Vysvětlení a používání možností omezení potenciální oblasti útoku

Platí pro:

• Microsoft Defender XDR
• Plán 1 pro Microsoft Defender for Endpoint
• Plán 2 pro Microsoft Defender pro koncový bod
• Antivirová ochrana v programu Microsoft Defender

Platformy

• Windows

Tip

Chcete vyzkoušet Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,

Oblasti útoků jsou místa, kde je vaše organizace zranitelná vůči kybernetickým hrozbám a útokům. Defender for Endpoint obsahuje několik možností, které vám pomůžou omezit možnosti útoku. Podívejte se na následující video, ve které se dozvíte další informace o omezení potenciální oblasti útoku.

Konfigurace možností omezení potenciální oblasti útoku

Pokud chcete nakonfigurovat omezení potenciální oblasti útoku ve vašem prostředí, postupujte takto:

1. Povolte izolaci na základě hardwaru pro Microsoft Edge.

2. Povolte pravidla omezení potenciální oblasti útoku.

3. Povolte řízení aplikací.

   1. Zkontrolujte základní zásady ve Windows. Viz Příklad základních zásad.

   2. Projděte si průvodce návrhem Windows Defender Řízení aplikací.

   3. Další informace najdete v tématu Nasazení zásad řízení aplikací Windows Defender (WDAC).

4. Povolte řízený přístup ke složkům.

5. Povolte ochranu vyměnitelného úložiště.

6. Zapněte ochranu sítě.

7. Povolte webovou ochranu.

8. Povolte ochranu před zneužitím.

9. Nastavte si bránu firewall sítě.

   1. Získejte přehled brány Windows Firewall s pokročilým zabezpečením.

   2. Pomocí průvodce návrhem brány Windows Firewall se rozhodněte, jak chcete navrhnout zásady brány firewall.

   3. Pomocí průvodce nasazením brány Windows Firewall nastavte bránu firewall vaší organizace s pokročilým zabezpečením.

Tip

Ve většině případů si při konfiguraci možností omezení potenciální oblasti útoku můžete vybrat z několika metod:

• Microsoft Intune
• Microsoft Configuration Manager
• Zásady skupiny
• Rutiny PowerShellu

Omezení prostoru pro testování útoku v Microsoft Defender for Endpoint

Jako člen týmu zabezpečení vaší organizace můžete nakonfigurovat možnosti omezení potenciálních oblastí útoku tak, aby běžely v režimu auditování, abyste viděli, jak fungují. V režimu auditu můžete povolit následující funkce zabezpečení omezení potenciální oblasti útoku:

• Pravidla pro omezení potenciální oblasti útoku
• Ochrana před zneužitím
• Ochrana sítě
• Řízený přístup ke složkám
• Ovládání zařízení

Režim auditování umožňuje zobrazit záznam toho, co by se stalo, kdyby byla funkce povolená.

Režim auditování můžete povolit při testování fungování funkcí. Když povolíte režim auditování jenom pro testování, zabráníte tomu, aby režim auditování ovlivnil vaše obchodní aplikace. Můžete také získat představu o tom, k kolika podezřelým pokusům o změnu souboru dochází za určité časové období.

Tyto funkce neblokují ani nebrání úpravám aplikací, skriptů nebo souborů. Protokol událostí systému Windows však zaznamenává události, jako by byly funkce plně povolené. V režimu auditování můžete zkontrolovat protokol událostí a zjistit, jaký vliv by tato funkce měla, kdyby byla povolená.

Auditované položky najdete v části Aplikace a služby>Microsoft>Windows>Windows Defender>Operational.

K získání větších podrobností o každé události použijte Defender for Endpoint. Tyto podrobnosti jsou užitečné zejména při zkoumání pravidel omezení potenciální oblasti útoku. Pomocí konzoly Defenderu for Endpoint můžete prošetřovat problémy v rámci časové osy upozornění a scénářů šetření.

Režim auditování můžete povolit pomocí Zásady skupiny, PowerShellu a poskytovatelů konfiguračních služeb (CSP).

Možnosti auditu	Povolení režimu auditování	Zobrazení událostí
Audit se vztahuje na všechny události.	Povolení řízeného přístupu ke složkám	Události řízeného přístupu ke složkě
Audit se vztahuje na jednotlivá pravidla.	Krok 1: Testování pravidel omezení potenciální oblasti útoku pomocí režimu auditování	Krok 2: Seznamte se se stránkou pro hlášení pravidel omezení potenciální oblasti útoku
Audit se vztahuje na všechny události.	Povolení ochrany sítě	Události ochrany sítě
Audit se vztahuje na jednotlivá omezení rizik	Povolení ochrany před zneužitím	Události ochrany před zneužitím

Můžete například otestovat pravidla omezení potenciální oblasti útoku v režimu auditování předtím, než je povolíte v režimu blokování. Pravidla omezení potenciální oblasti útoku jsou předdefinovaná pro posílení běžných známých oblastí útoku. Existuje několik metod, které můžete použít k implementaci pravidel omezení potenciální oblasti útoku. Upřednostňovaná metoda je popsána v následujících článcích o nasazení pravidel omezení potenciální oblasti útoku:

• Přehled nasazení pravidel omezení potenciální oblasti útoku
• Plánování nasazení pravidel omezení potenciální oblasti útoku
• Testování pravidel omezení potenciální oblasti útoku
• Povolení pravidel omezení potenciální oblasti útoku
• Zprovoznění pravidel omezení potenciální oblasti útoku

Zobrazení událostí omezení potenciální oblasti útoku

Zkontrolujte události omezení potenciální oblasti útoku v Prohlížeč událostí a sledujte, jaká pravidla nebo nastavení fungují. Můžete také zjistit, jestli některá nastavení nejsou příliš "hlučná" nebo nemají vliv na váš každodenní pracovní postup.

Při vyhodnocování funkcí je užitečné kontrolovat události. Můžete povolit režim auditování pro funkce nebo nastavení a pak zkontrolovat, co by se stalo, kdyby byly plně povolené.

Tato část obsahuje seznam všech událostí, jejich přidružené funkce nebo nastavení a popisuje, jak vytvořit vlastní zobrazení pro filtrování konkrétních událostí.

Pokud máte předplatné E5 a používáte Microsoft Defender for Endpoint, získejte podrobné sestavy událostí, bloků a upozornění v rámci Zabezpečení Windows.

Použití vlastních zobrazení ke kontrole možností omezení potenciální oblasti útoku

Create vlastní zobrazení v Prohlížeč událostí Windows, aby se zobrazovaly jenom události pro konkrétní možnosti a nastavení. Nejjednodušší způsob je importovat vlastní zobrazení jako soubor XML. Kód XML můžete zkopírovat přímo z této stránky.

Do oblasti události, která odpovídá dané funkci, můžete také přejít ručně.

Import existujícího vlastního zobrazení XML

1. Create prázdný soubor .txt a zkopírujte do souboru .txt kód XML pro vlastní zobrazení, které chcete použít. Udělejte to pro všechna vlastní zobrazení, která chcete použít. Přejmenujte soubory následujícím způsobem (nezapomeňte změnit typ z .txt na .xml):

   • Vlastní zobrazení událostí řízeného přístupu ke složkě: cfa-events.xml
   • Vlastní zobrazení událostí ochrany před zneužitím: ep-events.xml
   • Vlastní zobrazení událostí omezení potenciální oblasti útoku: asr-events.xml
   • Vlastní zobrazení událostí sítě nebo ochrany: np-events.xml

2. Do nabídky Start zadejte prohlížeč událostí a otevřete Prohlížeč událostí.

3. Vyberte akce>Import vlastního zobrazení...

   

4. Přejděte do umístění, kam jste extrahovali soubor XML pro požadované vlastní zobrazení, a vyberte ho.

5. Vyberte Otevřít.

6. Vytvoří vlastní zobrazení, které filtruje jenom události související s danou funkcí.

Zkopírujte kód XML přímo.

1. Do nabídky Start zadejte prohlížeč událostí a otevřete Prohlížeč událostí Windows.

2. Na levém panelu v části Akce vyberte Create Vlastní zobrazení...

   

3. Přejděte na kartu XML a vyberte Upravit dotaz ručně. Pokud použijete možnost XML, zobrazí se upozornění, že dotaz nemůžete upravit pomocí karty Filtr . Vyberte Ano.

4. Vložte kód XML pro funkci, ze které chcete filtrovat události, do oddílu XML.

5. Vyberte OK. Zadejte název filtru. Tato akce vytvoří vlastní zobrazení, které filtruje jenom události související s touto funkcí.

XML pro události pravidla omezení potenciální oblasti útoku

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
   <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select>
   <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select>
  </Query>
</QueryList>

XML pro události řízeného přístupu ke složkům

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
   <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
   <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
  </Query>
</QueryList>

XML pro události ochrany před zneužitím

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Security-Mitigations/KernelMode">
   <Select Path="Microsoft-Windows-Security-Mitigations/KernelMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Concurrency">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Contention">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Messages">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Operational">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Power">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Render">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Tracing">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/UIPI">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Security-Mitigations/UserMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
  </Query>
</QueryList>

XML pro události ochrany sítě

<QueryList>
 <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
  <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
  <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
 </Query>
</QueryList>

Seznam událostí omezení potenciální oblasti útoku

Všechny události omezení potenciální oblasti útoku se nacházejí v části Protokoly > aplikací a služeb Microsoft > Windows a pak ve složce nebo poskytovateli, jak je uvedeno v následující tabulce.

K těmto událostem se dostanete v Prohlížeči událostí systému Windows:

1. Otevřete nabídku Start, zadejte prohlížeč událostí a pak vyberte Prohlížeč událostí výsledek.

2. Rozbalte položku Protokoly > aplikací a služeb v systému Microsoft > Windows a pak přejděte do složky uvedené v části Poskytovatel/zdroj v následující tabulce.

3. Poklikáním na dílčí položku zobrazíte události. Projděte si události a najděte ty, které hledáte.

   

Funkce	Poskytovatel/zdroj	ID události	Popis
Ochrana před zneužitím	Omezení zabezpečení (Režim jádra/Uživatelský režim)	1	ACG audit
Ochrana před zneužitím	Omezení zabezpečení (Režim jádra/Uživatelský režim)	2	Vynucení ACG
Ochrana před zneužitím	Omezení zabezpečení (Režim jádra/Uživatelský režim)	3	Nepovolit audit podřízených procesů
Ochrana před zneužitím	Omezení zabezpečení (Režim jádra/Uživatelský režim)	4	Nepovolit blokování podřízených procesů
Ochrana před zneužitím	Omezení zabezpečení (Režim jádra/Uživatelský režim)	5	Blokovat audit obrázků s nízkou integritou
Ochrana před zneužitím	Omezení zabezpečení (Režim jádra/Uživatelský režim)	6	Blokování obrázků s nízkou integritou
Ochrana před zneužitím	Omezení zabezpečení (Režim jádra/Uživatelský režim)	7	Blokovat audit vzdálených obrázků
Ochrana před zneužitím	Omezení zabezpečení (Režim jádra/Uživatelský režim)	8	Blokování vzdálených imagí
Ochrana před zneužitím	Omezení zabezpečení (Režim jádra/Uživatelský režim)	9	Zakázat audit systémových volání win32k
Ochrana před zneužitím	Omezení zabezpečení (Režim jádra/Uživatelský režim)	10	Zakázání blokování systémových volání win32k
Ochrana před zneužitím	Omezení zabezpečení (Režim jádra/Uživatelský režim)	11	Audit ochrany integrity kódu
Ochrana před zneužitím	Omezení zabezpečení (Režim jádra/Uživatelský režim)	12	Blok ochrany integrity kódu
Ochrana před zneužitím	Omezení zabezpečení (Režim jádra/Uživatelský režim)	13	Audit EAF
Ochrana před zneužitím	Omezení zabezpečení (Režim jádra/Uživatelský režim)	14	Vynucení EAF
Ochrana před zneužitím	Omezení zabezpečení (Režim jádra/Uživatelský režim)	15	Audit EAF+
Ochrana před zneužitím	Omezení zabezpečení (Režim jádra/Uživatelský režim)	16	Vynucování EAF+
Ochrana před zneužitím	Omezení zabezpečení (Režim jádra/Uživatelský režim)	17	Audit IAF
Ochrana před zneužitím	Omezení zabezpečení (Režim jádra/Uživatelský režim)	18	Vynucení IAF
Ochrana před zneužitím	Omezení zabezpečení (Režim jádra/Uživatelský režim)	19	Audit ROP StackPivot
Ochrana před zneužitím	Omezení zabezpečení (Režim jádra/Uživatelský režim)	20	Vynucování ROP StackPivot
Ochrana před zneužitím	Omezení zabezpečení (Režim jádra/Uživatelský režim)	21	Caller ROPKontrola auditu
Ochrana před zneužitím	Omezení zabezpečení (Režim jádra/Uživatelský režim)	22	ROP CallerCheck enforce
Ochrana před zneužitím	Omezení zabezpečení (Režim jádra/Uživatelský režim)	23	Audit ROP SimExec
Ochrana před zneužitím	Omezení zabezpečení (Režim jádra/Uživatelský režim)	24	Vynucení ROP SimExec
Ochrana před zneužitím	WER-Diagnostics	5	Blok CFG
Ochrana před zneužitím	Win32K (provozní)	260	Nedůvěryhodné písmo
Ochrana sítě	Windows Defender (provozní)	5007	Událost při změně nastavení
Ochrana sítě	Windows Defender (provozní)	1125	Událost, kdy se ochrana sítě aktivuje v režimu auditování
Ochrana sítě	Windows Defender (provozní)	1126	Událost, kdy se aktivuje ochrana sítě v režimu blokování
Řízený přístup ke složkám	Windows Defender (provozní)	5007	Událost při změně nastavení
Řízený přístup ke složkám	Windows Defender (provozní)	1124	Událost auditovaného řízeného přístupu ke složkě
Řízený přístup ke složkám	Windows Defender (provozní)	1123	Událost blokovaného řízeného přístupu ke složkě
Řízený přístup ke složkám	Windows Defender (provozní)	1127	Událost bloku zápisu blokovaného řízeného přístupu ke složce
Řízený přístup ke složkám	Windows Defender (provozní)	1128	Auditovaná událost bloku zápisu řízeného přístupu ke složce
Omezení prostoru pro útok	Windows Defender (provozní)	5007	Událost při změně nastavení
Omezení prostoru pro útok	Windows Defender (provozní)	1122	Událost, kdy se pravidlo aktivuje v režimu auditování
Omezení prostoru pro útok	Windows Defender (provozní)	1121	Událost, kdy se pravidlo aktivuje v režimu blokování

Poznámka

Z pohledu uživatele se oznámení režimu upozornění na omezení potenciální oblasti útoku provádějí jako informační zpráva Windows pro pravidla omezení potenciální oblasti útoku.

V případě zmenšení potenciální oblasti útoku poskytuje ochrana sítě pouze režimy auditování a blokování.

Zdroje informací o omezení potenciální oblasti útoku

Jak je uvedeno ve videu, Defender for Endpoint obsahuje několik možností omezení potenciální oblasti útoku. Další informace najdete v následujících zdrojích informací:

Článku	Popis
Řízení aplikací	Použijte řízení aplikací tak, aby vaše aplikace musely získat důvěru, aby mohly běžet.
Referenční informace k pravidlu omezení potenciální oblasti útoku	Obsahuje podrobnosti o jednotlivých pravidlech omezení potenciální oblasti útoku.
Průvodce nasazením pravidel omezení potenciální oblasti útoku	Obsahuje přehled informací a předpokladů pro nasazení pravidel omezení potenciální oblasti útoku a podrobné pokyny pro testování (režim auditování), povolení (režim blokování) a monitorování.
Řízený přístup ke složkám	Pomozte zabránit škodlivým nebo podezřelým aplikacím (včetně malwaru ransomware šifrovaného zašifrováním souborů) v provádění změn souborů v klíčových systémových složkách (vyžaduje Microsoft Defender Antivirus).
Řízení zařízení	Chrání před ztrátou dat monitorováním a kontrolou médií používaných na zařízeních, jako jsou vyměnitelné úložiště a jednotky USB, ve vaší organizaci.
Ochrana před zneužitím	Pomozte chránit operační systémy a aplikace používané vaší organizací před zneužitím. Ochrana před zneužitím funguje také s antivirovými řešeními třetích stran.
Hardwarová izolace	Chraňte a udržujte integritu systému, když se spouští a běží. Ověřte integritu systému prostřednictvím místního a vzdáleného ověření. Izolace kontejnerů pro Microsoft Edge pomáhá chránit před škodlivými weby.
Ochrana sítě	Rozšiřte ochranu síťového provozu a připojení na zařízeních vaší organizace. (Vyžaduje Microsoft Defender Antivirus.
Testování pravidel omezení potenciální oblasti útoku	Obsahuje postup použití režimu auditování k otestování pravidel omezení potenciální oblasti útoku.
Webová ochrana	Webová ochrana umožňuje zabezpečit vaše zařízení před webovými hrozbami a pomáhá regulovat nežádoucí obsah.

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.