Sdílet prostřednictvím

Povolení pravidel omezení potenciální oblasti útoku v Microsoft Defenderu pro firmy

  • Článek

Vaše oblasti útoku představují všechna místa a způsoby, jak jsou sítě a zařízení vaší organizace zranitelné vůči kybernetickým hrozbám a útokům. Nezabezpečená zařízení, neomezený přístup k jakékoli adrese URL na firemním zařízení a povolení spuštění libovolného typu aplikace nebo skriptu na firemních zařízeních jsou příklady oblastí útoku. Díky nim je vaše společnost zranitelná vůči kybernetickým útokům.

V zájmu ochrany sítě a zařízení obsahuje Microsoft Defender pro firmy několik možností omezení potenciální oblasti útoku, včetně pravidel omezení potenciální oblasti útoku. Tento článek popisuje, jak nastavit pravidla omezení potenciální oblasti útoku, a popisuje možnosti omezení potenciální oblasti útoku.

Standardní pravidla ochrany ASR

K dispozici je spousta pravidel omezení potenciální oblasti útoku. Nemusíte je nastavovat všechny najednou. Některá pravidla můžete nastavit v režimu auditování, abyste viděli, jak fungují ve vaší organizaci, a později je změnit tak, aby fungovala v režimu blokování. Přesto doporučujeme co nejdříve povolit následující standardní pravidla ochrany:

Tato pravidla pomáhají chránit vaši síť a zařízení, ale neměla by způsobit přerušení pro uživatele. Pomocí Intune nastavte pravidla omezení potenciální oblasti útoku.

Nastavení pravidel ASR pomocí Intune

  1. V Centru pro správu Microsoft Intune přejděte naOmezení potenciální oblasti útokuzabezpečení> koncových bodů.

  2. Zvolte Vytvořit zásadu a vytvořte novou zásadu.

    • V části Platforma zvolte Windows 10, Windows 11 a Windows Server.
    • V části Profil vyberte Pravidla omezení potenciální oblasti útoku a pak zvolte Vytvořit.

  3. Zásady nastavte takto:

    1. Zadejte název a popis a pak zvolte Další.

    2. Pro nejméně následující tři pravidla nastavte každé z nich na Blokovat:

      • Blokování krádeže přihlašovacích údajů ze subsystému místní autority zabezpečení Windows
      • Blokování trvalosti prostřednictvím odběru událostí WMI
      • Blokovat zneužití zneužít ohrožených podepsaných ovladačů

      Pak zvolte Další.

    3. V kroku Značky oboru zvolte Další.

    4. V kroku Přiřazení zvolte uživatele nebo zařízení, která mají pravidla přijímat, a pak zvolte Další. (Doporučujeme vybrat Přidat všechna zařízení.)

    5. V kroku Zkontrolovat a vytvořit zkontrolujte informace a pak zvolte Vytvořit.

Tip

Pokud chcete, můžete nejprve nastavit pravidla omezení potenciální oblasti útoku v režimu auditu, abyste viděli detekce před tím, než se soubory nebo procesy skutečně zablokují. Podrobnější informace o pravidlech omezení potenciální oblasti útoku najdete v tématu Přehled nasazení pravidel omezení potenciální oblasti útoku.

Zobrazení sestavy omezení potenciální oblasti útoku

Defender pro firmy obsahuje sestavu omezení potenciální oblasti útoku, která ukazuje, jak pro vás fungují pravidla omezení potenciální oblasti útoku.

  1. Na portálu Microsoft Defender v navigačním podokně zvolte Sestavy.

  2. V části Koncové body zvolte Pravidla omezení potenciální oblasti útoku. Sestava se otevře a obsahuje tři karty:

    • Detekce, kde můžete zobrazit detekce, ke kterým došlo v důsledku pravidel omezení potenciální oblasti útoku
    • Konfigurace, kde můžete zobrazit data pro standardní pravidla ochrany nebo jiná pravidla omezení potenciálního útoku
    • Přidání vyloučení, kde můžete přidávat položky, které mají být vyloučeny z pravidel omezení potenciální oblasti útoku (používejte vyloučení střídmě; každé vyloučení snižuje úroveň ochrany zabezpečení).

Další informace o pravidlech omezení potenciální oblasti útoku najdete v následujících článcích:

Možnosti omezení potenciální oblasti útoku v Defenderu pro firmy

Pravidla omezení potenciální oblasti útoku jsou k dispozici v Defenderu pro firmy. Následující tabulka shrnuje možnosti omezení potenciálních oblastí útoku v Defenderu pro firmy. Všimněte si, jak spolu s možnostmi omezení potenciální oblasti útoku spolupracují další funkce, jako je ochrana nové generace a filtrování webového obsahu.

Schopnost Jak ho nastavit
Pravidla pro omezení potenciální oblasti útoku
Zabraňte konkrétním akcím, které jsou běžně spojené se škodlivými aktivitami, které se mají spustit na zařízeních s Windows.		 Povolte standardní pravidla omezení potenciální oblasti útoku ochrany (část v tomto článku).
Řízený přístup ke složkám
Řízený přístup ke složkám umožňuje přístup k chráněným složkám na zařízeních s Windows jenom důvěryhodným aplikacím. Tuto možnost si můžete představit jako zmírnění ransomwaru.		 Nastavte zásady řízeného přístupu ke složkách v Microsoft Defenderu pro firmy.
Ochrana sítě
Ochrana sítě brání uživatelům v přístupu k nebezpečným doménám prostřednictvím aplikací na zařízeních s Windows a Mac. Ochrana sítě je také klíčovou součástí filtrování webového obsahu v Microsoft Defenderu pro firmy.		 Ochrana sítě je už ve výchozím nastavení povolená, když jsou zařízení onboardovaná do Defenderu pro firmy a použijí se zásady ochrany nové generace v Defenderu pro firmy . Výchozí zásady jsou nakonfigurované tak, aby používaly doporučené nastavení zabezpečení.
Webová ochrana
Webová ochrana se integruje s webovými prohlížeči a pracuje s ochranou sítě, aby byla chráněna před webovými hrozbami a nežádoucím obsahem. Webová ochrana zahrnuje filtrování webového obsahu a sestavy webových hrozeb.		 Nastavení filtrování webového obsahu v Microsoft Defenderu pro firmy
Ochrana firewallem
Ochrana firewallem určuje, jaký síťový provoz může proudit do nebo z zařízení vaší organizace.		 Ochrana firewallem je už ve výchozím nastavení povolená, když jsou zařízení onboardovaná do Defenderu pro firmy a použijí se zásady brány firewall v Defenderu pro firmy .

Další kroky