Přehled nasazení pravidel omezení potenciální oblasti útoku
Platí pro:
Oblasti útoků jsou místa, kde je vaše organizace zranitelná vůči kybernetickým hrozbám a útokům. Zmenšení prostoru pro útoky znamená ochranu zařízení a sítě vaší organizace, takže útočníci budou mít méně možností útoku. Může vám pomoct konfigurace pravidel Microsoft Defender for Endpoint omezení potenciální oblasti útoku.
Pravidla omezení potenciální oblasti útoku cílí na určité chování softwaru, například:
- Spouštění spustitelných souborů a skriptů, které se pokoušejí stáhnout nebo spustit soubory
- Spouštění obfuskovaných nebo jinak podezřelých skriptů
- Chování, ke kterému aplikace obvykle nedochází při běžné každodenní práci
Když zmenšíte různé oblasti útoku, můžete zabránit tomu, aby k útokům docházelo.
Tato kolekce nasazení poskytuje informace o následujících aspektech pravidel omezení potenciální oblasti útoku:
- požadavky na pravidla omezení potenciální potenciální oblasti útoku
- plánování nasazení pravidel omezení potenciální oblasti útoku
- test pravidel omezení potenciální oblasti útoku
- konfigurace a povolení pravidel omezení potenciální oblasti útoku
- osvědčené postupy pro omezení potenciální oblasti útoku
- pokročilé proaktivní vyhledávání pravidel omezení potenciální oblasti útoku
- prohlížeč událostí pravidel omezení potenciální oblasti útoku
Postup nasazení pravidel omezení potenciální oblasti útoku
Stejně jako u jakékoli nové rozsáhlé implementace, která by mohla potenciálně ovlivnit vaše obchodní operace, je důležité být při plánování a implementaci metodikou. Pečlivé plánování a nasazení pravidel omezení potenciální oblasti útoku je nezbytné, aby se zajistilo, že budou fungovat co nejlépe pro vaše jedinečné pracovní postupy zákazníků. Pokud chcete pracovat ve svém prostředí, musíte pečlivě plánovat, testovat, implementovat a zprovoznit pravidla omezení potenciální oblasti útoku.
Důležitá upozornění před nasazením
Doporučujeme povolit následující tři standardní pravidla ochrany. Důležité podrobnosti o dvou typech pravidel omezení potenciální oblasti útoku najdete v tématu Pravidla omezení potenciální oblasti útoku podle typu .
- Blokování krádeže přihlašovacích údajů ze subsystému místní autority zabezpečení Windows (lsass.exe)
- Blokovat zneužití zneužít ohrožených podepsaných ovladačů
- Blokování trvalosti prostřednictvím odběru událostí WMI (Windows Management Instrumentation)
Obvykle můžete povolit standardní pravidla ochrany s minimálním až žádným znatelným dopadem na koncového uživatele. Jednoduchou metodu povolení standardních pravidel ochrany najdete v tématu Zjednodušená možnost standardní ochrany.
Poznámka
Zákazníkům, kteří používají hips jiné společnosti než Microsoft a přecházejí na pravidla Microsoft Defender for Endpoint omezení potenciální oblasti útoku, microsoft doporučuje spustit řešení HIPS společně s nasazením pravidel omezení potenciální oblasti útoku až do okamžiku, kdy přejdete z režimu auditování do režimu blokování. Mějte na paměti, že s doporučeními k vyloučení se musíte obrátit na jiného poskytovatele antivirové ochrany než od Microsoftu.
Než začnete testovat nebo povolit pravidla omezení potenciální oblasti útoku
Během počáteční přípravy je důležité pochopit schopnosti systémů, které jste zavedli. Pochopení možností vám pomůže určit, která pravidla omezení potenciální oblasti útoku jsou pro ochranu vaší organizace nejdůležitější. Kromě toho existuje několik předpokladů, kterým se musíte věnovat při přípravě nasazení omezení potenciální potenciální oblasti útoku.
Důležité
Tato příručka obsahuje obrázky a příklady, které vám pomůžou při rozhodování, jak nakonfigurovat pravidla omezení potenciální oblasti útoku. Tyto image a příklady nemusí odrážet nejlepší možnosti konfigurace pro vaše prostředí.
Než začnete, přečtěte si základní informace v přehledu o omezení potenciální oblasti útoku a v části 1 věnované demystifikace pravidel omezení potenciální oblasti útoku . Pokud chcete porozumět oblastem pokrytí a potenciálnímu dopadu, seznamte se s aktuální sadou pravidel omezení potenciální oblasti útoku; Viz Referenční informace k pravidlu omezení potenciální oblasti útoku. Zatímco se seznamujete s sadou pravidel omezení potenciální oblasti útoku, poznamenejte si mapování GUID pro jednotlivá pravidla. Viz Pravidlo omezení potenciální oblasti útoku na matici GUID.
Pravidla omezení potenciální oblasti útoku jsou pouze jednou z možností omezení potenciální oblasti útoku v rámci Microsoft Defender for Endpoint. Tento dokument se podrobněji zaměřuje na efektivní nasazení pravidel omezení potenciální oblasti útoku, aby se zabránilo pokročilým hrozbám, jako je ransomware ovládaný člověkem a další hrozby.
Seznam pravidel omezení potenciální oblasti útoku podle kategorie
V následující tabulce jsou uvedena pravidla omezení potenciální oblasti útoku podle kategorie:
| Polymorfní hrozby | Laterální pohyb & krádež přihlašovacích údajů | Pravidla aplikací pro produktivitu | pravidla Email | Pravidla skriptů | Pravidla různého použití |
|---|---|---|---|---|---|
| Blokovat spuštění spustitelných souborů, pokud nesplňují rozšířenost (1 000 počítačů), věk nebo kritéria seznamu důvěryhodných položek | Blokování vytváření procesů pocházejících z příkazů PSExec a WMI | Blokování aplikací Office ve vytváření spustitelného obsahu | Blokování spustitelného obsahu z e-mailového klienta a webové pošty | Blokový obfuskovaný kód JS/VBS/PS/makra | Blokovat zneužití zneužívaného ohroženého podepsaného ovladače [1] |
| Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB | Blokování krádeže přihlašovacích údajů ze subsystému místní autority zabezpečení Windows (lsass.exe)[2] | Blokování aplikací Office ve vytváření podřízených procesů | Blokovat vytváření podřízených procesů jenom komunikačním aplikacím Office | Blokovat js/VBS spuštění staženého spustitelného obsahu | |
| Použití pokročilé ochrany proti ransomwaru | Blokování trvalosti prostřednictvím odběru událostí WMI | Blokovat aplikacím Office vkládání kódu do jiných procesů | Blokování komunikačních aplikací Office ve vytváření podřízených procesů | ||
| Blokovat Adobe Readeru vytváření podřízených procesů |
(1) Blokování zneužití zneužívaného ohroženého podepsaného ovladače je nyní k dispozici v částiOmezení potenciální oblasti útokuzabezpečení> koncového bodu.
(2) Některá pravidla omezení potenciální oblasti útoku generují značný hluk, ale neblokují funkčnost. Pokud například aktualizujete Chrome, chrome přistupuje klsass.exe; hesla se ukládají do lsass na zařízení. Chrome by ale neměl přistupovat k místnímu zařízení lsass.exe. Pokud pravidlo povolíte, aby blokoval přístup k lsass, zobrazí se mnoho událostí. Tyto události jsou vhodné, protože proces aktualizace softwaru by neměl mít přístup k lsass.exe. Použití tohoto pravidla zablokuje přístup aktualizací Chromu k lsass, ale neblokuje chrome v aktualizaci. To platí i pro jiné aplikace, které zbytečně volaly lsass.exe. Pravidlo blokování přístupu k lsass blokuje nepotřebná volání služby lsass, ale neblokuje spuštění aplikace.
Požadavky na infrastrukturu omezení potenciální oblasti útoku
I když je možné implementovat více metod implementace pravidel omezení potenciální oblasti útoku, je tato příručka založená na infrastruktuře, která se skládá z
- Microsoft Entra ID
- Microsoft Intune
- Windows 10 a Windows 11 zařízení
- licence Microsoft Defender for Endpoint E5 nebo Windows E5
Pokud chcete naplno využít pravidla omezení potenciální oblasti útoku a vytváření sestav, doporučujeme použít licenci Microsoft Defender XDR E5 nebo Windows E5 a A5. Další informace najdete v tématu Minimální požadavky na Microsoft Defender for Endpoint.
Poznámka
Existuje několik metod, jak nakonfigurovat pravidla omezení potenciální oblasti útoku. Pravidla omezení potenciální oblasti útoku je možné nakonfigurovat pomocí Microsoft Intune, PowerShellu, Zásady skupiny, Microsoft Configuration Manager (ConfigMgr) Intune OMA-URI. Pokud používáte jinou konfiguraci infrastruktury, než je uvedená v části Požadavky na infrastrukturu, můžete se o nasazení pravidel omezení potenciální oblasti útoku pomocí jiných konfigurací dozvědět více tady: Povolení pravidel omezení potenciální oblasti útoku.
Závislosti pravidel omezení potenciální oblasti útoku
Microsoft Defender Antivirová ochrana musí být povolená a nakonfigurovaná jako primární antivirové řešení a musí být v následujícím režimu:
- Primární antivirové/antimalwarové řešení
- Stav: Aktivní režim
Microsoft Defender Antivirus nesmí být v žádném z následujících režimů:
- Pasivní
- Pasivní režim s detekcí a odezvou koncového bodu (EDR) v režimu blokování
- Omezená pravidelná kontrola (LPS)
- Vypnuto
Další informace najdete v tématu Cloudová ochrana a Microsoft Defender Antivirová ochrana.
Aby bylo možné povolit pravidla omezení potenciální oblasti útoku, musí být povolená služba Cloud Protection (MAPS).
Microsoft Defender Antivirus bezproblémově spolupracuje s cloudovými službami Microsoftu. Tyto služby cloudové ochrany, označované také jako Microsoft Advanced Protection Service (MAPS), vylepšují standardní ochranu v reálném čase a pravděpodobně poskytují nejlepší antivirovou ochranu. Cloudová ochrana je zásadní pro prevenci porušení malwaru a důležitou součástí pravidel omezení potenciální oblasti útoku. Zapněte ochranu do cloudu v Microsoft Defender Antivirus.
Microsoft Defender antivirových komponent musí být aktuální verze pravidel omezení potenciální oblasti útoku
Následující verze Microsoft Defender antivirových komponent nesmí být větší než dvě verze starší než aktuálně dostupná verze:
- Microsoft Defender Verze aktualizace antivirové platformy – Microsoft Defender Antivirová platforma se aktualizuje každý měsíc.
- Microsoft Defender verze antivirového modulu – Microsoft Defender Antivirový modul se aktualizuje každý měsíc.
- Microsoft Defender Antivirová ochrana – Společnost Microsoft průběžně aktualizuje Microsoft Defender informace o zabezpečení (označované také jako definice a podpis), aby řešila nejnovější hrozby a upřesňující logiku detekce.
Udržování aktuálních verzí antivirové ochrany Microsoft Defender pomáhá snížit počet falešně pozitivních výsledků pravidel omezení potenciálního útoku a zlepšuje možnosti detekce Microsoft Defender antivirové ochrany. Další podrobnosti o aktuálních verzích a o tom, jak aktualizovat různé součásti Microsoft Defender Antivirus, najdete v tématu podpora platformy Microsoft Defender Antivirus.
Námitka
Některá pravidla nefungují dobře, pokud se nepodepisovaná, interně vyvinutá aplikace a skripty používají ve velkém. Nasazení pravidel omezení potenciální oblasti útoku je obtížnější, pokud se nevynucuje podepisování kódu.
Další články v této kolekci nasazení
Testování pravidel omezení potenciální oblasti útoku
Povolení pravidel omezení potenciální oblasti útoku
Zprovoznění pravidel omezení potenciální oblasti útoku
Referenční informace k pravidlu omezení potenciální oblasti útoku
Odkazy
Blogy
Demystifikace pravidel omezení prostoru útoku – část 1
Demystifikace pravidel omezení prostoru útoku – část 2
Demystifikace pravidel omezení potenciální oblasti útoku – část 3
Demystifikace pravidel omezení potenciální oblasti útoku – část 4
Kolekce pravidel omezení potenciální oblasti útoku
Přehled omezení potenciální oblasti útoku
Použití pravidel omezení potenciální oblasti útoku k prevenci malwarové infekce
Povolení pravidel omezení potenciální oblasti útoku – alternativní konfigurace
Referenční informace k pravidlu omezení potenciální oblasti útoku
Časté otázky k omezení potenciální oblasti útoku
Microsoft Defender
Řešení falešně pozitivních/negativních výsledků v programu Microsoft Defender for Endpoint
Cloudová ochrana a Microsoft Defender Antivirus
Zapnutí cloudové ochrany v Microsoft Defender Antivirus
Konfigurace a ověření vyloučení na základě rozšíření, názvu nebo umístění
Podpora platformy Microsoft Defender Antivirus
Přehled inventáře v Centru pro správu Microsoft 365 Apps
Create plánu nasazení pro Windows
Použití řízení přístupu na základě role (RBAC) a značek oboru pro distribuované IT v Intune
Přiřazení profilů zařízení v Microsoft Intune
Lokality pro správu
Centrum pro správu Microsoft Intune
Konfigurace pravidel omezení potenciální oblasti útoku
Vyloučení pravidel omezení potenciální oblasti útoku
Tip
Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro