Hyökkäyspinnan pienentämissääntöjen käyttöönotto Microsoft Defender for Businessissa
Hyökkäyspinnat ovat kaikki paikkoja ja tapoja, joilla organisaatiosi verkko ja laitteet ovat alttiita kyberuhille ja hyökkäyksille. Suojaamattomat laitteet, rajoittamaton pääsy mihin tahansa yrityksen laitteen URL-osoitteeseen ja minkä tahansa tyyppisten sovellusten tai komentosarjojen suorittaminen yrityksen laitteissa ovat kaikki esimerkkejä hyökkäyspinnoista. Ne altistavat yrityksesi kyberhyökkäyksille.
Microsoft Defender for Business tarjoaa useita hyökkäyspinnan pienentämisominaisuuksia verkon ja laitteiden suojaamiseksi, mukaan lukien hyökkäyspinnan pienentämissäännöt. Tässä artikkelissa kuvataan hyökkäyspinnan pienentämissääntöjen määrittäminen ja hyökkäyksen pinnan pienentämistoiminnot.
ASR-vakiosuojauksen säännöt
Hyökkäyspinnan vähentämissääntöjä on paljon. Sinun ei tarvitse määrittää niitä kaikkia kerralla. Voit myös määrittää joitakin sääntöjä valvontatilassa vain nähdäksesi, miten ne toimivat organisaatiossasi, ja muuttaa ne toimimaan lohkotilassa myöhemmin. Suosittelemme kuitenkin, että otat käyttöön seuraavat vakiosuojaussäännöt mahdollisimman pian:
- Estä tunnistetietojen varastaminen Windowsin paikallisen suojausviranomaisen alijärjestelmästä
- Hyödynnettyjen haavoittuvassa asemassa olevien allekirjoitettujen ohjainten väärinkäytön estäminen
- Estä pysyvyys WMI-tapahtumatilauksen kautta
Nämä säännöt auttavat suojaamaan verkkoasi ja laitteitasi, mutta niiden ei pitäisi aiheuttaa häiriöitä käyttäjille. Intunen avulla voit määrittää hyökkäysalueen pienentämissäännöt.
ASR-sääntöjen määrittäminen Intunen avulla
Siirry Microsoft Intune -hallintakeskuksessa kohtaan Päätepisteen suojaus>Hyökkäyspinnan pienentäminen.
Luo uusi käytäntö valitsemalla Luo käytäntö .
- Valitse käyttöympäristöksiWindows 10, Windows 11 ja Windows Server.
- Valitse Profiili-kohdassa Hyökkäyspinnan pienentämissäännöt ja valitse sitten Luo.
Määritä käytäntö seuraavasti:
Määritä nimi ja kuvaus ja valitse sitten Seuraava.
Määritä vähintään seuraavien kolmen säännön kohdalla jokaisen arvoksi Block:
- Estä tunnistetietojen varastaminen Windowsin paikallisen suojausviranomaisen alijärjestelmästä
- Estä pysyvyys WMI-tapahtumatilauksen kautta
- Hyödynnettyjen haavoittuvassa asemassa olevien allekirjoitettujen ohjainten väärinkäytön estäminen
Valitse sitten Seuraava.
Valitse Käyttöaluetunnisteet-vaiheessaSeuraava.
Valitse Määritykset-vaiheessa käyttäjät tai laitteet, joille säännöt lähetetään, ja valitse sitten Seuraava. (Suosittelemme, että valitset Lisää kaikki laitteet.)
Tarkista tiedot Tarkista + luo -vaiheessa ja valitse sitten Luo.
Vihje
Halutessasi voit määrittää aluksi hyökkäyspinnan vähentämissäännöt valvontatilassa, jotta näet tunnistuksia, ennen kuin tiedostot tai prosessit todella estetään. Lisätietoja hyökkäyspinnan pienentämissäännöistä on kohdassa Hyökkäyspinnan vähentämissääntöjen käyttöönoton yleiskatsaus.
Hyökkäysalueen pienentämisraportin tarkasteleminen
Defender for Business sisältää hyökkäyspinnan pienentämisraportin, joka näyttää, miten hyökkäyspinnan pienentämissäännöt toimivat puolestasi.
Valitse Microsoft Defender -portaalin siirtymisruudussa Raportit.
Valitse Päätepisteet-kohdassaHyökkäyspinnan pienentämissäännöt. Raportti avautuu ja sisältää kolme välilehteä:
- Tunnistuksia, joissa voit tarkastella hyökkäyspinnan pienentämissääntöjen seurauksena tapahtuneita tunnistuksia
- Määritys, jossa voit tarkastella vakiosuojaussääntöjen tai muiden hyökkäyspinnan vähentämissääntöjen tietoja
- Lisää poissulkemisia, joissa voit lisätä kohteita, jotka voidaan sulkea pois hyökkäyspinnan vähentämissäännöistä (käytä poikkeukset säästeliäästi; jokainen poissulkeminen vähentää suojaustasoasi)
Lisätietoja hyökkäyspinnan pienentämissäännöistä on seuraavissa artikkeleissa:
- Hyökkäyspinnan pienentämissääntöjen yleiskatsaus
- Hyökkäyspinnan pienentämissääntöjen raportti
- Hyökkäyksen pinnan pienentämissääntöjen viittaus
- Hyökkäyksen pinnan pienentämissääntöjen käyttöönoton yleiskatsaus
Hyökkäysalueen vähentämistoiminnot Defender for Businessissa
Hyökkäysalueen pienentämissäännöt ovat käytettävissä Defender for Businessissa. Seuraavassa taulukossa on yhteenveto Defender for Businessin hyökkäysalueen vähentämistoiminnoista. Huomaa, miten muut ominaisuudet, kuten seuraavan sukupolven suojaus ja verkkosisällön suodatus, toimivat yhdessä hyökkäysalueen pienentämisominaisuuksien kanssa.
| Kykenevyys | Sen määrittäminen |
|---|---|
|
Hyökkäyspinta-alan rajoittamissäännöt Estä windows-laitteissa suoritettavat tietyt toiminnot, jotka liittyvät yleisesti haitalliseen toimintaan. |
Ota käyttöön tavalliset suojauksen hyökkäysalueen vähentämissäännöt (tämän artikkelin osio). |
|
Hallittu kansion käyttö Valvotun kansion käyttö sallii vain luotettavien sovellusten käyttää suojattuja kansioita Windows-laitteissa. Ajattele tätä ominaisuutta kiristyshaittaohjelman lievennyksenä. |
Määritä valvotun kansion käyttökäytäntö Microsoft Defender for Businessissa. |
|
Verkon suojaus Verkon suojaus estää käyttäjiä käyttämästä vaarallisia verkkotunnuksia Windows- ja Mac-laitteidensa sovellusten kautta. Verkon suojaus on myös verkkosisällön suodatuksen keskeinen osa Microsoft Defender for Businessissa. |
Verkon suojaus on oletusarvoisesti käytössä, kun laitteet on otettu käyttöön Defender for Businessissa ja seuraavan sukupolven suojauskäytännöt Defender for Businessissa otetaan käyttöön. Oletuskäytännöt on määritetty käyttämään suositeltuja suojausasetuksia. |
|
Verkkosuojaus Verkkosuojaus integroituu verkkoselaimiin ja toimii verkon suojauksen kanssa suojautuakseen verkkouhkilta ja ei-toivotulta sisällöltä. Verkon suojaukseen sisältyvät verkkosisällön suodatus ja uhkaraportit verkossa. |
Määritä verkkosisällön suodatus Microsoft Defender for Businessissa. |
|
Palomuurisuojaus Palomuurisuojaus määrittää, mitä verkkoliikennettä saa kulkea organisaatiosi laitteisiin tai laitteista. |
Palomuurisuojaus on oletusarvoisesti käytössä, kun laitteet on otettu käyttöön Defender for Businessissa ja palomuurikäytännöt Defender for Businessissa otetaan käyttöön. |