Уменьшение уязвимой зоны помощью правил уменьшения уязвимой зоны

Область применения

Важно!

Некоторые сведения относятся к предварительным версиям продуктов, в которые перед коммерческим выпуском могут быть внесены существенные изменения. Майкрософт не дает никаких гарантий, явных или подразумеваемых, в отношении предоставленной здесь информации.

Уменьшение уязвимой зоны, правила помогают предотвратить поведению, о котором вредоносного по часто используются для заражения компьютеров с использованием вредоносного кода. Вы можете настроить правила уменьшения уязвимой зоны для компьютеров под управлением Windows 10 версии 1709 или более поздней версии, Windows Server 2016 1803 или более поздней или Windows Server 2019 г.

Чтобы использовать правила уменьшения уязвимой зоны, требуется Windows 10 Корпоративная лицензия. Если у вас есть лицензии Windows E5, предоставляет расширенных возможностей управления для создания их. К ним относятся мониторинг, аналитики и процессы, которые доступны в Microsoft Advanced Threat Protection в Защитнике, а также возможности отчетов и конфигурации в центре безопасности Microsoft 365. Эти расширенные возможности недоступны с лицензией E3 или с помощью Windows 10 Корпоративная без подписки, но можно использовать правило событий уменьшения уязвимой зоны в средстве просмотра событий для упрощения развертывания.

Уменьшение уязвимой зоны правила целевой поведений вредоносными приложениями и вредоносными обычно используется для заражения компьютеров, включая:

  • Исполняемые файлы и скрипты, используемые в приложениях Office или веб-почте, пытающиеся загружать или запускать файлы
  • Непрозрачные и другие подозрительные сценарии
  • Поведение приложения не запускать обычно во время повседневной работы

Можно использовать режим аудита для оценки того, как правила уменьшения уязвимой зоны повлияет вашей организации, если они были включены. Он лучше всего подходит для выполнения всех правил в режиме аудита во-первых, можно понять их влияние на бизнес-приложения. Многие бизнес-приложения написаны с ограниченной безопасности, и они могут выполнять разные задачи, аналогично вредоносных программ. Отслеживая данных аудита и Добавление исключений для нужных приложений, вы можете развернуть правила уменьшения уязвимой зоны без влияния на производительность.

Запущены правила отображения уведомления на устройстве. Вы можете настроить уведомления, указав сведения о компании и контактные данные. Уведомления также отображаются в центре безопасности Защитника Microsoft и в центре безопасности Microsoft 365.

Сведения о настройке правил уменьшения уязвимой зоны см. в разделе Включение уменьшения уязвимой зоны.

Просмотр событий уменьшения уязвимой зоны в средстве просмотра событий Windows

Можно просмотреть журнал событий Windows, чтобы просмотреть события, создаваемые при уменьшения уязвимой зоны огня правила:

  1. Загрузите пакет оценки Exploit Guard и извлеките файл cfa-events.xml в легкодоступное расположение на компьютере.

  2. Введите Средства просмотра событий в меню "Пуск", чтобы открыть окно просмотра событий Windows.

  3. Нажмите кнопку Импорт настраиваемого представления … на левой панели в разделе действий.

  4. Выберите файл cfa-events.xml где он был помещен. Также можно скопировать XML-код напрямую.

  5. Нажмите .

Будет создано настраиваемое представление с фильтрацией показаны только следующие события, связанные с управляемый доступ к папкам:

Код события Описание
5007 Событие, когда меняются параметры
1121 Событие, когда правило срабатывает в режиме блокировки
1122 Событие, когда правило срабатывает в режиме аудита

Правила уменьшения уязвимой зоны

В следующих разделах каждый из 15 уменьшения уязвимой зоны. В этой таблице показаны соответствующие им GUID, которые можно использовать, если вы настраиваете правила с помощью групповой политики или PowerShell. Если вы используете System Center Configuration Manager или Microsoft Intune, идентификаторы GUID не требуется:

Имя правила GUID Исключения папок & файла
Блокировка исполняемого содержимого в клиенте электронной почты и веб-почте BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550 Поддерживается
Блокировка создания дочерних процессов все приложениями Office D4F940AB-401B-4EFC-AADC-AD5F3C50688A Поддерживается
Блокировка создания исполняемого содержимого приложениями Office 3B576869-A4EC-4529-8536-B80A7769E899 Поддерживается
Блокировка приложений Office от внедрения кода в другие процессы 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84 Поддерживается
Блокировка JavaScript или VBScript от запуска скачанного исполняемого содержимого D3E037E1-3EB8-44C8-A917-57927947596D Не поддерживается
Блокировка выполнения непрозрачных сценариев 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC Поддерживается
Блокировка вызовов API Win32 из макроса Office 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B Поддерживается
Блокировка исполняемых файлов, если они соответствуют преобладание, срок действия или доверенный список процессов 01443614-cd74-433a-b99e-2ecdc07bfc25 Поддерживается
Использовать расширенную защиту от программ-шантажистов c1db55ab-c21a-4637-bb3f-a12568109d35 Поддерживается
Блокировка учетных данных, похитить из подсистемы центра сертификации локальной системы безопасности Windows (lsass.exe) 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 Поддерживается
Создание процесса блок инициированный команды PSExec и WMI d1e49aac-8f56-4280-b9ba-993a6d77406c Не поддерживается
Блокировка недоверенных и без знака процессы, выполняемые через USB b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 Поддерживается
Блокировка взаимодействия приложений Office создания дочерних процессов 26190899-1602-49e8-8b27-eb1d0a1ce869 Поддерживается
Adobe Reader блокировка создания дочерних процессов 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c Поддерживается
Блокировка сохраняемость события с помощью WMI подписки e6db77e5-3df2-4cf1-b95a-636979351e5b Не поддерживается

Каждое описание правила указывает, какие приложения или типы файлов, правило применяется к. Как правило правила приложений Office применяются только Word, Excel, PowerPoint и OneNote, или они применяются к Outlook. За исключением там, где указано уменьшения уязвимой зоны не применяются к другим приложениям Office.

Блокировка исполняемого содержимого в клиенте электронной почты и веб-почте

Это правило блокирует следующие типы файлов из запуске из электронной почты в Microsoft Outlook или Outlook.com и других популярных веб-почте поставщиков:

  • Исполняемые файлы (например, .exe, .dll или .scr)
  • Файлы сценариев (например, с расширением .ps в PowerShell, .vbs в VisualBasic или .js в JavaScript)

Имя Intune: выполнение исполняемого содержимого (exe, dll, ps, js, vbs, и т.д.), отброшенных из письма (веб-почте/почтового клиента) (не exceptions)

Имя SCCM: блокировка исполняемого содержимого в клиенте электронной почты и веб-почты

GUID: BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550

Блокировка создания дочерних процессов все приложениями Office

Это правило блокирует приложений Office создания дочерних процессов. Сюда входят Word, Excel, PowerPoint, OneNote и Access.

Это поведение типичных вредоносных программ, особенно вредоносных программ, которые злоупотребляющую Office как вектор, с помощью макросы и воспользоваться код для загрузки и попытаться выполнить дополнительные полезных данных. Некоторым бизнес-приложениям также может использовать действия таким образом, в том числе или создания подпроцессов командной строки PowerShell для настройки параметров реестра.

Имя Intune: запуск дочерних процессов приложениями Office

Имя SCCM: приложения Office блокировка создания дочерних процессов

GUID: D4F940AB-401B-4EFC-AADC-AD5F3C50688A

Блокировка создания исполняемого содержимого приложениями Office

Это правило не позволяет приложениям Office, в том числе Word, Excel и PowerPoint, создания исполняемого содержимого.

Это правило предназначено типичное поведение, где вредоносных программ используется Office как вектор прервите Office и сохранить вредоносных компонентов на диске, где они сохраняются и остаются после перезагрузки компьютера. Это правило не позволяет вредоносным кодом записываются на диск.

Имя Intune: приложения Office и создания исполняемого содержимого макросов

Имя SCCM: блокировка приложений Office от создания исполняемого содержимого

GUID: 3B576869-A4EC-4529-8536-B80A7769E899

Блокировка приложений Office от внедрения кода в другие процессы

Злоумышленников может попытаться использовать приложения Office для переноса вредоносного кода в другие процессы с помощью внедрения кода, поэтому код может выдавать как процесс очистки. Это правило блоки кода внедрение пытается из приложений Office в другие процессы. Существует не известных законных коммерческих целей по использованию внедрения кода.

Это правило применяется к Word, Excel и PowerPoint.

Имя Intune: приложения Office, внедрения кода в другие процессы (не exceptions)

Имя SCCM: блокировка приложений Office от внедрения кода в другие процессы

GUID: 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84

Блокировка JavaScript или VBScript от запуска скачанного исполняемого содержимого

Вредоносные программы часто используют сценарии JavaScript и VBScript для запуска других вредоносных приложений.

Вредоносные программы, написанные на языке JavaScript или VBS часто выступает в качестве загрузчика для выборки и запускать Дополнительные собственные полезные данные из Интернета. Это правило не позволяет запускать сценарии загруженное содержимое, что помогает предотвратить злонамеренное использование сценариев для распространения вредоносных программ и заражения компьютеров. Это не чаще бизнес-, но иногда бизнес-приложений используют сценарии для загрузки и запуска установщика. Вы можете исключить сценарии, им будет разрешено запускать.

Важно!

Исключения файлов и папок не относятся к этой правила уменьшения уязвимой зоны.

Имя Intune: js/vbs выполнения полезных данных, загруженных из Интернета (не exceptions)

Имя SCCM: блокировка JavaScript или VBScript от запуска скачанного исполняемого содержимого

GUID: D3E037E1-3EB8-44C8-A917-57927947596D

Блокировка выполнения непрозрачных сценариев

Скрытие сценарий — Это распространенный прием, как разработчики вредоносных программ и разрешенные приложения используют для скрытия интеллектуальной собственности или уменьшить время загрузки сценария. Это правило обнаруживает подозрительный свойства в непрозрачные сценарии.

Имя Intune: являются прозрачными код js/vbs/ps/макросов

Имя SCCM: блокировка выполнения непрозрачных сценариев.

GUID: 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC

Блокировка вызовов API Win32 из макроса Office

Office VBA предоставляет возможность использовать вызовов Win32 API, вредоносный код, который можно злоупотребить. Большинство организаций не использовать эту функцию, но по-прежнему могут опираться на с помощью других возможностей макрос. Это правило позволяет предотвратить использование API-интерфейсы Win32 в макросы VBA, что сокращает уязвимость.

Имя Intune: Импорт в режиме Win32 из макроса Office

Имя SCCM: блокировка вызовов API Win32 из макроса Office

GUID: 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B

Блокировка исполняемых файлов, если они соответствуют преобладание, срок действия или доверенный список процессов

Это правило блокирует следующие типы файлов от запуска, если они либо соответствуют условиям срок действия и сведения о преобладании или из списка доверенных или список исключений:

  • Исполняемые файлы (например, .exe, .dll или .scr)

Примечание

Необходимо использовать это правило Включение облачной защиты .

Важно!

Правило блок исполняемый файлов, если они соответствуют преобладание, срок действия или доверенный список процессов с GUID 01443614-cd74-433a-b99e-2ecdc07bfc25 принадлежит корпорации Майкрософт и не задан Администраторы. Регулярно обновлять свой список доверенных используются облачной защиты.

Можно указать отдельные файлы и папки (используя путь к папке или полное имя ресурса), но нельзя указать, какие правила или исключения применяются к.

Имя Intune: исполняемые файлы, которые не соответствуют преобладание, срок действия или доверенный список критериям.

Имя SCCM: блокировка исполняемых файлов, если они соответствуют преобладание, срок действия или доверенный список критериев

GUID: 01443614-cd74-433a-b99e-2ecdc07bfc25

Использовать расширенную защиту от программ-шантажистов

Это правило обеспечивает дополнительный уровень защиты от программ-шантажистов. Он проверяет исполняемые файлы, введя системы, чтобы определить, является ли они надежными. Если файлы напоминать программы-шантажисты, это правило блокирует их запуск, если они в список доверенных или список исключений.

Примечание

Необходимо использовать это правило Включение облачной защиты .

Имя Intune: расширенная защита от программ-шантажистов

Имя SCCM: Используйте улучшенную защиту от программ-шантажистов

GUID: c1db55ab-c21a-4637-bb3f-a12568109d35

Блокировка учетных данных, похитить из подсистемы центра сертификации локальной системы безопасности Windows (lsass.exe)

Локальный безопасности центра сертификации подсистемы службы (LSASS) выполняет проверку подлинности пользователей, войдите в систему на компьютере с Windows. Credential Guard в Защитнике Windows в Windows 10 обычно предотвращает попытки для извлечения учетных данных из LSASS. Тем не менее некоторые организации не удается включить Credential Guard на всех компьютерах, из-за проблем совместимости с драйверами пользовательских смарт-карты или других программ, которые загружаются в локальной безопасности (LSA). В этих случаях злоумышленники могут использовать таких средств, как Mimikatz для поцарапать области Незакодированные пароли и хеши NTLM из LSASS. Это правило позволяет снизить этот риск, блокируя LSASS.

Примечание

В некоторых приложениях код перечисляет всех запущенных процессов и пытается открыть их с помощью исчерпывающий разрешения. Это правило запрещает действие открыть процесса приложения и записывает сведения в журнал событий безопасности. Это правило можно создать множество шум. Если у вас есть приложение, которое слишком перечисляет LSASS, необходимо добавить его в список исключений. Сама по себе этой записи журнала событий не обязательно вредоносных угроз.

Имя Intune: credential флаг похитить из подсистемы центра сертификации локальной системы безопасности Windows

Имя SCCM: блокировка учетных данных похитить из подсистемы центра сертификации локальной системы безопасности Windows

GUID: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2

Создание процесса блок инициированный команды PSExec и WMI

Это правило блоки процессов путем команды PsExec и WMI запуск, чтобы предотвратить выполнение удаленного кода, которые могут использоваться для распространения вредоносных атак.

Важно!

Исключения файлов и папок не применяются к этой правила уменьшения уязвимой зоны.

Предупреждение

Используйте это правило только в том случае, если вы управляете устройствами с помощью Intune или другим решением MDM. Это правило не совместим с управление с помощью System Center Configuration Manager , так как это правило блокирует WMI команды клиента SCCM, используемый для правильной работы.

Имя Intune: обработки создания команд PSExec и WMI

Имя SCCM: неприменимо

GUID: d1e49aac-8f56-4280-b9ba-993a6d77406c

Блокировка недоверенных и без знака процессы, выполняемые через USB

С помощью этого правила Администраторы может препятствовать запуску из съемные диски USB, включая SD-карты Неподписанный или ненадежный исполняемые файлы. Блокировка файла, который типы включают:

  • Исполняемые файлы (например, .exe, .dll или .scr)
  • Файлы сценариев (например, с расширением .ps в PowerShell, .vbs в VisualBasic или .js в JavaScript)

Имя Intune: ненадежные и не подписан процессы, выполняемые через USB

Имя SCCM: блокировать ненадежные "и" не подписан процессы, выполняемые через USB

GUID: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4

Блокировка взаимодействия приложений Office создания дочерних процессов

Это правило не позволяет создавать дочерние процессы Outlook. Он обеспечивает защиту от атак социотехники и предотвращает опубликованного кода свойственных уязвимость в Outlook. Для этого правила предотвращает запуск дополнительных полезных данных усиливающие допустимых функции Outlook. Он также обеспечивает защиту от правил Outlook и формы воспользуется , злоумышленники могут использовать при компрометации учетных данных пользователя.

Примечание

Это правило применяется только к Outlook и Outlook.com.

Имя Intune: обработки создания связи продуктов Office (бета-версия)

Имя SCCM: еще недоступен

GUID: 26190899-1602-49e8-8b27-eb1d0a1ce869

Adobe Reader блокировка создания дочерних процессов

Через социотехники или эксплойты вредоносные программы можно загрузить и запустить дополнительных полезных данных и прервите Adobe Reader. Это правило предотвращает атаки следующим образом, блокируя Adobe Reader создания дополнительных процессов.

Имя Intune: обработки создания из Adobe Reader (бета-версия)

Имя SCCM: неприменимо

GUID: 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c

Блокировка сохраняемость события с помощью WMI подписки

Безфайловые угрозы применять различные методики оставаться скрытым, чтобы избежать невидимым в файловой системе и получить контроль Периодическое выполнение. Некоторые угрозы можно злоупотребить WMI репозитория и модель событий оставаться скрытым. Под это правило администраторы могут помешать угрозы, которые злоупотребить WMI для сохранения и будет оставаться скрытым в репозитории WMI.

Имя Intune: блокировка сохраняемость события с помощью WMI подписки

Имя SCCM: еще недоступен

GUID: e6db77e5-3df2-4cf1-b95a-636979351e5b

Еще по теме