创建和部署 Exploit Guard 策略

项目
04/19/2024

适用于: Configuration Manager(current branch)

可以配置和部署Configuration Manager策略，用于管理 Windows Defender Exploit Guard 的所有四个组件。这些组件包括：

攻击面减少
文件夹限制访问
漏洞保护
网络保护

可从 Configuration Manager 控制台中获取 Exploit Guard 策略部署的合规性数据。

注意

默认情况下，Configuration Manager不启用此可选功能。在使用此功能之前，必须启用此功能。有关详细信息，请参阅从更新启用可选功能。

先决条件

托管设备必须运行 Windows 10 1709 或更高版本;最低 Windows Server 版本为 1809 或更高版本，直到 Server 2019 为止。还必须满足以下要求，具体取决于配置的组件和规则：

Exploit Guard 组件	附加先决条件
攻击面减少	设备必须启用Microsoft Defender for Endpoint始终启用保护。
文件夹限制访问	设备必须启用Microsoft Defender for Endpoint始终启用保护。
漏洞保护	无
网络保护	设备必须启用Microsoft Defender for Endpoint始终启用保护。

创建 Exploit Guard 策略

在Configuration Manager控制台中，转到“资产和符合性>终结点保护”，然后单击“Windows Defender攻击防护”。
在“ 开始 ”选项卡上的“ 创建 ”组中，单击“ 创建攻击策略”。
在“创建配置项目向导”的“常规”页上，为配置项目指定名称和可选说明。
接下来，选择要使用此策略管理的 Exploit Guard 组件。然后，对于选择的每个组件，可以配置其他详细信息。
- 攻击面减少： 配置要阻止或审核的 Office 威胁、脚本威胁和电子邮件威胁。还可以从此规则中排除特定文件或文件夹。
- 受控文件夹访问权限： 配置阻止或审核，然后添加可以绕过此策略的应用。还可以指定默认情况下不受保护的其他文件夹。
- 攻击防护： 指定包含用于缓解系统进程和应用攻击的设置的 XML 文件。可以从Windows 10或更高版本设备上的Windows Defender安全中心应用导出这些设置。
- 网络保护： 设置网络保护以阻止或审核对可疑域的访问。
完成向导以创建策略，稍后可以将其部署到设备。

警告

在计算机之间传输攻击保护的 XML 文件时，应保持安全。该文件应在导入后删除或保存在安全位置。

部署 Exploit Guard 策略

创建 Exploit Guard 策略后，请使用“部署攻击防护策略”向导来部署它们。为此，请打开“资产和符合性>终结点保护”Configuration Manager控制台，然后单击“部署攻击防护策略”。

重要

部署攻击防护策略（例如攻击面减少或受控文件夹访问）后，如果删除部署，攻击防护设置将不会从客户端中删除。 Delete not supported 如果删除客户端的 Exploit Guard 部署，则会记录在客户端ExploitGuardHandler.log中。可以在 SYSTEM 上下文中运行以下 PowerShell 脚本以删除这些设置：

$defenderObject = Get-WmiObject -Namespace "root/cimv2/mdm/dmmap" -Class "MDM_Policy_Config01_Defender02" -Filter "InstanceID='Defender' and ParentID='./Vendor/MSFT/Policy/Config'"
$defenderObject.AttackSurfaceReductionRules = $null
$defenderObject.AttackSurfaceReductionOnlyExclusions = $null
$defenderObject.EnableControlledFolderAccess = $null
$defenderObject.ControlledFolderAccessAllowedApplications = $null
$defenderObject.ControlledFolderAccessProtectedFolders = $null
$defenderObject.EnableNetworkProtection = $null
$defenderObject.Put()

$exploitGuardObject = Get-WmiObject -Namespace "root/cimv2/mdm/dmmap" -Class "MDM_Policy_Config01_ExploitGuard02" -Filter "InstanceID='ExploitGuard' and ParentID='./Vendor/MSFT/Policy/Config'"
$exploitGuardObject.ExploitProtectionSettings = $null
$exploitGuardObject.Put()

Windows Defender攻击防护策略设置

攻击面减少策略和选项

攻击面减少可以通过智能规则来减少应用程序的攻击面，这些规则可阻止 Office、脚本和基于邮件的恶意软件使用的矢量。详细了解攻击面减少和用于它的事件 ID。

要从攻击面减少规则中排除的文件和文件夹 - 单击 “设置” 并指定要排除的任何文件或文件夹。
Email威胁：
- 阻止来自电子邮件客户端和 Webmail 的可执行内容。
  - 未配置
  - 阻止
  - Audit
Office 威胁：
- 阻止 Office 应用程序创建子进程。
  - 未配置
  - 阻止
  - Audit
- 阻止 Office 应用程序创建可执行内容。
  - 未配置
  - 阻止
  - Audit
- 阻止 Office 应用程序将代码注入其他进程。
  - 未配置
  - 阻止
  - Audit
- 阻止从 Office 宏进行的 Win32 API 调用。
  - 未配置
  - 阻止
  - Audit
编写脚本威胁：
- 阻止 JavaScript 或 VBScript 启动下载的可执行内容。
  - 未配置
  - 阻止
  - Audit
- 阻止执行可能已模糊处理的脚本。
  - 未配置
  - 阻止
  - Audit
勒索软件威胁：从 Configuration Manager 版本 1802) 开始 (
- 对勒索软件使用高级保护。
  - 未配置
  - 阻止
  - Audit
操作系统威胁：从 Configuration Manager 版本 1802) 开始 (
- 阻止从 Windows 本地安全机构子系统窃取凭据。
  - 未配置
  - 阻止
  - Audit
- 阻止运行可执行文件，除非它们符合流行性、年龄或受信任的列表条件。
  - 未配置
  - 阻止
  - Audit
外部设备威胁：从 Configuration Manager 版本 1802) 开始 (
- 阻止从 USB 运行的不受信任和未签名的进程。
  - 未配置
  - 阻止
  - Audit

受控文件夹访问策略和选项

帮助保护关键系统文件夹中的文件免受恶意和可疑应用（包括文件加密勒索软件恶意软件）所做的更改的影响。有关详细信息，请参阅受控文件夹访问权限及其使用的事件 ID。

配置受控文件夹访问权限：
- 阻止
- 块磁盘扇区仅从 Configuration Manager 版本 1802) 开始 (
  - 允许仅对启动扇区启用受控文件夹访问，但不启用对特定文件夹或默认受保护文件夹的保护。
- Audit
- 仅从 Configuration Manager 版本 1802) 开始审核磁盘扇区 (
  - 允许仅对启动扇区启用受控文件夹访问，但不启用对特定文件夹或默认受保护文件夹的保护。
- Disabled
允许应用通过受控文件夹访问 - 单击“ 设置 ”并指定应用。
其他受保护的文件夹 - 单击 “设置 ”并指定其他受保护的文件夹。

Exploit Protection 策略

将攻击缓解技术应用于组织使用的操作系统进程和应用。这些设置可以从Windows 10或更高版本的 Windows Defender 安全中心应用导出。有关详细信息，请参阅 Exploit Protection。

Exploit Protection XML： 单击“ 浏览 ”并指定要导入的 XML 文件。

警告

在计算机之间传输攻击保护的 XML 文件时，应保持安全。该文件应在导入后删除或保存在安全位置。

网络保护策略

帮助最大程度地减少设备上来自基于 Internet 的攻击的攻击面。该服务限制对可能托管网络钓鱼欺诈、攻击和恶意内容的可疑域的访问。有关详细信息，请参阅网络保护。

配置网络保护：
- 阻止
- Audit
- Disabled

通过