Implementace pravidel omezení potenciální oblasti útoku
Platí pro:
Implementace pravidel omezení potenciální oblasti útoku přesune první testovací okruh do povoleného funkčního stavu.
Krok 1: Přechod pravidel omezení potenciální oblasti útoku z auditování na blokování
- Jakmile se v režimu auditování určí všechna vyloučení, začněte nastavovat některá pravidla omezení potenciální oblasti útoku na režim blokování, počínaje pravidlem, které obsahuje nejméně aktivovaných událostí. Viz Povolení pravidel omezení potenciální oblasti útoku.
- Na portálu Microsoft Defender se podívejte na stránku vytváření sestav. Viz Sestava ochrany před hrozbami v Microsoft Defender for Endpoint. Přečtěte si také zpětnou vazbu od svých šampionů.
- Upřesněte vyloučení nebo vytvořte nová vyloučení podle potřeby.
- Přepněte problematická pravidla zpět na Audit.
Poznámka
Pro problematická pravidla (pravidla vytvářejí příliš mnoho šumu) je lepší vytvořit vyloučení, než pravidla vypnout nebo přepnout zpět na audit. Budete muset určit, co je pro vaše prostředí nejlepší.
Tip
Pokud je k dispozici, můžete využít nastavení Režim upozornění v pravidlech k omezení přerušení. Povolením pravidel omezení potenciální oblasti útoku ve varovacím režimu můžete zaznamenávat aktivované události a zobrazovat jejich potenciální narušení, aniž byste ve skutečnosti blokovali přístup koncových uživatelů. Další informace: Režim upozornění pro uživatele
Jak funguje režim upozornění?
Režim upozornění je vlastně instrukce blokování, ale s možností pro uživatele "odblokovat" následné spuštění daného toku nebo aplikace. Režim upozornění odblokuje kombinaci jednotlivých zařízení, uživatelů, souborů a procesů. Informace o režimu upozornění se ukládají místně a mají dobu trvání 24 hodin.
Krok 2: Rozšíření nasazení na vyzvánění n + 1
Pokud jste si jistí, že jste správně nakonfigurovali pravidla omezení prostoru útoku pro okruh 1, můžete rozšířit rozsah nasazení na další okruh (okruh n + 1).
Proces nasazení, kroky 1 až 3, je v podstatě stejný pro každý další okruh:
- Testovací pravidla v auditování
- Kontrola událostí auditu aktivovaných snížením počtu útoků na portálu Microsoft Defender
- Create vyloučení
- Kontrola: Upřesnění, přidání nebo odebrání vyloučení podle potřeby
- Nastavit pravidla na blokovat
- Zkontrolujte stránku vytváření sestav na portálu Microsoft Defender.
- Create vyloučení.
- Zakažte problematická pravidla nebo je přepněte zpět na Audit.
Přizpůsobení pravidel omezení potenciální oblasti útoku
S tím, jak budete dál rozšiřovat nasazení pravidel omezení potenciální oblasti útoku, může být nezbytné nebo výhodné přizpůsobit pravidla omezení potenciální oblasti útoku, která jste povolili.
Vyloučení souborů a složek
Můžete se rozhodnout vyloučit soubory a složky z vyhodnocení pravidly omezení potenciální oblasti útoku. Pokud je soubor vyloučený, spuštění souboru se nezablokuje ani v případě, že pravidlo omezení potenciální oblasti útoku zjistí, že soubor obsahuje škodlivé chování.
Představte si například pravidlo ransomwaru:
Pravidlo ransomwaru je navržené tak, aby podnikovým zákazníkům pomohlo snížit riziko útoků ransomwarem a současně zajistit provozní kontinuitu. Ve výchozím nastavení je pravidlo ransomwaru na straně opatrnosti a ochrany před soubory, které ještě nedosáhly dostatečné reputace a důvěryhodnosti. Abychom to zdůraznili, pravidlo ransomwaru se aktivuje pouze u souborů, které nezískaly dostatek pozitivní reputace a rozšíření, a to na základě metrik využití milionů našich zákazníků. Bloky se obvykle vyřeší samy, protože hodnoty "reputace a důvěryhodnosti" jednotlivých souborů se postupně upgradují s tím, jak se zvyšuje bezproblémové využití.
V případech, kdy se bloky nevyřešují včas, můžou zákazníci na vlastní nebezpečí využít samoobslužný mechanismus nebo funkci seznamu povolených na základě ukazatele ohrožení (IOC) k odblokování samotných souborů.
Upozornění
Vyloučení nebo odblokování souborů nebo složek může potenciálně umožnit spuštění a napadení vašich zařízení nebezpečnými soubory. Vyloučení souborů nebo složek může výrazně snížit ochranu poskytovanou pravidly pro omezení potenciální oblasti útoku. Soubory, které by pravidlo zablokovalo, se bude moct spustit a nebude zaznamenána žádná sestava ani událost.
Vyloučení se může vztahovat na všechna pravidla, která umožňují vyloučení, nebo se vztahují na konkrétní pravidla využívající vyloučení jednotlivých pravidel. Můžete zadat individuální soubor, cestu ke složce nebo plně kvalifikovaný název domény pro prostředek.
Vyloučení se použije pouze při spuštění vyloučené aplikace nebo služby. Pokud například přidáte vyloučení pro již spuštěnou aktualizační službu, bude služba Aktualizace dál spouštět události, dokud se služba nezastaví a nerestartuje.
Zmenšení prostoru útoku podporuje proměnné prostředí a zástupné cardy. Informace o používání zástupných znaků najdete v tématu Použití zástupných znaků v seznamech názvů souborů a cest ke složce nebo v seznamech vyloučení přípon. Pokud máte problémy s pravidly, která detekují soubory, o kterých se domníváte, že by se neměly detekovat, použijte k otestování pravidla režim auditování.
Podrobnosti o jednotlivých pravidlech najdete v referenčním článku věnovaném pravidlu omezení potenciální oblasti útoku .
Vyloučení souborů a složek pomocí Zásady skupiny
Na počítači pro správu Zásady skupiny otevřete Konzolu pro správu zásad skupiny. Klikněte pravým tlačítkem na Zásady skupiny objekt, který chcete nakonfigurovat, a vyberte Upravit.
V Editoru pro správu zásad skupiny přejděte na Konfiguraci počítače a vyberte Šablony pro správu.
Rozbalte strom na Součásti> systému Windows Microsoft Defender Antivirus> Microsoft DefenderZmenšení prostoru útokuExploit Guard>.
Poklikejte na nastavení Vyloučit soubory a cesty z pravidel omezení potenciální oblasti útoku a nastavte možnost na Povoleno. Vyberte Zobrazit a zadejte jednotlivé soubory nebo složky do sloupce Název hodnoty . Zadejte 0 do sloupce Hodnota pro každou položku.
Upozornění
Nepoužívejte uvozovky, protože nejsou podporované pro sloupec Název hodnoty ani sloupec Hodnota .
Vyloučení souborů a složek pomocí PowerShellu
Do nabídky Start zadejte powershell, klikněte pravým tlačítkem na Windows PowerShell a vyberte Spustit jako správce.
Spusťte tuto rutinu:
Add-MpPreference -AttackSurfaceReductionOnlyExclusions "<fully qualified path or resource>"
Pokračujte v použití
Add-MpPreference -AttackSurfaceReductionOnlyExclusions
pro přidání dalších složek do seznamu.Důležité
Slouží
Add-MpPreference
k připojení nebo přidání aplikací do seznamu. Použití rutinySet-MpPreference
přepíše existující seznam.
Vyloučení souborů a složek pomocí poskytovatelů cloudových služeb MDM
K přidání vyloučení použijte poskytovatele konfiguračních služeb (CSP) ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions .
Přizpůsobení oznámení
Oznámení o aktivaci pravidla a blokování aplikace nebo souboru můžete přizpůsobit. Přečtěte si článek Zabezpečení Windows.
Další články v této kolekci nasazení
Přehled nasazení pravidel omezení potenciální oblasti útoku
Plánování nasazení pravidel omezení potenciální oblasti útoku
Testování pravidel omezení potenciální oblasti útoku
Zprovoznění pravidel omezení potenciální oblasti útoku
Referenční informace k pravidlu omezení potenciální oblasti útoku
Viz také
Tip
Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.