Ota hyökkäyspinnan pienentämissäännöt käyttöön Microsoft Defender for Business

Hyökkäyspinnat ovat kaikki paikkoja, joissa verkko ja laitteet organisaatiossasi ovat alttiita hyökkäyksille. Esimerkki:

• Suojaamattomat laitteet.
• Yrityksen laitteiden URL-osoitteiden rajoittamaton käyttö.
• Sovellusten tai komentosarjojen rajoittamaton suorittaminen yrityksen laitteissa.

Verkon ja laitteiden suojaamiseksi Microsoft Defender for Business sisältää useita hyökkäyspinnan vähentämisominaisuuksia, kuten hyökkäyspinnan pienentämissäännöt (ASR). Tässä artikkelissa kuvataan hyökkäyspinnan pienentämissääntöjen määrittäminen ja hyökkäyksen pinnan pienentämistoiminnot.

Standard suojauksen ASR-säännöt

Hyökkäyspinnan vähentämissääntöjä on paljon. Sinun ei tarvitse määrittää niitä kaikkia kerralla. Voit myös määrittää joitakin sääntöjä valvontatilassa vain nähdäksesi, miten ne toimivat organisaatiossasi, ja muuttaa ne toimimaan lohkotilassa myöhemmin. Suosittelemme kuitenkin, että otat käyttöön seuraavat vakiosuojaussäännöt mahdollisimman pian:

• Estä tunnistetietojen varastaminen Windowsin paikallisen suojausviranomaisen alijärjestelmästä
• Hyödynnettyjen haavoittuvassa asemassa olevien allekirjoitettujen ohjainten väärinkäytön estäminen
• Estä pysyvyys WMI-tapahtumatilauksen kautta

Nämä säännöt auttavat suojaamaan verkkoasi ja laitteitasi, mutta niiden ei pitäisi aiheuttaa häiriöitä käyttäjille. Määritä hyökkäyspinnan vähentämissäännöt Intune avulla.

ASR-sääntöjen määrittäminen Intune avulla

1. Siirry Microsoft Intune hallintakeskuksessa kohtaan Päätepisteen suojaus>Hyökkäyspinnan pienentäminen.

2. Luo uusi käytäntö valitsemalla Luo käytäntö .

   • Valitse Käyttöympäristö-kohdassaWindows 10, Windows 11 ja Windows Server.
   • Valitse Profiili-kohdassa Hyökkäyspinnan pienentämissäännöt ja valitse sitten Luo.

3. Määritä käytäntö seuraavasti:

   1. Määritä nimi ja kuvaus ja valitse sitten Seuraava.

   2. Määritä vähintään seuraavien kolmen säännön kohdalla jokaisen arvoksi Block:

      • Estä tunnistetietojen varastaminen Windowsin paikallisen suojausviranomaisen alijärjestelmästä
      • Estä pysyvyys WMI-tapahtumatilauksen kautta
      • Hyödynnettyjen haavoittuvassa asemassa olevien allekirjoitettujen ohjainten väärinkäytön estäminen

      Valitse sitten Seuraava.

   3. Valitse Käyttöaluetunnisteet-vaiheessaSeuraava.

   4. Valitse Määritykset-vaiheessa käyttäjät tai laitteet, joille säännöt lähetetään, ja valitse sitten Seuraava. (Suosittelemme, että valitset Lisää kaikki laitteet.)

   5. Tarkista tiedot Tarkista + luo -vaiheessa ja valitse sitten Luo.

Vihje

Voit aluksi määrittää valvontatilassa sääntöjä, jotta näet tunnistuksia estämättä prosesseja tai tiedostoja. Lisätietoja hyökkäyspinnan pienentämissäännöistä on kohdassa Hyökkäyspinnan vähentämissääntöjen käyttöönoton yleiskatsaus.

Hyökkäysalueen pienentämisraportin tarkasteleminen

Defender for Business sisältää hyökkäyspinnan pienentämisraportin, joka näyttää, miten hyökkäyspinnan pienentämissäännöt toimivat puolestasi.

1. Valitse Microsoft Defender-portaalin siirtymisruudussa Raportit.

2. Valitse Päätepisteet-kohdassaHyökkäyspinnan pienentämissäännöt. Raportti avautuu ja sisältää kolme välilehteä:

   • Tunnistuksia, joissa voit tarkastella hyökkäyspinnan pienentämissääntöjen seurauksena tapahtuneita tunnistuksia
   • Määritys, jossa voit tarkastella vakiosuojaussääntöjen tai muiden hyökkäyspinnan vähentämissääntöjen tietoja
   • Lisää poissulkemisia, joissa voit lisätä kohteita, jotka voidaan sulkea pois hyökkäyspinnan vähentämissäännöistä (käytä poikkeukset säästeliäästi; jokainen poissulkeminen vähentää suojaustasoasi)

Lisätietoja hyökkäyspinnan pienentämissäännöistä on seuraavissa artikkeleissa:

• Hyökkäyspinnan pienentämissääntöjen yleiskatsaus
• Hyökkäyspinnan pienentämissääntöjen raportti
• Hyökkäyksen pinnan pienentämissääntöjen viittaus
• Hyökkäyksen pinnan pienentämissääntöjen käyttöönoton yleiskatsaus

Hyökkäysalueen vähentämistoiminnot Defender for Business

Hyökkäyspinnan vähentämissäännöt ovat käytettävissä Defender for Business. Seuraavassa taulukossa on yhteenveto hyökkäysalueen pienentämistoiminnoista Defender for Business. Huomaa, miten muut ominaisuudet, kuten seuraavan sukupolven suojaus ja verkkosisällön suodatus, toimivat yhdessä hyökkäysalueen pienentämisominaisuuksien kanssa.

Valmiudet	Sen määrittäminen
Hyökkäyspinta-alan rajoittamissäännöt Estä haitalliseen toimintaan yleisesti liittyvien toimintojen suorittaminen Windows-laitteissa.	Ota käyttöön tavalliset suojauksen hyökkäysalueen vähentämissäännöt (tämän artikkelin osio).
Hallittu kansion käyttö Salli vain luotettavien sovellusten käyttää suojattuja kansioita Windows-laitteissa. Ajattele tätä ominaisuutta kiristyshaittaohjelman lievennyksenä.	Määritä valvotun kansion käyttökäytäntö Microsoft Defender for Business.
Verkon suojaus Estä käyttäjiä käyttämästä vaarallisia verkkotunnuksia Windows- ja Mac-laitteidensa sovellusten kautta. Verkon suojaus on myös verkkosisällön suodatuksen keskeinen osa.	Oletusarvoisesti käytössä, kun laitteet on otettu käyttöön Defender for Business ja seuraavan sukupolven suojauskäytäntöjä sovelletaan. Oletuskäytännöt määritetään suositeltujen suojausasetusten mukaisesti.
Verkkosuojaus Integroituu verkkoselaimiin ja toimii verkon suojauksen kanssa suojautuakseen verkkouhkilta ja ei-toivotulta sisällöltä. Verkon suojaukseen sisältyvät verkkosisällön suodatus ja uhkaraportit verkossa.	Määritä verkkosisällön suodatus Microsoft Defender for Business.
Palomuurisuojaus Määrittää verkkoliikenteen, jonka sallitaan kulkea organisaatiosi laitteisiin tai laitteista.	Oletusarvoisesti käytössä, kun laitteet on otettu käyttöön Defender for Business ja Defender for Business palomuurikäytännöt otetaan käyttöön.

Seuraavat vaiheet

• Tarkista lisäominaisuuksien ja Microsoft Defender portaalin asetukset.
• Käytä haavoittuvuuden hallinnan koontinäyttöä
• Tapausten tarkasteleminen ja hallitseminen
• Näytä raportit