Уменьшение количества областей атак с помощью правил уменьшения уязвимой зоны

Область применения

Важно!

Некоторые сведения относятся к предварительным версиям продуктов, в которые перед коммерческим выпуском могут быть внесены существенные изменения. Майкрософт не дает никаких гарантий, явных или подразумеваемых, в отношении предоставленной здесь информации.

Правила уменьшения уязвимой зоны помогают предотвратить появление поведения вредоносными программами, которые часто используются для заражения компьютера вредоносным кодом. Вы можете настроить правила сокращения контактных направлений для компьютеров с Windows 10, версии 1709 и 1803 или более поздней версии, Windows Server, версия 1803 (половина ежегодного канала) или более поздней или Windows Server 2019.

Для использования правил сокращения направлений атак требуется лицензия на Windows 10 Корпоративная. Если у вас есть лицензия на Windows, она предоставляет расширенные возможности управления для их включения. Сюда входят мониторинг, анализ и рабочие процессы, доступные в Advanced Threat Protection в защитнике Microsoft, а также возможности создания отчетов и настройки в центре безопасности Microsoft 365. Эти расширенные возможности не поддерживаются лицензией E3 или Windows 10 корпоративными без подписки на план, но вы можете использовать для упрощения развертывания события правил для снижения уязвимой зоны в средстве просмотра событий.

Правила уменьшения уязвимой зоны нацелены на поведение, которое обычно используется вредоносными программами и вредоносными приложениями для заражения компьютеров, в том числе:

  • Исполняемые файлы и скрипты, используемые в приложениях Office или веб-почте, пытающиеся загружать или запускать файлы
  • Маскированные или иным образом подозрительные сценарии
  • Поведение, которое обычно не инициируется приложениями во время обычной ежедневной работы

Вы можете использовать режим аудита , чтобы проверить, как правила уменьшения уязвимой зоны влияют на вашу организацию, если они были включены. В режиме аудита лучше всего запускать все правила, чтобы вы могли понять их влияние на бизнес-приложения. Многие бизнес-приложения написаны с ограниченными возможностями безопасности, и они могут выполнять такие задачи, как вредоносные программы. Наблюдая за данными аудита и добавляя исключения для необходимых приложений, вы можете развернуть правила сокращения Surface Reduction, не влияя производительность.

На устройстве отображается уведомление об инициированных правилах. Вы можете настроить уведомления, указав сведения о компании и контактные данные. Уведомление также отображается в центре безопасности защитника Майкрософт и в центре Microsoft 365 секурти.

Сведения о том, как настроить правила уменьшения уязвимой зоны, приведены в разделе Включение правил сокращения направлений атак.

Просмотр событий сокращения уязвимой зоны в центре безопасности Майкрософт

Служба Microsoft Defender ATP предоставляет детальный отчет о событиях и блоках в рамках сценариев расследования на его оповещении.

С помощью расширенного поиска вы можете запросить данные по пакету анализа Microsoft Defender. Если вы используете режим аудита, вы можете воспользоваться расширенным поиском, чтобы увидеть, как управляемые параметры доступа к папкам могут повлиять на вашу среду.

Ниже приведен пример запроса.

MiscEvents
| where ActionType startswith 'Asr'

Просмотр событий сокращения уязвимой зоны в средстве просмотра событий Windows

Вы можете просмотреть журнал событий Windows, чтобы просмотреть события, созданные при срабатывании правил уменьшения уязвимой зоны.

  1. Загрузите пакет оценки Exploit Guard и извлеките файл cfa-events.xml в легкодоступное расположение на компьютере.

  2. В меню "Пуск" введите " Просмотр событий ", чтобы открыть средство просмотра событий Windows.

  3. Нажмите кнопку Импорт настраиваемого представления... на левой панели в разделе действия.

  4. Выберите файл КФА-евентс. XML из того места, откуда он был извлечен. Также можно скопировать XML-код напрямую.

  5. Нажмите .

В результате будет создано настраиваемое представление, в котором будут отображаться только следующие события, связанные с контролируемым доступом к папкам:

Код события Описание
5007 Событие, когда меняются параметры
1121 Событие, когда правило срабатывает в режиме блокировки
1122 Событие, когда правило срабатывает в режиме аудита

"Версия обработчика" событий снижения контактной поверхности в журнале событий создается пакетом ATP для защитника Майкрософт, а не операционной системой. Microsoft Defender ATP интегрирован в Windows 10, поэтому эта функция работает на всех компьютерах с установленной операционной системой Windows 10.

Правила уменьшения уязвимой зоны

В следующих разделах описаны все 15 правил сокращения Surface reduction. В этой таблице показаны соответствующие идентификаторы GUID, которые используются при настройке правил с помощью групповой политики или PowerShell. Если вы используете System Center Configuration Manager или Microsoft Intune, идентификаторы GUID не требуются.

Имя правила GUID Исключения папок & файлов
Блокировка исполняемого содержимого в клиенте электронной почты и веб-почте BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550 Поддерживается
Блокировка создания дочерних процессов для всех приложений Office D4F940AB-401B-4EFC-AADC-AD5F3C50688A Поддерживается
Блокировка создания исполняемого содержимого приложениями Office 3B576869-A4EC-4529-8536-B80A7769E899 Поддерживается
Блокировка приложений Office от внедрения кода в другие процессы 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84 Поддерживается
Блокировка JavaScript или VBScript от запуска скачанного исполняемого содержимого D3E037E1-3EB8-44C8-A917-57927947596D Не поддерживается
Блокировка выполнения непрозрачных сценариев 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC Поддерживается
Блокировка вызовов API Win32 из макроса Office 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B Поддерживается
Блокировать запуск исполняемых файлов, если они не соответствуют критерию преобладание, возрасту или надежность списка. 01443614-cd74-433a-b99e-2ecdc07bfc25 Поддерживается
Использование расширенной защиты от атаки c1db55ab-c21a-4637-bb3f-a12568109d35 Поддерживается
Блокировка перехвата учетных данных из подсистемы локального центра безопасности Windows (LSASS. exe) 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 Поддерживается
Блокировка создания процессов, исходящих от команд PSExec и WMI d1e49aac-8f56-4280-b9ba-993a6d77406c Не поддерживается
Блокировать недоверенные и неподписанные процессы, которые выполняются с USB b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 Поддерживается
Блокировка создания дочерних процессов приложением связи с Office 26190899-1602-49e8-8b27-eb1d0a1ce869 Поддерживается
Блокировка создания дочерних процессов в Adobe Reader 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c Поддерживается
Блокировка сохраняемости через подписку на события WMI e6db77e5-3df2-4cf1-b95a-636979351e5b Не поддерживается

В описании правила указываются приложения или типы файлов, к которым применяется правило. В общем случае правила для приложений Office применяются только к Word, Excel, PowerPoint и OneNote или они относятся к Outlook. За исключением указанных мест, правила уменьшения уязвимой зоны не распространяются на другие приложения Office.

Блокировка исполняемого содержимого в клиенте электронной почты и веб-почте

Это правило запрещает запускать следующие типы файлов из электронной почты в Microsoft Outlook или Outlook.com и других популярных службах электронной почты.

  • Исполняемые файлы (например, .exe, .dll или .scr)
  • Файлы сценариев (например, с расширением .ps в PowerShell, .vbs в VisualBasic или .js в JavaScript)

Это правило было введено в Windows 10 1709, Windows Server 1809, Windows Server 2019, SCCM CB 1710

Имя Intune: выполнение исполняемого содержимого (exe, DLL, PS, JS, VBS и т. д.), отброшенного из почтового ящика (почтового клиента) (нет исключений)

Имя SCCM: блокировать исполняемый контент из почтового клиента и из почтового ящика

GUID: BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550

Блокировка создания дочерних процессов для всех приложений Office

Это правило блокирует создание дочерних процессов для приложений Office. В том числе Word, Excel, PowerPoint, OneNote и Access.

Это типичная реакция на вредоносные программы, особенно вредоносные программы, которые приводят к нарушению работы Office в векторе, с помощью макросов VBA и кода для загрузки и попыток запуска дополнительных полезных данных. Некоторые подлинные бизнес-приложения также могут использовать такие поведения, как, например, создание командной строки или использование PowerShell для настройки параметров реестра.

Это правило было введено в Windows 10 1709, Windows Server 1809, Windows Server 2019, SCCM CB 1710

Имя Intune: приложения Office запускают дочерние процессы

Имя SCCM: блокировать создание дочерних процессов с помощью приложения Office

GUID: D4F940AB-401B-4EFC-AADC-AD5F3C50688A

Блокировка создания исполняемого содержимого приложениями Office

Это правило предотвращает создание исполняемого содержимого в приложениях Office, в том числе Word, Excel и PowerPoint.

Это правило обращается к типичному поведению, когда вредоносные программы используют Office как вектор для выхода из Office и сохранения вредоносных компонентов на диске, где они сохраняются и остались после перезагрузки компьютера. Это правило предотвращает запись вредоносного кода на диск.

Это правило было введено в Windows 10 1709, Windows Server 1809, Windows Server 2019, SCCM CB 1710

Имя Intune: Office Apps/макросы создание содержимого исполняемого файла

Имя SCCM: блокировать создание исполняемого содержимого в приложениях Office

GUID: 3B576869-A4EC-4529-8536-B80A7769E899

Блокировка приложений Office от внедрения кода в другие процессы

Злоумышленники могут попытаться использовать приложения Office для миграции вредоносного кода в другие процессы благодаря вставке кода, поэтому код может быть понятен как процесс очистки. Это правило блокирует попытки вставки кода из приложений Office в другие процессы. Для использования вставки кода не существует известных законных бизнес-целей.

Это правило применяется к Word, Excel и PowerPoint.

Это правило было введено в Windows 10 1709, Windows Server 1809, Windows Server 2019, SCCM CB 1710

Имя Intune: Добавление кода в другие процессы (без исключений) в приложениях Office.

Имя SCCM: блокировать из приложений Office Добавление кода в другие процессы.

GUID: 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84

Блокировка JavaScript или VBScript от запуска скачанного исполняемого содержимого

Вредоносные программы часто используют сценарии JavaScript и VBScript для запуска других вредоносных приложений.

Вредоносные программы, написанные на JavaScript или VBS, часто выводятся в качестве загрузчика для получения и запуска дополнительных исходных данных из Интернета. Это правило предотвращает запуск скачанного содержимого сценариями, помогая предотвратить использование сценария для распространения вредоносных и зараженных компьютеров. Это не является стандартным использованием для бизнеса, но бизнес-приложения иногда используют сценарии для загрузки и запуска установщиков.

Важно!

Исключения для файлов и папок не применяются к этому правилу сокращения для атак на эту абонентскую зону.

Это правило было введено в Windows 10 1709, Windows Server 1809, Windows Server 2019, SCCM CB 1710

Имя Intune: JS/VBS выполнение полезных данных, загруженных из Интернета (без исключений)

Имя SCCM: блокировать запуск скачанного исполняемого содержимого с JavaScript или VBScript.

GUID: D3E037E1-3EB8-44C8-A917-57927947596D

Блокировка выполнения непрозрачных сценариев

Маскировка сценариев — это распространенная методика, с помощью которой как авторы вредоносных программ, так и легальные приложения используют для скрытия интеллектуальной собственности или уменьшения количества загруженности сценария. Это правило обнаруживает подозрительные свойства в сценарии с запутанным форматированием.

Это правило было введено в Windows 10 1709, Windows Server 1809, Windows Server 2019, SCCM CB 1710

Имя Intune: код с запутанным именем JS, vbs, PS/макрос

Имя SCCM: блокировать выполнение потенциально запутанных сценариев.

GUID: 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC

Блокировать вызовы API Win32 из макросов Office

Office VBA обеспечивает возможность использования вызовов API Win32, которые могут помешать вредоносному коду. В большинстве организаций эта функция не используется, но все равно может зависеть от использования других возможностей макросов. Это правило позволяет запретить использование API Win32 в макросах VBA, что сокращает область для атак.

Это правило было введено в Windows 10 1709, Windows Server 1809, Windows Server 2019, SCCM CB 1710

Имя Intune: Win32 Imports из кода макроса Office

Имя SCCM: блокировать вызовы API Win32 из макросов Office

GUID: 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B

Блокировать запуск исполняемых файлов, если они не соответствуют критерию преобладание, возрасту или надежность списка.

Это правило блокирует запуск следующих типов файлов, если они не соответствуют условиям преобладание или возрасту либо они находятся в списке надежных или исключенных.

  • Исполняемые файлы (например, .exe, .dll или .scr)

Примечание

Чтобы использовать это правило, необходимо включить функцию защиты , предоставляемую в облаке.

Важно!

Правила блокируют исполняемые файлы, если они не соответствуют условию преобладание, возраст или доверенный список с идентификатором GUID 01443614-cd74-433a-b99e-2ecdc07bfc25, владельцем которого является Microsoft и который не определен администраторами. Она использует облачную защиту для регулярного обновления списка надежных.

Вы можете указать отдельные файлы или папки (с помощью путей к папкам или полных имен ресурсов), но нельзя задать правила и исключения, которые будут применяться.

Это правило было введено в Windows 10 1803, Windows Server 1809, Windows Server 2019, SCCM CB 1802

Имя Intune: исполняемые файлы, не соответствующие условиям преобладание, возрасту или доверия списка.

Имя SCCM: блокировать запуск исполняемых файлов, если они не соответствуют критериям, предъявляемым к преобладанием, возрасту или доверенному списку

GUID: 01443614-cd74-433a-b99e-2ecdc07bfc25

Использование расширенной защиты от атаки

Это правило обеспечивает дополнительный уровень защиты от атаки программой. Приложение проверяет исполняемые файлы, чтобы определить, являются ли они доверенными. Если файлы похожи на программы-шантажистом, это правило блокирует их выполнение, если они не находятся в надежном списке или списке исключений.

Примечание

Чтобы использовать это правило, необходимо включить функцию защиты , предоставляемую в облаке.

Это правило было введено в Windows 10 1803, Windows Server 1809, Windows Server 2019, SCCM CB 1802

Имя Intune: дополнительная защита от атаки с защитой от имени

Имя SCCM: использование расширенной защиты от атаки

GUID: c1db55ab-c21a-4637-bb3f-a12568109d35

Блокировка перехвата учетных данных из подсистемы локального центра безопасности Windows (LSASS. exe)

Служба подсистемы локального администратора безопасности (LSASS) выполняет проверку подлинности пользователей, которые входят в систему на компьютере с Windows. Защита учетных данных защитника Майкрософт в Windows 10 обычно препятствует попыткам извлечь учетные данные из LSASS. Однако в некоторых организациях не поддерживается защита учетных данных на всех компьютерах из-за проблем совместимости с пользовательскими драйверами смарт-карт и другими программами, которые загружаются в локальный администратор безопасности (LSA). В этих случаях злоумышленники могут использовать такие средства, как Мимикатз, чтобы поцарапать пароли открытым текстом и хеш-коды NTLM из LSASS. Это правило помогает снизить риск, заблокируя LSASS.

Примечание

В некоторых приложениях код выполняет перечисление всех запущенных процессов и пытается открыть их с помощью исчерпывающих разрешений. Это правило отвергает действие Open (процесс) для приложения и записывает сведения в журнал событий безопасности. Это правило может вызвать большое количество шума. Если у вас есть приложение, которое будет перечислять LSASS, необходимо добавить его в список исключений. Сама по себе эта запись журнала событий не обязательно указывает на вредоносную угрозу.

Это правило было введено в Windows 10 1803, Windows Server 1809, Windows Server 2019, SCCM CB 1802

Имя Intune: Пометка перехвата учетных данных в подсистеме локального центра безопасности Windows

Имя SCCM: блокировать перехват учетных данных из подсистемы локального центра безопасности Windows

GUID: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2

Блокировка создания процессов, исходящих от команд PSExec и WMI

Это правило блокирует процессы с помощью команд PsExec и WMI, чтобы предотвратить удаленное выполнение кода, которое может распространяться от вредоносных программ.

Важно!

Исключения для файлов и папок не применяются к этому правилу сокращения для атак на эту абонентскую зону.

Предупреждение

Это правило следует использовать только в том случае, если управление устройствами осуществляется с помощью Intune или другого решения MDM. Это правило несовместимо с управлением с помощью System Center Configuration Manager , так как это правило БЛОКИРУЕТ команды WMI, используемые клиентом SCCM для правильной работы.

Это правило было введено в Windows 10 1803, Windows Server 1809, Windows Server 2019, SCCM CB 1802

Имя Intune: создание процесса из команд PSExec и WMI

Имя SCCM: неприменимо

GUID: d1e49aac-8f56-4280-b9ba-993a6d77406c

Блокировать недоверенные и неподписанные процессы, которые выполняются с USB

С помощью этого правила администраторы могут предотвращать выполнение неподписанных и ненадежных исполняемых файлов с USB-дисков, в том числе карт SD. Блокируемые типы файлов включают в себя:

  • Исполняемые файлы (например, .exe, .dll или .scr)
  • Файлы сценариев (например, с расширением .ps в PowerShell, .vbs в VisualBasic или .js в JavaScript)

Это правило было введено в Windows 10 1803, Windows Server 1809, Windows Server 2019, SCCM CB 1802

Имя Intune: недоверенные и неподписанные процессы, которые выполняются с USB

Имя SCCM: блокировать недоверенные и неподписанные процессы, которые выполняются с USB

GUID: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4

Блокировка создания дочерних процессов приложением связи с Office

Это правило не позволяет приложению Outlook создавать дочерние процессы. Она защищает от атак с помощью социальных инженеров и предотвращает злоупотребляли уязвимости в Outlook. Для этого правило не позволяет запускать дополнительные полезные данные, не позволяя использовать законные функции Outlook. Кроме того, она защищает от правил и форм Outlook , которые злоумышленники могут использовать при раскрытии учетных данных пользователя.

Примечание

Это правило применяется только к Outlook и Outlook.com.

Это правило было введено в Windows 10 1809, Windows Server 1809, Windows Server 2019, SCCM CB 1810

Имя Intune: создание процесса из коммуникационных продуктов Office (бета-версия)

Имя SCCM: пока не доступно

GUID: 26190899-1602-49e8-8b27-eb1d0a1ce869

Блокировка создания дочерних процессов в Adobe Reader

С помощью социальных инженеров или эксплойтов вредоносные программы могут загружать и запускать дополнительные полезные данные, а также прерывать из Adobe Reader. Это правило предотвращает получение подобных атак, блокируя Adobe Reader для создания дополнительных процессов.

Это правило было введено в Windows 10 1809, Windows Server 1809, Windows Server 2019, SCCM CB 1810

Имя Intune: создание процесса из Adobe Reader (бета-версия)

Имя SCCM: неприменимо

GUID: 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c

Блокировка сохраняемости через подписку на события WMI

Угрозы без файлов применяют различные тактики, чтобы оставаться скрытыми, чтобы не просматривать их в файловой системе и получать периодическое управление выполнением. Некоторые угрозы могут полагаться на то, что хранилище WMI и модель событий будут оставаться скрытыми. С помощью этого правила администраторы могут предотвратить появление угроз, которые приводили к возникновению WMI, и оставаться скрытым в хранилище WMI.

Имя Intune: блокировать сохранение с помощью подписки на события WMI

Имя SCCM: пока не доступно

GUID: e6db77e5-3df2-4cf1-b95a-636979351e5b

Еще по теме