Vysvětlení a používání možností omezení potenciální oblasti útoku
Platí pro:
- Microsoft Defender XDR
- Plán 1 pro Microsoft Defender for Endpoint
- Plán 2 pro Microsoft Defender pro koncový bod
- Antivirová ochrana v programu Microsoft Defender
Platformy
- Windows
Tip
Chcete vyzkoušet Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,
Oblasti útoků jsou místa, kde je vaše organizace zranitelná vůči kybernetickým hrozbám a útokům. Defender for Endpoint obsahuje několik možností, které vám pomůžou omezit možnosti útoku. Podívejte se na následující video, ve které se dozvíte další informace o omezení potenciální oblasti útoku.
Konfigurace možností omezení potenciální oblasti útoku
Pokud chcete nakonfigurovat omezení potenciální oblasti útoku ve vašem prostředí, postupujte takto:
Povolte řízení aplikací.
Zkontrolujte základní zásady ve Windows. Viz Příklad základních zásad.
Projděte si průvodce návrhem Windows Defender Řízení aplikací.
Další informace najdete v tématu Nasazení zásad řízení aplikací Windows Defender (WDAC).
Povolte ochranu vyměnitelného úložiště.
Povolte webovou ochranu.
Nastavte si bránu firewall sítě.
Získejte přehled brány Windows Firewall s pokročilým zabezpečením.
Pomocí průvodce návrhem brány Windows Firewall se rozhodněte, jak chcete navrhnout zásady brány firewall.
Pomocí průvodce nasazením brány Windows Firewall nastavte bránu firewall vaší organizace s pokročilým zabezpečením.
Tip
Ve většině případů si při konfiguraci možností omezení potenciální oblasti útoku můžete vybrat z několika metod:
- Microsoft Intune
- Microsoft Configuration Manager
- Zásady skupiny
- Rutiny PowerShellu
Omezení prostoru pro testování útoku v Microsoft Defender for Endpoint
Jako člen týmu zabezpečení vaší organizace můžete nakonfigurovat možnosti omezení potenciálních oblastí útoku tak, aby běžely v režimu auditování, abyste viděli, jak fungují. V režimu auditu můžete povolit následující funkce zabezpečení omezení potenciální oblasti útoku:
- Pravidla pro omezení potenciální oblasti útoku
- Ochrana před zneužitím
- Ochrana sítě
- Řízený přístup ke složkám
- Ovládání zařízení
Režim auditování umožňuje zobrazit záznam toho, co by se stalo, kdyby byla funkce povolená.
Režim auditování můžete povolit při testování fungování funkcí. Když povolíte režim auditování jenom pro testování, zabráníte tomu, aby režim auditování ovlivnil vaše obchodní aplikace. Můžete také získat představu o tom, k kolika podezřelým pokusům o změnu souboru dochází za určité časové období.
Tyto funkce neblokují ani nebrání úpravám aplikací, skriptů nebo souborů. Protokol událostí systému Windows však zaznamenává události, jako by byly funkce plně povolené. V režimu auditování můžete zkontrolovat protokol událostí a zjistit, jaký vliv by tato funkce měla, kdyby byla povolená.
Auditované položky najdete v části Aplikace a služby>Microsoft>Windows>Windows Defender>Operational.
K získání větších podrobností o každé události použijte Defender for Endpoint. Tyto podrobnosti jsou užitečné zejména při zkoumání pravidel omezení potenciální oblasti útoku. Pomocí konzoly Defenderu for Endpoint můžete prošetřovat problémy v rámci časové osy upozornění a scénářů šetření.
Režim auditování můžete povolit pomocí Zásady skupiny, PowerShellu a poskytovatelů konfiguračních služeb (CSP).
| Možnosti auditu | Povolení režimu auditování | Zobrazení událostí |
|---|---|---|
| Audit se vztahuje na všechny události. | Povolení řízeného přístupu ke složkám | Události řízeného přístupu ke složkě |
| Audit se vztahuje na jednotlivá pravidla. | Krok 1: Testování pravidel omezení potenciální oblasti útoku pomocí režimu auditování | Krok 2: Seznamte se se stránkou pro hlášení pravidel omezení potenciální oblasti útoku |
| Audit se vztahuje na všechny události. | Povolení ochrany sítě | Události ochrany sítě |
| Audit se vztahuje na jednotlivá omezení rizik | Povolení ochrany před zneužitím | Události ochrany před zneužitím |
Můžete například otestovat pravidla omezení potenciální oblasti útoku v režimu auditování předtím, než je povolíte v režimu blokování. Pravidla omezení potenciální oblasti útoku jsou předdefinovaná pro posílení běžných známých oblastí útoku. Existuje několik metod, které můžete použít k implementaci pravidel omezení potenciální oblasti útoku. Upřednostňovaná metoda je popsána v následujících článcích o nasazení pravidel omezení potenciální oblasti útoku:
- Přehled nasazení pravidel omezení potenciální oblasti útoku
- Plánování nasazení pravidel omezení potenciální oblasti útoku
- Testování pravidel omezení potenciální oblasti útoku
- Povolení pravidel omezení potenciální oblasti útoku
- Zprovoznění pravidel omezení potenciální oblasti útoku
Zobrazení událostí omezení potenciální oblasti útoku
Zkontrolujte události omezení potenciální oblasti útoku v Prohlížeč událostí a sledujte, jaká pravidla nebo nastavení fungují. Můžete také zjistit, jestli některá nastavení nejsou příliš "hlučná" nebo nemají vliv na váš každodenní pracovní postup.
Při vyhodnocování funkcí je užitečné kontrolovat události. Můžete povolit režim auditování pro funkce nebo nastavení a pak zkontrolovat, co by se stalo, kdyby byly plně povolené.
Tato část obsahuje seznam všech událostí, jejich přidružené funkce nebo nastavení a popisuje, jak vytvořit vlastní zobrazení pro filtrování konkrétních událostí.
Pokud máte předplatné E5 a používáte Microsoft Defender for Endpoint, získejte podrobné sestavy událostí, bloků a upozornění v rámci Zabezpečení Windows.
Použití vlastních zobrazení ke kontrole možností omezení potenciální oblasti útoku
Ve Windows Prohlížeč událostí můžete vytvářet vlastní zobrazení, abyste viděli jenom události pro konkrétní možnosti a nastavení. Nejjednodušší způsob je importovat vlastní zobrazení jako soubor XML. Kód XML můžete zkopírovat přímo z této stránky.
Do oblasti události, která odpovídá dané funkci, můžete také přejít ručně.
Import existujícího vlastního zobrazení XML
Vytvořte prázdný .txt soubor a zkopírujte xml pro vlastní zobrazení, které chcete použít, do souboru .txt. Udělejte to pro všechna vlastní zobrazení, která chcete použít. Přejmenujte soubory následujícím způsobem (nezapomeňte změnit typ z .txt na .xml):
- Vlastní zobrazení událostí řízeného přístupu ke složkě: cfa-events.xml
- Vlastní zobrazení událostí ochrany před zneužitím: ep-events.xml
- Vlastní zobrazení událostí omezení potenciální oblasti útoku: asr-events.xml
- Vlastní zobrazení událostí sítě nebo ochrany: np-events.xml
Do nabídky Start zadejte prohlížeč událostí a otevřete Prohlížeč událostí.
Vyberte akce>Import vlastního zobrazení...
Přejděte do umístění, kam jste extrahovali soubor XML pro požadované vlastní zobrazení, a vyberte ho.
Vyberte Otevřít.
Vytvoří vlastní zobrazení, které filtruje jenom události související s danou funkcí.
Zkopírujte kód XML přímo.
Do nabídky Start zadejte prohlížeč událostí a otevřete Prohlížeč událostí Windows.
Na levém panelu v části Akce vyberte Vytvořit vlastní zobrazení...
Přejděte na kartu XML a vyberte Upravit dotaz ručně. Pokud použijete možnost XML, zobrazí se upozornění, že dotaz nemůžete upravit pomocí karty Filtr . Vyberte Ano.
Vložte kód XML pro funkci, ze které chcete filtrovat události, do oddílu XML.
Vyberte OK. Zadejte název filtru. Tato akce vytvoří vlastní zobrazení, které filtruje jenom události související s touto funkcí.
XML pro události pravidla omezení potenciální oblasti útoku
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select>
</Query>
</QueryList>
XML pro události řízeného přístupu ke složkům
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
</Query>
</QueryList>
XML pro události ochrany před zneužitím
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Security-Mitigations/KernelMode">
<Select Path="Microsoft-Windows-Security-Mitigations/KernelMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Concurrency">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Contention">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Messages">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Operational">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Power">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Render">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Tracing">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/UIPI">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Security-Mitigations/UserMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
</Query>
</QueryList>
XML pro události ochrany sítě
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
</Query>
</QueryList>
Seznam událostí omezení potenciální oblasti útoku
Všechny události omezení potenciální oblasti útoku se nacházejí v části Protokoly > aplikací a služeb Microsoft > Windows a pak ve složce nebo poskytovateli, jak je uvedeno v následující tabulce.
K těmto událostem se dostanete v Prohlížeči událostí systému Windows:
Otevřete nabídku Start, zadejte prohlížeč událostí a pak vyberte Prohlížeč událostí výsledek.
Rozbalte položku Protokoly > aplikací a služeb v systému Microsoft > Windows a pak přejděte do složky uvedené v části Poskytovatel/zdroj v následující tabulce.
Poklikáním na dílčí položku zobrazíte události. Projděte si události a najděte ty, které hledáte.
| Funkce | Poskytovatel/zdroj | ID události | Popis |
|---|---|---|---|
| Ochrana před zneužitím | Omezení zabezpečení (Režim jádra/Uživatelský režim) | 1 | ACG audit |
| Ochrana před zneužitím | Omezení zabezpečení (Režim jádra/Uživatelský režim) | 2 | Vynucení ACG |
| Ochrana před zneužitím | Omezení zabezpečení (Režim jádra/Uživatelský režim) | 3 | Nepovolit audit podřízených procesů |
| Ochrana před zneužitím | Omezení zabezpečení (Režim jádra/Uživatelský režim) | 4 | Nepovolit blokování podřízených procesů |
| Ochrana před zneužitím | Omezení zabezpečení (Režim jádra/Uživatelský režim) | 5 | Blokovat audit obrázků s nízkou integritou |
| Ochrana před zneužitím | Omezení zabezpečení (Režim jádra/Uživatelský režim) | 6 | Blokování obrázků s nízkou integritou |
| Ochrana před zneužitím | Omezení zabezpečení (Režim jádra/Uživatelský režim) | 7 | Blokovat audit vzdálených obrázků |
| Ochrana před zneužitím | Omezení zabezpečení (Režim jádra/Uživatelský režim) | 8 | Blokování vzdálených imagí |
| Ochrana před zneužitím | Omezení zabezpečení (Režim jádra/Uživatelský režim) | 9 | Zakázat audit systémových volání win32k |
| Ochrana před zneužitím | Omezení zabezpečení (Režim jádra/Uživatelský režim) | 10 | Zakázání blokování systémových volání win32k |
| Ochrana před zneužitím | Omezení zabezpečení (Režim jádra/Uživatelský režim) | 11 | Audit ochrany integrity kódu |
| Ochrana před zneužitím | Omezení zabezpečení (Režim jádra/Uživatelský režim) | 12 | Blok ochrany integrity kódu |
| Ochrana před zneužitím | Omezení zabezpečení (Režim jádra/Uživatelský režim) | 13 | Audit EAF |
| Ochrana před zneužitím | Omezení zabezpečení (Režim jádra/Uživatelský režim) | 14 | Vynucení EAF |
| Ochrana před zneužitím | Omezení zabezpečení (Režim jádra/Uživatelský režim) | 15 | Audit EAF+ |
| Ochrana před zneužitím | Omezení zabezpečení (Režim jádra/Uživatelský režim) | 16 | Vynucování EAF+ |
| Ochrana před zneužitím | Omezení zabezpečení (Režim jádra/Uživatelský režim) | 17 | Audit IAF |
| Ochrana před zneužitím | Omezení zabezpečení (Režim jádra/Uživatelský režim) | 18 | Vynucení IAF |
| Ochrana před zneužitím | Omezení zabezpečení (Režim jádra/Uživatelský režim) | 19 | Audit ROP StackPivot |
| Ochrana před zneužitím | Omezení zabezpečení (Režim jádra/Uživatelský režim) | 20 | Vynucování ROP StackPivot |
| Ochrana před zneužitím | Omezení zabezpečení (Režim jádra/Uživatelský režim) | 21 | Caller ROPKontrola auditu |
| Ochrana před zneužitím | Omezení zabezpečení (Režim jádra/Uživatelský režim) | 22 | ROP CallerCheck enforce |
| Ochrana před zneužitím | Omezení zabezpečení (Režim jádra/Uživatelský režim) | 23 | Audit ROP SimExec |
| Ochrana před zneužitím | Omezení zabezpečení (Režim jádra/Uživatelský režim) | 24 | Vynucení ROP SimExec |
| Ochrana před zneužitím | WER-Diagnostics | 5 | Blok CFG |
| Ochrana před zneužitím | Win32K (provozní) | 260 | Nedůvěryhodné písmo |
| Ochrana sítě | Windows Defender (provozní) | 5007 | Událost při změně nastavení |
| Ochrana sítě | Windows Defender (provozní) | 1125 | Událost, kdy se ochrana sítě aktivuje v režimu auditování |
| Ochrana sítě | Windows Defender (provozní) | 1126 | Událost, kdy se aktivuje ochrana sítě v režimu blokování |
| Řízený přístup ke složkám | Windows Defender (provozní) | 5007 | Událost při změně nastavení |
| Řízený přístup ke složkám | Windows Defender (provozní) | 1124 | Událost auditovaného řízeného přístupu ke složkě |
| Řízený přístup ke složkám | Windows Defender (provozní) | 1123 | Událost blokovaného řízeného přístupu ke složkě |
| Řízený přístup ke složkám | Windows Defender (provozní) | 1127 | Událost bloku zápisu blokovaného řízeného přístupu ke složce |
| Řízený přístup ke složkám | Windows Defender (provozní) | 1128 | Auditovaná událost bloku zápisu řízeného přístupu ke složce |
| Omezení prostoru pro útok | Windows Defender (provozní) | 5007 | Událost při změně nastavení |
| Omezení prostoru pro útok | Windows Defender (provozní) | 1122 | Událost, kdy se pravidlo aktivuje v režimu auditování |
| Omezení prostoru pro útok | Windows Defender (provozní) | 1121 | Událost, kdy se pravidlo aktivuje v režimu blokování |
Poznámka
Z pohledu uživatele se oznámení režimu upozornění na omezení potenciální oblasti útoku provádějí jako informační zpráva Windows pro pravidla omezení potenciální oblasti útoku.
V případě zmenšení potenciální oblasti útoku poskytuje ochrana sítě pouze režimy auditování a blokování.
Zdroje informací o omezení potenciální oblasti útoku
Jak je uvedeno ve videu, Defender for Endpoint obsahuje několik možností omezení potenciální oblasti útoku. Další informace najdete v následujících zdrojích informací:
| Článku | Popis |
|---|---|
| Řízení aplikací | Použijte řízení aplikací tak, aby vaše aplikace musely získat důvěru, aby mohly běžet. |
| Referenční informace k pravidlu omezení potenciální oblasti útoku | Obsahuje podrobnosti o jednotlivých pravidlech omezení potenciální oblasti útoku. |
| Průvodce nasazením pravidel omezení potenciální oblasti útoku | Obsahuje přehled informací a předpokladů pro nasazení pravidel omezení potenciální oblasti útoku a podrobné pokyny pro testování (režim auditování), povolení (režim blokování) a monitorování. |
| Řízený přístup ke složkám | Pomozte zabránit škodlivým nebo podezřelým aplikacím (včetně malwaru ransomware šifrovaného zašifrováním souborů) v provádění změn souborů v klíčových systémových složkách (vyžaduje Microsoft Defender Antivirus). |
| Řízení zařízení | Chrání před ztrátou dat monitorováním a kontrolou médií používaných na zařízeních, jako jsou vyměnitelné úložiště a jednotky USB, ve vaší organizaci. |
| Ochrana před zneužitím | Pomozte chránit operační systémy a aplikace používané vaší organizací před zneužitím. Ochrana před zneužitím funguje také s antivirovými řešeními třetích stran. |
| Hardwarová izolace | Chraňte a udržujte integritu systému, když se spouští a běží. Ověřte integritu systému prostřednictvím místního a vzdáleného ověření. Izolace kontejnerů pro Microsoft Edge pomáhá chránit před škodlivými weby. |
| Ochrana sítě | Rozšiřte ochranu síťového provozu a připojení na zařízeních vaší organizace. (Vyžaduje Microsoft Defender Antivirus. |
| Testování pravidel omezení potenciální oblasti útoku | Obsahuje postup použití režimu auditování k otestování pravidel omezení potenciální oblasti útoku. |
| Webová ochrana | Webová ochrana umožňuje zabezpečit vaše zařízení před webovými hrozbami a pomáhá regulovat nežádoucí obsah. |
Tip
Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro