Zásady omezení prostoru pro útoky pro zabezpečení koncových bodů v Intune

Pokud se na vašich zařízeních s Windows 10/11 používá antivirová ochrana v programu Defender, můžete ke správě těchto nastavení pro vaše zařízení použít zásady zabezpečení koncového bodu Intune pro snížení prostoru útoku.

Zásady snížení počtu útoků pomáhají omezit prostor pro útoky tím, že minimalizují místa, kde je vaše organizace zranitelná vůči kybernetickým hrozbám a útokům. Další informace najdete v tématu Přehled omezení prostoru pro útoky v dokumentaci k ochraně před hrozbami Windows.

V uzlu Zabezpečení koncového bodu v Centru pro správu Microsoft Endpoint Manager v části Spravovat najdete zásady zabezpečení koncových bodů pro snížení počtu útoků. Každý profil redukce prostoru pro útok spravuje nastavení pro konkrétní oblast zařízení Windows 10/11.

Požadavky na profily redukce prostoru pro útoky

Obecné:

  • Windows 10 nebo Windows 11
  • Antivirová ochrana v programu Defender musí být primárním antivirovým programem v zařízení.

Podpora klientů Configuration Manager:

Tento scénář je ve verzi Preview a vyžaduje použití Configuration Manager aktuální větve verze 2006 nebo novější.

  • Nastavení připojení tenanta pro Configuration Manager zařízení – Pokud chcete na zařízení spravovaná Configuration Manager nasazovat zásady snížení počtu útoků na plochu, nakonfigurujte připojení tenanta. Nastavení připojení tenanta zahrnuje konfiguraci Configuration Manager kolekcí zařízení pro podporu zásad zabezpečení koncových bodů z Intune.

    Informace o nastavení připojení tenanta najdete v tématu Konfigurace připojení tenanta pro podporu zásad ochrany koncových bodů.

Profily redukce prostoru pro útoky

Poznámka

Od 5. dubna 2022 se aktualizovaly následující profily pro zásady omezení prostoru útoku tak, aby používaly formát nastavení, který najdete v katalogu Nastavení, zatímco ostatní profily se nezměnily:

  • Pravidla pro omezení potenciální oblasti útoku
  • Ochrana před zneužitím

Nové verze těchto dvou profilů obsahují stejná nastavení jako starší šablony profilů, které nahrazují. Při této změně budou všechny nové instance těchto profilů používat nový formát nastavení. Dříve posílané instance těchto profilů zůstanou dostupné pro použití a úpravy.

Zařízení spravovaná Intune

profily Windows 10/11:

  • Izolace aplikací a prohlížečů – Správa nastavení pro Ochrana Application Guard v programu Windows Defender (Application Guard) jako součást defenderu pro koncový bod Ochrana Application Guard pomáhá předcházet starým a nově vznikajícím útokům a dokáže izolovat weby definované společností jako nedůvěryhodné a současně definuje, které lokality, cloudové prostředky a interní sítě jsou důvěryhodné.

    Další informace najdete v tématu Application Guard v dokumentaci k Microsoft Defender for Endpoint.

  • Ochrana webu (starší verze Microsoft Edge) – Nastavení můžete spravovat pro ochranu webu v Microsoft Defender for Endpoint konfiguraci ochrany sítě pro zabezpečení počítačů před webovými hrozbami. Díky integraci s Microsoft Edge a oblíbenými prohlížeči třetích stran, jako je Chrome a Firefox, webová ochrana zastaví webové hrozby bez webového proxy serveru a dokáže chránit počítače, když jsou pryč nebo místně. Webová ochrana zastaví přístup k:

    • Phishingové weby
    • Vektory malwaru
    • Zneužít weby
    • Nedůvěryhodné weby nebo weby s nízkou reputací
    • Weby, které jste zablokovali ve vlastním seznamu indikátorů

    Další informace najdete v tématu Ochrana webu v dokumentaci k Microsoft Defender for Endpoint.

  • Řízení aplikací – Nastavení řízení aplikací může pomoct zmírnit bezpečnostní hrozby omezením aplikací, které mohou uživatelé spouštět, a kódu, který běží v jádru (jádru). Umožňuje spravovat nastavení, která můžou blokovat nepodepsané skripty a rozhraní MSI, a omezit spouštění Windows PowerShell v omezeném jazykovém režimu.

    Další informace najdete v tématu Řízení aplikací v dokumentaci k Microsoft Defender for Endpoint.

    Poznámka

    Pokud použijete toto nastavení, chování CSP nástroje AppLocker aktuálně vyzve koncového uživatele k restartování počítače při nasazení zásady.

  • Pravidla omezení prostoru pro útoky – Nakonfigurujte nastavení pro pravidla omezení prostoru pro útoky, která cílí na chování, které malware a škodlivé aplikace obvykle používají k infikování počítačů, včetně následujících:

    • Spustitelné soubory a skripty používané v aplikacích Office nebo webové poště, které se pokusí stáhnout nebo spustit soubory
    • Obfuskované nebo jinak podezřelé skripty
    • Chování, které aplikace obvykle nespouští během běžné každodenní práce. Omezení prostoru pro útoky znamená nabídnout útočníkům méně způsobů, jak provádět útoky.

    Chování při slučování pro pravidla omezení prostoru útoku v Intune:

    Pravidla omezení prostoru pro útoky podporují fúzi nastavení z různých zásad, aby se pro každé zařízení vytvořila nadměna zásad. Pouze nastavení, která nejsou v konfliktu, se sloučí, zatímco konfliktní nastavení se nepřidají do nadmětu pravidel. Pokud dříve dvě zásady zahrnovaly konflikty pro jedno nastavení, obě zásady byly označeny jako konfliktní a nebyla by nasazena žádná nastavení z některého z těchto profilů.

    Chování při slučování pravidel redukce povrchu útoku je následující:

    • Pravidla omezení prostoru pro útoky z následujících profilů se vyhodnocují pro každé zařízení, na které se pravidla vztahují:
      • Zásady konfigurace zařízení > > profil ochrany koncových bodů > Ochrana Exploit Guard v programu Microsoft Defender > snížení počtu útoků na povrch
      • Zásady omezení prostoru útoku > zabezpečení koncových bodů > pravidla omezení prostoru pro útoky
      • Standardní hodnoty zabezpečení > zabezpečení koncového bodu > Microsoft Defender for Endpoint standardní hodnoty > pravidla omezení útoku na povrch.
    • Nastavení, které nemají konflikty, se přidají do nadmětu zásad pro zařízení.
    • Pokud mají dvě nebo více zásad konfliktní nastavení, konfliktní nastavení se nepřidají do kombinovaných zásad, zatímco nastavení, která nejsou v konfliktu, se přidají do zásad nadsady, které platí pro zařízení.
    • Pouze konfigurace pro konfliktní nastavení jsou uloženy zpět.
  • Řízení zařízení – Pomocí nastavení pro řízení zařízení můžete nakonfigurovat zařízení pro vícevrstvý přístup k zabezpečení vyměnitelných médií. Microsoft Defender for Endpoint poskytuje několik monitorovacích a řídicích funkcí, které pomáhají zabránit ohrožení zařízení hrozbami v neoprávněných periferních zařízeních.

    Profily řízení zařízení podporují sloučení zásad pro ID zařízení USB.

    Další informace najdete v tématu Jak ovládat zařízení USB a další vyměnitelná média pomocí Microsoft Defender for Endpoint v dokumentaci k Microsoft Defender for Endpoint.

  • Ochrana před zneužitím – Nastavení ochrany proti zneužití může pomoct chránit před malwarem, který využívá zneužití k infikování a šíření zařízení. Ochrana před zneužitím se skládá z řady omezení rizik, která je možné použít pro operační systém nebo jednotlivé aplikace.

Zařízení spravovaná Configuration Manager

Omezení prostoru pro útok

Podpora zařízení spravovaných Configuration Manager je ve verzi Preview.

Správa nastavení omezení prostoru pro útoky pro Configuration Manager zařízení, když použijete připojení tenanta.

Cesta k zásadám:

  • Zabezpečení koncových bodů > Připojení snížení počtu povrchů > Windows 10 a novější (ConfigMgr)

Profily:

  • Exploit Protection(ConfigMgr)(preview)
  • Web Protection (ConfigMgr)(Preview)

Požadovaná verze Configuration Manager:

  • Configuration Manager aktuální větev verze 2006 nebo novější

Podporované platformy Configuration Manager zařízení:

  • Windows 10 a novější (x86, x64, ARM64)
  • Windows 11 a novější (x86, x64, ARM64)

Sloučení zásad pro nastavení

Sloučení zásad pomáhá zabránit konfliktům, když více profilů, které se vztahují na stejné zařízení, konfiguruje stejné nastavení s různými hodnotami a vytváří konflikt. Aby nedocházelo ke konfliktům, Intune vyhodnotí příslušná nastavení z každého profilu, který se vztahuje na zařízení. Tato nastavení se pak sloučí do jedné nadměty nastavení.

V případě zásad omezení prostoru pro útoky podporují sloučení zásad následující profily:

  • Řízení zařízení

Sloučení zásad pro profily řízení zařízení

Profily řízení zařízení podporují sloučení zásad pro ID zařízení USB. Mezi nastavení profilu, která spravují ID zařízení a která podporují sloučení zásad, patří:

  • Povolit instalaci hardwarového zařízení podle identifikátorů zařízení
  • Blokování instalace hardwarového zařízení podle identifikátorů zařízení
  • Povolit instalaci hardwarového zařízení podle tříd nastavení
  • Blokování instalace hardwarového zařízení pomocí tříd nastavení
  • Povolit instalaci hardwarového zařízení podle identifikátorů instancí zařízení
  • Blokování instalace hardwarového zařízení podle identifikátorů instancí zařízení

Sloučení zásad se vztahuje na konfiguraci jednotlivých nastavení napříč různými profily, které toto konkrétní nastavení aplikují na zařízení. Výsledkem je jeden seznam pro všechna podporovaná nastavení použitá na zařízení. Příklad:

  • Sloučení zásad vyhodnocuje seznamy tříd nastavení , které byly nakonfigurovány v každé instanci povolit instalaci hardwarového zařízení pomocí tříd nastavení , které platí pro zařízení. Seznamy se sloučí do jednoho seznamu povolených, kde se odeberou všechny duplicitní třídy nastavení.

    Odebrání duplicitních položek ze seznamu se provádí za účelem odebrání běžného zdroje konfliktů. Kombinovaný seznam povolených adres se pak doručí do zařízení.

Sloučení zásad nerovná ani nesloučí konfigurace z různých nastavení. Příklad:

  • Rozbalením prvního příkladu, ve kterém bylo několik seznamů z povolit instalaci hardwarového zařízení podle tříd instalace sloučeno do jednoho seznamu, máte několik instancí blokování instalace hardwarového zařízení pomocí tříd nastavení , které platí pro stejné zařízení. Všechny související blokové seznamy se sloučí do jednoho blokovacího seznamu pro zařízení, které se pak nasadí do zařízení.

    • Seznam povolených pro třídy nastavení se nerovná ani nesloučí s blokovým seznamem pro třídy nastavení.
    • Místo toho zařízení obdrží oba seznamy, protože pocházejí ze dvou různých nastavení. Zařízení pak vynucuje nejvíce omezující nastavení pro instalaci pomocí tříd nastavení.

    V tomto příkladu instalační třída definovaná v seznamu blokovaných objektů přepíše stejnou třídu nastavení, pokud se najde na seznamu povolených. Výsledkem by bylo, že třída nastavení je na zařízení zablokovaná.

Další kroky

Konfigurace zásad zabezpečení koncových bodů

Zobrazte si podrobnosti o nastavení v profilech pro profily redukce prostoru útoku.