Povolení pravidel omezení potenciální oblasti útoku v Microsoft Defender pro firmy

  • Článek

Vaše oblasti útoku představují všechna místa a způsoby, jak jsou sítě a zařízení vaší organizace zranitelné vůči kybernetickým hrozbám a útokům. Nezabezpečená zařízení, neomezený přístup k jakékoli adrese URL na firemním zařízení a povolení spuštění libovolného typu aplikace nebo skriptu na firemních zařízeních jsou příklady oblastí útoku. Díky nim je vaše společnost zranitelná vůči kybernetickým útokům.

V zájmu ochrany sítě a zařízení Microsoft Defender pro firmy zahrnuje několik možností omezení potenciální oblasti útoku, včetně pravidel omezení potenciální oblasti útoku. Tento článek popisuje, jak nastavit pravidla omezení potenciální oblasti útoku, a popisuje možnosti omezení potenciální oblasti útoku.

Poznámka

Intune není součástí samostatné verze Defenderu pro firmy, ale dá se přidat.

Standardní pravidla ochrany ASR

K dispozici je spousta pravidel omezení potenciální oblasti útoku. Nemusíte je nastavovat všechny najednou. Některá pravidla můžete nastavit v režimu auditování, abyste viděli, jak fungují ve vaší organizaci, a později je změnit tak, aby fungovala v režimu blokování. Přesto doporučujeme co nejdříve povolit následující standardní pravidla ochrany:

Tato pravidla pomáhají chránit vaši síť a zařízení, ale neměla by způsobit přerušení pro uživatele. Pomocí Intune nastavte pravidla omezení potenciální oblasti útoku.

Nastavení pravidel ASR pomocí Intune

  1. Jako globální správce v Centru pro správu Microsoft Intune (https://intune.microsoft.com/) přejděte naOmezení potenciální oblasti útokuzabezpečení> koncových bodů.

  2. Zvolte Create zásadu a vytvořte novou zásadu.

    • V části Platforma zvolte Windows 10, Windows 11 a Windows Server.
    • V části Profil vyberte Pravidla omezení potenciálních oblastí útoku a pak zvolte Create.

  3. Zásady nastavte takto:

    1. Zadejte název a popis a pak zvolte Další.

    2. Pro nejméně následující tři pravidla nastavte každé z nich na Blokovat:

      • Blokování krádeže přihlašovacích údajů ze subsystému místní autority zabezpečení Windows
      • Blokování trvalosti prostřednictvím odběru událostí WMI
      • Blokovat zneužití zneužít ohrožených podepsaných ovladačů

      Pak zvolte Další.

    3. V kroku Značky oboru zvolte Další.

    4. V kroku Přiřazení zvolte uživatele nebo zařízení, která mají pravidla přijímat, a pak zvolte Další. (Doporučujeme vybrat Přidat všechna zařízení.)

    5. V kroku Zkontrolovat a vytvořit zkontrolujte informace a pak zvolte Create.

Tip

Pokud chcete, můžete nejprve nastavit pravidla omezení potenciální oblasti útoku v režimu auditu, abyste viděli detekce před tím, než se soubory nebo procesy skutečně zablokují. Podrobnější informace o pravidlech omezení potenciální oblasti útoku najdete v tématu Přehled nasazení pravidel omezení potenciální oblasti útoku.

Zobrazení sestavy omezení potenciální oblasti útoku

Defender pro firmy obsahuje sestavu omezení potenciální oblasti útoku, která ukazuje, jak pro vás fungují pravidla omezení potenciální oblasti útoku.

  1. Jako globální správce na portálu Microsoft Defender (https://security.microsoft.com) v navigačním podokně zvolte Sestavy.

  2. V části Koncové body zvolte Pravidla omezení potenciální oblasti útoku. Sestava se otevře a obsahuje tři karty:

    • Detekce, kde můžete zobrazit detekce, ke kterým došlo v důsledku pravidel omezení potenciální oblasti útoku
    • Konfigurace, kde můžete zobrazit data pro standardní pravidla ochrany nebo jiná pravidla omezení potenciálního útoku
    • Přidání vyloučení, kde můžete přidávat položky, které mají být vyloučeny z pravidel omezení potenciální oblasti útoku (používejte vyloučení střídmě; každé vyloučení snižuje úroveň ochrany zabezpečení).

Další informace o pravidlech omezení potenciální oblasti útoku najdete v následujících článcích:

Možnosti omezení potenciální oblasti útoku v Defenderu pro firmy

Pravidla omezení potenciální oblasti útoku jsou k dispozici v Defenderu pro firmy. Následující tabulka shrnuje možnosti omezení potenciálních oblastí útoku v Defenderu pro firmy. Všimněte si, jak spolu s možnostmi omezení potenciální oblasti útoku spolupracují další funkce, jako je ochrana nové generace a filtrování webového obsahu.

Schopnosti Jak ho nastavit
Pravidla pro omezení potenciální oblasti útoku
Zabraňte konkrétním akcím, které jsou běžně spojené se škodlivými aktivitami, které se mají spustit na zařízeních s Windows.		 Povolte standardní pravidla omezení potenciální oblasti útoku ochrany (část v tomto článku).
Řízený přístup ke složkám
Řízený přístup ke složkám umožňuje přístup k chráněným složkám na zařízeních s Windows jenom důvěryhodným aplikacím. Tuto možnost si můžete představit jako zmírnění ransomwaru.		 Nastavte zásady řízeného přístupu ke složkách v Microsoft Defender pro firmy.
Ochrana sítě
Ochrana sítě brání uživatelům v přístupu k nebezpečným doménám prostřednictvím aplikací na zařízeních s Windows a Mac. Ochrana sítě je také klíčovou součástí filtrování webového obsahu v Microsoft Defender pro firmy.		 Ochrana sítě je už ve výchozím nastavení povolená, když jsou zařízení onboardovaná do Defenderu pro firmy a použijí se zásady ochrany nové generace v Defenderu pro firmy . Výchozí zásady jsou nakonfigurované tak, aby používaly doporučené nastavení zabezpečení.
Webová ochrana
Webová ochrana se integruje s webovými prohlížeči a pracuje s ochranou sítě, aby byla chráněna před webovými hrozbami a nežádoucím obsahem. Webová ochrana zahrnuje filtrování webového obsahu a sestavy webových hrozeb.		 Nastavení filtrování webového obsahu v Microsoft Defender pro firmy
Ochrana firewallem
Ochrana firewallem určuje, jaký síťový provoz může proudit do nebo z zařízení vaší organizace.		 Ochrana firewallem je už ve výchozím nastavení povolená, když jsou zařízení onboardovaná do Defenderu pro firmy a použijí se zásady brány firewall v Defenderu pro firmy .

Další kroky