Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Testování Microsoft Defender for Endpoint pravidel omezení potenciální oblasti útoku vám pomůže určit, jestli pravidla brání obchodním operacím, než pravidla povolíte. Když začnete s malou kontrolovanou skupinou, můžete omezit potenciální přerušení práce při rozšíření nasazení v rámci vaší organizace.
V této části průvodce nasazením pravidel omezení potenciální oblasti útoku se dozvíte, jak:
- Konfigurace pravidel pomocí Microsoft Intune
- Použití Microsoft Defender for Endpoint sestav pravidel omezení potenciální oblasti útoku
- Konfigurace vyloučení pravidel omezení potenciální oblasti útoku
- Povolení pravidel omezení potenciální oblasti útoku pomocí PowerShellu
- Použití Prohlížeč událostí pro události pravidel omezení potenciální oblasti útoku
Poznámka
Než začnete testovat pravidla omezení potenciální oblasti útoku, doporučujeme nejprve zakázat všechna pravidla, která byla dříve nastavená na audit nebo povolení (pokud je to možné). Informace o používání pravidel omezení potenciální oblasti útoku najdete v tématu Sestavy o zákazu pravidel omezení potenciální oblasti útoku.
Zahajte nasazení pravidel omezení potenciální oblasti útoku pomocí okruhu 1.
Krok 1: Testování pravidel omezení potenciální oblasti útoku pomocí auditování
Zahajte testovací fázi zapnutím pravidel omezení potenciální oblasti útoku s pravidly nastavenými na Audit, počínaje uživateli šampionů nebo zařízeními v okruhu 1. Obvykle se doporučuje povolit všechna pravidla (v auditování), abyste mohli určit, která pravidla se aktivují během testovací fáze.
Pravidla, která jsou nastavená na Audit, nemají obecně vliv na funkčnost entity nebo entit, na které se pravidlo použije, ale generují protokolované události pro vyhodnocení. nemá žádný vliv na koncové uživatele.
Konfigurace pravidel omezení potenciální oblasti útoku pomocí Intune
Pokud chcete nakonfigurovat pravidla omezení potenciální oblasti útoku pomocí zásad omezení potenciální oblasti útoku Microsoft Intune Endpoint Security, přečtěte si téma Vytvoření zásady zabezpečení koncového bodu (otevře se na nové kartě v dokumentaci k Intune). Při vytváření zásad použijte tato nastavení:
- Typ zásady: Omezení prostoru útoku
- Platforma: Windows 10, Windows 11 a Windows Server
- Profil: Pravidla omezení potenciální oblasti útoku
- Nastavení konfigurace: Nastavte všechna pravidla do režimu auditování , aby se vyhodnotil dopad před vynucováním.
Další informace o profilech omezení potenciálních oblastí útoku dostupných v Microsoft Intune najdete v tématu Správa nastavení omezení potenciální oblasti útoku pomocí Microsoft Intune.
Po vytvoření a přiřazení zásady se vraťte k tomuto článku a pokračujte v testování a ověřování.
Krok 2: Seznamte se se stránkou vytváření sestav pravidel omezení potenciální oblasti útoku na portálu Microsoft Defender.
Stránka pro sestavy pravidel omezení potenciální oblasti útoku se nachází na portálu Microsoft Defender portal>ReportsAttack surface reduction rules (Pravidla > omezení potenciální oblasti útoku). Tato stránka má tři karty:
- Detekcí
- Konfigurace
- Přidání vyloučení
Karta Detekce
Poskytuje 30denní časovou osu zjištěných auditovaných a blokovaných událostí.
Podokno pravidel omezení potenciální oblasti útoku poskytuje přehled zjištěných událostí na základě jednotlivých pravidel.
Poznámka
V sestavách pravidel omezení potenciální oblasti útoku existují určité varianty. Společnost Microsoft právě aktualizuje chování sestav pravidel omezení potenciální oblasti útoku, aby poskytovala konzistentní prostředí.
Výběrem možnosti Zobrazit detekce otevřete kartu Detekce .
Podokno GroupBy a Filtr nabízí následující možnosti:
Funkce GroupBy vrátí výsledky nastavené na následující skupiny:
- Žádné seskupení
- Zjištěný soubor
- Auditovat nebo blokovat
- Pravidlo
- Zdrojová aplikace
- Device
- User
- Vydavatel
Poznámka
Při filtrování podle pravidla je počet jednotlivých zjištěných položek uvedených v dolní polovině sestavy aktuálně omezený na 200 pravidel. Úplný seznam detekcí můžete uložit do Excelu pomocí příkazu Exportovat .
Filtr otevře stránku Filtrovat podle pravidel , která umožňuje omezit výsledky pouze na vybraná pravidla omezení potenciální oblasti útoku:
Poznámka
Pokud máte licenci pro Microsoft 365 Security E5 nebo A5 nebo Windows E5 nebo A5, na následujícím odkazu se otevře portál Microsoft Defender s viditelnými detekcemi: Detekce omezení potenciální oblasti útoku.
Karta Konfigurace
Uvádí pro jednotlivé počítače agregovaný stav pravidel omezení potenciální oblasti útoku: Vypnuto, Audit, Blokovat.
Na kartě Konfigurace můžete výběrem zařízení, které chcete zkontrolovat, zjistit, která pravidla omezení potenciální oblasti útoku jsou povolená a jejich režim pro jednotlivá zařízení.
Odkaz Začínáme otevře Centrum pro správu Microsoft Intune, kde můžete vytvořit nebo upravit zásady ochrany koncových bodů pro omezení potenciální oblasti útoku:
V části Zabezpečení koncového bodu | Přehled a vyberte Omezení potenciální oblasti útoku:
Zabezpečení koncového bodu | Otevře se podokno omezení potenciální oblasti útoku:
Poznámka
Pokud máte Microsoft Defender 365 E5 (nebo Windows E5?) Licence: Tento odkaz otevře kartu Microsoft Defender 365 Reports (Sestavy 365) > – Konfigurace omezení > potenciální oblasti útoku.
Přidání vyloučení
Tato karta poskytuje metodu pro výběr zjištěných entit (například falešně pozitivních) pro vyloučení. Po přidání vyloučení sestava obsahuje souhrn očekávaného dopadu.
Poznámka
Pravidla omezení potenciální oblasti útoku dodržují vyloučení antivirové ochrany (AV) Microsoft Defender. Viz Konfigurace a ověření vyloučení na základě rozšíření, názvu nebo umístění.
Poznámka
Pokud máte odpovídající licenci a oprávnění, otevře tento odkaz portál Microsoft Defender s viditelnými vyloučeními.
Další informace o použití sestavy pravidel omezení potenciální oblasti útoku najdete v tématu Sestavy pravidel omezení potenciální oblasti útoku.
Konfigurace vyloučení omezení potenciální oblasti útoku podle pravidla
Pravidla omezení potenciální oblasti útoku teď poskytují možnost konfigurovat vyloučení specifická pro pravidla, která se označují jako vyloučení na jednotlivá pravidla.
Pokud chcete nakonfigurovat konkrétní vyloučení pravidel, můžete použít správu nastavení zabezpečení, Intune a Zásady skupiny defenderu for Endpoint.
Poznámka
Při konfiguraci vyloučení omezení oblasti útoku podle pravidla mějte na paměti, že zadání pouze názvu souboru nebo aplikace (například test1.exe) není dostatečné. Pokud chcete zajistit správné použití vyloučení, C:\test1.exemusíte zadat úplnou cestu k souboru nebo aplikaci (například ).
Přes Intune
Otevřete Centrum pro správu Microsoft Intune a přejděte do částiZabezpečení>domovského> koncového bodu –Omezení potenciální oblasti útoku.
Pokud ještě není nakonfigurované, nastavte pravidlo, pro které chcete nakonfigurovat vyloučení, na Audit nebo Blokovat.
V části AsR Only Per Rule Exclusion (Pouze ASR pro vyloučení podle pravidla) vyberte přepínač a změňte z Nenakonfigurováno na Configured (Nenakonfigurováno) na Configured (Nakonfigurované).
Zadejte názvy souborů nebo aplikací, které chcete vyloučit.
V dolní části průvodce vytvořením profilu vyberte Další a postupujte podle pokynů průvodce.
Tip
Pomocí zaškrtávacích políček vedle seznamu položek vyloučení vyberte položky, které chcete odstranit, seřadit, importovat nebo exportovat.
Přes Zásady skupiny
Pokyny najdete v tématu Konfigurace pravidel ASR prostřednictvím zásad skupiny.
Pokud se objekt zásad zabezpečení nepoužívá na zařízeních, přečtěte si téma Řešení potíží s nastavením Microsoft Defender antivirové ochrany.
Použití PowerShellu jako alternativní metody k povolení pravidel omezení potenciální oblasti útoku
Jako alternativu k Intune použijte PowerShell a povolte tak pravidla omezení potenciální oblasti útoku v režimu auditování. Tato konfigurace umožňuje zobrazit záznam aplikací, které by byly blokované, pokud by byla funkce plně povolená. Můžete také zjistit, jak často se pravidla aktivují při běžném používání.
Pokud chcete v režimu auditu povolit pravidlo omezení potenciální oblasti útoku, použijte následující rutinu PowerShellu:
Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions AuditMode
Kde <rule ID> je hodnota GUID pravidla omezení potenciální oblasti útoku.
Pokud chcete povolit všechna přidaná pravidla omezení potenciální oblasti útoku v režimu auditování, použijte následující rutinu PowerShellu:
(Get-MpPreference).AttackSurfaceReductionRules_Ids | Foreach {Add-MpPreference -AttackSurfaceReductionRules_Ids $_ -AttackSurfaceReductionRules_Actions AuditMode}
Tip
Pokud chcete plně auditovat, jak ve vaší organizaci fungují pravidla omezení potenciální oblasti útoku, musíte použít nástroj pro správu a nasadit toto nastavení do zařízení ve vaší síti.
Ke konfiguraci a nasazení nastavení můžete také použít poskytovatele konfiguračních služeb Zásady skupiny, Intune nebo MDM (MdM). Další informace najdete v hlavním článku o pravidlech omezení potenciálních oblastí útoku .
Použijte Windows Prohlížeč událostí Review jako alternativu ke stránce pro vytváření sestav pravidel omezení potenciální oblasti útoku na portálu Microsoft Defender.
Pokud chcete zkontrolovat aplikace, které by se blokovaly, otevřete Prohlížeč událostí a vyfiltrujte ID události 1121 v protokolu Microsoft-Windows-Windows Defender/Operational. Následující tabulka obsahuje seznam všech událostí ochrany sítě.
| ID události | Popis |
|---|---|
| 5007 | Událost při změně nastavení |
| 1121 | Událost, kdy se pravidlo omezení prostoru útoku aktivuje v režimu blokování |
| 1122 | Událost, kdy se v režimu auditu aktivuje pravidlo omezení potenciální oblasti útoku |
Další články v této kolekci nasazení
Přehled nasazení pravidel omezení potenciální oblasti útoku
Plánování nasazení pravidel omezení potenciální oblasti útoku
Povolení pravidel omezení potenciální oblasti útoku
Zprovoznění pravidel omezení potenciální oblasti útoku
Referenční informace k pravidlu omezení potenciální oblasti útoku