Siirtyminen ei-Microsoft HIPS:stä hyökkäyksen pinnan vähentämissääntöihin

Koskee seuraavia:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2

Tämän artikkelin avulla voit yhdistää yleisiä sääntöjä Microsoft Defender for Endpoint.

Skenaariot, kun siirryt ei-Microsoft HIPS -tuotteesta hyökkäämään pinnan vähentämissääntöihin

Tiettyjen tiedostojen luomisen estäminen

• Koskee kaikkia prosesseja
• Operation – Tiedoston luominen
• Esimerkkejä tiedostoista/kansioista, rekisteriavaimista/arvoista, prosesseista, palveluista - *.zepto, *.odin, *.locky, *.jaff, *.lukitus, *.wnry, *.krab
• Attack Surface Reduction -säännöt- hyökkäysalueen vähentämissäännöt estävät hyökkäystekniikat, eivät Kompromissi-indikaattorit (IOC). Tietyn tiedostotunnisteen estäminen ei ole aina hyödyllistä, koska se ei estä laitetta tekemästä kompromisseja. Se vain osittain estää hyökkäyksen, kunnes hyökkääjät luovat uudentyyppisen laajennuksen hyötykuormalle.
• Muita suositeltuja ominaisuuksia: suosittelemme, että käytössä on Microsoft Defender virustentorjunta sekä pilvisuojaus- ja toiminta-analyysi. Suosittelemme, että käytät muuta estämistä, kuten hyökkäyspinnan vähentämissääntöä Käytä edistynyttä suojausta kiristyshaittaohjelmia vastaan, joka tarjoaa paremman suojan kiristyshaittaohjelmahyökkäyksiä vastaan. Lisäksi Microsoft Defender for Endpoint valvoo monia näistä rekisteriavaimista, kuten ASEP-tekniikoita, jotka käynnistävät tiettyjä hälytyksiä. Käytetyt rekisteriavaimet edellyttävät paikallisia Hallinta tai luotetun asennusohjelman käyttöoikeuksia. On suositeltavaa käyttää lukittua ympäristöä, jossa on järjestelmänvalvojan vähimmäistilit tai -oikeudet. Muut järjestelmämääritykset voidaan ottaa käyttöön, mukaan lukien Disable SeDebug ei-pakollisille rooleille , jotka ovat osa laajempia suojaussuosituksiamme.

Tiettyjen rekisteriavainten luomisen estäminen

• Koskee kaikkia prosesseja
• Prosessit – ei
• Toiminto - Rekisterin muutokset
• Esimerkkejä tiedostoista/kansioista, rekisteriavaimista/arvoista, prosesseista, palveluista- \Software,HKCU\Environment\UserInitMprLogonScript,HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Accessibility\ATs*\StartExe, HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*\Debugger, HKEY_CURRENT_USER\Software\Microsoft\HtmlHelp Author\location, HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit*\MonitorProcess
• Attack Surface Reduction -säännöt- hyökkäysalueen vähentämissäännöt estävät hyökkäystekniikat, eivät Kompromissi-indikaattorit (IOC). Tietyn tiedostotunnisteen estäminen ei ole aina hyödyllistä, koska se ei estä laitetta tekemästä kompromisseja. Se vain osittain estää hyökkäyksen, kunnes hyökkääjät luovat uudentyyppisen laajennuksen hyötykuormalle.
• Muita suositeltuja ominaisuuksia: suosittelemme, että käytössä on Microsoft Defender virustentorjunta sekä pilvisuojaus- ja toiminta-analyysi. Suosittelemme, että käytät ylimääräistä estoa, kuten hyökkäyspinnan vähentämissääntöä Käytä edistynyttä suojausta kiristyshaittaohjelmia vastaan. Tämä tarjoaa paremman suojan kiristyshaittaohjelmahyökkäyksiä vastaan. Lisäksi Microsoft Defender for Endpoint valvoo useita näitä rekisteriavaimia, kuten ASEP-tekniikoita, jotka käynnistävät tiettyjä hälytyksiä. Lisäksi käytetyt rekisteriavaimet edellyttävät paikallisia Hallinta tai luotetun asennusohjelman käyttöoikeuksia. On suositeltavaa käyttää lukittua ympäristöä, jossa on järjestelmänvalvojan vähimmäistilit tai -oikeudet. Muut järjestelmämääritykset voidaan ottaa käyttöön, mukaan lukien Disable SeDebug ei-pakollisille rooleille , jotka ovat osa laajempia suojaussuosituksiamme.

Estä ei-luotettavien ohjelmien suorittaminen siirrettävissä asemista

• Koskee usb-muistitikun ei-luotettavia ohjelmia
• Prosessit - *
• Toiminto - Prosessin suorittaminen
• *Esimerkkejä tiedostoista/kansioista, rekisteriavaimista/arvoista, prosesseista, palveluista:-
• Attack Surface Reduction -säännöt - hyökkäysalueen vähentämissäännöillä on sisäinen sääntö, joka estää epäluotettavien ja allekirjoittamattomien ohjelmien käynnistämisen siirrettävistä asemista: Estä luottamattomat ja allekirjoittamattomat prosessit, jotka suoritetaan USB:stä, GUID b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4.
• Muita suositeltuja ominaisuuksia: Tutustu muihin USB-laitteiden ja muiden siirrettävien tietovälineiden ohjausobjekteihin Microsoft Defender for Endpoint:USB-laitteiden ja muiden siirrettävien tietovälineiden hallinta Microsoft Defender for Endpoint avulla.

Estä Mshtaa käynnistämästä tiettyjä aliprosesseja

• Koskee- Mshta
• Prosessit – mshta.exe
• Toiminto - Prosessin suorittaminen
• Esimerkkejä tiedostoista/kansioista, rekisteriavaimista/arvoista, prosesseista, palveluista - powershell.exe, cmd.exe, regsvr32.exe
• Attack Surface Reduction -säännöt – hyökkäysalueen vähentämissäännöt eivät sisällä mitään erityistä sääntöä, joka estäisi aliprosesseja mshta.exe. Tämä ohjausobjekti kuuluu hyökkäyssuojauksen tai sovellusohjausobjektin Windows Defender.
• Muita suositeltuja ominaisuuksia: ota Windows Defender käyttöön sovelluksen ohjausobjekti, jotta mshta.exe ei suoriteta kokonaan. Jos organisaatiosi edellyttää mshta.exe toimialasovelluksille, määritä tietty Windows Defender Hyödynnä suojausta -sääntö estääksesi mshta.exe käynnistämästä aliprosesseja.

Estä Outlookia käynnistämästä aliprosesseja

• Koskee - Outlook
• Prosessit – outlook.exe
• Toiminto - Prosessin suorittaminen
• Esimerkkejä tiedostoista/kansioista, rekisteriavaimista/arvoista, prosesseista, palveluista powershell.exe
• Attack Surface Reduction -säännöt – hyökkäysalueen vähentämissäännöillä on sisäinen sääntö, joka estää Office-viestintäsovelluksia (Outlook, Skype ja Teams) käynnistämästä aliprosesseja: Estä Office-viestintäsovellusta luomasta aliprosesseja, GUID 26190899-1602-49e8-8b27-eb1d0a1ce869.
• Muita suositeltuja ominaisuuksia– Suosittelemme, että otat käyttöön rajoitetun PowerShell-kielitilan, jotta hyökkäyspinta voidaan minimoida PowerShellistä.

Estä Office-sovelluksia käynnistämästä aliprosesseja

• Koskee officea
• Prosessit – winword.exe, powerpnt.exe, excel.exe
• Toiminto - Prosessin suorittaminen
• Esimerkkejä tiedostoista/kansioista, rekisteriavaimista/-arvoista, prosesseista, palveluista - powershell.exe, cmd.exe, wscript.exe, mshta.exe, EQNEDT32.EXE, regsrv32.exe
• Attack Surface Reduction -säännöillä – hyökkäyspinnan vähentämissäännöillä on sisäinen sääntö, joka estää Office-sovelluksia käynnistämästä aliprosesseja: Estä kaikkia Office-sovelluksia luomasta aliprosesseja, GUID d4f940ab-401b-4efc-aadc-ad5f3c50688a.
• Muita suositeltuja ominaisuuksia –

Estä Office-sovelluksia luomasta suoritettavaa sisältöä

• Koskee officea
• Prosessit – winword.exe, powerpnt.exe, excel.exe
• Operation – Tiedoston luominen
• Esimerkkejä tiedostoista/kansioista, rekisteriavaimista/arvoista, prosesseista, palveluista - C:\Users*\AppData**.exe, C:\ProgramData**.exe, C:\ProgramData**.com, C:\UsersAppData\Local\Temp**.com, C:\Users\Downloads**.exe, C:\Users*\AppData**.scf, C:\ProgramData**.scf, C:\Users\Public*.exe, C:\Users*\Desktop***.exe
• Attack Surface Reduction -säännöt– Ei.

Estä Wscriptia lukemasta tietyntyyppisiä tiedostoja

• Koskee - Wscript
• Prosessit – wscript.exe
• Operation – Tiedoston luku
• Esimerkkejä tiedostoista/kansioista, rekisteriavaimista/arvoista, prosesseista, palveluista - C:\Users*\AppData**.js, C:\Users*\Downloads**.js
• Attack Surface Reduction -säännöt– Luotettavuus- ja suorituskykyongelmien vuoksi hyökkäyspinnan vähentämissäännöillä ei ole mahdollisuutta estää tiettyä prosessia lukemasta tiettyä komentosarjatiedostotyyppiä. Meillä on sääntö, joka estää hyökkäysvektorit, jotka voivat olla peräisin näistä skenaarioista. Säännön nimi on Estä JavaScript tai VBScript lataamasta ladattua suoritettavaa sisältöä (GUID d3e037e1-3eb8-44c8-a917-5792794759 ja mahdollisesti hämärtyneiden komentosarjojen esto (GUID * 5beb7efe-fd9a-4556-801d-275e5ffc04cc*).
• Muita suositeltuja ominaisuuksia– Vaikka on olemassa erityisiä hyökkäyspinnan vähentämissääntöjä, jotka lieventävät tiettyjä hyökkäysvektoreita näissä skenaarioissa, on tärkeää mainita, että AV pystyy oletusarvoisesti tarkastamaan komentosarjat (PowerShell, Windows Script Host, JavaScript, VBScript jne.) reaaliaikaisesti haittaohjelmien torjuntaohjelman skannausliittymän (AMSI) kautta. Lisätietoja on saatavilla täältä: Haittaohjelmien torjuntaohjelman käyttöliittymä (AMSI).

Aliprosessien käynnistämisen estäminen

• Koskee- Adobe Acrobat
• Prosessit – AcroRd32.exe, Acrobat.exe
• Toiminto - Prosessin suorittaminen
• Esimerkkejä tiedostoista/kansioista, rekisteriavaimista/arvoista, prosesseista, palveluista - cmd.exe, powershell.exe, wscript.exe
• Attack Surface Reduction -säännöt – hyökkäysalueen vähentämissäännöt estävät Adobe Readeria käynnistämästä aliprosesseja. Säännön nimi on Estä Adobe Readeria luomasta aliprosesseja, GUID 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c.
• Muita suositeltuja ominaisuuksia –

Estä suoritettavan sisällön lataaminen tai luominen

• Koskee- CertUtil: Suoritustiedoston lataamisen tai luomisen estäminen
• Prosessit – certutil.exe
• Operation – Tiedoston luominen
• Esimerkkejä tiedostoista/kansioista, rekisteriavaimista/arvoista, prosesseista, palveluista - *.exe
• Attack Surface Reduction -säännöt – hyökkäysalueen vähentämissäännöt eivät tue näitä skenaarioita, koska ne ovat osa Microsoft Defender virustentorjuntaa.
• Muita suositeltuja ominaisuuksia– Microsoft Defender virustentorjunta estää CertUtilia luomasta tai lataamasta suoritettavaa sisältöä.

Estä prosesseja pysäyttämästä kriittisiä järjestelmäosia

• Koskee kaikkia prosesseja
• Prosessit - *
• Toiminto - Prosessin päättäminen
• Esimerkkejä tiedostoista/kansioista, rekisteriavaimista/-arvoista, prosesseista, palveluista – MsSense.exe, MsMpEng.exe, NisSrv.exe, svchost.exe*, services.exe, csrss.exe, smss.exe, wininit.exe ja niin edelleen.
• Attack Surface Reduction -säännöt – hyökkäysalueen vähentämissäännöt eivät tue näitä skenaarioita, koska ne on suojattu Windowsin sisäisillä suojaustoiminnoilla.
• Muita suositeltuja ominaisuuksia– ELAM (Early Launch AntiMalware), PPL (Protection Process Light), PPL AntiMalware Light ja Järjestelmäsuoja.

Estä tietty käynnistysprosessiyritys

• Koskee tiettyjä prosesseja
• Prosessit- Nimeä prosessisi
• Toiminto - Prosessin suorittaminen
• Esimerkkejä tiedostoista/kansioista, rekisteriavaimista/-arvoista, prosesseista, palveluista – tor.exe, bittorrent.exe, cmd.exe, powershell.exe ja muista
• Attack Surface Reduction -säännöt– Yleisiä hyökkäysalueen vähentämissääntöjä ei ole suunniteltu toimimaan sovellusvastaavana.
• Muita suositeltuja ominaisuuksia: jos haluat estää käyttäjiä käynnistämästä tiettyjä prosesseja tai ohjelmia, on suositeltavaa käyttää Windows Defender Application Control -sovellusta. Microsoft Defender for Endpoint Tiedosto- ja Varmenne-ilmaisimia voidaan käyttää tapausten käsittelyskenaariossa (ei tule nähdä sovelluksen hallintamekanismina).

Estä virustentorjunta Microsoft Defender määritysten luvattomat muutokset

• Koskee kaikkia prosesseja
• Prosessit - *
• Toiminto - Rekisterin muutokset
• Esimerkkejä tiedostoista/kansioista, rekisteriavaimista/arvoista, prosesseista, palveluista - HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\DisableAntiSpyware, HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Policy Manager\AllowRealTimeMonitoring jne.
• Attack Surface Reduction -säännöt – hyökkäysalueen vähentämissäännöt eivät kata näitä skenaarioita, koska ne ovat osa Microsoft Defender for Endpoint sisäistä suojausta.
• Muut suositellut ominaisuudet– Tamper Protection (suostuminen, hallittu Intune) estää luvattomat muutokset ominaisuuksiin DisableAntiVirus, DisableAntiSpyware, DisableRealtimeMonitoring, DisableOnAccessProtection, DisableBehaviorMonitoring ja DisableIOAVProtection rekisteriavaimet (ja paljon muuta).

Tutustu myös seuraaviin ohjeartikkeleihin:

• Hyökkäyspinta-alan rajoittamisen usein kysytyt kysymykset
• Hyökkäyspinnan pienentämissääntöjen käyttöönotto
• Hyökkäyspinnan pienentämissääntöjen arvioiminen

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.