Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Zmenšení potenciální oblasti útoku je sada funkcí v Microsoft Defender for Endpoint, které eliminují rizikové nebo zbytečné chování na zařízeních a sítích a snižují tak příležitosti, které útočníci mají k ohrožení vaší organizace. Oblasti útoků jsou místa, kde je vaše organizace zranitelná vůči kybernetickým hrozbám. Posílením těchto ploch můžete zabránit útokům.
Tyto funkce blokují rizikové chování softwaru, zabraňují připojení ke škodlivým webům a chrání data před neoprávněným přístupem nebo exfiltrací. Společně tvoří vrstvenou ochranu, která doplňuje funkce detekce a reakce v Defenderu for Endpoint.
Možnosti omezení potenciální oblasti útoku
Omezení potenciální oblasti útoku v Defenderu for Endpoint zahrnuje následující možnosti:
Pravidla omezení potenciální oblasti útoku (ASR) omezují rizikové chování softwaru, které útočníci zneužívají, například spouštění spustitelných souborů, které se pokoušejí stáhnout soubory, spouštění obfuskovaných skriptů nebo provádění akcí, které aplikace obvykle nespouštějí během každodenní práce. Další informace najdete v přehledu pravidel omezení potenciální oblasti útoku (ASR).
Řízený přístup ke složkám chrání cenná data před škodlivými aplikacemi a hrozbami, jako je ransomware. Kontroluje aplikace na seznamu známých a důvěryhodných aplikací a brání nedůvěryhodným aplikacím v úpravách souborů v chráněných složkách. Další informace najdete v tématu Ochrana důležitých složek pomocí řízeného přístupu ke složkám.
Ochrana před zneužitím automaticky aplikuje techniky zmírnění zneužití na procesy a aplikace operačního systému. Staví na ochraně, které byly k dispozici v sadě EMET (Enhanced Mitigation Experience Toolkit), a integruje se s Defenderem for Endpoint pro vytváření sestav a upozorňování. Další informace najdete v tématu Ochrana zařízení před zneužitím.
Ochrana sítě zabraňuje připojení ke škodlivým nebo podezřelým doménám a IP adresám. Rozšiřuje ochranu Microsoft Defender filtrem SmartScreen tak, aby blokovala veškerý odchozí provoz HTTP(S), který se pokouší připojit ke zdrojům s nízkou reputací. Další informace najdete v tématu Ochrana sítě.
Webová ochrana chrání zařízení před webovými hrozbami a pomáhá regulovat nežádoucí obsah. Webová ochrana zahrnuje ochranu před webovými hrozbami, filtrování webového obsahu a vlastní indikátory. Další informace najdete v tématu Webová ochrana.
Filtrování webového obsahu sleduje a reguluje přístup k webům na základě jejich kategorií obsahu a umožňuje blokovat kategorie, které porušují předpisy o dodržování předpisů nebo zásady organizace. Další informace najdete v tématu Filtrování webového obsahu.
Řízení zařízení určuje, jestli uživatelé můžou na svých počítačích instalovat a používat periferní zařízení, jako jsou USB disky, tiskárny a zařízení Bluetooth. Řízení zařízení pomáhá předcházet ztrátě dat a malwaru z vyměnitelných médií. Další informace najdete v tématu Ovládání zařízení v Microsoft Defender for Endpoint.
Generování sestav brány firewall sítě se integruje s bránou Windows Firewall a poskytuje centralizovaný přehled o událostech brány firewall na portálu Microsoft Defender. Další informace najdete v tématu Vytváření sestav brány firewall hostitele.
Dostupnost těchto funkcí je shrnuta v následující tabulce:
| Funkce | Windows | macOS | Linux |
|---|---|---|---|
| Pravidla ASR | A | N | N |
| Řízený přístup ke složkám | A | N | N |
| Ochrana před zneužitím | A | N | N |
| Ochrana sítě | A | A | A* |
| Webová ochrana | A | A | A* |
| Filtrování webového obsahu | A | A | A |
| Ovládání zařízení | A | A | N |
| Vytváření sestav brány firewall | A | N | N |
* Aktuálně ve verzi Preview.
Související funkce zabezpečení Windows
Následující funkce zabezpečení Windows doplňují omezení potenciální oblasti útoku v Defenderu for Endpoint, ale jsou nakonfigurované a spravované samostatně:
- Ochrana Application Guard v programu Microsoft Defender poskytuje hardwarovou izolaci pro Microsoft Edge a otevírá nedůvěryhodné weby v kontejneru pro ochranu vaší organizace. Další informace najdete v přehledu Ochrana Application Guard v programu Microsoft Defender.
- Řízení aplikací v programu Windows Defender (WDAC) zajišťuje, aby na vašich zařízeních běžely jenom důvěryhodné aplikace. Další informace najdete v tématu Řízení aplikací pro Windows.
- Brána Windows Firewall řídí příchozí a odchozí síťový provoz na zařízeních. Další informace najdete v tématu Brána Windows Firewall s pokročilým zabezpečením.
Jak se omezení potenciální oblasti útoku hodí do Defenderu for Endpoint
Zmenšení prostoru pro útoky doplňuje další funkce Defenderu for Endpoint, které detekují hrozby a reagují na ně po jejich výskytu. I když se ochrana nové generace a detekce koncových bodů a reakce na ně zaměřují na identifikaci a nápravu aktivních hrozeb, omezení potenciální oblasti útoku brání hrozbám v získání opony.
Každá schopnost řeší jinou část prostoru útoku:
- Rizikové chování softwaru: Pravidla ASR omezují způsob chování aplikací a skriptů a blokují běžné techniky, které útočníci používají k doručování malwaru nebo krádeži přihlašovacích údajů.
- Síťová připojení: Ochrana sítě a webová ochrana blokují přístup ke známým škodlivým nebo nevhodným webům předtím, než se obsah dostane do zařízení.
- Přístup k datům a souborům: Řízený přístup ke složkě a řízení zařízení omezuje, které aplikace a hardware můžou přistupovat k citlivým souborům nebo je upravovat.
- Ohrožení zabezpečení aplikací: Ochrana před zneužitím používá zmírnění rizik, která útočníkům znesnadní zneužití ohrožení zabezpečení v procesech a aplikacích operačního systému.
Režim auditování
Režim auditování pomáhá vyhodnotit dopad funkcí redukce prostoru útoku na vaše prostředí, aniž by to mělo vliv na produktivitu. Režim auditování podporují následující funkce:
- Pravidla a vyloučení potenciální oblasti útoku (ASR)
- Řízený přístup ke složkám
- Ochrana před zneužitím
- Ochrana sítě
V režimu auditování tyto funkce neblokují aplikace, skripty ani připojení. Protokol událostí systému Windows místo toho zaznamenává události, jako by byly funkce aktivní. Na portálu Microsoft Defender můžete zkontrolovat protokoly událostí a použít rozšířené proaktivní vyhledávání, abyste pochopili, jak by jednotlivé funkce mohly ovlivnit vaše obchodní aplikace. Další informace o datech ve Windows Prohlížeč událostí najdete v tématu Zobrazení událostí omezení potenciální oblasti útoku ve Windows Prohlížeč událostí.
Nástroje pro správu
Možnosti omezení potenciální oblasti útoku můžete nakonfigurovat pomocí několika nástrojů pro správu. Běžně se používají následující nástroje:
- Microsoft Intune
- Microsoft Configuration Manager
- Zásady skupiny
- Rutiny PowerShellu
Správný nástroj závisí na předvolbách infrastruktury a správy vaší organizace. Podrobné pokyny ke konfiguraci najdete v článcích o jednotlivých funkcích uvedených v části Možnosti omezení potenciální oblasti útoku .
Související obsah
- Přehled pravidel omezení potenciální oblasti útoku (ASR)
- Průvodce nasazením pravidel omezení potenciální oblasti útoku (OPOÚ)
- Události omezení potenciální oblasti útoku ve Windows Prohlížeč událostí
- Ochrana důležitých složek pomocí řízeného přístupu ke složkám
- Ochrana zařízení před zneužitím
- Ochrana sítě
- Webová ochrana
- Ovládání zařízení v Microsoft Defender for Endpoint