Sdílet prostřednictvím

Implementace pravidel omezení potenciální oblasti útoku

  • Platí pro: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

Při implementaci pravidel omezení potenciální oblasti útoku přesuňte první testovací okruh do povoleného funkčního stavu.

Postup implementace pravidel omezení potenciální oblasti útoku

Krok 1: Přechod pravidel omezení potenciální oblasti útoku z auditování na blokování

  1. Jakmile se v režimu auditování určí všechna vyloučení, začněte nastavovat některá pravidla omezení potenciální oblasti útoku na režim blokování, počínaje pravidlem, které obsahuje nejméně aktivovaných událostí. Viz Povolení pravidel omezení potenciální oblasti útoku.

  2. Na portálu Microsoft Defender se podívejte na stránku vytváření sestav. Viz Sestava ochrany před hrozbami v Microsoft Defender for Endpoint. Přečtěte si také zpětnou vazbu od svých šampionů.

  3. Upřesněte vyloučení nebo vytvořte nová vyloučení podle potřeby.

  4. Přepněte problematická pravidla zpět na Audit.

    Poznámka

    Pro problematická pravidla (pravidla vytvářejí příliš mnoho šumu) je lepší vytvořit vyloučení, než pravidla vypnout nebo přepnout zpět na Audit. Musíte určit, co je pro vaše prostředí nejlepší.

Tip

Pokud je k dispozici, můžete využít nastavení Režim upozornění v pravidlech k omezení přerušení. Povolením pravidel omezení potenciální oblasti útoku ve varovacím režimu můžete zaznamenávat aktivované události a zobrazovat jejich potenciální narušení, aniž byste ve skutečnosti blokovali přístup koncových uživatelů. Další informace: Režim upozornění pro uživatele

Jak funguje režim upozornění?

Režim upozornění je vlastně instrukce blokování, ale s možností pro uživatele "odblokovat" následné spuštění daného toku nebo aplikace. Režim upozornění odblokuje kombinaci jednotlivých zařízení, uživatelů, souborů a procesů. Informace o režimu upozornění se ukládají místně a mají dobu trvání 24 hodin.

Krok 2: Rozšíření nasazení na vyzvánění n + 1

Pokud jste si jistí, že jste správně nakonfigurovali pravidla omezení prostoru útoku pro okruh 1, můžete rozšířit rozsah nasazení na další okruh (okruh n + 1).

V následujícím procesu nasazení jsou kroky 1 až 3 v podstatě stejné pro každý další okruh:

  1. Otestujte pravidla v režimu auditování.

  2. Na portálu Microsoft Defender zkontrolujte události auditu aktivované snížením počtu útoků.

  3. Vytvořte vyloučení.

  4. Zkontrolujte a pak podle potřeby zpřesněte, přidejte nebo odeberte vyloučení.

  5. Nastavte pravidla do režimu blokování.

  6. Zkontrolujte stránku vytváření sestav na portálu Microsoft Defender.

  7. Vytvořte vyloučení.

  8. Zakažte problematická pravidla nebo je přepněte zpět na Audit.

Přizpůsobení pravidel omezení potenciální oblasti útoku

S tím, jak budete dál rozšiřovat nasazení pravidel omezení potenciální oblasti útoku, může být nezbytné nebo přínosné přizpůsobit pravidla omezení potenciální oblasti útoku, která jsou povolená.

Vyloučení souborů a složek

Můžete se rozhodnout vyloučit soubory a složky z vyhodnocení pravidly omezení potenciální oblasti útoku. Pokud je soubor vyloučený, spuštění souboru se nezablokuje ani v případě, že pravidlo omezení potenciální oblasti útoku zjistí, že soubor obsahuje škodlivé chování.

Představte si například pravidlo ransomwaru:

Pravidlo ransomwaru je navržené tak, aby podnikovým zákazníkům pomohlo snížit riziko útoků ransomwarem a současně zajistit provozní kontinuitu. Ve výchozím nastavení je pravidlo ransomwaru na straně opatrnosti a ochrany před soubory, které ještě nedosáhly dostatečné reputace a důvěryhodnosti. Abychom to znovu zdůraznili, pravidlo ransomwaru se aktivuje jenom u souborů, které nezískaly dostatek pozitivní reputace a rozšíření, a to na základě metrik využití milionů našich zákazníků. Bloky se obvykle překládají samy, protože hodnoty "reputace a důvěryhodnosti" jednotlivých souborů se postupně upgradují s tím, jak se zvyšuje bezproblémové využití.

V případech, kdy se bloky nevyřešují včas, můžou zákazníci na vlastní nebezpečí využít samoobslužný mechanismus nebo funkci seznamu povolených na základě ukazatele ohrožení (IOC) k odblokování samotných souborů.

Upozornění

Vyloučení nebo odblokování souborů nebo složek může potenciálně umožnit spuštění a napadení vašich zařízení nebezpečnými soubory. Vyloučení souborů nebo složek může výrazně snížit ochranu poskytovanou pravidly pro omezení potenciální oblasti útoku. Soubory, které by pravidlo zablokovalo, se můžou spouštět a nezaznamenávají se žádné sestavy ani události.

Vyloučení se může vztahovat na všechna pravidla, která umožňují vyloučení, nebo se vztahují na konkrétní pravidla využívající vyloučení jednotlivých pravidel. Můžete zadat individuální soubor, cestu ke složce nebo plně kvalifikovaný název domény pro prostředek.

Vyloučení se použije pouze při spuštění vyloučené aplikace nebo služby. Pokud například přidáte vyloučení pro již spuštěnou aktualizační službu, bude služba Aktualizace dál spouštět události, dokud se služba nezastaví a nerestartuje.

Zmenšení prostoru útoku podporuje proměnné prostředí a zástupné cardy. Informace o používání zástupných znaků najdete v tématu Použití zástupných znaků v seznamech názvů souborů a cest ke složce nebo v seznamech vyloučení přípon. Pokud máte problémy s pravidly, která detekují soubory, o kterých se domníváte, že by se neměly detekovat, použijte k otestování pravidla režim auditování.

Podrobnosti o jednotlivých pravidlech najdete v referenčním článku věnovaném pravidlu omezení potenciální oblasti útoku .

Vyloučení souborů a složek pomocí Zásady skupiny

  1. Na počítači pro správu Zásady skupiny otevřete Konzolu pro správu zásad skupiny. Klikněte pravým tlačítkem na Zásady skupiny objekt, který chcete nakonfigurovat, a vyberte Upravit.

  2. V Editoru pro správu zásad skupiny přejděte na Konfiguraci počítače a vyberte Šablony pro správu.

  3. Rozbalte strom na Součásti> systému Windows Microsoft Defender Antivirus> Microsoft DefenderZmenšení prostoru útokuExploit Guard>.

  4. Poklikejte na nastavení Vyloučit soubory a cesty z pravidel omezení potenciální oblasti útoku a nastavte možnost na Povoleno. Vyberte Zobrazit a zadejte jednotlivé soubory nebo složky do sloupce Název hodnoty . Zadejte 0 do sloupce Hodnota pro každou položku.

Upozornění

Nepoužívejte uvozovky, protože nejsou podporované ve sloupci Název hodnoty ani ve sloupci Hodnota .

Vyloučení souborů a složek pomocí PowerShellu

  1. V nabídce Start zadejte powershell, klikněte pravým tlačítkem na Windows PowerShell a pak vyberte Spustit jako správce.

  2. Spusťte tuto rutinu:

    Add-MpPreference -AttackSurfaceReductionOnlyExclusions "<fully qualified path or resource>"

    Pokračujte v použití Add-MpPreference -AttackSurfaceReductionOnlyExclusions pro přidání dalších složek do seznamu.

    Důležité

    Slouží Add-MpPreference k připojení nebo přidání aplikací do seznamu. Pomocí rutiny Set-MpPreference přepíšete existující seznam.

Vyloučení souborů a složek pomocí poskytovatelů cloudových služeb MDM

K přidání vyloučení použijte poskytovatele konfiguračních služeb (CSP) ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions .

Přizpůsobení oznámení

Oznámení o aktivaci pravidla a blokování aplikace nebo souboru můžete přizpůsobit. Přečtěte si článek Zabezpečení Windows.

Přehled nasazení pravidel omezení potenciální oblasti útoku

Plánování nasazení pravidel omezení potenciální oblasti útoku

Testování pravidel omezení potenciální oblasti útoku

Zprovoznění pravidel omezení potenciální oblasti útoku

Referenční informace k pravidlu omezení potenciální oblasti útoku

Viz také

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.

  • Last updated on