Jaa

Ota hyökkäyspinnan pienentämissäännöt käyttöön Microsoft Defender for Business

  • Artikkeli

Hyökkäyspinnat ovat kaikki paikkoja ja tapoja, joilla organisaatiosi verkko ja laitteet ovat alttiita kyberuhille ja hyökkäyksille. Suojaamattomat laitteet, rajoittamaton pääsy mihin tahansa yrityksen laitteen URL-osoitteeseen ja minkä tahansa tyyppisten sovellusten tai komentosarjojen suorittaminen yrityksen laitteissa ovat kaikki esimerkkejä hyökkäyspinnoista. Ne altistavat yrityksesi kyberhyökkäyksille.

Verkon ja laitteiden suojaamiseksi Microsoft Defender for Business sisältää useita hyökkäyspinnan pienentämisominaisuuksia, kuten hyökkäyspinnan pienentämissäännöt. Tässä artikkelissa kuvataan hyökkäyspinnan pienentämissääntöjen määrittäminen ja hyökkäyksen pinnan pienentämistoiminnot.

Huomautus

Intune ei sisälly Defender for Businessin erilliseen versioon, mutta se voidaan lisätä.

ASR-vakiosuojauksen säännöt

Hyökkäyspinnan vähentämissääntöjä on paljon. Sinun ei tarvitse määrittää niitä kaikkia kerralla. Voit myös määrittää joitakin sääntöjä valvontatilassa vain nähdäksesi, miten ne toimivat organisaatiossasi, ja muuttaa ne toimimaan lohkotilassa myöhemmin. Suosittelemme kuitenkin, että otat käyttöön seuraavat vakiosuojaussäännöt mahdollisimman pian:

Nämä säännöt auttavat suojaamaan verkkoasi ja laitteitasi, mutta niiden ei pitäisi aiheuttaa häiriöitä käyttäjille. Määritä hyökkäyspinnan vähentämissäännöt Intune avulla.

ASR-sääntöjen määrittäminen Intune avulla

  1. Yleisenä järjestelmänvalvojana siirry Microsoft Intune hallintakeskuksessa (https://intune.microsoft.com/) kohtaan Päätepisteen suojaus>Hyökkäyspinnan pienentäminen.

  2. Luo uusi käytäntö valitsemalla Create käytäntö.

    • Valitse Käyttöympäristö-kohdassaWindows 10, Windows 11 ja Windows Server.
    • Valitse Profiili-kohdassa Hyökkäyspinnan pienentämissäännöt ja valitse sitten Create.

  3. Määritä käytäntö seuraavasti:

    1. Määritä nimi ja kuvaus ja valitse sitten Seuraava.

    2. Määritä vähintään seuraavien kolmen säännön kohdalla jokaisen arvoksi Block:

      • Estä tunnistetietojen varastaminen Windowsin paikallisen suojausviranomaisen alijärjestelmästä
      • Estä pysyvyys WMI-tapahtumatilauksen kautta
      • Hyödynnettyjen haavoittuvassa asemassa olevien allekirjoitettujen ohjainten väärinkäytön estäminen

      Valitse sitten Seuraava.

    3. Valitse Käyttöaluetunnisteet-vaiheessaSeuraava.

    4. Valitse Määritykset-vaiheessa käyttäjät tai laitteet, joille säännöt lähetetään, ja valitse sitten Seuraava. (Suosittelemme, että valitset Lisää kaikki laitteet.)

    5. Tarkista tiedot Tarkista + luo -vaiheessa ja valitse sitten Create.

Vihje

Halutessasi voit määrittää aluksi hyökkäyspinnan vähentämissäännöt valvontatilassa, jotta näet tunnistuksia, ennen kuin tiedostot tai prosessit todella estetään. Lisätietoja hyökkäyspinnan pienentämissäännöistä on kohdassa Hyökkäyspinnan vähentämissääntöjen käyttöönoton yleiskatsaus.

Hyökkäysalueen pienentämisraportin tarkasteleminen

Defender for Business sisältää hyökkäyspinnan pienentämisraportin, joka näyttää, miten hyökkäyspinnan pienentämissäännöt toimivat puolestasi.

  1. Yleisenä järjestelmänvalvojana valitse Microsoft Defender portaalissa (https://security.microsoft.com) siirtymisruudussa Raportit.

  2. Valitse Päätepisteet-kohdassaHyökkäyspinnan pienentämissäännöt. Raportti avautuu ja sisältää kolme välilehteä:

    • Tunnistuksia, joissa voit tarkastella hyökkäyspinnan pienentämissääntöjen seurauksena tapahtuneita tunnistuksia
    • Määritys, jossa voit tarkastella vakiosuojaussääntöjen tai muiden hyökkäyspinnan vähentämissääntöjen tietoja
    • Lisää poissulkemisia, joissa voit lisätä kohteita, jotka voidaan sulkea pois hyökkäyspinnan vähentämissäännöistä (käytä poikkeukset säästeliäästi; jokainen poissulkeminen vähentää suojaustasoasi)

Lisätietoja hyökkäyspinnan pienentämissäännöistä on seuraavissa artikkeleissa:

Hyökkäysalueen vähentämistoiminnot Defender for Businessissa

Hyökkäysalueen pienentämissäännöt ovat käytettävissä Defender for Businessissa. Seuraavassa taulukossa on yhteenveto Defender for Businessin hyökkäysalueen vähentämistoiminnoista. Huomaa, miten muut ominaisuudet, kuten seuraavan sukupolven suojaus ja verkkosisällön suodatus, toimivat yhdessä hyökkäysalueen pienentämisominaisuuksien kanssa.

Valmiudet Sen määrittäminen
Hyökkäyspinta-alan rajoittamissäännöt
Estä windows-laitteissa suoritettavat tietyt toiminnot, jotka liittyvät yleisesti haitalliseen toimintaan.		 Ota käyttöön tavalliset suojauksen hyökkäysalueen vähentämissäännöt (tämän artikkelin osio).
Hallittu kansion käyttö
Valvotun kansion käyttö sallii vain luotettavien sovellusten käyttää suojattuja kansioita Windows-laitteissa. Ajattele tätä ominaisuutta kiristyshaittaohjelman lievennyksenä.		 Määritä valvotun kansion käyttökäytäntö Microsoft Defender for Business.
Verkon suojaus
Verkon suojaus estää käyttäjiä käyttämästä vaarallisia verkkotunnuksia Windows- ja Mac-laitteidensa sovellusten kautta. Verkon suojaus on myös verkkosisällön suodatuksen keskeinen osa Microsoft Defender for Business.		 Verkon suojaus on oletusarvoisesti käytössä, kun laitteet on otettu käyttöön Defender for Businessissa ja seuraavan sukupolven suojauskäytännöt Defender for Businessissa otetaan käyttöön. Oletuskäytännöt on määritetty käyttämään suositeltuja suojausasetuksia.
Verkkosuojaus
Verkkosuojaus integroituu verkkoselaimiin ja toimii verkon suojauksen kanssa suojautuakseen verkkouhkilta ja ei-toivotulta sisällöltä. Verkon suojaukseen sisältyvät verkkosisällön suodatus ja uhkaraportit verkossa.		 Määritä verkkosisällön suodatus Microsoft Defender for Business.
Palomuurisuojaus
Palomuurisuojaus määrittää, mitä verkkoliikennettä saa kulkea organisaatiosi laitteisiin tai laitteista.		 Palomuurisuojaus on oletusarvoisesti käytössä, kun laitteet on otettu käyttöön Defender for Businessissa ja palomuurikäytännöt Defender for Businessissa otetaan käyttöön.

Seuraavat vaiheet