Ota hyökkäyspinnan pienentämissäännöt käyttöön Microsoft Defender for Business
Hyökkäyspinnat ovat kaikki paikkoja ja tapoja, joilla organisaatiosi verkko ja laitteet ovat alttiita kyberuhille ja hyökkäyksille. Suojaamattomat laitteet, rajoittamaton pääsy mihin tahansa yrityksen laitteen URL-osoitteeseen ja minkä tahansa tyyppisten sovellusten tai komentosarjojen suorittaminen yrityksen laitteissa ovat kaikki esimerkkejä hyökkäyspinnoista. Ne altistavat yrityksesi kyberhyökkäyksille.
Verkon ja laitteiden suojaamiseksi Microsoft Defender for Business sisältää useita hyökkäyspinnan pienentämisominaisuuksia, kuten hyökkäyspinnan pienentämissäännöt. Tässä artikkelissa kuvataan hyökkäyspinnan pienentämissääntöjen määrittäminen ja hyökkäyksen pinnan pienentämistoiminnot.
Huomautus
Intune ei sisälly Defender for Businessin erilliseen versioon, mutta se voidaan lisätä.
ASR-vakiosuojauksen säännöt
Hyökkäyspinnan vähentämissääntöjä on paljon. Sinun ei tarvitse määrittää niitä kaikkia kerralla. Voit myös määrittää joitakin sääntöjä valvontatilassa vain nähdäksesi, miten ne toimivat organisaatiossasi, ja muuttaa ne toimimaan lohkotilassa myöhemmin. Suosittelemme kuitenkin, että otat käyttöön seuraavat vakiosuojaussäännöt mahdollisimman pian:
- Estä tunnistetietojen varastaminen Windowsin paikallisen suojausviranomaisen alijärjestelmästä
- Hyödynnettyjen haavoittuvassa asemassa olevien allekirjoitettujen ohjainten väärinkäytön estäminen
- Estä pysyvyys WMI-tapahtumatilauksen kautta
Nämä säännöt auttavat suojaamaan verkkoasi ja laitteitasi, mutta niiden ei pitäisi aiheuttaa häiriöitä käyttäjille. Määritä hyökkäyspinnan vähentämissäännöt Intune avulla.
ASR-sääntöjen määrittäminen Intune avulla
Yleisenä järjestelmänvalvojana siirry Microsoft Intune hallintakeskuksessa (https://intune.microsoft.com/) kohtaan Päätepisteen suojaus>Hyökkäyspinnan pienentäminen.
Luo uusi käytäntö valitsemalla Create käytäntö.
- Valitse Käyttöympäristö-kohdassaWindows 10, Windows 11 ja Windows Server.
- Valitse Profiili-kohdassa Hyökkäyspinnan pienentämissäännöt ja valitse sitten Create.
Määritä käytäntö seuraavasti:
Määritä nimi ja kuvaus ja valitse sitten Seuraava.
Määritä vähintään seuraavien kolmen säännön kohdalla jokaisen arvoksi Block:
- Estä tunnistetietojen varastaminen Windowsin paikallisen suojausviranomaisen alijärjestelmästä
- Estä pysyvyys WMI-tapahtumatilauksen kautta
- Hyödynnettyjen haavoittuvassa asemassa olevien allekirjoitettujen ohjainten väärinkäytön estäminen
Valitse sitten Seuraava.
Valitse Käyttöaluetunnisteet-vaiheessaSeuraava.
Valitse Määritykset-vaiheessa käyttäjät tai laitteet, joille säännöt lähetetään, ja valitse sitten Seuraava. (Suosittelemme, että valitset Lisää kaikki laitteet.)
Tarkista tiedot Tarkista + luo -vaiheessa ja valitse sitten Create.
Vihje
Halutessasi voit määrittää aluksi hyökkäyspinnan vähentämissäännöt valvontatilassa, jotta näet tunnistuksia, ennen kuin tiedostot tai prosessit todella estetään. Lisätietoja hyökkäyspinnan pienentämissäännöistä on kohdassa Hyökkäyspinnan vähentämissääntöjen käyttöönoton yleiskatsaus.
Hyökkäysalueen pienentämisraportin tarkasteleminen
Defender for Business sisältää hyökkäyspinnan pienentämisraportin, joka näyttää, miten hyökkäyspinnan pienentämissäännöt toimivat puolestasi.
Yleisenä järjestelmänvalvojana valitse Microsoft Defender portaalissa (https://security.microsoft.com) siirtymisruudussa Raportit.
Valitse Päätepisteet-kohdassaHyökkäyspinnan pienentämissäännöt. Raportti avautuu ja sisältää kolme välilehteä:
- Tunnistuksia, joissa voit tarkastella hyökkäyspinnan pienentämissääntöjen seurauksena tapahtuneita tunnistuksia
- Määritys, jossa voit tarkastella vakiosuojaussääntöjen tai muiden hyökkäyspinnan vähentämissääntöjen tietoja
- Lisää poissulkemisia, joissa voit lisätä kohteita, jotka voidaan sulkea pois hyökkäyspinnan vähentämissäännöistä (käytä poikkeukset säästeliäästi; jokainen poissulkeminen vähentää suojaustasoasi)
Lisätietoja hyökkäyspinnan pienentämissäännöistä on seuraavissa artikkeleissa:
- Hyökkäyspinnan pienentämissääntöjen yleiskatsaus
- Hyökkäyspinnan pienentämissääntöjen raportti
- Hyökkäyksen pinnan pienentämissääntöjen viittaus
- Hyökkäyksen pinnan pienentämissääntöjen käyttöönoton yleiskatsaus
Hyökkäysalueen vähentämistoiminnot Defender for Businessissa
Hyökkäysalueen pienentämissäännöt ovat käytettävissä Defender for Businessissa. Seuraavassa taulukossa on yhteenveto Defender for Businessin hyökkäysalueen vähentämistoiminnoista. Huomaa, miten muut ominaisuudet, kuten seuraavan sukupolven suojaus ja verkkosisällön suodatus, toimivat yhdessä hyökkäysalueen pienentämisominaisuuksien kanssa.
Valmiudet | Sen määrittäminen |
---|---|
Hyökkäyspinta-alan rajoittamissäännöt Estä windows-laitteissa suoritettavat tietyt toiminnot, jotka liittyvät yleisesti haitalliseen toimintaan. |
Ota käyttöön tavalliset suojauksen hyökkäysalueen vähentämissäännöt (tämän artikkelin osio). |
Hallittu kansion käyttö Valvotun kansion käyttö sallii vain luotettavien sovellusten käyttää suojattuja kansioita Windows-laitteissa. Ajattele tätä ominaisuutta kiristyshaittaohjelman lievennyksenä. |
Määritä valvotun kansion käyttökäytäntö Microsoft Defender for Business. |
Verkon suojaus Verkon suojaus estää käyttäjiä käyttämästä vaarallisia verkkotunnuksia Windows- ja Mac-laitteidensa sovellusten kautta. Verkon suojaus on myös verkkosisällön suodatuksen keskeinen osa Microsoft Defender for Business. |
Verkon suojaus on oletusarvoisesti käytössä, kun laitteet on otettu käyttöön Defender for Businessissa ja seuraavan sukupolven suojauskäytännöt Defender for Businessissa otetaan käyttöön. Oletuskäytännöt on määritetty käyttämään suositeltuja suojausasetuksia. |
Verkkosuojaus Verkkosuojaus integroituu verkkoselaimiin ja toimii verkon suojauksen kanssa suojautuakseen verkkouhkilta ja ei-toivotulta sisällöltä. Verkon suojaukseen sisältyvät verkkosisällön suodatus ja uhkaraportit verkossa. |
Määritä verkkosisällön suodatus Microsoft Defender for Business. |
Palomuurisuojaus Palomuurisuojaus määrittää, mitä verkkoliikennettä saa kulkea organisaatiosi laitteisiin tai laitteista. |
Palomuurisuojaus on oletusarvoisesti käytössä, kun laitteet on otettu käyttöön Defender for Businessissa ja palomuurikäytännöt Defender for Businessissa otetaan käyttöön. |
Seuraavat vaiheet
Palaute
https://aka.ms/ContentUserFeedback.
Tulossa pian: Vuoden 2024 aikana poistamme asteittain GitHub Issuesin käytöstä sisällön palautemekanismina ja korvaamme sen uudella palautejärjestelmällä. Lisätietoja on täällä:Lähetä ja näytä palaute kohteelle