Microsoft dışı bir HIPS'ten saldırı yüzeyi azaltma kurallarına geçiş

Şunlar için geçerlidir:

• Uç Nokta için Microsoft Defender Planı 1
• Uç Nokta için Microsoft Defender Planı 2

Bu makale, ortak kuralları Uç Nokta için Microsoft Defender eşlemenize yardımcı olur.

Microsoft dışı bir HIPS ürününden saldırı yüzeyi azaltma kurallarına geçiş senaryoları

Belirli dosyaların oluşturulmasını engelleme

• Şunlar için geçerlidir: Tüm işlemler
• İşlem- Dosya Oluşturma
• Dosya/Klasörler, Kayıt Defteri Anahtarları/Değerleri, İşlemler, Hizmetler- *.zepto, *.odin, *.locky, *.jaff, *.lukitus, *.wnry, *.krab örnekleri
• Saldırı Yüzeyi Azaltma kuralları- saldırı yüzeyi azaltma kuralları, Saldırı tekniklerini engeller ve Risk Altındaki Göstergeler'i (IOC) engellemez. Belirli bir dosya uzantısını engellemek her zaman yararlı değildir çünkü cihazın güvenliğinin aşılmasını engellemez. Saldırganlar yük için yeni bir uzantı türü oluşturana kadar yalnızca bir saldırıyı kısmen engeller.
• Önerilen diğer özellikler: Bulut Koruması ve Davranış Analizi ile birlikte Microsoft Defender Virüsten Koruma'nın etkinleştirilmesi kesinlikle önerilir. Saldırı yüzeyi azaltma kuralı gibi diğer önlemeyi kullanmanızı öneririz Fidye yazılımlarına karşı gelişmiş koruma kullanın, bu da fidye yazılımı saldırılarına karşı daha yüksek bir koruma düzeyi sağlar. Ayrıca Uç Nokta için Microsoft Defender, belirli uyarıları tetikleyen ASEP teknikleri gibi bu kayıt defteri anahtarlarının çoğunu izler. Kullanılan kayıt defteri anahtarları için en az Yerel Yönetici veya Güvenilen Yükleyici ayrıcalıkları değiştirilebilir. En düşük yönetim hesapları veya haklarıyla kilitli bir ortamın kullanılması önerilir. Daha geniş güvenlik önerilerimizin bir parçası olan sorgulanmayan roller için SeDebug'un devre dışı bırakılması da dahil olmak üzere diğer sistem yapılandırmaları etkinleştirilebilir.

Belirli kayıt defteri anahtarlarının oluşturulmasını engelle

• Şunlar için geçerlidir: Tüm İşlemler
• İşlemler- Yok
• operation- Kayıt Defteri Değişiklikleri
• Dosya/Klasör, Kayıt Defteri Anahtarları/Değerleri, İşlemler, Hizmetler- Örnekleri\Software,HKCU\Environment\UserInitMprLogonScript,HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Accessibility\ATs*\StartExe, HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*\Debugger, HKEY_CURRENT_USER\Software\Microsoft\HtmlHelp Author\location, HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit*\MonitorProcess
• Saldırı Yüzeyi Azaltma kuralları- saldırı yüzeyi azaltma kuralları, Saldırı tekniklerini engeller ve Risk Altındaki Göstergeler'i (IOC) engellemez. Belirli bir dosya uzantısını engellemek her zaman yararlı değildir çünkü cihazın güvenliğinin aşılmasını engellemez. Saldırganlar yük için yeni bir uzantı türü oluşturana kadar yalnızca bir saldırıyı kısmen engeller.
• Önerilen diğer özellikler: Bulut Koruması ve Davranış Analizi ile birlikte Microsoft Defender Virüsten Koruma'nın etkinleştirilmesi kesinlikle önerilir. Saldırı yüzeyi azaltma kuralı gibi ek önleme kullanmanızı öneririz Fidye yazılımlara karşı gelişmiş koruma kullanın. Bu, fidye yazılımı saldırılarına karşı daha yüksek bir koruma düzeyi sağlar. Ayrıca, Uç Nokta için Microsoft Defender belirli uyarıları tetikleyen ASEP teknikleri gibi bu kayıt defteri anahtarlarının birkaçını izler. Ayrıca, kullanılan kayıt defteri anahtarları için en az Yerel Yönetici veya Güvenilen Yükleyici ayrıcalıkları değiştirilebilir. En düşük yönetim hesapları veya haklarıyla kilitli bir ortamın kullanılması önerilir. Daha geniş güvenlik önerilerimizin bir parçası olan sorgulanmayan roller için SeDebug'un devre dışı bırakılması da dahil olmak üzere diğer sistem yapılandırmaları etkinleştirilebilir.

Güvenilmeyen programların çıkarılabilir sürücülerden çalıştırılmasını engelleme

• USB'den Güvenilmeyen Programlar için geçerlidir
• İşlemler- *
• İşlem- İşlem Yürütme
• *Dosya/Klasör, Kayıt Defteri Anahtarları/Değerleri, İşlemler, Hizmetler Örnekleri:-
• Saldırı Yüzeyi Azaltma kuralları- saldırı yüzeyi azaltma kuralları, çıkarılabilir sürücülerden güvenilmeyen ve imzalanmamış programların başlatılmasını önlemek için yerleşik bir kurala sahiptir: USB, GUID b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4'dençalıştırılan güvenilmeyen ve imzasız işlemleri engelleyin.
• Önerilen diğer özellikler- Lütfen Uç Nokta için Microsoft Defender kullanarak USB cihazları ve diğer çıkarılabilir medyalar için daha fazla denetim keşfedin:Uç Nokta için Microsoft Defender kullanarak USB cihazlarını ve diğer çıkarılabilir medyaları denetleme.

Mshta'nın belirli alt işlemleri başlatmasını engelleme

• Şunun için geçerlidir: Mshta
• İşlemler- mshta.exe
• İşlem- İşlem Yürütme
• Dosya/Klasörler, Kayıt Defteri Anahtarları/Değerleri, İşlemler, Hizmetler- powershell.exe, cmd.exe regsvr32.exe örnekleri
• Saldırı Yüzeyi Azaltma kuralları- saldırı yüzeyi azaltma kuralları, alt işlemlerin mshta.exeengellemeye yönelik belirli bir kural içermez. Bu denetim, Exploit Protection veya Windows Defender Uygulama Denetimi kapsamındadır.
• Önerilen diğer özellikler: mshta.exe tamamen yürütülmesini önlemek için Windows Defender Uygulama Denetimi'ne olanak tanıyabilirsiniz. Kuruluşunuz iş kolu uygulamaları için mshta.exe gerektiriyorsa, mshta.exe alt işlemleri başlatmasını önlemek için belirli bir Windows Defender Exploit Protection kuralı yapılandırın.

Outlook'un alt işlemleri başlatmasını engelleme

• Şunlar için geçerlidir: Outlook
• İşlemler- outlook.exe
• İşlem- İşlem Yürütme
• Dosya/Klasör, Kayıt Defteri Anahtarları/Değerleri, İşlemler, Hizmetler örnekleri- powershell.exe
• Saldırı Yüzeyi Azaltma kuralları- Saldırı yüzeyi azaltma kuralları, Office iletişim uygulamalarının (Outlook, Skype ve Teams) alt işlemleri başlatmasını engelleyen yerleşik bir kurala sahiptir: Office iletişim uygulamasının alt işlemler oluşturmasını engelle, GUID 26190899-1602-49e8-8b27-eb1d0a1ce869.
• Önerilen diğer özellikler- PowerShell'den gelen saldırı yüzeyini en aza indirmek için PowerShell kısıtlanmış dil modunu etkinleştirmenizi öneririz.

Office Uygulamalarının alt işlemleri başlatmasını engelleme

• Şunlar için geçerlidir: Office
• İşlemler- winword.exe, powerpnt.exe, excel.exe
• İşlem- İşlem Yürütme
• Dosya/Klasörler, Kayıt Defteri Anahtarları/Değerleri, İşlemler, Hizmetler- powershell.exe, cmd.exe, wscript.exe, mshta.exe, EQNEDT32.EXE, regsrv32.exe örnekleri
• Saldırı Yüzeyi Azaltma kuralları- Saldırı yüzeyi azaltma kuralları, Office uygulamalarının alt işlemleri başlatmasını engelleyen yerleşik bir kurala sahiptir: Tüm Office uygulamalarının alt işlemler oluşturmasını engelle, GUID d4f940ab-401b-4efc-aadc-ad5f3c50688a.
• Önerilen diğer özellikler- Yok

Office Uygulamalarının yürütülebilir içerik oluşturmalarını engelleme

• Şunlar için geçerlidir: Office
• İşlemler- winword.exe, powerpnt.exe, excel.exe
• İşlem- Dosya Oluşturma
• Dosya/Klasör, Kayıt Defteri Anahtarları/Değerleri, İşlemler, Hizmetler- C:\Users*\AppData**.exe örnekleri, C:\ProgramData**.exe, C:\ProgramData**.com, C:\UsersAppData\Local\Temp**.com, C:\Users\Downloads**.exe, C:\Users*\AppData**.scf, C:\ProgramData**.scf, C:\Users\Public*.exe, C:\Users*\Desktop**.exe
• Saldırı Yüzeyi Azaltma kuralları- YOK.

Wscript'in belirli dosya türlerini okumalarını engelleme

• Şunun için geçerlidir: Wscript
• İşlemler- wscript.exe
• İşlem- Dosya Okuma
• Dosya/Klasör, Kayıt Defteri Anahtarları/Değerleri, İşlemler, Hizmetler- C:\Users*\AppData**.js, C:\Users*\Downloads**.js
• Saldırı Yüzeyi Azaltma kuralları- Güvenilirlik ve performans sorunları nedeniyle, saldırı yüzeyi azaltma kurallarının belirli bir işlemin belirli bir betik dosya türünü okumasını engelleme özelliği yoktur. Bu senaryolardan kaynaklanabilir saldırı vektörlerini önlemeye yönelik bir kuralımız vardır. Kural adı JavaScript veya VBScript'in indirilen yürütülebilir içeriği başlatmasını engelle 'dir (GUID d3e037e1-3eb8-44c8-a917-57927947596d ) ve Engellenen olası betiklerin yürütülmesini engelleme (GUID * 5beb7efe-fd9a-4556-801d-275e5ffc04cc*).
• Önerilen diğer özellikler- Bu senaryolarda belirli saldırı vektörlerini azaltan belirli saldırı yüzeyi azaltma kuralları olsa da, AV'nin varsayılan olarak kötü amaçlı yazılımdan koruma tarama arabirimi (AMSI) aracılığıyla betikleri (PowerShell, Windows Betik Konağı, JavaScript, VBScript ve daha fazlası) gerçek zamanlı olarak inceleyebilmesini belirtmek önemlidir. Burada daha fazla bilgi bulabilirsiniz: Kötü Amaçlı Yazılımdan Koruma Tarama Arabirimi (AMSI).

Alt işlemlerin başlatılmasını engelle

• Adobe Acrobat için geçerlidir
• İşlemler- AcroRd32.exe, Acrobat.exe
• İşlem- İşlem Yürütme
• Dosya/Klasörler, Kayıt Defteri Anahtarları/Değerleri, İşlemler, Hizmetler- cmd.exe, powershell.exe wscript.exe örnekleri
• Saldırı Yüzeyi Azaltma kuralları- saldırı yüzeyi azaltma kuralları, Adobe Reader'ın alt işlemleri başlatmasını engellemeye olanak sağlar. Kural adı Adobe Reader'ın alt işlemler oluşturmasını engelle, GUID 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c şeklindedir.
• Önerilen diğer özellikler- Yok

Yürütülebilir içeriğin indirilmesini veya oluşturulmasını engelleme

• Şunlar için geçerlidir: CertUtil: İndirilmesini veya yürütülebilir dosya oluşturulmasını engelleme
• İşlemler- certutil.exe
• İşlem- Dosya Oluşturma
• Dosya/Klasör, Kayıt Defteri Anahtarları/Değerleri, İşlemler, Hizmetler- *.exe
• Saldırı Yüzeyi Azaltma kuralları- saldırı yüzeyi azaltma kuralları, Microsoft Defender Virüsten Koruma korumasının bir parçası olduğundan bu senaryoları desteklemez.
• Önerilen diğer özellikler: Microsoft Defender Virüsten Koruma, CertUtil'in yürütülebilir içerik oluşturmasını veya indirmesini engeller.

İşlemlerin kritik Sistem bileşenlerini durdurmalarını engelleme

• Şunlar için geçerlidir: Tüm İşlemler
• İşlemler- *
• İşlem- İşlem Sonlandırma
• Dosyalar/Klasörler, Kayıt Defteri Anahtarları/Değerleri, İşlemler, Hizmetler- MsSense.exe, MsMpEng.exe, NisSrv.exe, svchost.exe*, services.exe, csrss.exe, smss.exe, wininit.exe ve daha fazlası örnekleri.
• Saldırı Yüzeyi Azaltma kuralları- Saldırı yüzeyi azaltma kuralları, Windows yerleşik güvenlik korumalarıyla korunduğundan bu senaryoları desteklemez.
• Önerilen diğer özellikler: ELAM (Erken Başlatma AntiMalware), PPL (Koruma Süreci Işığı), PPL Kötü Amaçlı Yazılımdan Koruma Işığı ve System Guard.

Belirli başlatma İşlemi Girişimini engelle

• Belirli İşlemler için geçerlidir
• Süreç- İşleminizi Adlandır
• İşlem- İşlem Yürütme
• Dosya/Klasörler, Kayıt Defteri Anahtarları/Değerleri, İşlemler, Hizmetler- tor.exe, bittorrent.exe, cmd.exe, powershell.exe ve daha fazlası
• Saldırı Yüzeyi Azaltma kuralları- Genel olarak, saldırı yüzeyi azaltma kuralları Bir Uygulama yöneticisi olarak işlev görecek şekilde tasarlanmamıştır.
• Önerilen diğer özellikler: Kullanıcıların belirli işlemleri veya programları başlatmasını önlemek için uygulama denetimi Windows Defender kullanılması önerilir. Uç Nokta için Microsoft Defender Dosya ve Sertifika göstergeleri bir Olay Yanıtı senaryosunda kullanılabilir (uygulama denetim mekanizması olarak görülmemelidir).

Microsoft Defender Virüsten Koruma yapılandırmalarında yetkisiz değişiklikleri engelleme

• Şunlar için geçerlidir: Tüm İşlemler
• İşlemler- *
• operation- Kayıt Defteri Değişiklikleri
• Dosya/Klasörler, Kayıt Defteri Anahtarları/Değerleri, İşlemler, Hizmetler- HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\DisableAntiSpyware, HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Policy Manager\AllowRealTimeMonitoring gibi örnekler.
• Saldırı Yüzeyi Azaltma kuralları: Saldırı yüzeyi azaltma kuralları, Uç Nokta için Microsoft Defender yerleşik korumasının bir parçası olduğundan bu senaryoları kapsamaz.
• Diğer önerilen özellikler- Kurcalama Koruması (Intune tarafından yönetilen) DisableAntiVirus, DisableAntiSpyware, DisableRealtimeMonitoring, DisableOnAccessProtection, DisableBehaviorMonitoring ve DisableIOAVProtection kayıt defteri anahtarlarında (ve daha fazlası) yetkisiz değişiklikleri önler.

Ayrıca bkz.

• Saldırı yüzeyini azaltma ile ilgili SSS
• Saldırı yüzeyi azaltma kurallarını etkinleştirme
• Saldırı yüzeyi azaltma kurallarını değerlendirme

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.