Vytvoření a nasazení zásad ochrany Exploit Guard
Platí pro: Configuration Manager (Current Branch)
Můžete nakonfigurovat a nasadit zásady Configuration Manager, které spravují všechny čtyři komponenty Windows Defender Exploit Guard. Mezi tyto komponenty patří:
- Zmenšení prostoru útoku
- Řízený přístup ke složkám
- Ochrana před zneužitím
- Ochrana sítě
Data dodržování předpisů pro nasazení zásad Ochrany Exploit Guard jsou k dispozici v konzole Configuration Manager.
Poznámka
Configuration Manager tuto volitelnou funkci ve výchozím nastavení nepovoluje. Tuto funkci musíte před použitím povolit. Další informace najdete v tématu Povolení volitelných funkcí z aktualizací.
Požadavky
Spravovaná zařízení musí běžet Windows 10 1709 nebo novější. Minimální build Windows Serveru je verze 1809 nebo novější jenom do verze Server 2019. V závislosti na nakonfigurovaných komponentách a pravidlech musí být splněny také následující požadavky:
| Komponenta Exploit Guard | Další požadavky |
|---|---|
| Zmenšení prostoru útoku | Zařízení musí mít Microsoft Defender for Endpoint zapnutou ochranu always-on. |
| Řízený přístup ke složkám | Zařízení musí mít Microsoft Defender for Endpoint zapnutou ochranu always-on. |
| Ochrana před zneužitím | Žádné |
| Ochrana sítě | Zařízení musí mít Microsoft Defender for Endpoint zapnutou ochranu always-on. |
Vytvoření zásad ochrany Exploit Guard
V konzole Configuration Manager přejděte na Prostředky a dodržování předpisů>Endpoint Protection a klikněte na Windows Defender Exploit Guard.
Na kartě Domů ve skupině Vytvořit klikněte na Vytvořit zásadu zneužití.
Na stránce Obecnév Průvodci vytvořením položky konfigurace zadejte název a volitelný popis položky konfigurace.
Dále vyberte komponenty Ochrany Exploit Guard, které chcete spravovat pomocí této zásady. Pro každou komponentu, kterou vyberete, pak můžete nakonfigurovat další podrobnosti.
- Zmenšení prostoru útoku: Nakonfigurujte hrozby Office, skriptovací hrozby a e-mailové hrozby, které chcete blokovat nebo auditovat. Z tohoto pravidla můžete také vyloučit konkrétní soubory nebo složky.
- Řízený přístup ke složkům: Nakonfigurujte blokování nebo auditování a pak přidejte aplikace, které můžou tuto zásadu obejít. Můžete také zadat další složky, které nejsou ve výchozím nastavení chráněné.
- Ochrana před zneužitím: Zadejte soubor XML, který obsahuje nastavení pro zmírnění zneužití systémových procesů a aplikací. Tato nastavení můžete exportovat z aplikace Windows Defender Security Center na Windows 10 nebo novějším zařízení.
- Ochrana sítě: Nastavte ochranu sítě tak, aby blokovala nebo auditovala přístup k podezřelým doménám.
Dokončete průvodce a vytvořte zásadu, kterou můžete později nasadit do zařízení.
Upozornění
Soubor XML pro ochranu před zneužitím by měl být při přenosu mezi počítači zabezpečený. Soubor by měl být po importu odstraněn nebo by měl být uložen v zabezpečeném umístění.
Nasazení zásad ochrany Exploit Guard
Po vytvoření zásad Ochrany Exploit Guard je nasaďte pomocí průvodce nasazením zásad ochrany Exploit Guard. Provedete to tak, že otevřete konzolu Configuration Manager v části Prostředky a dodržování předpisů>Endpoint Protection a pak kliknete na Nasadit zásady Exploit Guard.
Důležité
Jakmile nasadíte zásady Ochrany Exploit Guard, jako je například omezení potenciální oblasti útoku nebo Řízený přístup ke složkě, nastavení ochrany Exploit Guard se z klientů neodebere, pokud nasazení odeberete.
Delete not supported se zaznamená do ExploitGuardHandler.log klienta, pokud odeberete nasazení Ochrany Exploit Guard klienta.
Následující skript PowerShellu můžete spustit v kontextu SYSTEM a odebrat tato nastavení:
$defenderObject = Get-WmiObject -Namespace "root/cimv2/mdm/dmmap" -Class "MDM_Policy_Config01_Defender02" -Filter "InstanceID='Defender' and ParentID='./Vendor/MSFT/Policy/Config'"
$defenderObject.AttackSurfaceReductionRules = $null
$defenderObject.AttackSurfaceReductionOnlyExclusions = $null
$defenderObject.EnableControlledFolderAccess = $null
$defenderObject.ControlledFolderAccessAllowedApplications = $null
$defenderObject.ControlledFolderAccessProtectedFolders = $null
$defenderObject.EnableNetworkProtection = $null
$defenderObject.Put()
$exploitGuardObject = Get-WmiObject -Namespace "root/cimv2/mdm/dmmap" -Class "MDM_Policy_Config01_ExploitGuard02" -Filter "InstanceID='ExploitGuard' and ParentID='./Vendor/MSFT/Policy/Config'"
$exploitGuardObject.ExploitProtectionSettings = $null
$exploitGuardObject.Put()
Windows Defender nastavení zásad ochrany Exploit Guard
Zásady a možnosti omezení potenciální oblasti útoku
Díky inteligentním pravidlům, která zastavují vektory používané v Office, skriptech a malwaru založeném na poště, můžete zmenšit prostor pro útoky na vaše aplikace. Přečtěte si další informace o omezení potenciální oblasti útoku a ID událostí, která se k tomu používají.
Soubory a složky, které chcete vyloučit z pravidel omezení potenciální oblasti útoku – Klikněte na Nastavit a určete všechny soubory nebo složky, které chcete vyloučit.
hrozby Email:
- Blokovat spustitelný obsah z e-mailového klienta a webové pošty
- Nenakonfigurováno
- Blokování
- Auditu
- Blokovat spustitelný obsah z e-mailového klienta a webové pošty
Hrozby office:
- Blokovat aplikaci Office ve vytváření podřízených procesů
- Nenakonfigurováno
- Blokování
- Auditu
- Blokovat aplikacím Office vytváření spustitelného obsahu
- Nenakonfigurováno
- Blokování
- Auditu
- Zablokuje aplikacím Office vkládání kódu do jiných procesů.
- Nenakonfigurováno
- Blokování
- Auditu
- Blokování volání rozhraní API Win32 z maker Office
- Nenakonfigurováno
- Blokování
- Auditu
- Blokovat aplikaci Office ve vytváření podřízených procesů
Skriptovací hrozby:
- Zablokujte javascript nebo VBScript před spuštěním staženého spustitelného obsahu.
- Nenakonfigurováno
- Blokování
- Auditu
- Blokovat spouštění potenciálně obfuskovaných skriptů
- Nenakonfigurováno
- Blokování
- Auditu
- Zablokujte javascript nebo VBScript před spuštěním staženého spustitelného obsahu.
Hrozby ransomware: (počínaje Configuration Manager verzí 1802)
- Používejte pokročilou ochranu před ransomwarem.
- Nenakonfigurováno
- Blokování
- Auditu
- Používejte pokročilou ochranu před ransomwarem.
Hrozby operačního systému: (počínaje Configuration Manager verzí 1802)
- Blokování krádeže přihlašovacích údajů ze subsystému místní autority zabezpečení Windows
- Nenakonfigurováno
- Blokování
- Auditu
- Blokovat spuštění spustitelných souborů, pokud nesplňují kritéria výskytu, věku nebo důvěryhodného seznamu.
- Nenakonfigurováno
- Blokování
- Auditu
- Blokování krádeže přihlašovacích údajů ze subsystému místní autority zabezpečení Windows
Hrozby pro externí zařízení: (počínaje Configuration Manager verzí 1802)
- Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB
- Nenakonfigurováno
- Blokování
- Auditu
- Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB
Zásady a možnosti řízeného přístupu ke složkám
Pomáhá chránit soubory v klíčových systémových složkách před změnami provedenými škodlivými a podezřelými aplikacemi, včetně malwaru ransomware šifrovaného zašifrováním souborů. Další informace najdete v tématu Řízený přístup ke složkám a ID událostí, která používá.
-
Konfigurace řízeného přístupu ke složkách:
- Blokování
- Blokování pouze sektorů disku (počínaje verzí Configuration Manager 1802)
- Umožňuje povolit řízený přístup ke složkám pouze pro spouštěcí sektory a nepovoluje ochranu konkrétních složek nebo výchozích chráněných složek.
- Auditu
- Auditovat pouze diskové sektory (počínaje Configuration Manager verzí 1802)
- Umožňuje povolit řízený přístup ke složkám pouze pro spouštěcí sektory a nepovoluje ochranu konkrétních složek nebo výchozích chráněných složek.
- Zakázáno
- Povolit aplikace prostřednictvím řízeného přístupu ke složkům – klikněte na Nastavit a zadejte aplikace.
- Další chráněné složky – Klikněte na Nastavit a zadejte další chráněné složky.
Zásady ochrany před zneužitím
Použije techniky zmírnění zneužití na procesy operačního systému a aplikace, které vaše organizace používá. Tato nastavení je možné exportovat z aplikace Windows Defender Security Center na Windows 10 nebo novějších zařízeních. Další informace najdete v tématu Ochrana před zneužitím.
Xml ochrany před zneužitím: Klikněte na Procházet a zadejte soubor XML, který chcete importovat.
Upozornění
Soubor XML pro ochranu před zneužitím by měl být při přenosu mezi počítači zabezpečený. Soubor by měl být po importu odstraněn nebo by měl být uložen v zabezpečeném umístění.
Zásady ochrany sítě
Pomáhá minimalizovat prostor pro útoky na zařízení z internetu. Služba omezuje přístup k podezřelým doménám, které můžou hostovat phishingové podvody, zneužití a škodlivý obsah. Další informace najdete v tématu Ochrana sítě.
-
Konfigurace ochrany sítě:
- Blokování
- Auditu
- Zakázáno