Povolení pravidel omezení potenciální oblasti útoku v Microsoft Defenderu pro firmy
Vaše oblasti útoku představují všechna místa a způsoby, jak jsou sítě a zařízení vaší organizace zranitelné vůči kybernetickým hrozbám a útokům. Nezabezpečená zařízení, neomezený přístup k jakékoli adrese URL na firemním zařízení a povolení spuštění libovolného typu aplikace nebo skriptu na firemních zařízeních jsou příklady oblastí útoku. Díky nim je vaše společnost zranitelná vůči kybernetickým útokům.
V zájmu ochrany sítě a zařízení obsahuje Microsoft Defender pro firmy několik možností omezení potenciální oblasti útoku, včetně pravidel omezení potenciální oblasti útoku. Tento článek popisuje, jak nastavit pravidla omezení potenciální oblasti útoku, a popisuje možnosti omezení potenciální oblasti útoku.
Standardní pravidla ochrany ASR
K dispozici je spousta pravidel omezení potenciální oblasti útoku. Nemusíte je nastavovat všechny najednou. Některá pravidla můžete nastavit v režimu auditování, abyste viděli, jak fungují ve vaší organizaci, a později je změnit tak, aby fungovala v režimu blokování. Přesto doporučujeme co nejdříve povolit následující standardní pravidla ochrany:
- Blokování krádeže přihlašovacích údajů ze subsystému místní autority zabezpečení Windows
- Blokovat zneužití zneužít ohrožených podepsaných ovladačů
- Blokování trvalosti prostřednictvím odběru událostí WMI
Tato pravidla pomáhají chránit vaši síť a zařízení, ale neměla by způsobit přerušení pro uživatele. Pomocí Intune nastavte pravidla omezení potenciální oblasti útoku.
Nastavení pravidel ASR pomocí Intune
V Centru pro správu Microsoft Intune přejděte naOmezení potenciální oblasti útokuzabezpečení> koncových bodů.
Zvolte Vytvořit zásadu a vytvořte novou zásadu.
- V části Platforma zvolte Windows 10, Windows 11 a Windows Server.
- V části Profil vyberte Pravidla omezení potenciální oblasti útoku a pak zvolte Vytvořit.
Zásady nastavte takto:
Zadejte název a popis a pak zvolte Další.
Pro nejméně následující tři pravidla nastavte každé z nich na Blokovat:
- Blokování krádeže přihlašovacích údajů ze subsystému místní autority zabezpečení Windows
- Blokování trvalosti prostřednictvím odběru událostí WMI
- Blokovat zneužití zneužít ohrožených podepsaných ovladačů
Pak zvolte Další.
V kroku Značky oboru zvolte Další.
V kroku Přiřazení zvolte uživatele nebo zařízení, která mají pravidla přijímat, a pak zvolte Další. (Doporučujeme vybrat Přidat všechna zařízení.)
V kroku Zkontrolovat a vytvořit zkontrolujte informace a pak zvolte Vytvořit.
Tip
Pokud chcete, můžete nejprve nastavit pravidla omezení potenciální oblasti útoku v režimu auditu, abyste viděli detekce před tím, než se soubory nebo procesy skutečně zablokují. Podrobnější informace o pravidlech omezení potenciální oblasti útoku najdete v tématu Přehled nasazení pravidel omezení potenciální oblasti útoku.
Zobrazení sestavy omezení potenciální oblasti útoku
Defender pro firmy obsahuje sestavu omezení potenciální oblasti útoku, která ukazuje, jak pro vás fungují pravidla omezení potenciální oblasti útoku.
Na portálu Microsoft Defender v navigačním podokně zvolte Sestavy.
V části Koncové body zvolte Pravidla omezení potenciální oblasti útoku. Sestava se otevře a obsahuje tři karty:
- Detekce, kde můžete zobrazit detekce, ke kterým došlo v důsledku pravidel omezení potenciální oblasti útoku
- Konfigurace, kde můžete zobrazit data pro standardní pravidla ochrany nebo jiná pravidla omezení potenciálního útoku
- Přidání vyloučení, kde můžete přidávat položky, které mají být vyloučeny z pravidel omezení potenciální oblasti útoku (používejte vyloučení střídmě; každé vyloučení snižuje úroveň ochrany zabezpečení).
Další informace o pravidlech omezení potenciální oblasti útoku najdete v následujících článcích:
- Přehled pravidel omezení potenciální oblasti útoku
- Sestava pravidel omezení potenciální oblasti útoku
- Referenční informace k pravidlu omezení potenciální oblasti útoku
- Přehled nasazení pravidel omezení potenciální oblasti útoku
Možnosti omezení potenciální oblasti útoku v Defenderu pro firmy
Pravidla omezení potenciální oblasti útoku jsou k dispozici v Defenderu pro firmy. Následující tabulka shrnuje možnosti omezení potenciálních oblastí útoku v Defenderu pro firmy. Všimněte si, jak spolu s možnostmi omezení potenciální oblasti útoku spolupracují další funkce, jako je ochrana nové generace a filtrování webového obsahu.
Schopnost | Jak ho nastavit |
---|---|
Pravidla pro omezení potenciální oblasti útoku Zabraňte konkrétním akcím, které jsou běžně spojené se škodlivými aktivitami, které se mají spustit na zařízeních s Windows. |
Povolte standardní pravidla omezení potenciální oblasti útoku ochrany (část v tomto článku). |
Řízený přístup ke složkám Řízený přístup ke složkám umožňuje přístup k chráněným složkám na zařízeních s Windows jenom důvěryhodným aplikacím. Tuto možnost si můžete představit jako zmírnění ransomwaru. |
Nastavte zásady řízeného přístupu ke složkách v Microsoft Defenderu pro firmy. |
Ochrana sítě Ochrana sítě brání uživatelům v přístupu k nebezpečným doménám prostřednictvím aplikací na zařízeních s Windows a Mac. Ochrana sítě je také klíčovou součástí filtrování webového obsahu v Microsoft Defenderu pro firmy. |
Ochrana sítě je už ve výchozím nastavení povolená, když jsou zařízení onboardovaná do Defenderu pro firmy a použijí se zásady ochrany nové generace v Defenderu pro firmy . Výchozí zásady jsou nakonfigurované tak, aby používaly doporučené nastavení zabezpečení. |
Webová ochrana Webová ochrana se integruje s webovými prohlížeči a pracuje s ochranou sítě, aby byla chráněna před webovými hrozbami a nežádoucím obsahem. Webová ochrana zahrnuje filtrování webového obsahu a sestavy webových hrozeb. |
Nastavení filtrování webového obsahu v Microsoft Defenderu pro firmy |
Ochrana firewallem Ochrana firewallem určuje, jaký síťový provoz může proudit do nebo z zařízení vaší organizace. |
Ochrana firewallem je už ve výchozím nastavení povolená, když jsou zařízení onboardovaná do Defenderu pro firmy a použijí se zásady brány firewall v Defenderu pro firmy . |