Sdílet prostřednictvím


Použití zásad Microsoft Intune ke správě pravidel pro omezení potenciální oblasti útoku

Když se na vašich zařízeních s Windows 10 a Windows 11 používá antivirová ochrana Defenderu, můžete pomocí zásad zabezpečení koncových bodů Microsoft Intune snížit možnosti útoku a spravovat tato nastavení na svých zařízeních.

Pomocí zásad omezení potenciální oblasti útoku (ASR) můžete zmenšit prostor pro útoky na zařízení tím, že minimalizujete místa, kde je vaše organizace zranitelná kybernetickými hrozbami a útoky. Zásady Intune ASR podporují následující profily:

  • Pravidla omezení potenciální oblasti útoku: Tento profil použijte k cílení chování, které malware a škodlivé aplikace obvykle používají k napadení počítačů. Mezi příklady tohoto chování patří použití spustitelných souborů a skriptů v aplikacích Office, webová pošta, která se pokouší stáhnout nebo spustit soubory, a obfuskované nebo jinak podezřelé chování skriptů, které aplikace obvykle neiniciují při běžné každodenní práci.

  • Řízení zařízení: Tento profil slouží k povolení, blokování a jinému zabezpečení vyměnitelných médií prostřednictvím ovládacích prvků, které můžou monitorovat a pomáhat chránit vaše zařízení před hrozbami neoprávněných periferních zařízení. a řídicí funkce, které pomáhají zabránit ohrožení vašich zařízení hrozbami v neautorizovaných periferních zařízeních.

Další informace najdete v tématu Přehled omezení potenciální oblasti útoku v dokumentaci k ochraně před internetovými útoky ve Windows.

Zásady omezení potenciální oblasti útoku najdete v uzlu Zabezpečení koncového boduv Centru pro správu Microsoft Intune.

Platí pro:

Předpoklady pro profily redukce potenciální oblasti útoku

  • Zařízení musí používat Windows 10 nebo Windows 11.
  • Antivirová ochrana v programu Defender musí být primární antivirovou ochranou na zařízení.

Podpora správy zabezpečení pro Microsoft Defender for Endpoint:

Pokud používáte Správu zabezpečení pro Microsoft Defender for Endpoint k podpoře zařízení, která jste onboardovali do Programu Defender bez registrace v Intune, omezení potenciální oblasti útoku se vztahuje na zařízení s Windows 10, Windows 11 a Windows Serverem. Další informace najdete v tématu Pravidla ASR podporované operační systémy v dokumentaci k ochraně před internetovými útoky ve Windows.

Podpora pro klienty nástroje Configuration Manager:

Tento scénář je ve verzi Preview a vyžaduje použití aktuální větve nástroje Configuration Manager verze 2006 nebo novější.

  • Nastavení připojení tenanta pro zařízení Configuration Manageru – Pokud chcete podporovat nasazení zásad omezení potenciální oblasti útoku na zařízení spravovaná nástrojem Configuration Manager, nakonfigurujte připojení tenanta. Nastavení připojení tenanta zahrnuje konfiguraci kolekcí zařízení Configuration Manageru tak, aby podporovaly zásady zabezpečení koncových bodů z Intune.

    Informace o nastavení připojení tenanta najdete v tématu Konfigurace připojení tenanta pro podporu zásad ochrany koncových bodů.

Řízení přístupu na základě role (RBAC)

Pokyny k přiřazení správné úrovně oprávnění a práv ke správě zásad omezení potenciálních oblastí útoku na Intune najdete v tématu Assign-role-based-access-controls-for-endpoint-security-policy.

Profily redukce potenciální oblasti útoku

Dostupné profily pro zásady omezení potenciálních oblastí útoku závisí na zvolené platformě.

Poznámka

Od dubna 2022 se začaly vydávat nové profily pro zásady omezení potenciální oblasti útoku. Jakmile bude nový profil dostupný, použije stejný název profilu, který nahrazuje, a bude obsahovat stejná nastavení jako starší profil, ale v novějším formátu nastavení, jak je vidět v katalogu nastavení. Dříve vytvořené instance těchto profilů zůstanou dostupné k použití a úpravám, ale všechny nově vytvořené instance budou v novém formátu. Byly aktualizovány následující profily:

  • Pravidla omezení potenciální oblasti útoku (5. dubna 2022)
  • Ochrana před zneužitím (5. dubna 2022)
  • Ovládání zařízení (23. května 2022)
  • Izolace aplikací a prohlížečů (18. dubna 2023)

Zařízení spravovaná pomocí Intune

Platforma: Windows 10, Windows 11 a Windows Server:

Profily pro tuto platformu jsou podporované na zařízeních s Windows 10 a Windows 11 zaregistrovaných v Intune.

  • Pravidla omezení potenciální oblasti útoku

Mezi dostupné profily pro tuto platformu patří:

  • Pravidla omezení potenciální oblasti útoku – konfigurace nastavení pro pravidla omezení potenciální oblasti útoku, která cílí na chování, které malware a škodlivé aplikace obvykle používají k napadení počítačů, včetně:

    • Spustitelné soubory a skripty používané v aplikacích Office nebo webové poště, které se pokoušejí stáhnout nebo spustit soubory
    • Obfuskované nebo jinak podezřelé skripty
    • Chování, které aplikace obvykle nespustí při normální každodenní práci

    Zmenšení prostoru pro útoky znamená, že útočníkům nabídne méně způsobů, jak provádět útoky.

    Chování sloučení pro pravidla omezení potenciální oblasti útoku v Intune:

    Pravidla omezení potenciální oblasti útoku podporují sloučení nastavení z různých zásad a vytvářejí nadmnožinu zásad pro každé zařízení. Nastavení, která nejsou v konfliktu, se sloučí, zatímco nastavení, která jsou v konfliktu, se nepřidají do nadmnožině pravidel. Pokud dříve dvě zásady zahrnovaly konflikty pro jedno nastavení, obě zásady se označovaly jako konfliktní a nenasadila by se žádná nastavení z žádného profilu.

    Chování při slučování pravidla omezení potenciální oblasti útoku je následující:

    • Pro každé zařízení, na které se pravidla vztahují, se vyhodnocují pravidla omezení potenciální oblasti útoku z následujících profilů:
      • Zásady > konfigurace zařízení > Profil ochrany koncového bodu > Microsoft Defender Exploit Guard >– Zmenšení potenciální plochy útoku
      • Zásady > omezení potenciální oblasti útoku zabezpečení > koncového bodu Pravidla omezení potenciální oblasti útoku
      • Standardní hodnoty zabezpečení > koncového > bodu : Pravidla omezení potenciální potenciální oblasti útoku v programu Microsoft Defender for Endpoint baseline >
    • Nastavení, která neobsahují konflikty, se přidají do nadmnožiny zásad pro zařízení.
    • Pokud mají dvě nebo více zásad konfliktní nastavení, konfliktní nastavení se do kombinované zásady nepřidají, zatímco nastavení, která nejsou v konfliktu, se přidají do zásady nadmnožina, která platí pro zařízení.
    • Zadržou se pouze konfigurace pro konfliktní nastavení.
  • Řízení zařízení – pomocí nastavení pro řízení zařízení můžete nakonfigurovat zařízení pro vícevrstvé přístupy k zabezpečení vyměnitelných médií. Microsoft Defender for Endpoint nabízí několik funkcí monitorování a řízení, které pomáhají zabránit ohrožení vašich zařízení hrozbami v neautorizovaných periferních zařízeních.

    Profily Intune pro podporu řízení zařízení:

    Další informace o řízení zařízení v Programu Microsoft Defender for Endpoint najdete v následujících článcích v dokumentaci k programu Defender:

Platforma: Windows 10 a novější:

Profily pro tuto platformu jsou podporované na zařízeních s Windows 10 a Windows 11 zaregistrovaných v Intune. Profily zahrnují:

  • Izolace aplikací a prohlížečů – Umožňuje spravovat nastavení ochrany Application Guard v programu Windows Defender (Application Guard) v rámci programu Defender for Endpoint. Application Guard pomáhá předcházet starým a nově vznikajícím útokům a může izolovat podnikové weby jako nedůvěryhodné a zároveň definovat, kterým webům, cloudovým prostředkům a interním sítím jsou důvěryhodné.

    Další informace najdete v tématu Ochrana Application Guard v dokumentaci k Microsoft Defenderu for Endpoint.

  • Řízení aplikací – Nastavení řízení aplikací může pomoct zmírnit bezpečnostní hrozby omezením aplikací, které můžou uživatelé spouštět, a kódu, který běží v jádru systému (jádro). Umožňuje spravovat nastavení, která můžou blokovat nepodepsané skripty a rozhraní MSI, a omezit spouštění Prostředí Windows PowerShell v režimu omezeného jazyka.

    Další informace najdete v tématu Řízení aplikací v dokumentaci k Microsoft Defenderu for Endpoint.

    Poznámka

    Pokud použijete toto nastavení, chování poskytovatele CSP appLockeru aktuálně vyzve koncového uživatele k restartování počítače při nasazení zásady.

  • Ochrana před zneužitím – nastavení ochrany před zneužitím pomáhá chránit před malwarem, který využívá zneužití k napadení zařízení a šíření. Ochrana před zneužitím se skládá z mnoha omezení rizik, která se můžou vztahovat na operační systém nebo jednotlivé aplikace.

  • Webová ochrana (starší verze Microsoft Edge) – nastavení, která můžete spravovat pro webovou ochranu v Microsoft Defenderu for Endpoint, nakonfigurujte ochranu sítě pro zabezpečení počítačů před webovými hrozbami. Když integrujete Microsoft Edge nebo prohlížeče třetích stran, jako je Chrome a Firefox, webová ochrana zastaví webové hrozby bez webového proxy serveru a může chránit počítače, když jsou pryč nebo místně. Webová ochrana zastaví přístup k:

    • Phishingové weby
    • Vektory malwaru
    • Weby se zneužitím
    • Nedůvěryhodné weby nebo weby s nízkou reputací
    • Weby, které jste zablokovali pomocí vlastního seznamu ukazatelů.

    Další informace najdete v tématu Webová ochrana v dokumentaci k Microsoft Defenderu for Endpoint.

Správa nastavení zabezpečení zařízení spravovaných službou Defender for Endpoint

Pokud používáte scénář Správa zabezpečení pro Microsoft Defender for Endpoint k podpoře zařízení spravovaných programem Defender, která nejsou zaregistrovaná v Intune, můžete použít platformu Windows 10, Windows 11 a Windows Server ke správě nastavení na zařízeních s Windows 10, Windows 11 a Windows Serverem. Další informace najdete v tématu Pravidla ASR podporované operační systémy v dokumentaci k ochraně před internetovými útoky ve Windows.

Mezi podporované profily v tomto scénáři patří:

  • Pravidla omezení potenciální oblasti útoku – Konfigurace nastavení pro pravidla omezení potenciální oblasti útoku, která cílí na chování, které malware a škodlivé aplikace obvykle používají k napadení počítačů, včetně:
    • Spustitelné soubory a skripty používané v aplikacích Office nebo webové poště, které se pokoušejí stáhnout nebo spustit soubory.
    • Obfuskované nebo jinak podezřelé skripty.
    • Chování, které aplikace obvykle nespouštějí během běžné každodenní práce: Snížení prostoru pro útoky znamená, že útočníkům nabídne méně způsobů, jak provádět útoky.

Důležité

Správa zabezpečení pro Microsoft Defender for Endpoint podporuje pouze profil pravidel omezení potenciální oblasti útoku . Všechny ostatní profily omezení potenciální oblasti útoku nejsou podporované.

Zařízení spravovaná nástrojem Configuration Manager

Omezení prostoru pro útok

Podpora zařízení spravovaných nástrojem Configuration Manager je ve verzi Preview.

Při použití připojení tenanta můžete spravovat nastavení omezení potenciální oblasti útoku pro zařízení Configuration Manageru.

Cesta k zásadám:

  • Zabezpečení > koncového bodu – Připojení surface redukce > Windows 10 a novějších (ConfigMgr)

Profily:

  • Izolace aplikací a prohlížečů (ConfigMgr)
  • Pravidla omezení potenciální oblasti útoku (ConfigMgr)
  • Ochrana před zneužitím (ConfigMgr)(Preview)
  • Webová ochrana (ConfigMgr)(Preview)

Požadovaná verze nástroje Configuration Manager:

  • Aktuální větev nástroje Configuration Manager verze 2006 nebo novější

Podporované platformy zařízení Configuration Manageru:

  • Windows 10 a novější (x86, x64, ARM64)
  • Windows 11 a novější (x86, x64, ARM64)

Opakovaně použitelné skupiny nastavení pro profily ovládacích prvků zařízení

Ve verzi Public Preview podporují profily řízení zařízení použití opakovaně použitelných skupin nastavení , které pomáhají spravovat nastavení pro následující skupiny nastavení na zařízeních s Windows 10, Windows 11 a platformou Windows Server :

  • Tiskové zařízení: Pro tiskové zařízení jsou k dispozici následující nastavení profilu řízení zařízení:

    • PrimaryId
    • PrinterConnectionID
    • VID_PID

    Informace o možnostech zařízení tiskárny najdete v tématu Přehled ochrany tiskárny v dokumentaci k Programu Microsoft Defender for Endpoint.

  • Vyměnitelné úložiště: Pro vyměnitelné úložiště jsou k dispozici následující nastavení profilu řízení zařízení v:

    • Třída zařízení
    • ID zařízení
    • ID hardwaru
    • Instance ID
    • Primární ID
    • Produkt ID
    • Sériové číslo
    • ID dodavatele
    • ID dodavatele a ID produktu

    Informace o možnostech vyměnitelného úložiště najdete v tématu Microsoft Defender for Endpoint Device Control Removable Storage Access Control v dokumentaci k Microsoft Defenderu for Endpoint.

Když použijete opakovaně použitelnou skupinu nastavení s profilem řízení zařízení, nakonfigurujete akce tak, aby definovaly, jak se nastavení v těchto skupinách používají.

Každé pravidlo, které přidáte do profilu, může obsahovat opakovaně použitelné skupiny nastavení i jednotlivá nastavení, která se přidají přímo do pravidla. Zvažte ale použití jednotlivých pravidel pro opakovaně použitelné skupiny nastavení nebo správu nastavení, která přidáte přímo do pravidla. Toto oddělení může zjednodušit budoucí konfigurace nebo změny, které můžete udělat.

Pokyny ke konfiguraci opakovaně použitelných skupin a jejich přidání do tohoto profilu najdete v tématu Použití opakovaně použitelných skupin nastavení se zásadami Intune.

Vyloučení pravidel omezení potenciální oblasti útoku

Intune podporuje následující dvě nastavení, která vyloučí konkrétní cesty k souborům a složkám z vyhodnocení pravidly omezení potenciální oblasti útoku:

  • Globální: Používejte vyloučení pouze pro omezení potenciální oblasti útoku.

    Snímek obrazovky s nastavením Omezení pouze potenciální oblasti útoku

    Pokud má zařízení přiřazenou alespoň jednu zásadu, která konfiguruje vyloučení pouze pro snížení počtu oblastí útoku, použijí se nakonfigurovaná vyloučení na všechna pravidla omezení potenciální oblasti útoku, která cílí na toto zařízení. K tomuto chování dochází, protože zařízení obdrží nadmnožinu nastavení pravidel omezení potenciální oblasti útoku ze všech platných zásad a vyloučení nastavení nelze spravovat pro jednotlivá nastavení. Pokud chcete zabránit tomu, aby se vyloučení použila na všechna nastavení na zařízení, nepoužívejte toto nastavení. Místo toho nakonfigurujte vyloučení pouze ASR podle pravidel pro jednotlivá nastavení.

    Další informace najdete v dokumentaci k programu Defender CSP: Defender/AttackSurfaceReductionOnlyExclusions.

  • Individuální nastavení: Použití pouze ASR pro vyloučení pravidla

    Snímek obrazovky nastavení AsR Only \Per Rule Exclusions

    Pokud nastavíte příslušné nastavení v profilu pravidla omezení potenciální oblasti útoku na cokoli jiného než Nenakonfigurováno, Intune pro toto individuální nastavení nabídne možnost použít pouze vyloučení ASR podle pravidla . Pomocí této možnosti můžete nakonfigurovat vyloučení souborů a složek, které jsou izolované na jednotlivá nastavení, což je na rozdíl od použití globálního nastavení Attack Surface Reduction Only Exclusions , které aplikuje jeho vyloučení na všechna nastavení na zařízení.

    Ve výchozím nastavení je možnost Vyloučení pouze ASR na základě pravidlanastavená na Nenakonfigurováno.

    Důležité

    Zásady ASR nepodporují funkci sloučení pouze pro vyloučení ASR podle pravidla a konflikt zásad může vzniknout v případě, že více zásad konfiguruje pouze vyloučení ASR podle pravidla pro stejný konflikt zařízení. Abyste se vyhnuli konfliktům, zkombinujte konfigurace pro vyloučení pouze ASR podle pravidel do jedné zásady ASR. V budoucí aktualizaci zkoumáme přidání sloučení zásad pouze pro vyloučení ASR podle pravidel .

Sloučení zásad pro nastavení

Sloučení zásad pomáhá vyhnout se konfliktům, když více profilů, které platí pro stejné zařízení, konfiguruje stejné nastavení s různými hodnotami, což vytváří konflikt. Aby se zabránilo konfliktům, Intune vyhodnotí příslušná nastavení z každého profilu, který se vztahuje na zařízení. Tato nastavení se pak sloučí do jedné nadmnožině nastavení.

V případě zásad omezení potenciální oblasti útoku podporují sloučení zásad následující profily:

  • Ovládání zařízení

Sloučení zásad pro profily ovládacích prvků zařízení

Profily ovládacích prvků zařízení podporují sloučení zásad pro ID zařízení USB. Nastavení profilu, která spravují ID zařízení a podporují sloučení zásad, zahrnují:

  • Povolit instalaci hardwarového zařízení podle identifikátorů zařízení
  • Blokování instalace hardwarového zařízení podle identifikátorů zařízení
  • Povolit instalaci hardwarového zařízení podle tříd nastavení
  • Blokování instalace hardwarového zařízení podle tříd nastavení
  • Povolit instalaci hardwarového zařízení podle identifikátorů instancí zařízení
  • Blokování instalace hardwarového zařízení podle identifikátorů instancí zařízení

Sloučení zásad se vztahuje na konfiguraci jednotlivých nastavení v různých profilech, které toto konkrétní nastavení aplikují na zařízení. Výsledkem je jeden seznam pro každé podporované nastavení použité na zařízení. Příklady:

  • Sloučení zásad vyhodnocuje seznamy tříd nastavení , které byly nakonfigurovány v každé instanci Povolit instalaci hardwarového zařízení podle tříd nastavení , které platí pro zařízení. Seznamy jsou sloučeny do jednoho seznamu povolených, kde jsou odebrány všechny duplicitní třídy nastavení.

    Odebráním duplicit ze seznamu se odebere běžný zdroj konfliktů. Kombinovaný seznam povolených se pak doručí do zařízení.

Sloučení zásad neporovnává ani nesloučí konfigurace z různých nastavení. Příklady:

  • Rozbalením prvního příkladu, ve kterém se několik seznamů z části Povolit instalaci hardwarových zařízení podle tříd nastavení sloučilo do jednoho seznamu, máte několik instancí blokování instalace hardwarového zařízení podle tříd nastavení , které platí pro stejné zařízení. Všechny související seznamy blokovaných se sloučí do jednoho seznamu blokovaných pro zařízení, které se pak nasadí do zařízení.

    • Seznam povolených pro třídy nastavení se nesrovnává ani neslučuje se seznamem blokovaných tříd nastavení.
    • Místo toho zařízení obdrží oba seznamy, protože jsou ze dvou různých nastavení. Zařízení pak vynucuje nejvíce omezující nastavení pro instalaci podle tříd nastavení.

    V tomto příkladu třída nastavení definovaná v seznamu blokovaných přepíše stejnou třídu nastavení, pokud je na seznamu povolených. Výsledkem by bylo, že třída nastavení je na zařízení zablokovaná.

Další kroky

Nakonfigurujte zásady zabezpečení koncového bodu.

Podívejte se na podrobnosti o nastavení v profilech pro profily omezení potenciální oblasti útoku.