须启用Microsoft Defender for Endpoint始终启用保护。 |
| 漏洞保护 | 无 |
| 网络保护 | 设备必须启用Microsoft Defender for Endpoint始终启用保护。 |
创建 Exploit Guard 策略
在Configuration Manager控制台中,转到“资产和符合性>终结点保护”,然后单击“Windows Defender攻击防护”。
在“ 开始 ”选项卡上的“ 创建 ”组中,单击“ 创建攻击策略”。
在“创建配置项目向导”的“常规”页上,为配置项目指定名称和可选说明。
接下来,选择要使用此策略管理的 Exploit Guard 组件。 然后,对于选择的每个组件,可以配置其他详细信息。
- 攻击面减少: 配置要阻止或审核的 Office 威胁、脚本威胁和电子邮件威胁。 还可以从此规则中排除特定文件或文件夹。
- 受控文件夹访问权限: 配置阻止或审核,然后添加可以绕过此策略的应用。 还可以指定默认情况下不受保护的其他文件夹。
- 攻击防护: 指定包含用于缓解系统进程和应用攻击的设置的 XML 文件。 可以从Windows 10或更高版本设备上的Windows Defender安全中心应用导出这些设置。
- 网络保护: 设置网络保护以阻止或审核对可疑域的访问。
完成向导以创建策略,稍后可以将其部署到设备。
警告
在计算机之间传输攻击保护的 XML 文件时,应保持安全。 该文件应在导入后删除或保存在安全位置。
部署 Exploit Guard 策略
创建 Exploit Guard 策略后,请使用“部署攻击防护策略”向导来部署它们。 为此,请打开“资产和符合性>终结点保护”Configuration Manager控制台,然后单击“部署攻击防护策略”。
重要
部署攻击防护策略(例如攻击面减少或受控文件夹访问)后,如果删除部署,攻击防护设置将不会从客户端中删除。
Delete not supported 如果删除客户端的 Exploit Guard 部署,则会记录在客户端ExploitGuardHandler.log中。
可以在 SYSTEM 上下文中运行以下 PowerShell 脚本以删除这些设置:
$defenderObject = Get-WmiObject -Namespace "root/cimv2/mdm/dmmap" -Class "MDM_Policy_Config01_Defender02" -Filter "InstanceID='Defender' and ParentID='./Vendor/MSFT/Policy/Config'"
$defenderObject.AttackSurfaceReductionRules = $null
$defenderObject.AttackSurfaceReductionOnlyExclusions = $null
$defenderObject.EnableControlledFolderAccess = $null
$defenderObject.ControlledFolderAccessAllowedApplications = $null
$defenderObject.ControlledFolderAccessProtectedFolders = $null
$defenderObject.EnableNetworkProtection = $null
$defenderObject.Put()
$exploitGuardObject = Get-WmiObject -Namespace "root/cimv2/mdm/dmmap" -Class "MDM_Policy_Config01_ExploitGuard02" -Filter "InstanceID='ExploitGuard' and ParentID='./Vendor/MSFT/Policy/Config'"
$exploitGuardObject.ExploitProtectionSettings = $null
$exploitGuardObject.Put()
Windows Defender攻击防护策略设置
攻击面减少策略和选项
攻击面减少可以通过智能规则来减少应用程序的攻击面,这些规则可阻止 Office、脚本和基于邮件的恶意软件使用的矢量。 详细了解 攻击面减少 和用于它的事件 ID。
要从攻击面减少规则中排除的文件和文件夹 - 单击 “设置” 并指定要排除的任何文件或文件夹。
Email威胁:
- 阻止来自电子邮件客户端和 Webmail 的可执行内容。
- 未配置
- 阻止
- Audit
- 阻止来自电子邮件客户端和 Webmail 的可执行内容。
Office 威胁:
- 阻止 Office 应用程序创建子进程。
- 未配置
- 阻止
- Audit
- 阻止 Office 应用程序创建可执行内容。
- 未配置
- 阻止
- Audit
- 阻止 Office 应用程序将代码注入其他进程。
- 未配置
- 阻止
- Audit
- 阻止从 Office 宏进行的 Win32 API 调用。
- 未配置
- 阻止
- Audit
- 阻止 Office 应用程序创建子进程。
编写脚本威胁:
- 阻止 JavaScript 或 VBScript 启动下载的可执行内容。
- 未配置
- 阻止
- Audit
- 阻止执行可能已模糊处理的脚本。
- 未配置
- 阻止
- Audit
- 阻止 JavaScript 或 VBScript 启动下载的可执行内容。
勒索软件威胁:从 Configuration Manager 版本 1802) 开始 (
- 对勒索软件使用高级保护。
- 未配置
- 阻止
- Audit
- 对勒索软件使用高级保护。
操作系统威胁:从 Configuration Manager 版本 1802) 开始 (
- 阻止从 Windows 本地安全机构子系统窃取凭据。
- 未配置
- 阻止
- Audit
- 阻止运行可执行文件,除非它们符合流行性、年龄或受信任的列表条件。
- 未配置
- 阻止
- Audit
- 阻止从 Windows 本地安全机构子系统窃取凭据。
外部设备威胁:从 Configuration Manager 版本 1802) 开始 (
- 阻止从 USB 运行的不受信任和未签名的进程。
- 未配置
- 阻止
- Audit
- 阻止从 USB 运行的不受信任和未签名的进程。
受控文件夹访问策略和选项
帮助保护关键系统文件夹中的文件免受恶意和可疑应用(包括文件加密勒索软件恶意软件)所做的更改的影响。 有关详细信息,请参阅 受控文件夹访问权限 及其使用的事件 ID。
-
配置受控文件夹访问权限:
- 阻止
- 块磁盘扇区仅从 Configuration Manager 版本 1802) 开始 (
- 允许仅对启动扇区启用受控文件夹访问,但不启用对特定文件夹或默认受保护文件夹的保护。
- Audit
- 仅从 Configuration Manager 版本 1802) 开始审核磁盘扇区 (
- 允许仅对启动扇区启用受控文件夹访问,但不启用对特定文件夹或默认受保护文件夹的保护。
- Disabled
- 允许应用通过受控文件夹访问 - 单击“ 设置 ”并指定应用。
- 其他受保护的文件夹 - 单击 “设置 ”并指定其他受保护的文件夹。
Exploit Protection 策略
将攻击缓解技术应用于组织使用的操作系统进程和应用。 这些设置可以从Windows 10或更高版本的 Windows Defender 安全中心应用导出。 有关详细信息,请参阅 Exploit Protection。
Exploit Protection XML: 单击“ 浏览 ”并指定要导入的 XML 文件。
警告
在计算机之间传输攻击保护的 XML 文件时,应保持安全。 该文件应在导入后删除或保存在安全位置。
网络保护策略
帮助最大程度地减少设备上来自基于 Internet 的攻击的攻击面。 该服务限制对可能托管网络钓鱼欺诈、攻击和恶意内容的可疑域的访问。 有关详细信息,请参阅 网络保护。
-
配置网络保护:
- 阻止
- Audit
- Disabled