Udostępnij za pośrednictwem


Włączanie reguł zmniejszania obszaru ataków

Dotyczy:

Platformy

  • System Windows

Porada

Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.

Reguły zmniejszania obszaru podatnego na ataki pomagają zapobiegać działaniom, które złośliwe oprogramowanie często nadużywa w celu naruszenia zabezpieczeń urządzeń i sieci.

Wymagania

Funkcje zmniejszania obszaru ataków w wersjach systemu Windows

Możesz ustawić reguły zmniejszania obszaru podatnego na ataki dla urządzeń, na których działa dowolna z następujących wersji i wersji systemu Windows:

Aby użyć całego zestawu funkcji reguł zmniejszania obszaru podatnego na ataki, potrzebne są:

  • program antywirusowy Microsoft Defender jako podstawowa usługa av (włączona ochrona w czasie rzeczywistym)
  • Ochrona przed dostarczaniem w chmurze (niektóre reguły tego wymagają)
  • licencja Windows 10 Enterprise E5 lub E3

Mimo że reguły zmniejszania obszaru ataków nie wymagają licencji systemu Windows E5, z licencją systemu Windows E5 można uzyskać zaawansowane możliwości zarządzania, w tym monitorowanie, analizę i przepływy pracy dostępne w usłudze Defender for Endpoint, a także możliwości raportowania i konfiguracji w portalu Microsoft Defender XDR. Te zaawansowane możliwości nie są dostępne z licencją E3, ale nadal możesz używać Podgląd zdarzeń do przeglądania zdarzeń reguł zmniejszania obszaru podatnego na ataki.

Każda reguła zmniejszania obszaru ataków zawiera jedno z czterech ustawień:

  • Nie skonfigurowano | Wyłączone: wyłącz regułę zmniejszania obszaru ataków
  • Blokuj: Włącz regułę zmniejszania obszaru ataków
  • Inspekcja: oceń, jak reguła zmniejszania obszaru ataków wpłynie na organizację, jeśli zostanie włączona
  • Ostrzeżenie: Włącz regułę zmniejszania obszaru ataków, ale zezwalaj użytkownikowi końcowemu na obejście bloku

Zalecamy używanie reguł zmniejszania obszaru ataków z licencją systemu Windows E5 (lub podobną jednostką SKU licencjonowania), aby korzystać z zaawansowanych funkcji monitorowania i raportowania dostępnych w usłudze Ochrona punktu końcowego w usłudze Microsoft Defender (Defender for Endpoint). Jeśli jednak masz inną licencję, taką jak Windows Professional lub Windows E3, która nie obejmuje zaawansowanych funkcji monitorowania i raportowania, możesz opracować własne narzędzia do monitorowania i raportowania oprócz zdarzeń generowanych w każdym punkcie końcowym podczas wyzwalania reguł zmniejszania obszaru ataków (na przykład przekazywanie zdarzeń).

Porada

Aby dowiedzieć się więcej na temat licencjonowania systemu Windows, zobacz licencjonowanie Windows 10 i uzyskaj przewodnik licencjonowania zbiorowego dla Windows 10.

Reguły zmniejszania obszaru ataków można włączyć przy użyciu dowolnej z następujących metod:

Zalecane jest zarządzanie na poziomie przedsiębiorstwa, takie jak Intune lub Microsoft Configuration Manager. Zarządzanie na poziomie przedsiębiorstwa zastępuje wszystkie powodujące konflikt ustawienia zasady grupy lub programu PowerShell podczas uruchamiania.

Wykluczanie plików i folderów z reguł zmniejszania obszaru ataków

Można wykluczyć pliki i foldery z oceny przez większość reguł zmniejszania obszaru ataków. Oznacza to, że nawet jeśli reguła zmniejszania obszaru ataków określa, że plik lub folder zawiera złośliwe zachowanie, nie blokuje uruchamiania pliku.

Ważna

Wykluczenie plików lub folderów może znacznie zmniejszyć ochronę zapewnianą przez reguły zmniejszania obszaru podatnego na ataki. Wykluczone pliki będą mogły być uruchamiane i nie będzie rejestrowany żaden raport ani zdarzenie. Jeśli reguły zmniejszania obszaru ataków wykrywają pliki, które uważasz, że nie powinny zostać wykryte, najpierw należy użyć trybu inspekcji, aby przetestować regułę. Wykluczenie jest stosowane tylko wtedy, gdy zostanie uruchomiona wykluczona aplikacja lub usługa. Jeśli na przykład dodasz wykluczenie dla usługi aktualizacji, która jest już uruchomiona, usługa aktualizacji będzie wyzwalać zdarzenia do momentu zatrzymania i ponownego uruchomienia usługi.

Podczas dodawania wykluczeń należy pamiętać o następujących kwestiach:

Konflikt zasad

  1. Jeśli zasady powodujące konflikt są stosowane za pośrednictwem zarządzania urządzeniami przenośnymi i zasadami grupy, pierwszeństwo ma ustawienie zastosowane z zasad grupy.

  2. Reguły zmniejszania obszaru ataków dla urządzeń zarządzanych obsługują teraz zachowanie łączenia ustawień z różnych zasad w celu utworzenia nadzbioru zasad dla każdego urządzenia. Scalane są tylko ustawienia, które nie są w konflikcie, a te, które są w konflikcie, nie są dodawane do nadzbioru reguł. Wcześniej, jeśli dwie zasady zawierały konflikty dla jednego ustawienia, obie zasady były oflagowane jako będące w konflikcie i żadne ustawienia z żadnego z profilów nie były wdrażane. Zachowanie scalania reguł zmniejszania obszaru podatnego na ataki jest następujące:

    • Reguły zmniejszania obszaru podatnego na ataki z następujących profilów są oceniane dla każdego urządzenia, do którego mają zastosowanie reguły:
    • Ustawienia, które nie mają konfliktów, są dodawane do nadzbioru zasad dla urządzenia.
    • Jeśli co najmniej dwie zasady mają ustawienia powodujące konflikt, ustawienia powodujące konflikt nie są dodawane do połączonych zasad, a ustawienia, które nie powodują konfliktu, są dodawane do zasad nadzbioru, które mają zastosowanie do urządzenia.
    • Tylko konfiguracje ustawień powodujących konflikt są wstrzymywane.

Metody konfiguracji

Ta sekcja zawiera szczegółowe informacje o konfiguracji następujących metod konfiguracji:

Poniższe procedury włączania reguł zmniejszania obszaru podatnego na ataki zawierają instrukcje dotyczące wykluczania plików i folderów.

Intune

Profile konfiguracji urządzeń

  1. Wybierz pozycję Profile konfiguracji> urządzenia. Wybierz istniejący profil ochrony punktu końcowego lub utwórz nowy. Aby utworzyć nowy, wybierz pozycję Twórca profil i wprowadź informacje dotyczące tego profilu. W polu Typ profilu wybierz pozycję Ochrona punktu końcowego. Jeśli wybrano istniejący profil, wybierz pozycję Właściwości , a następnie wybierz pozycję Ustawienia.

  2. W okienku Ochrona punktu końcowego wybierz pozycję Windows Defender Exploit Guard, a następnie wybierz pozycję Zmniejszanie obszaru podatnego na ataki. Wybierz odpowiednie ustawienie dla każdej reguły zmniejszania obszaru ataków.

  3. W obszarze Wyjątki zmniejszania obszaru podatnego na ataki wprowadź poszczególne pliki i foldery. Możesz również wybrać pozycję Importuj , aby zaimportować plik CSV zawierający pliki i foldery do wykluczenia z reguł zmniejszania obszaru ataków. Każdy wiersz w pliku CSV powinien być sformatowany w następujący sposób:

    C:\folder, %ProgramFiles%\folder\file, C:\path

  4. Wybierz przycisk OK w trzech okienkach konfiguracji. Następnie wybierz pozycję Twórca, jeśli tworzysz nowy plik ochrony punktu końcowego lub zapisz, jeśli edytujesz istniejący plik.

Zasady zabezpieczeń punktu końcowego

  1. Wybierz pozycjęRedukcja obszaru ataków zabezpieczeń >punktu końcowego. Wybierz istniejącą regułę zmniejszania obszaru podatnego na ataki lub utwórz nową. Aby utworzyć nowy, wybierz pozycję Twórca Zasady i wprowadź informacje dotyczące tego profilu. W polu Typ profilu wybierz pozycję Reguły zmniejszania obszaru ataków. Jeśli wybrano istniejący profil, wybierz pozycję Właściwości , a następnie wybierz pozycję Ustawienia.

  2. W okienku Ustawienia konfiguracji wybierz pozycję Zmniejszanie obszaru podatnego na ataki , a następnie wybierz odpowiednie ustawienie dla każdej reguły zmniejszania obszaru ataków.

  3. W obszarze Lista dodatkowych folderów, które muszą być chronione, lista aplikacji, które mają dostęp do folderów chronionych, oraz Wyklucz pliki i ścieżki z reguł zmniejszania obszaru ataków wprowadź poszczególne pliki i foldery. Możesz również wybrać pozycję Importuj , aby zaimportować plik CSV zawierający pliki i foldery do wykluczenia z reguł zmniejszania obszaru ataków. Każdy wiersz w pliku CSV powinien być sformatowany w następujący sposób:

    C:\folder, %ProgramFiles%\folder\file, C:\path

  4. Wybierz pozycję Dalej w trzech okienkach konfiguracji, a następnie wybierz pozycję Twórca, jeśli tworzysz nowe zasady, lub Zapisz, jeśli edytujesz istniejące zasady.

Profil niestandardowy w Intune

Możesz użyć Microsoft Intune OMA-URI, aby skonfigurować niestandardowe reguły zmniejszania obszaru podatnego na ataki. W poniższej procedurze użyto reguły Blokuj wykorzystywanie wykorzystywanych, narażonych na zagrożenia podpisanych sterowników .

  1. Otwórz centrum administracyjne Microsoft Intune. W menu Narzędzia główne kliknij pozycję Urządzenia, wybierz pozycję Profile konfiguracji, a następnie kliknij pozycję Twórca profilu.

    Strona profilu Twórca w portalu centrum administracyjnego Microsoft Intune.

  2. W Twórca profilu na następujących dwóch listach rozwijanych wybierz następujące pozycje:

    • W obszarze Platforma wybierz pozycję Windows 10 i nowsze
    • W obszarze Typ profilu wybierz pozycję Szablony
    • Jeśli reguły zmniejszania obszaru ataków są już ustawione za pomocą zabezpieczeń punktu końcowego, w polu Typ profilu wybierz pozycję Katalog ustawień.

    Wybierz pozycję Niestandardowe, a następnie wybierz pozycję Twórca.

    Atrybuty profilu reguły w portalu centrum administracyjnego Microsoft Intune.

  3. Zostanie otwarte narzędzie Szablon niestandardowy w kroku 1 Podstawy. W obszarze 1 Podstawy w polu Nazwa wpisz nazwę szablonu, a w polu Opis możesz wpisać opis (opcjonalnie).

    Podstawowe atrybuty w portalu centrum administracyjnego Microsoft Intune

  4. Kliknij Dalej. Zostanie otwarty krok 2. Ustawienia konfiguracji . W obszarze Ustawienia OMA-URI kliknij pozycję Dodaj. Zostaną wyświetlone dwie opcje: Dodaj i eksportuj.

    Ustawienia konfiguracji w portalu centrum administracyjnego Microsoft Intune.

  5. Kliknij ponownie pozycję Dodaj . Zostanie otwarte okno Dodawanie ustawień OMA-URI wiersza . W obszarze Dodaj wiersz wykonaj następujące czynności:

    • W polu Nazwa wpisz nazwę reguły.

    • W polu Opis wpisz krótki opis.

    • W polu OMA-URI wpisz lub wklej określony link OMA-URI dla dodawanej reguły. Zapoznaj się z sekcją MDM w tym artykule, aby uzyskać identyfikator OMA-URI, aby użyć tej przykładowej reguły. Aby uzyskać identyfikatory GUID reguły zmniejszania obszaru podatnego na ataki, zobacz Opisy reguł w artykule: Reguły zmniejszania obszaru podatnego na ataki.

    • W obszarze Typ danych wybierz pozycję Ciąg.

    • W polu Wartość wpisz lub wklej wartość GUID, znak = i wartość State bez spacji (GUID=StateValue). Gdzie:

      • 0: Wyłącz (Wyłącz regułę zmniejszania obszaru ataków)
      • 1: Blokuj (włącz regułę zmniejszania obszaru ataków)
      • 2: Inspekcja (oceń wpływ reguły zmniejszania obszaru ataków na organizację, jeśli zostanie włączona)
      • 6: Ostrzegaj (Włącz regułę zmniejszania obszaru ataków, ale zezwalaj użytkownikowi końcowemu na obejście bloku)

    Konfiguracja identyfikatora URI OMA w portalu centrum administracyjnego Microsoft Intune

  6. Wybierz Zapisz. Dodaj zamknięcie wiersza . W obszarze Niestandardowe wybierz pozycję Dalej. W kroku 3 Tagi zakresu tagi zakresu są opcjonalne. Wykonaj jeden z następujących kroków:

    • Wybierz pozycję Wybierz tagi zakresu, wybierz tag zakresu (opcjonalnie), a następnie wybierz pozycję Dalej.
    • Możesz też wybrać pozycję Dalej
  7. W kroku 4 Przypisania w obszarze Dołączone grupy dla grup, które mają być stosowane przez tę regułę, wybierz jedną z następujących opcji:

    • Dodawanie grup
    • Dodawanie wszystkich użytkowników
    • Dodawanie wszystkich urządzeń

    Przypisania w portalu centrum administracyjnego Microsoft Intune

  8. W obszarze Wykluczone grupy wybierz wszystkie grupy, które chcesz wykluczyć z tej reguły, a następnie wybierz pozycję Dalej.

  9. W kroku 5 Reguły stosowania dla następujących ustawień wykonaj następujące czynności:

    • W obszarze Reguła wybierz pozycję Przypisz profil, jeśli lub Nie przypisuj profilu, jeśli

    • W obszarze Właściwość wybierz właściwość, do której ma zostać zastosowana ta reguła

    • W polu Wartość wprowadź odpowiednią wartość lub zakres wartości

    Reguły stosowania w portalu centrum administracyjnego Microsoft Intune

  10. Wybierz pozycję Dalej. W kroku 6 Przejrzyj i utwórz przejrzyj wybrane i wprowadzone ustawienia oraz informacje, a następnie wybierz pozycję Twórca.

    Opcja Przeglądanie i tworzenie w portalu centrum administracyjnego Microsoft Intune

    Reguły są aktywne i działają w ciągu kilku minut.

Uwaga

Obsługa konfliktów:

Jeśli przypiszesz urządzeniu dwie różne zasady zmniejszania obszaru ataków, mogą wystąpić potencjalne konflikty zasad, w zależności od tego, czy reguły mają przypisane różne stany, czy istnieje zarządzanie konfliktami i czy wynik jest błędem. Reguły niekonflikujące nie powodują błędu i takie reguły są stosowane poprawnie. Zostanie zastosowana pierwsza reguła, a kolejne reguły niekonflikujące zostaną scalone z zasadami.

MDM

Użyj dostawcy ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules configuration service provider (CSP), aby indywidualnie włączyć i ustawić tryb dla każdej reguły.

Poniżej przedstawiono przykład do celów referencyjnych z użyciem wartości GUID dla odwołania do reguł zmniejszania obszaru podatnego na ataki.

OMA-URI path: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules

Value: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84=2|3b576869-a4ec-4529-8536-b80a7769e899=1|d4f940ab-401b-4efc-aadc-ad5f3c50688a=2|d3e037e1-3eb8-44c8-a917-57927947596d=1|5beb7efe-fd9a-4556-801d-275e5ffc04cc=0|be9ba2d9-53ea-4cdc-84e5-9b1eeee46550=1

Wartości, które należy włączyć (blokuj), wyłączyć, ostrzec lub włączyć w trybie inspekcji, to:

  • 0: Wyłącz (Wyłącz regułę zmniejszania obszaru ataków)
  • 1: Blokuj (włącz regułę zmniejszania obszaru ataków)
  • 2: Inspekcja (oceń wpływ reguły zmniejszania obszaru ataków na organizację, jeśli zostanie włączona)
  • 6: Ostrzegaj (Włącz regułę zmniejszania obszaru ataków, ale zezwalaj użytkownikowi końcowemu na obejście bloku). Tryb ostrzegania jest dostępny dla większości reguł zmniejszania obszaru ataków.

Aby dodać wykluczenia, użyj dostawcy usługi konfiguracji ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions .

Przykład:

OMA-URI path: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions

Value: c:\path|e:\path|c:\Exclusions.exe

Uwaga

Pamiętaj, aby wprowadzić wartości OMA-URI bez spacji.

Microsoft Configuration Manager

  1. W Microsoft Configuration Manager przejdź do obszaru Zasoby i zgodność>programu Endpoint Protection>Windows Defender Exploit Guard.

  2. Wybierz pozycję Strona główna>Twórca Zasady funkcji Exploit Guard.

  3. Wprowadź nazwę i opis, wybierz pozycję Zmniejszanie obszaru podatnego na ataki, a następnie wybierz pozycję Dalej.

  4. Wybierz reguły, które będą blokować lub przeprowadzać inspekcję akcji, a następnie wybierz pozycję Dalej.

  5. Przejrzyj ustawienia i wybierz pozycję Dalej , aby utworzyć zasady.

  6. Po utworzeniu zasad wybierz pozycję Zamknij.

Ostrzeżenie

Istnieje znany problem z zastosowaniem zmniejszania obszaru podatnego na ataki w wersjach systemu operacyjnego serwera, który jest oznaczony jako zgodny bez rzeczywistego wymuszania. Obecnie nie ma eta, gdy zostanie to naprawione.

Zasady grupy

Ostrzeżenie

Jeśli zarządzasz komputerami i urządzeniami za pomocą Intune, Configuration Manager lub innej platformy zarządzania na poziomie przedsiębiorstwa, oprogramowanie do zarządzania zastąpi wszelkie powodujące konflikt ustawienia zasady grupy podczas uruchamiania.

  1. Na komputerze zarządzania zasady grupy otwórz konsolę zarządzania zasady grupy, kliknij prawym przyciskiem myszy obiekt zasady grupy, który chcesz skonfigurować, i wybierz pozycję Edytuj.

  2. W Edytorze zarządzania zasadami grupy przejdź do obszaru Konfiguracja komputera i wybierz pozycję Szablony administracyjne.

  3. Rozwiń drzewo do składników> systemu Windows Microsoft Defender Antivirus> Microsoft DefenderZmniejszanie obszaru atakówfunkcji Exploit Guard>.

  4. Wybierz pozycję Konfiguruj reguły zmniejszania obszaru podatnego na ataki i wybierz pozycję Włączone. Następnie możesz ustawić indywidualny stan dla każdej reguły w sekcji opcje. Wybierz pozycję Pokaż... i wprowadź identyfikator reguły w kolumnie Nazwa wartości i wybrany stan w kolumnie Value w następujący sposób:

    • 0: Wyłącz (Wyłącz regułę zmniejszania obszaru ataków)

    • 1: Blokuj (włącz regułę zmniejszania obszaru ataków)

    • 2: Inspekcja (oceń wpływ reguły zmniejszania obszaru ataków na organizację, jeśli zostanie włączona)

    • 6: Ostrzegaj (Włącz regułę zmniejszania obszaru ataków, ale zezwalaj użytkownikowi końcowemu na obejście bloku)

      reguły zmniejszania obszaru ataków w zasady grupy

  5. Aby wykluczyć pliki i foldery z reguł zmniejszania obszaru podatnego na ataki, wybierz ustawienie Wyklucz pliki i ścieżki z reguł zmniejszania obszaru ataków i ustaw opcję Włączone. Wybierz pozycję Pokaż i wprowadź każdy plik lub folder w kolumnie Nazwa wartości . Wprowadź wartość 0 w kolumnie Wartość dla każdego elementu.

    Ostrzeżenie

    Nie używaj cudzysłowów, ponieważ nie są one obsługiwane w kolumnie Nazwa wartości ani w kolumnie Wartość . Identyfikator reguły nie powinien mieć żadnych spacji wiodących ani końcowych.

PowerShell

Ostrzeżenie

Jeśli zarządzasz komputerami i urządzeniami przy użyciu Intune, Configuration Manager lub innej platformy zarządzania na poziomie przedsiębiorstwa, oprogramowanie do zarządzania zastępuje wszelkie sprzeczne ustawienia programu PowerShell podczas uruchamiania.

  1. Wpisz PowerShell w menu Start, kliknij prawym przyciskiem myszy Windows PowerShell i wybierz polecenie Uruchom jako administrator.

  2. Wpisz jedno z następujących poleceń cmdlet. (Aby uzyskać więcej informacji, takich jak identyfikator reguły, zapoznaj się z dokumentacją reguł zmniejszania obszaru podatnego na ataki).

    Zadanie Polecenie cmdlet programu PowerShell
    Włączanie reguł zmniejszania obszaru ataków Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Enabled
    Włączanie reguł zmniejszania obszaru ataków w trybie inspekcji Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions AuditMode
    Włączanie reguł zmniejszania obszaru ataków w trybie ostrzeżenia Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Warn
    Włączanie zmniejszania obszaru ataków Blokuj nadużywanie wykorzystywanych, narażonych na zagrożenia podpisanych sterowników Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Enabled
    Wyłączanie reguł zmniejszania obszaru ataków Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Disabled

    Ważna

    Należy określić stan indywidualnie dla każdej reguły, ale można łączyć reguły i stany na liście rozdzielonej przecinkami.

    W poniższym przykładzie są włączone dwie pierwsze reguły, trzecia reguła jest wyłączona, a czwarta jest włączona w trybie inspekcji: Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID 1>,<rule ID 2>,<rule ID 3>,<rule ID 4> -AttackSurfaceReductionRules_Actions Enabled, Enabled, Disabled, AuditMode

    Możesz również użyć czasownika Add-MpPreference programu PowerShell, aby dodać nowe reguły do istniejącej listy.

    Ostrzeżenie

    Set-MpPreference zastępuje istniejący zestaw reguł. Jeśli chcesz dodać do istniejącego zestawu, użyj zamiast tego.Add-MpPreference Listę reguł i ich bieżącego stanu można uzyskać za pomocą polecenia Get-MpPreference.

  3. Aby wykluczyć pliki i foldery z reguł zmniejszania obszaru ataków, użyj następującego polecenia cmdlet:

    Add-MpPreference -AttackSurfaceReductionOnlyExclusions "<fully qualified path or resource>"

    Nadal używaj polecenia Add-MpPreference -AttackSurfaceReductionOnlyExclusions , aby dodać więcej plików i folderów do listy.

    Ważna

    Służy Add-MpPreference do dołączania lub dodawania aplikacji do listy. Set-MpPreference Użycie polecenia cmdlet spowoduje zastąpienie istniejącej listy.

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.