Share via

Переход с не microsoft HIPS на правила сокращения направлений атак

  • Статья

Область применения:

Эта статья поможет сопоставить общие правила с Microsoft Defender для конечной точки.

Сценарии при переходе с продукта HIPS сторонних разработчиков на правила сокращения направлений атак

Блокировать создание определенных файлов

  • Применимо ко всем процессам
  • Операция — создание файла
  • Примеры файлов и папок, разделов и значений реестра, процессов, служб- *.zepto, *.odin, *.locky, *.jaff, *.lukitus, *.wnry, *.krab
  • Правила сокращения направлений атаки. Правила сокращения направлений атаки блокируют методы атаки, а не индикаторы компрометации (IOC). Блокировка определенного расширения файла не всегда полезна, так как это не препятствует компрометации устройства. Это лишь частично сорвано атаку, пока злоумышленники не создадут новый тип расширения для полезных данных.
  • Другие рекомендуемые функции. Настоятельно рекомендуется включить Microsoft Defender антивирусную программу, а также облачную защиту и анализ поведения. Рекомендуется использовать другие средства защиты, такие как правило сокращения направлений атаки Использовать расширенную защиту от программ-шантажистов, что обеспечивает более высокую степень защиты от атак программ-шантажистов. Кроме того, Microsoft Defender для конечной точки отслеживает многие из этих разделов реестра, например методы ASEP, которые активируют определенные оповещения. Для используемых разделов реестра требуется как минимум локальный Администратор или привилегии доверенного установщика можно изменить. Рекомендуется использовать заблокированную среду с минимальными учетными записями или правами администратора. Можно включить другие системные конфигурации, в том числе отключить SeDebug для незаверяемых ролей , что является частью наших более широких рекомендаций по безопасности.

Блокировать создание определенных разделов реестра

  • Применимо ко всем процессам
  • Процессы— Н/Д
  • Операция — изменения реестра
  • Примеры файлов и папок, разделов и значений реестра, процессов, служб- \Software,HKCU\Environment\UserInitMprLogonScript,HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Accessibility\ATs*\StartExe, HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\CurrentVersion\Image File Execution Options*\Debugger, HKEY_CURRENT_USER\Software\Microsoft\HtmlHelp Author\location, HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit*\MonitorProcessProcess
  • Правила сокращения направлений атаки. Правила сокращения направлений атаки блокируют методы атаки, а не индикаторы компрометации (IOC). Блокировка определенного расширения файла не всегда полезна, так как это не препятствует компрометации устройства. Это лишь частично сорвано атаку, пока злоумышленники не создадут новый тип расширения для полезных данных.
  • Другие рекомендуемые функции. Настоятельно рекомендуется включить Microsoft Defender антивирусную программу, а также облачную защиту и анализ поведения. Рекомендуется использовать дополнительную защиту, например правило сокращения направлений атак Использовать расширенную защиту от программ-шантажистов. Это обеспечивает больший уровень защиты от атак программ-шантажистов. Кроме того, Microsoft Defender для конечной точки отслеживает некоторые из этих разделов реестра, например методы ASEP, которые активируют определенные оповещения. Кроме того, для используемых разделов реестра требуется как минимум локальный Администратор или привилегии доверенного установщика можно изменить. Рекомендуется использовать заблокированную среду с минимальными учетными записями или правами администратора. Можно включить другие системные конфигурации, в том числе отключить SeDebug для незаверяемых ролей , что является частью наших более широких рекомендаций по безопасности.

Запретить запуск ненадежных программ со съемных дисков

  • Область применения— ненадежные программы с USB
  • Процессы- *
  • Операция — выполнение процесса
  • *Примеры файлов и папок, разделов и значений реестра, процессов, служб:-
  • Правила сокращения направлений атак. Правила сокращения направлений атаки имеют встроенное правило, предотвращающее запуск ненадежных и неподписанных программ со съемных дисков: блокировать недоверенные и неподписанные процессы, выполняемые с USB, GUID b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4.
  • Другие рекомендуемые функции. Ознакомьтесь с дополнительными элементами управления для USB-устройств и других съемных носителей с помощью Microsoft Defender для конечной точки:Управление USB-устройствами и другими съемными носителями с помощью Microsoft Defender для конечной точки.

Блокировать запуск определенных дочерних процессов в Mshta

  • Область применения— Mshta
  • Процессы— mshta.exe
  • Операция — выполнение процесса
  • Примеры файлов и папок, разделов и значений реестра, процессов, служб powershell.exe, cmd.exe, regsvr32.exe
  • Правила уменьшения направлений атаки. Правила сокращения направлений атаки не содержат каких-либо конкретных правил, чтобы запретить дочерним процессам mshta.exe. Этот элемент управления находится в области защиты от эксплойтов или Защитник Windows управления приложениями.
  • Другие рекомендуемые функции. Включите управление приложениями Защитник Windows, чтобы полностью предотвратить выполнение mshta.exe. Если вашей организации требуется mshta.exe для бизнес-приложений, настройте определенное правило защиты от эксплойтов Защитник Windows, чтобы предотвратить запуск дочерних процессов mshta.exe.

Запрет запуска дочерних процессов в Outlook

  • Область применения— Outlook
  • Процессы— outlook.exe
  • Операция — выполнение процесса
  • Примеры файлов и папок, разделов и значений реестра, процессов, служб powershell.exe
  • Правила сокращения направлений атак. Правила сокращения направлений атаки имеют встроенное правило, которое предотвращает запуск дочерних процессов в приложениях Office для связи (Outlook, Skype и Teams): блокировать создание дочерних процессов в приложении связи Office, GUID 26190899-1602-49e8-8b27-eb1d0a1ce869.
  • Другие рекомендуемые функции. Мы рекомендуем включить режим ограниченного языка PowerShell, чтобы свести к минимуму область атаки из PowerShell.

Запрет запуска дочерних процессов в приложениях Office

  • Область применения— Office
  • Процессы— winword.exe, powerpnt.exe, excel.exe
  • Операция — выполнение процесса
  • Примеры файлов и папок, разделов и значений реестра, процессов, служб powershell.exe, cmd.exe, wscript.exe, mshta.exe, EQNEDT32.EXE, regsrv32.exe
  • Правила сокращения направлений атак. Правила сокращения направлений атак имеют встроенное правило, запрещающее приложениям Office запускать дочерние процессы. Запретите всем приложениям Office создавать дочерние процессы, GUID d4f940ab-401b-4efc-ad5f3c50688a.
  • Другие рекомендуемые функции— Н/Д

Запрет приложений Office на создание исполняемого содержимого

  • Область применения— Office
  • Процессы— winword.exe, powerpnt.exe, excel.exe
  • Операция — создание файла
  • Примеры файлов и папок, разделов и значений реестра, процессов, служб- C:\Users*\AppData**.exe, C:\ProgramData**.exe, C:\ProgramData**.com, C:\UsersAppData\Local\Temp**.com, C:\Users\Downloads**.exe, C:\Users*\AppData**.scf, C:\ProgramData**.scf, C:\Users\Public*.exe, C:\Users*\Desktop***.exe
  • Правила сокращения направлений атаки— Н/Д.

Запретить Wscript считывать файлы определенных типов

  • Область применения— Wscript
  • Процессы— wscript.exe
  • Операция — чтение файла
  • Примеры файлов и папок, разделов и значений реестра, процессов, служб- C:\Users*\AppData**.js, C:\Users*\Downloads**.js
  • Правила сокращения направлений атаки. Из-за проблем с надежностью и производительностью правила сокращения направлений атаки не имеют возможности предотвратить чтение определенного типа файла скрипта определенным процессом. У нас есть правило для предотвращения векторов атак, которые могут возникать из этих сценариев. Имя правила — Блокировать запуск загруженного исполняемого содержимого javaScript или VBScript (GUID d3e037e1-3eb8-44c8-a917-57927947596 ) и блок выполнения потенциально запутывающихся скриптов (GUID * 5beb7efe-fd9a-4556-801d-275e5ffc04cc*).
  • Другие рекомендуемые функции. Хотя существуют определенные правила сокращения направлений атак, которые устраняют определенные векторы атак в этих сценариях, важно упоминание, что av может по умолчанию проверять скрипты (PowerShell, узел сценариев Windows, JavaScript, VBScript и т. д.) в режиме реального времени с помощью интерфейса проверки антивредоносного ПО (AMSI). Дополнительные сведения см. в статье Интерфейс проверки антивредоносных программ (AMSI).

Блокировка запуска дочерних процессов

  • Область применения— Adobe Acrobat
  • Процессы— AcroRd32.exe, Acrobat.exe
  • Операция — выполнение процесса
  • Примеры файлов и папок, разделов и значений реестра, процессов, служб cmd.exe, powershell.exe, wscript.exe
  • Правила сокращения направлений атаки. Правила сокращения направлений атаки позволяют блокировать запуск дочерних процессов Adobe Reader. Имя правила — Блокировать создание дочерних процессов в Adobe Reader, GUID 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c.
  • Другие рекомендуемые функции— Н/Д

Блокировать скачивание или создание исполняемого содержимого

  • Область применения: CertUtil: блокировать скачивание или создание исполняемого файла
  • Процессы— certutil.exe
  • Операция — создание файла
  • Примеры файлов и папок, разделов и значений реестра, процессов, служб — *.exe
  • Правила сокращения направлений атак. Правила сокращения направлений атаки не поддерживают эти сценарии, так как они входят в состав Microsoft Defender антивирусной защиты.
  • Другие рекомендуемые функции: Microsoft Defender антивирусная программа не позволяет CertUtil создавать или скачивать исполняемое содержимое.

Блокирование процессов от остановки критически важных системных компонентов

  • Применимо ко всем процессам
  • Процессы- *
  • Операция — завершение процесса
  • Примеры файлов и папок, разделов и значений реестра, процессов, служб MsSense.exe, MsMpEng.exe, NisSrv.exe, svchost.exe*, services.exe, csrss.exe, smss.exe, wininit.exe и т. д.
  • Правила сокращения направлений атак. Правила сокращения направлений атаки не поддерживают эти сценарии, так как они защищены с помощью встроенных средств безопасности Windows.
  • Другие рекомендуемые функции: ELAM (ранний запуск антивредоносного ПО), PPL (light protection process light), PPL AntiMalware Light и System Guard.

Блокировать конкретную попытку запуска

  • Область применения— конкретные процессы
  • Процессов- Назовите процесс
  • Операция — выполнение процесса
  • Примеры файлов и папок, разделов и значений реестра, процессов, служб tor.exe, bittorrent.exe, cmd.exe, powershell.exe и т. д.
  • Правила сокращения направлений атаки. В целом правила сокращения направлений атаки не предназначены для работы в качестве диспетчера приложений.
  • Другие рекомендуемые функции. Чтобы запретить пользователям запускать определенные процессы или программы, рекомендуется использовать Защитник Windows управления приложениями. Microsoft Defender для конечной точки индикаторы файлов и сертификатов можно использовать в сценарии реагирования на инциденты (не следует рассматривать как механизм управления приложениями).

Блокировка несанкционированных изменений в конфигурациях антивирусной программы Microsoft Defender

  • Применимо ко всем процессам
  • Процессы- *
  • Операция — изменения реестра
  • Примеры файлов и папок, разделов и значений реестра, процессов, служб HKLM\SOFTWARE\Policies\Microsoft\Защитник Windows\DisableAntiSpyware, HKLM\SOFTWARE\Policies\Microsoft\Защитник Windows\Policy Manager\AllowRealTimeMonitoring и т. д.
  • Правила сокращения направлений атак. Правила сокращения направлений атаки не охватывают эти сценарии, так как они входят в состав встроенной защиты Microsoft Defender для конечной точки.
  • Другие рекомендуемые функции. Защита от незаконного изменения (согласие, управляемое из Intune) предотвращает несанкционированные изменения в разделах реестра DisableAntiVirus, DisableAntiSpyware, DisableRealtimeMonitoring, DisableOnAccessProtection, DisableBehaviorMonitoring и DisableIOAVProtection (и т. д.).

См. также

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.