启用攻击面减少规则

  • 17 分钟

攻击面包括攻击者可能会损害组织的设备或网络的所有位置。 减少攻击面意味着保护组织的设备和网络,使攻击者可执行攻击的方式更少。

攻击面减少规则针对的是攻击者经常滥用的某些软件行为。 此类行为包括:

  • 启动试图下载或运行文件的可执行文件和脚本

  • 运行混淆或其他可疑脚本

  • 执行应用通常在日常工作中不会启动的行为。

此类软件行为有时会出现在合法的应用程序中;不过,这些行为通常被视为有风险,因为它们常常被恶意软件滥用。 攻击面减少规则可限制风险行为,并有助于保护组织的安全。

每个攻击面减少规则都包含以下 4 个设置之一:

  • 未配置:禁用攻击面减少规则

  • 阻止:启用攻击面减少规则

  • 审核:评估攻击面减少规则如何影响组织(如果已启用)

  • 警告:启用攻击面减少规则,但允许最终用户绕过阻止

攻击面减少规则

攻击面减少规则目前支持以下规则:

  • 阻止来自电子邮件客户端和 Web 邮件的可执行内容
  • 阻止所有 Office 应用程序创建子进程
  • 阻止 Office 应用程序创建可执行内容
  • 阻止 Office 应用程序将代码注入其他进程
  • 阻止 JavaScript 或 VBScript 启动已下载的可执行内容
  • 阻止执行可能混淆的脚本
  • 阻止来自 Office 宏的 Win32 API 调用
  • 使用高级防护防御勒索软件
  • 阻止从 Windows 本地安全机构子系统 (lsass.exe) 窃取凭据
  • 阻止来自 PSExec 和 WMI 命令的进程创建
  • 阻止从 USB 运行不受信任和未签名的进程
  • 阻止运行可执行文件,除非它们符合传播、年限或受信任列表条件
  • 阻止 Office 通信应用程序创建子进程
  • 阻止 Adobe Reader 创建子进程
  • 通过 WMI 事件订阅阻止永久性

从攻击面减少规则中排除文件和文件夹

你可以将文件和文件夹从大多数攻击面减少规则的评估范围中排除。 这意味着,即使攻击面减少规则确定文件或文件夹包含恶意行为,它也不会阻止文件运行,这也意味着允许可能不安全的文件来运行和感染设备。

通过允许指定的 Defender for Endpoint 文件和证书指示器,从基于证书和文件哈希的触发中排除攻击面减少规则。

可以(使用文件夹路径或完全限定的资源名称)指定单个文件或文件夹,但不能指定将排除项适用于哪些规则。 排除项仅在已排除的应用程序或服务启动时适用。 例如,如果为已运行的更新服务添加了排除项,则在停止并重新启动服务之前,更新服务将继续触发事件。

用于评估的审核模式

使用审核模式评估攻击面减少规则如何影响组织(如果规则已启用)。 最好先在审核模式下运行所有规则,以便了解其对业务线应用程序的影响。 许多业务线应用程序都是在有限的安全考虑下编写的,它们可能以类似于恶意软件的方式执行任务。 通过监视审核数据并为所需的应用程序添加排除项,可以部署攻击面减少规则,而不会影响工作效率。

触发某个规则时的通知

每当触发规则时,设备上都将显示一个通知。 你可以使用公司的详细信息和联系人信息自定义通知。 该通知还会显示在 Microsoft Defender 门户中。

配置攻击面减少规则

可以为运行以下任意版次和版本的 Windows 的设备设置这些规则:

  • Windows 10 专业版,版本 1709 或更高版本
  • Windows 10 企业版,版本 1709 或更高版本
  • Windows Server,版本 1803(半年频道)或更高版本
  • Windows Server 2019
  • Windows Server 2016
  • Windows Server 2012 R2
  • Windows Server 2022

可以使用以下任一方法启用攻击面减少规则:

  • Microsoft Intune
  • 移动设备管理 (MDM)
  • Microsoft Endpoint Configuration Manager
  • 组策略
  • PowerShell

建议使用企业级管理,例如 Intune 或 Microsoft Endpoint Configuration Manager。 企业级管理将在启动时覆盖任何冲突的组策略或 PowerShell 设置。

Intune

设备配置文件:

  1. 选择“设备配置”>“配置文件”。 选择现有的终结点保护配置文件或创建一个新配置文件。 若要创建新的配置文件,请选择“创建配置文件”并输入此配置文件的信息。 对于“配置文件类型”,请选择“终结点保护”。 如果已选择现有配置文件,请选择“属性”,然后选择“设置”

  2. 在“终结点保护”窗格中,选择“Windows Defender 攻击防护”,然后选择“攻击面减少”。 为每个规则选择所需的设置。

  3. 在攻击面减少例外下,输入各个文件和文件夹。 也可以选择“导入”以导入 CSV 文件,该文件包含要从攻击面减少规则中排除的文件和文件夹。 应将 CSV 文件中的每一行的格式设置如下:

    C:\folder、%ProgramFiles%\folder\file、C:\path

  4. 在三个配置窗格中选择“确定”。 然后,如果要创建新的终结点保护文件,请选择“创建”;如果要编辑现有的终结点保护文件,请选择“保存”。

终结点安全策略:

  1. 选择“终结点安全性”>“攻击面减少”。 选择现有规则或创建新规则。 若要创建新的配置文件,请选择“创建配置文件”并输入此配置文件的信息。 对于“配置文件类型”,请选择“攻击面减少规则”。 如果已选择现有配置文件,请选择“属性”,然后选择“设置”

  2. 在“配置设置”窗格中,选择“攻击面减少”,然后为每个规则选择所需的设置

  3. 在“需要保护的其他文件夹列表”、“有权访问受保护文件夹的应用列表”以及“从攻击面减少规则中排除文件和路径”下,输入单个文件和文件夹。 也可以选择“导入”以导入 CSV 文件,该文件包含要从攻击面减少规则中排除的文件和文件夹。 应将 CSV 文件中的每一行的格式设置如下:

    C:\folder、%ProgramFiles%\folder\file、C:\path

  4. 在三个配置窗格中选择“下一步”,然后如果要创建新策略,请选择“创建”;如果要编辑现有策略,请选择“保存”

移动设备管理

在移动设备管理中管理攻击面减少规则:

  • 使用 ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules 配置服务提供程序 (CSP) 分别为每个规则启用和设置模式。

  • 请遵循攻击面减少规则中的移动设备管理参考,以使用 GUID 值。

  • OMA-URI 路径:./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules

  • 值:75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84=2|3B576869-A4EC-4529-8536-B80A7769E899=1|D4F940AB-401B-4EfC-AADC-AD5F3C50688A=2|D3E037E1-3EB8-44C8-A917-57927947596D=1|5BEB7EFE-FD9A-4556-801D-275E5FFC04CC=0|BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550=1

  • 启用、禁用或在审核模式中启用的值是:

    • 禁用 = 0

    • 阻止(启用攻击面减少规则)= 1

    • 审核 = 2

  • 使用 ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions 配置服务提供程序 (CSP) 添加排除项。

示例:

  • OMA-URI 路径:./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions

  • 值:c:\path|e:\path|c:\wlisted.exe

Microsoft Endpoint Configuration Manager

在 Microsoft Endpoint Configuration Manager 中管理攻击面减少规则:

  1. 在 Microsoft Endpoint Configuration Manager 中,请转到“资产和符合性”>“Endpoint Protection”>“Windows Defender 攻击防护”

  2. 选择“主页”>“创建攻击防护策略”

  3. 输入名称和说明,选择“攻击面减少”,然后选择“下一步”

  4. 选择将阻止或审核操作的规则,然后选择“下一步”

  5. 检查设置并选择“下一步”以创建策略

  6. 创建策略后,选择“关闭”

组策略

在组策略中管理攻击面减少规则:

警告

如果通过 Intune、Configuration Manager 或其他企业级管理平台管理计算机和设备,则管理软件将在启动时覆盖任何冲突的组策略设置。

  1. 在组策略管理计算机上,打开组策略管理控制台,右键单击要配置的组策略对象,然后选择“编辑”

  2. 在组策略管理编辑器中,转到“计算机配置”,然后选择“管理模板”。

  3. 将树展开到“Windows 组件”>“Microsoft Defender 防病毒”>“Windows Defender 攻击防护”>“攻击面减少”

  4. 选择“配置攻击面减少规则”,然后选择“已启用”。 然后,可以在选项部分中单独设置每个规则的状态。

  5. 选择“显示…”,然后在“值名称”列中输入规则 ID,并在“值”列中输入所选状态,如下所示:

    禁用 = 0 阻止(启用攻击面减少规则)= 1 审核 = 2

  6. 若要从攻击面减少规则中排除文件和文件夹,请选择“从攻击面减少规则中排除文件和路径”设置,然后将选项设置为“已启用”。 选择“显示”,然后在“值名称”列中输入每个文件或文件夹。 在每个项的“值”列中输入“0”

PowerShell

通过 PowerShell 管理攻击面减少规则:

警告

如果通过 Intune、Configuration Manager 或其他企业级管理平台管理计算机和设备,则管理软件将在启动时覆盖任何冲突的 PowerShell 设置。 若要允许用户使用 PowerShell 定义该值,请在管理平台中对规则使用“用户定义”选项。

  1. 在“开始”菜单中键入“powershell”,右键单击“Windows PowerShell”,然后选择“以管理员身份运行”

  2. 输入以下 cmdlet:

    Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Enabled

  3. 若要在审核模式下启用攻击面减少规则,请使用以下 cmdlet:

    Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions AuditMode

  4. 若要关闭攻击面减少规则,请使用以下 cmdlet:

    Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Disabled

  5. 必须为每个规则单独指定状态,但可以在以逗号分隔的列表中合并规则和状态。

  6. 在以下示例中,将启用前两个规则,禁用第三个规则,并在审核模式下启用第四个规则:

    Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID 1>,<rule ID 2>,<rule ID 3>,<rule ID 4> -AttackSurfaceReductionRules_Actions Enabled, Enabled, Disabled, AuditMode

  7. 还可以使用 Add-MpPreference PowerShell 谓词向现有列表添加新规则。

  8. Set-MpPreference 将始终覆盖现有的规则集。 如果要添加到现有集,应该改用 Add-MpPreference。 可以通过使用 Get-MpPreference 获取规则及其当前状态的列表。

  9. 若要从攻击面减少规则中排除文件和文件夹,请使用以下 cmdlet:

    Add-MpPreference -AttackSurfaceReductionOnlyExclusions "<fully qualified path or resource>"

  10. 继续使用 Add-MpPreference -AttackSurfaceReductionOnlyExclusions,将更多的文件和文件夹添加到列表。

重要

使用 Add-MpPreference 向列表中追加或添加应用。 使用 Set-MpPreference cmdlet 将覆盖现有列表。

攻击面减少事件列表

所有攻击面减少事件均位于 Windows 事件查看器中的“应用程序和服务日志”>“Microsoft”>“Windows”下。