Použití zásad Microsoft Intune ke správě pravidel pro omezení potenciální oblasti útoku

Když se na vašich zařízeních s Windows používá antivirová ochrana Defenderu, můžete pomocí zásad zabezpečení koncových bodů Microsoft Intune snížit prostor pro útoky a spravovat tato nastavení na svých zařízeních.

Pomocí zásad omezení potenciální oblasti útoku (ASR) můžete zmenšit prostor pro útoky na zařízení tím, že minimalizujete místa, kde je vaše organizace zranitelná kybernetickými hrozbami a útoky. Intune zásady ASR podporují následující profily:

Pravidla omezení potenciální oblasti útoku: Tento profil použijte k cílení chování, které malware a škodlivé aplikace obvykle používají k napadení počítačů. Mezi příklady tohoto chování patří použití spustitelných souborů a skriptů v aplikacích Office, webová pošta, která se pokouší stáhnout nebo spustit soubory, a obfuskované nebo jinak podezřelé chování skriptů, které aplikace obvykle neiniciují při běžné každodenní práci.
Řízení zařízení: Tento profil slouží k povolení, blokování a jinému zabezpečení vyměnitelných médií prostřednictvím ovládacích prvků, které můžou monitorovat a pomáhat chránit vaše zařízení před hrozbami neoprávněných periferních zařízení.

Další informace najdete v tématu [Přehled omezení potenciální oblasti útoku](/ /windows/security/threat-protection/microsoft-defender-atp/overview-attack-surface-reduction) v dokumentaci k ochraně před internetovými útoky Windows.

Zásady omezení potenciální oblasti útoku najdete v uzlu Zabezpečení koncového boduv Centru pro správu Microsoft Intune.

Platí pro:

Windows
Windows Server (prostřednictvím scénáře správy nastavení zabezpečení Microsoft Defender for Endpoint)

Předpoklady pro profily redukce potenciální oblasti útoku

Zařízení musí používat Windows.
Antivirová ochrana v programu Defender musí být primární antivirovou ochranou na zařízení.

Podpora správy zabezpečení pro Microsoft Defender for Endpoint:

Pokud používáte Správu zabezpečení pro Microsoft Defender for Endpoint k podpoře zařízení, která jste onboardovali do programu Defender bez registrace s Intune, omezení potenciální oblasti útoku se vztahuje na zařízení s Windows a Windows Server. Další informace najdete v tématu Pravidla ASR podporované operační systémy v dokumentaci k ochraně před internetovými útoky ve Windows.

Podpora pro klienty Správce konfigurace:

Tento scénář je ve verzi Preview a vyžaduje použití Správce konfigurace aktuální větvi verze 2006 nebo novější.

Nastavení připojení tenanta pro zařízení Správce konfigurace – Pokud chcete podporovat nasazení zásad omezení potenciální oblasti útoku na zařízení spravovaná službou Správce konfigurace, nakonfigurujte připojení tenanta. Nastavení připojení tenanta zahrnuje konfiguraci Správce konfigurace kolekcí zařízení tak, aby podporovaly zásady zabezpečení koncových bodů z Intune.

Informace o nastavení připojení tenanta najdete v tématu Konfigurace připojení tenanta pro podporu zásad ochrany koncových bodů.

Řízení přístupu na základě role (RBAC)

Pokyny k přiřazení správné úrovně oprávnění a práv ke správě zásad Intune omezení potenciální oblasti útoku najdete v tématu Řízení přístupu na základě role pro zabezpečení koncových bodů.

Profily redukce potenciální oblasti útoku

Dostupné profily pro zásady omezení potenciálních oblastí útoku závisí na zvolené platformě.

Pokud chcete vytvořit zásadu omezení potenciální oblasti útoku, přečtěte si téma Vytvoření zásady zabezpečení koncového bodu. Po zobrazení výzvy při vytváření zásad vyberte platformu Windows a pak vyberte profil, který chcete nakonfigurovat.

Poznámka

Většina profilů omezení potenciální oblasti útoku používá formát Katalogu nastavení. Profil řízení aplikací je výjimkou – zůstává ve starším formátu založeném na šablonách. Podrobnosti najdete v položce profilu řízení aplikací v následujícím seznamu profilů.

Zařízení spravovaná službou Intune

Platforma: Windows:

Profily pro tuto platformu jsou podporované na zařízeních s Windows zaregistrovaných pomocí Intune.

Pravidla pro omezení potenciální oblasti útoku

Mezi dostupné profily pro tuto platformu patří:

Pravidla omezení potenciální oblasti útoku – konfigurace nastavení pro pravidla omezení potenciální oblasti útoku, která cílí na chování, které malware a škodlivé aplikace obvykle používají k napadení počítačů, včetně:
- Spustitelné soubory a skripty používané v aplikacích Office nebo webové poště, které se pokoušejí stáhnout nebo spustit soubory
- Obfuskované nebo jinak podezřelé skripty
- Chování, které aplikace obvykle nespustí při normální každodenní práci
Zmenšení prostoru pro útoky znamená, že útočníkům nabídne méně způsobů, jak provádět útoky.

Chování sloučení pro pravidla omezení prostoru útoku v Intune:

Pravidla omezení potenciální oblasti útoku podporují sloučení nastavení z různých zásad a vytvářejí nadmnožinu zásad pro každé zařízení. Nastavení, která nejsou v konfliktu, se sloučí, zatímco nastavení, která jsou v konfliktu, se nepřidají do nadmnožině pravidel. Pokud dříve dvě zásady zahrnovaly konflikty pro jedno nastavení, obě zásady se označovaly jako konfliktní a nenasadila by se žádná nastavení z žádného profilu.

Chování při slučování pravidla omezení potenciální oblasti útoku je následující:
- Pro každé zařízení, na které se pravidla vztahují, se vyhodnocují pravidla omezení potenciální oblasti útoku z následujících profilů:
  - Zásady > konfigurace zařízení > Profil > ochrany koncových bodů Microsoft Defender Zmenšení prostoru útoku ochrany Exploit Guard >
  - Zásady > omezení potenciální oblasti útoku zabezpečení > koncového bodu Pravidla omezení potenciální oblasti útoku
  - Standardní hodnoty zabezpečení koncového >> bodu Microsoft Defender for Endpoint pravidla omezení potenciální oblasti útoku podle směrného plánu>.
- Nastavení, která neobsahují konflikty, se přidají do nadmnožiny zásad pro zařízení.
- Pokud mají dvě nebo více zásad konfliktní nastavení, konfliktní nastavení se do kombinované zásady nepřidají, zatímco nastavení, která nejsou v konfliktu, se přidají do zásady nadmnožina, která platí pro zařízení.
- Zadržou se pouze konfigurace pro konfliktní nastavení.
Řízení zařízení – pomocí nastavení pro řízení zařízení můžete nakonfigurovat zařízení pro vícevrstvé přístupy k zabezpečení vyměnitelných médií. Microsoft Defender for Endpoint poskytuje několik monitorovacích a řídicích funkcí, které pomáhají zabránit ohrožení vašich zařízení hrozbami v neautorizovaných periferních zařízeních.

Intune profily pro podporu řízení zařízení:
- Sloučení zásad pro ID zařízení USB
- Opakovaně použitelná nastavení
Další informace o řízení zařízení Microsoft Defender for Endpoint najdete v následujících článcích v dokumentaci k programu Defender:
Izolace aplikací a prohlížečů – Umožňuje spravovat nastavení ochrany Application Guard v programu Windows Defender (Application Guard) v rámci programu Defender for Endpoint. Application Guard pomáhá předcházet starým a nově vznikajícím útokům a může izolovat podnikové weby jako nedůvěryhodné a zároveň definovat, kterým webům, cloudovým prostředkům a interním sítím jsou důvěryhodné.

Další informace najdete v tématu Ochrana Application Guard v dokumentaci Microsoft Defender for Endpoint.
Řízení aplikací – Nastavení řízení aplikací může pomoct zmírnit bezpečnostní hrozby omezením aplikací, které můžou uživatelé spouštět, a kódu, který běží v jádru systému (jádro). Umožňuje spravovat nastavení, která můžou blokovat nepodepsané skripty a rozhraní MSI, a omezit spouštění Windows PowerShell v omezeném jazykovém režimu.

Poznámka

Na rozdíl od jiných profilů ASR se nastavení v profilu řízení aplikací neaktualizovalo na formát Katalogu nastavení. Stávající zásady zůstávají plně funkční, ale profil používá starší formát založený na šablonách v Centru pro správu. Chování poskytovatele CSP appLockeru také aktuálně vyzve koncového uživatele k restartování počítače při nasazení zásady.

Další informace najdete v tématu Řízení aplikací v dokumentaci Microsoft Defender for Endpoint.
Ochrana před zneužitím – nastavení ochrany před zneužitím pomáhá chránit před malwarem, který využívá zneužití k napadení zařízení a šíření. Ochrana před zneužitím se skládá z mnoha omezení rizik, která se můžou vztahovat na operační systém nebo jednotlivé aplikace.
Webová ochrana (starší verze Microsoft Edge) – nastavení, která můžete spravovat pro webovou ochranu v Microsoft Defender for Endpoint nakonfigurovat ochranu sítě tak, aby vaše počítače zabezpečily před webovými hrozbami. Když integrujete Microsoft Edge nebo prohlížeče třetích stran, jako je Chrome a Firefox, webová ochrana zastaví webové hrozby bez webového proxy serveru a může chránit počítače, když jsou pryč nebo místně. Webová ochrana zastaví přístup k:
- Phishingové weby
- Vektory malwaru
- Weby se zneužitím
- Nedůvěryhodné weby nebo weby s nízkou reputací
- Weby, které jste zablokovali pomocí vlastního seznamu ukazatelů.
Další informace najdete v dokumentaci k Microsoft Defender for Endpoint v části Ochrana webu.

Správa nastavení zabezpečení zařízení spravovaných službou Defender for Endpoint

Pokud používáte scénář Správa zabezpečení pro Microsoft Defender for Endpoint k podpoře zařízení spravovaných programem Defender, která nejsou zaregistrovaná v Intune, můžete použít platformu Windows ke správě nastavení na zařízeních se systémem Windows a Windows Server. Další informace najdete v tématu Pravidla ASR podporované operační systémy v dokumentaci k ochraně před internetovými útoky ve Windows.

Mezi podporované profily v tomto scénáři patří:

Pravidla omezení potenciální oblasti útoku – Konfigurace nastavení pro pravidla omezení potenciální oblasti útoku, která cílí na chování, které malware a škodlivé aplikace obvykle používají k napadení počítačů, včetně:
- Spustitelné soubory a skripty používané v aplikacích Office nebo webové poště, které se pokoušejí stáhnout nebo spustit soubory.
- Obfuskované nebo jinak podezřelé skripty.
- Chování, které aplikace obvykle nespouštějí během běžné každodenní práce: Snížení prostoru pro útoky znamená, že útočníkům nabídne méně způsobů, jak provádět útoky.

Důležité

Správa zabezpečení pro Microsoft Defender for Endpoint podporuje pouze profil pravidel omezení potenciální oblasti útoku. Všechny ostatní profily omezení potenciální oblasti útoku nejsou podporované.

Zařízení spravovaná službou Správce konfigurace

---author: brendunsms.topic: includems.date: 08/19/2024ms.author: brenduns---#### Omezení prostoru útoku*Podpora zařízení spravovaných službou Správce konfigurace je ve verzi Preview.*Při použití připojení tenanta můžete spravovat nastavení omezení potenciální oblasti útoku pro Správce konfigurace zařízení.Cesta zásad:- Zabezpečení > koncového bodu Omezení potenciální oblasti > útoku Windows (ConfigMgr)Profily:- Izolace aplikací a prohlížeče(ConfigMgr)- Pravidla omezení prostoru útoku(ConfigMgr)- Ochrana exploit protection(ConfigMgr)(Preview)- Webová ochrana (ConfigMgr)(Preview)Povinná verze Správce konfigurace:- Správce konfigurace aktuální větev verze 2006 nebo novějšíPodporovaná Správce konfigurace platformy zařízení:- Windows (x86, x64, ARM64) > [! DŮLEŽITÉ] > 14. října 2025 Windows 10 dosáhla konce podpory a nebude dostávat aktualizace pro kvalitu a funkce. Windows 10 je v Intune povolená verze. Zařízení s touto verzí se stále můžou zaregistrovat do Intune a používat oprávněné funkce, ale funkce nebudou zaručené a můžou se lišit.

Opakovaně použitelné skupiny nastavení pro profily ovládacích prvků zařízení

Ve verzi Public Preview podporují profily řízení zařízení použití opakovaně použitelných skupin nastavení , které pomáhají spravovat nastavení pro následující skupiny nastavení na zařízeních pro platformu Windows :

Tiskové zařízení: Pro tiskové zařízení jsou k dispozici následující nastavení profilu řízení zařízení:
- PrimaryId
- PrinterConnectionID
- VID_PID
Informace o možnostech zařízení tiskárny najdete v tématu Přehled ochrany tiskárny v Microsoft Defender for Endpoint dokumentaci.
Vyměnitelné úložiště: Pro vyměnitelné úložiště jsou k dispozici následující nastavení profilu řízení zařízení v:
- Třída zařízení
- ID zařízení
- ID hardwaru
- Instance ID
- Primární ID
- Produkt ID
- Sériové číslo
- ID dodavatele
- ID dodavatele a ID produktu
Informace o možnostech vyměnitelného úložiště najdete v tématu Microsoft Defender for Endpoint Access Control vyměnitelného úložiště Microsoft Defender for Endpoint řízení zařízení v dokumentaci k Microsoft Defender for Endpoint.

Když použijete opakovaně použitelnou skupinu nastavení s profilem řízení zařízení, nakonfigurujete akce tak, aby definovaly, jak se nastavení v těchto skupinách používají.

Každé pravidlo, které přidáte do profilu, může obsahovat opakovaně použitelné skupiny nastavení i jednotlivá nastavení, která se přidají přímo do pravidla. Zvažte ale použití jednotlivých pravidel pro opakovaně použitelné skupiny nastavení nebo správu nastavení, která přidáte přímo do pravidla. Toto oddělení může zjednodušit budoucí konfigurace nebo změny, které můžete udělat.

Pokyny ke konfiguraci opakovaně použitelných skupin a jejich následnému přidání do tohoto profilu najdete v tématu Použití opakovaně použitelných skupin nastavení se zásadami Intune.

Vyloučení pravidel omezení potenciální oblasti útoku

Intune podporuje následující dvě nastavení, která vyloučí konkrétní cesty k souborům a složkám z vyhodnocení pravidly omezení potenciální oblasti útoku:

Globální: Používejte vyloučení pouze pro omezení potenciální oblasti útoku.

Pokud má zařízení přiřazenou alespoň jednu zásadu, která konfiguruje vyloučení pouze pro snížení počtu oblastí útoku, použijí se nakonfigurovaná vyloučení na všechna pravidla omezení potenciální oblasti útoku, která cílí na toto zařízení. K tomuto chování dochází, protože zařízení obdrží nadmnožinu nastavení pravidel omezení potenciální oblasti útoku ze všech platných zásad a vyloučení nastavení nelze spravovat pro jednotlivá nastavení. Pokud chcete zabránit tomu, aby se vyloučení použila na všechna nastavení na zařízení, nepoužívejte toto nastavení. Místo toho nakonfigurujte vyloučení pouze ASR podle pravidel pro jednotlivá nastavení.

Další informace najdete v dokumentaci k programu Defender CSP: Defender/AttackSurfaceReductionOnlyExclusions.
Individuální nastavení: Použití pouze ASR pro vyloučení pravidla

$Snímek obrazovky nastavení AsR Only \Per Rule Exclusions$

Pokud nastavíte příslušné nastavení v profilu pravidla omezení potenciální oblasti útoku na cokoli jiného než Nenakonfigurováno, Intune zobrazí možnost použít pro toto individuální nastavení pouze vyloučení ASR podle pravidla. Pomocí této možnosti můžete nakonfigurovat vyloučení souborů a složek, které jsou izolované na jednotlivá nastavení, což je na rozdíl od použití globálního nastavení Attack Surface Reduction Only Exclusions , které aplikuje jeho vyloučení na všechna nastavení na zařízení.

Ve výchozím nastavení je možnost Vyloučení pouze ASR na základě pravidlanastavená na Nenakonfigurováno.

Sloučení zásad pro nastavení

Sloučení zásad pomáhá vyhnout se konfliktům, když více profilů, které platí pro stejné zařízení, konfiguruje stejné nastavení s různými hodnotami, což vytváří konflikt. Aby nedocházelo ke konfliktům, Intune vyhodnotí příslušná nastavení z každého profilu, který se vztahuje na zařízení. Tato nastavení se pak sloučí do jedné nadmnožině nastavení.

V případě zásad omezení potenciální oblasti útoku podporují sloučení zásad následující profily:

Ovládání zařízení

Sloučení zásad pro profily ovládacích prvků zařízení

Profily ovládacích prvků zařízení podporují sloučení zásad pro ID zařízení USB. Nastavení profilu, která spravují ID zařízení a podporují sloučení zásad, zahrnují:

Povolit instalaci hardwarového zařízení podle identifikátorů zařízení
Blokování instalace hardwarového zařízení podle identifikátorů zařízení
Povolit instalaci hardwarového zařízení podle tříd nastavení
Blokování instalace hardwarového zařízení podle tříd nastavení
Povolit instalaci hardwarového zařízení podle identifikátorů instancí zařízení
Blokování instalace hardwarového zařízení podle identifikátorů instancí zařízení

Sloučení zásad se vztahuje na konfiguraci jednotlivých nastavení v různých profilech, které toto konkrétní nastavení aplikují na zařízení. Výsledkem je jeden seznam pro každé podporované nastavení použité na zařízení. Příklady:

Sloučení zásad vyhodnocuje seznamy tříd nastavení , které byly nakonfigurovány v každé instanci Povolit instalaci hardwarového zařízení podle tříd nastavení , které platí pro zařízení. Seznamy jsou sloučeny do jednoho seznamu povolených, kde jsou odebrány všechny duplicitní třídy nastavení.

Odebráním duplicit ze seznamu se odebere běžný zdroj konfliktů. Kombinovaný seznam povolených se pak doručí do zařízení.

Sloučení zásad neporovnává ani nesloučí konfigurace z různých nastavení. Příklady:

Rozbalením prvního příkladu, ve kterém se několik seznamů z části Povolit instalaci hardwarových zařízení podle tříd nastavení sloučilo do jednoho seznamu, máte několik instancí blokování instalace hardwarového zařízení podle tříd nastavení , které platí pro stejné zařízení. Všechny související seznamy blokovaných se sloučí do jednoho seznamu blokovaných pro zařízení, které se pak nasadí do zařízení.
- Seznam povolených pro třídy nastavení se nesrovnává ani neslučuje se seznamem blokovaných tříd nastavení.
- Místo toho zařízení obdrží oba seznamy, protože jsou ze dvou různých nastavení. Zařízení pak vynucuje nejvíce omezující nastavení pro instalaci podle tříd nastavení.
V tomto příkladu třída nastavení definovaná v seznamu blokovaných přepíše stejnou třídu nastavení, pokud je na seznamu povolených. Výsledkem by bylo, že třída nastavení je na zařízení zablokovaná.

Další kroky

Nakonfigurujte zásady zabezpečení koncového bodu.

Podívejte se na podrobnosti o nastavení v profilech pro profily omezení potenciální oblasti útoku.

Váš názor

Byla tato stránka užitečná?

Last updated on 2026-04-16