Migrering fra en HIPS, der ikke er Microsoft, for at angribe regler for overfladereduktion

  • Artikel

Gælder for:

Denne artikel hjælper dig med at knytte almindelige regler til Microsoft Defender for Endpoint.

Scenarier, når der migreres fra et HIPS-produkt, der ikke er Microsoft, til angrebsoverfladereduktionsregler

Bloker oprettelse af bestemte filer

  • Gælder for - alle processer
  • Handling – filoprettelse
  • Eksempler på filer/mapper, registreringsdatabasenøgler/værdier, processer, tjenester- *.zepto, *.odin, *.locky, *.jaff, *.lukitus, *.wnry, *.krab
  • Regler for reduktion af angrebsoverfladen – regler for reduktion af angrebsoverfladen blokerer angrebsteknikker og ikke indikatorer for kompromis (IOC). Det er ikke altid nyttigt at blokere et bestemt filtypenavn, da det ikke forhindrer en enhed i at blive kompromitteret. Den afværger kun delvist et angreb, indtil angribere opretter en ny type udvidelse til nyttedataene.
  • Andre anbefalede funktioner – Det anbefales på det kraftigste, at Microsoft Defender Antivirus er aktiveret sammen med Cloud Protection og Behavior Analysis. Vi anbefaler, at du bruger anden forebyggelse, såsom reglen for reduktion af angrebsoverfladen Brug avanceret beskyttelse mod ransomware, som giver et større niveau af beskyttelse mod ransomware-angreb. Desuden overvåger Microsoft Defender for Endpoint mange af disse registreringsdatabasenøgler, f.eks. ASEP-teknikker, som udløser bestemte beskeder. De anvendte registreringsdatabasenøgler kræver minimum rettigheder af typen Lokal Administration eller Installationsprogram, der er tillid til, kan ændres. Det anbefales at bruge et låst miljø med minimale administrative konti eller rettigheder. Andre systemkonfigurationer kan aktiveres, herunder Deaktiver fejlfinding for ikke-påkrævet roller , der er en del af vores bredere sikkerhedsanbefalinger.

Bloker oprettelse af bestemte registreringsdatabasenøgler

  • Gælder for - alle processer
  • Processer - I/T
  • Handling – Ændringer i registreringsdatabasen
  • Eksempler på filer/mapper, registreringsdatabasenøgler/værdier, processer, tjenester- \Software,HKCU\Environment\UserInitMprLogonScript,HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Accessibility\ATs*\StartExe, HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*\Debugger, HKEY_CURRENT_USER\Software\Microsoft\HtmlHelp Author\location, HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit*\MonitorProcess
  • Regler for reduktion af angrebsoverfladen – regler for reduktion af angrebsoverfladen blokerer angrebsteknikker og ikke indikatorer for kompromis (IOC). Det er ikke altid nyttigt at blokere et bestemt filtypenavn, da det ikke forhindrer en enhed i at blive kompromitteret. Den afværger kun delvist et angreb, indtil angribere opretter en ny type udvidelse til nyttedataene.
  • Andre anbefalede funktioner – Det anbefales på det kraftigste, at Microsoft Defender Antivirus er aktiveret sammen med Cloud Protection og Behavior Analysis. Vi anbefaler, at du bruger ekstra forebyggelse, såsom reglen for reduktion af angrebsoverfladen Brug avanceret beskyttelse mod ransomware. Dette giver en større grad af beskyttelse mod ransomware-angreb. Desuden overvåger Microsoft Defender for Endpoint flere af disse registreringsdatabasenøgler, f.eks. ASEP-teknikker, som udløser specifikke beskeder. Derudover kræver de anvendte registreringsdatabasenøgler mindst rettigheder af typen Lokal Administration eller Installationsprogram, der er tillid til, kan ændres. Det anbefales at bruge et låst miljø med minimale administrative konti eller rettigheder. Andre systemkonfigurationer kan aktiveres, herunder Deaktiver fejlfinding for ikke-påkrævet roller , der er en del af vores bredere sikkerhedsanbefalinger.

Bloker programmer, der ikke er tillid til, fra at køre fra flytbare drev

  • Gælder for- Programmer, der ikke er tillid til, fra USB
  • Processer- *
  • Handling – Udførelse af proces
  • *Eksempler på filer/mapper, registreringsdatabasenøgler/værdier, processer, tjenester:-
  • Regler for reduktion af angrebsoverfladen – regler for reduktion af angrebsoverfladen har en indbygget regel, der forhindrer lanceringen af programmer, der ikke er tillid til, fra flytbare drev: Bloker upålidelige og usignerede processer, der kører fra USB, GUID b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4.
  • Andre anbefalede funktioner – Udforsk flere kontrolelementer til USB-enheder og andre flytbare medier ved hjælp af Microsoft Defender for Endpoint:Sådan styrer du USB-enheder og andre flytbare medier ved hjælp af Microsoft Defender for Endpoint.

Bloker Mshta fra at starte visse underordnede processer

  • Gælder for- Mshta
  • Processer – mshta.exe
  • Handling – Udførelse af proces
  • Eksempler på filer/mapper, registreringsdatabasenøgler/værdier, processer, tjenester- powershell.exe, cmd.exe, regsvr32.exe
  • Regler for reduktion af angrebsoverfladen – reglerne for reduktion af angrebsoverfladen indeholder ingen specifikke regler, der forhindrer underordnede processer i atmshta.exe. Dette kontrolelement er inden for rammerne af Exploit Protection eller Windows Defender Application Control.
  • Andre anbefalede funktioner– Aktivér Windows Defender programkontrolelement for at forhindre, at mshta.exe udføres helt. Hvis din organisation kræver mshta.exe til line of business-apps, skal du konfigurere en bestemt regel Windows Defender Exploit Protection for at forhindre, at mshta.exe starter underordnede processer.

Bloker Outlook fra start af underordnede processer

  • Gælder for- Outlook
  • Processer – outlook.exe
  • Handling – Udførelse af proces
  • Eksempler på filer/mapper, registreringsdatabasenøgler/værdier, processer, tjenester- powershell.exe
  • Regler for reduktion af angrebsoverflade – regler for reduktion af angrebsoverfladen har en indbygget regel, der forhindrer Office-kommunikationsprogrammer (Outlook, Skype og Teams) i at starte underordnede processer: Bloker Office-kommunikationsprogram fra oprettelse af underordnede processer, GUID 26190899-1602-49e8-8b27-eb1d0a1ce869.
  • Andre anbefalede funktioner – Vi anbefaler, at du aktiverer PowerShell-begrænset sprogtilstand for at minimere angrebsoverfladen fra PowerShell.

Bloker Office-apps fra start af underordnede processer

  • Gælder for Office
  • Processer – winword.exe, powerpnt.exe, excel.exe
  • Handling – Udførelse af proces
  • Eksempler på filer/mapper, registreringsdatabasenøgler/værdier, processer, tjenester- powershell.exe, cmd.exe, wscript.exe, mshta.exe, EQNEDT32.EXE, regsrv32.exe
  • Regler for reduktion af angrebsoverflade – regler for reduktion af angrebsoverfladen har en indbygget regel, der forhindrer Office-apps i at starte underordnede processer: Bloker alle Office-programmer fra at oprette underordnede processer, GUID d4f940ab-401b-4efc-aadc-ad5f3c50688a.
  • Andre anbefalede funktioner – I/T

Bloker Office-apps fra oprettelse af eksekverbart indhold

  • Gælder for Office
  • Processer – winword.exe, powerpnt.exe, excel.exe
  • Handling – filoprettelse
  • Eksempler på filer/mapper, registreringsdatabasenøgler/værdier, processer, tjenester- C:\Brugere*\AppData**.exe, C:\ProgramData**.exe, C:\ProgramData**.com, C:\UsersAppData\Local\Temp**.com, C:\Users\Downloads**.exe, C:\Users*\AppData**.scf, C:\ProgramData**.scf, C:\Users\Public*.exe, C:\Users*\Desktop***.exe
  • Regler for reduktion af angrebsoverfladen - I/T.

Bloker Wscript fra læsning af visse filtyper

  • Gælder for- Wscript
  • Processer – wscript.exe
  • Handling – Fillæs
  • Eksempler på filer/mapper, registreringsdatabasenøgler/værdier, processer, tjenester- C:\Brugere*\AppData**.js, C:\Brugere*\Downloads**.js
  • Regler for reduktion af angrebsoverflade – På grund af problemer med pålidelighed og ydeevne har regler for reduktion af angrebsoverfladen ikke mulighed for at forhindre en bestemt proces i at læse en bestemt scriptfiltype. Vi har en regel til at forhindre angrebsvektorer, der kan stamme fra disse scenarier. Regelnavnet er Block JavaScript eller VBScript fra start af downloadet eksekverbart indhold (GUID d3e037e1-3eb8-44c8-a917-57927947596d) og Bloker udførelse af potentielt slørede scripts (GUID * 5beb7efe-fd9a-4556-801d-275e5ffc04cc*).
  • Andre anbefalede funktioner – Selvom der er specifikke regler for reduktion af angrebsoverfladen, der afhjælper visse angrebsvektorer i disse scenarier, er det vigtigt at nævne, at AV som standard kan inspicere scripts (PowerShell, Windows Script Host, JavaScript, VBScript med mere) i realtid via AMSI (Antimalware Scan Interface). Du kan finde flere oplysninger her: AMSI (Antimalware Scan Interface).

Bloker start af underordnede processer

  • Gælder for Adobe Acrobat
  • Processer – AcroRd32.exe, Acrobat.exe
  • Handling – Udførelse af proces
  • Eksempler på filer/mapper, registreringsdatabasenøgler/værdier, processer, tjenester- cmd.exe, powershell.exe, wscript.exe
  • Regler for reduktion af angrebsoverfladen – regler for reduktion af angrebsoverfladen gør det muligt at forhindre Adobe Reader i at starte underordnede processer. Regelnavnet er Bloker Adobe Reader fra oprettelse af underordnede processer, GUID 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c.
  • Andre anbefalede funktioner – I/T

Bloker download eller oprettelse af eksekverbart indhold

  • Gælder for- CertUtil: Bloker download eller oprettelse af eksekverbar fil
  • Processer – certutil.exe
  • Handling – filoprettelse
  • Eksempler på filer/mapper, registreringsdatabasenøgler/værdier, processer, tjenester - *.exe
  • Regler for reduktion af angrebsoverfladen – regler for reduktion af angrebsoverfladen understøtter ikke disse scenarier, fordi de er en del af Microsoft Defender Antivirus-beskyttelse.
  • Andre anbefalede funktioner – Microsoft Defender Antivirus forhindrer CertUtil i at oprette eller downloade eksekverbart indhold.

Bloker processer fra at stoppe kritiske systemkomponenter

  • Gælder for - alle processer
  • Processer- *
  • Handling – afslutning af proces
  • Eksempler på filer/mapper, registreringsdatabasenøgler/værdier, processer, tjenester- MsSense.exe, MsMpEng.exe, NisSrv.exe, svchost.exe*, services.exe, csrss.exe, smss.exe, wininit.exe med mere.
  • Regler for reduktion af angrebsoverflade – regler for reduktion af angrebsoverfladen understøtter ikke disse scenarier, fordi de er beskyttet med indbygget sikkerhed i Windows.
  • Andre anbefalede funktioner: ELAM (Early Launch AntiMalware), PPL (Protection Process Light), PPL AntiMalware Light og System Guard.

Bloker specifikt startprocesforsøg

  • Gælder for- specifikke processer
  • Processer- Navngiv din proces
  • Handling – Udførelse af proces
  • Eksempler på filer/mapper, registreringsdatabasenøgler/værdier, processer, tjenester- tor.exe, bittorrent.exe, cmd.exe, powershell.exe med mere
  • Regler for reduktion af angrebsoverflade – Overordnet set er regler for reduktion af angrebsoverfladen ikke designet til at fungere som programadministrator.
  • Andre anbefalede funktioner – Hvis du vil forhindre brugere i at starte bestemte processer eller programmer, anbefales det at bruge Windows Defender programkontrolelement. Microsoft Defender for Endpoint indikatorer for fil og certifikat kan bruges i et hændelsessvarscenarie (bør ikke ses som en mekanisme til programkontrol).

Bloker uautoriserede ændringer af Microsoft Defender Antivirus-konfigurationer

  • Gælder for - alle processer
  • Processer- *
  • Handling – Ændringer i registreringsdatabasen
  • Eksempler på filer/mapper, registreringsdatabasenøgler/værdier, processer, tjenester- HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\DisableAntiSpyware, HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Policy Manager\AllowRealTimeMonitoring osv.
  • Regler for reduktion af angrebsoverflade – regler for reduktion af angrebsoverfladen dækker ikke disse scenarier, fordi de er en del af den Microsoft Defender for Endpoint indbyggede beskyttelse.
  • Andre anbefalede funktioner– Tamper Protection (opt-in, administreret fra Intune) forhindrer uautoriserede ændringer af DisableAntiVirus, DisableAntiSpyware, DisableRealtimeMonitoring, DisableOnAccessProtection, DisableBehaviorMonitoring og DisableIOAVProtection registreringsdatabasenøgler (og meget mere).

Se også

Tip

Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.