啟用受攻擊面縮小規則

已完成

受攻擊面包括攻擊者可能入侵組織裝置或網路的所有位置。 縮小受攻擊面意味著保護組織的裝置和網路，這可讓攻擊者進行攻擊的方式變少。

受攻擊面縮小規則會鎖定攻擊者常濫用的特定軟體行為。 這類行為包括：

• 啟動會嘗試下載或執行檔案的可執行檔及指令碼

• 執行混淆或其他可疑的指令碼

• 執行應用程式通常不會在一般日常工作期間起始的行為。

雖然這類軟體行為有時也會出現在合法的應用程式中，但這些行為通常會被視為有風險，因為其常遭到惡意程式碼濫用。 受攻擊面縮小規則可限制有風險的行為，並協助保護您的組織安全。

每個受攻擊面縮小規則都包含以下四種設定之一：

• 未設定：停用受攻擊面縮小規則

• 封鎖：啟用受攻擊面縮小規則

• Audit (稽核)：評估受攻擊面縮小規則 (若已啟用) 對您的組織有何影響

• 警告：啟用受攻擊面縮小規則，但允許終端使用者略過封鎖

受攻擊面縮小規則

受攻擊面縮小規則目前支援下列規則：

• 封鎖來自電子郵件用戶端及網路郵件的可執行內容
• 禁止所有 Office 應用程式建立子處理序
• 禁止 Office 應用程式建立可執行的內容
• 禁止 Office 應用程式將程式碼插入其他處理序
• 禁止 JavaScript 或 VBScript 啟動下載的可執行內容
• 禁止執行可能經過混淆處理的指令碼
• 封鎖來自 Office 巨集的 Win32 API 呼叫
• 對勒索軟體使用進階保護
• 封鎖竊取自 Windows 本機安全性授權子系統 (lsass.exe) 的認證
• 封鎖來自 PSExec 與 WMI 命令的處理序建立作業
• 封鎖從 USB 執行的未受信任與未簽署處理序
• 禁止可執行檔執行，除非其符合普遍性、年齡或信任清單準則
• 禁止 Office 通訊應用程式建立子處理序
• 禁止 Adobe Reader 建立子處理序
• 封鎖透過 WMI 事件訂閱的持續性

從受攻擊面縮小規則中排除檔案和資料夾

您可以將檔案和資料夾排除在受攻擊面縮小規則的評估範圍之外。 這表示即使受攻擊面縮小規則判斷檔案或資料夾包含惡意行為，也不會禁止該檔案執行，這也表示您可能會讓不安全的檔案執行並感染您的裝置。

您可以透過允許指定的適用於端點的 Defender 檔案和憑證指標，來避免受攻擊面縮小規則會根據憑證和檔案雜湊而觸發。

您可以指定個別檔案或資料夾 (使用資料夾路徑或完整路徑資源名稱)，但無法指定要套用排除的規則。 只有在排除的應用程式或服務啟動時，才會套用排除。 例如，如果您針對執行中的更新服務新增排除，該更新服務將繼續觸發事件，直到該服務停止並重新啟動為止。

用於評估的稽核模式

使用稽核模式，來評估啟用受攻擊面縮小規則後您的組織會受到哪些影響。 最好先在稽核模式中執行所有規則，讓您能夠了解其對您企業營運系統應用程式的影響。 許多企業營運系統應用程式在撰寫時只會將有限的安全性顧慮納入考量，而且可能會以類似惡意程式碼的方式來執行工作。 透過監視稽核資料並為必要的應用程式新增排除，您就能在不影響生產力的情況下部署受攻擊面縮小規則。

規則觸發時的通知

每當規則觸發時，裝置上將會顯示通知。 您可以使用您公司的詳細資料和連絡資訊來自訂通知。 通知也會顯示在 Microsoft Defender 入口網站內。

設定受攻擊面縮小規則

您可以針對執行下列任何 Windows 版次和版本的裝置設定這些規則：

• Windows 10 專業版 1709 版或更新版本
• Windows 10 企業版 1709 版或更新版本
• Windows Server 1803 版 (半年通道) 或更新版本
• Windows Server 2019
• Windows Server 2016
• Windows Server 2012 R2
• Windows Server 2022

您可使用下列任一種方法啟用受攻擊面縮小規則：

• Microsoft Intune
• 行動裝置管理 (MDM)
• Microsoft Endpoint Configuration Manager
• 群組原則
• PowerShell

建議使用企業級管理，例如 Intune 或 Microsoft Endpoint Configuration Manager。 企業級管理將在啟動時覆寫任何衝突的群組原則或 PowerShell 設定。

Intune

裝置組態設定檔：

1. 選取 [裝置設定] > [設定檔]。 選擇現有的端點保護設定檔或建立新的。 若要建立新的設定檔，選取 [建立設定檔]，然後輸入此設定檔的資訊。 針對 [設定檔類型]，選取 [端點保護]。 如果選擇了現有設定檔，則選取 [屬性]，然後選取 [設定]。

2. 在 [端點保護] 窗格中，選取 [Windows Defender 惡意探索防護]，然後選取 [受攻擊面縮小]。 為每個規則選取所需的設定。

3. 在 [攻擊面縮減例外] 底下，輸入個別的檔案和資料夾。 您也可選取 [匯入]，以匯入內含要從受攻擊面縮小規則中排除之檔案及資料夾的 CSV 檔案。 CSV 檔案中每一行的格式都應如下所示：

   C:\folder, %ProgramFiles%\folder\file, C:\path

4. 在這三個設定窗格上，選取 [確定]。 如果您是建立新的端點保護檔案，請選取 [建立]；如果編輯的是現有檔案，則選取 [儲存]。

端點安全性原則：

1. 選取 [端點安全性] > [受攻擊面縮小]。 選擇現有的規則或建立新規則。 若要建立新規則，選取 [建立原則]，然後輸入此設定檔的資訊。 針對 [設定檔類型]，選取 [受攻擊面縮小規則]。 如果選擇了現有設定檔，則選取 [屬性]，然後選取 [設定]。

2. 在 [組態設定] 窗格中，選取 [受攻擊面縮小]，然後選取每個規則所需的設定。

3. 在 [需要保護的其他資料夾清單]、[可以存取受保護資料夾的應用程式清單]，以及 [從受攻擊面縮小規則排除檔案和路徑] 底下，輸入個別的檔案和資料夾。 您也可選取 [匯入]，以匯入內含要從受攻擊面縮小規則中排除之檔案及資料夾的 CSV 檔案。 CSV 檔案中每一行的格式都應如下所示：

   C:\folder, %ProgramFiles%\folder\file, C:\path

4. 在這三個設定窗格上，選取 [下一步]，然後，若您建立新原則，就選取 [建立]，若是編輯現有原則，則選取 [儲存]。

行動裝置管理

在行動裝置管理中管理受攻擊面縮小規則：

• 使用 ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules configuration service provider (CSP)，個別啟用和設定每個規則的模式。

• 遵循受攻擊面縮小規則中的行動裝置管理參考，以使用 GUID 值。

• OMA-URI 路徑：./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules

• 值：75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84=2|3B576869-A4EC-4529-8536-B80A7769E899=1|D4F940AB-401B-4EfC-AADC-AD5F3C50688A=2|D3E037E1-3EB8-44C8-A917-57927947596D=1|5BEB7EFE-FD9A-4556-801D-275E5FFC04CC=0|BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550=1

• 在稽核模式中啟用、停用或啟用的值如下：

  • 停用 = 0

  • 封鎖 (啟用受攻擊面縮小規則) = 1

  • 稽核 = 2

• 使用 ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions 設定服務提供者 (CSP) 來新增排除。

範例：

• OMA-URI 路徑：./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions

• 值：c:\path|e:\path|c:\wlisted.exe

Microsoft Endpoint Configuration Manager

在 Microsoft Endpoint Configuration Manager 中管理受攻擊面縮小規則：

1. 在 Microsoft Endpoint Configuration Manager 中，移至 [資產與合規性] > [Endpoint Protection] > [Windows Defender 惡意探索防護]。

2. 選取 [常用] > [建立 Exploit Guard 原則]。

3. 輸入名稱和描述，選取 [受攻擊面縮小]，然後選取 [下一步]。

4. 選擇將封鎖或稽核動作的規則，然後選取 [下一步]。

5. 檢閱設定，然後選取 [下一步] 以建立原則。

6. 建立原則後，選取 [關閉]。

群組原則

在「群組原則」中管理受攻擊面縮小規則：

警告

如果您使用 Intune、Configuration Manager 或其他企業層級管理平台管理電腦和裝置，管理軟體會在啟動時覆寫所有衝突的群組原則設定。

1. 在您的群組原則管理電腦上，開啟 [群組原則管理主控台]、以滑鼠右鍵按一下您要設定的群組原則物件，然後選取 [編輯]。

2. 在 [群組原則管理編輯器] 中，移至 [電腦設定]，然後選取 [系統管理範本]。

3. 展開 [Windows 元件] > [Microsoft Defender 防毒軟體] > [Windows Defender 惡意探索防護] > [受攻擊面縮小] 樹狀結構。

4. 選取 [設定受攻擊面縮小規則]，然後選取 [已啟用]。 接著，在 [選項] 區段中為每個規則設定個別狀態。

5. 選取 [顯示...]然後在 [值名稱] 資料行中輸入規則識別碼，並在 [值] 資料行中輸入您選擇的狀態，如下所示：

   停用 = 0 封鎖 (啟用受攻擊面縮小規則) = 1 稽核 = 2

6. 若要將檔案和資料夾排除在受攻擊面縮小規則的評估範圍之外，請選取 [從受攻擊面縮小規則中排除檔案和路徑] 設定，並將該選項設為 [已啟用]。 選取 [顯示]，然後在 [值名稱] 資料行中輸入每個檔案或資料夾。 在每個項目的 [值] 資料行中，輸入 0。

PowerShell

在 PowerShell 中管理受攻擊面縮小規則：

警告

如果您使用 Intune、Configuration Manager 或其他企業層級管理平台來管理電腦和裝置，則管理軟體會在啟動時覆寫任何衝突的 PowerShell 設定。 若要允許使用者使用 PowerShell 來定義值，在管理平台中，針對規則使用 [使用者定義] 選項。

1. 在 [開始] 功能表中輸入「PowerShell」、以滑鼠右鍵按一下 Windows PowerShell，然後選取 [以系統管理員身分執行]。

2. 輸入下列 Cmdlet：

   Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Enabled
   
   

3. 若要在稽核模式中啟用受攻擊面縮小規則，使用下列 Cmdlet：

   Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions AuditMode
   
   

4. 若要關閉受攻擊面縮小規則，使用下列 Cmdlet：

   Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Disabled
   
   

5. 您必須針對每個規則個別指定狀態，但您可以在逗號分隔清單中合併規則和狀態。

6. 在下列範例中，將啟用前兩個規則、將停用第三個規則，而且將在稽核模式中啟用第四個規則：

   Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID 1>,<rule ID 2>,<rule ID 3>,<rule ID 4> -AttackSurfaceReductionRules_Actions Enabled, Enabled, Disabled, AuditMode
   
   

7. 您也可以使用 Add-MpPreference PowerShell 指令動詞，將新的規則新增至現有清單。

8. Set-MpPreference 一律會覆寫現有的規則集。 如果您要新增至現有的集合，應該改為使用 Add-MpPreference。 您可以使用 Get-MpPreference 來取得規則清單及其目前狀態。

9. 若要從受攻擊面縮小規則排除檔案和資料夾，使用下列 Cmdlet：

   Add-MpPreference -AttackSurfaceReductionOnlyExclusions "<fully qualified path or resource>"
   
   

10. 繼續使用 Add-MpPreference-AttackSurfaceReductionOnlyExclusions，將多個檔案和資料夾新增至清單。

重要

使用 Add-MpPreference 來將應用程式附加或新增至清單。 使用 Set-MpPreference Cmdlet 將會覆寫現有的清單。

受攻擊面縮小事件的清單

所有受攻擊面縮小事件都位於 Windows 事件檢視器中的 [應用程式及服務記錄檔] > [Microsoft] > [Windows] 底下。