Vaikka hyökkäysalueen vähentämissäännöt eivät edellytä Windows E5 -käyttöoikeutta, Windows E5 -käyttöoikeudella saat lisähallintaominaisuuksia, kuten valvontaa, analytiikkaa ja työnkulkuja, jotka ovat käytettävissä Defender for Endpointissa, sekä raportointi- ja määritysominaisuuksia Microsoft Defender XDR-portaalissa. Nämä lisäominaisuudet eivät ole käytettävissä E3-käyttöoikeudella, mutta voit silti tarkastella hyökkäyksen pinnan pienentämissääntöjen tapahtumia Tapahtumienvalvonta.
Jokainen hyökkäyspinnan pienentämissääntö sisältää yhden neljästä asetuksista:
Ei määritetty | Poistettu käytöstä: Poista hyökkäysalueen pienennyssääntö käytöstä
Lohko: Ota hyökkäysalueen pienentämissääntö käyttöön
Valvonta: Arvioi, miten hyökkäyspinnan pienentämissääntö vaikuttaisi organisaatioosi, jos se on käytössä
Varoitus: Ota hyökkäysalueen pienentämissääntö käyttöön, mutta salli käyttäjän ohittaa lohko
Suosittelemme käyttämään hyökkäysalueen vähentämissääntöjä Windows E5 -käyttöoikeudella (tai vastaavalla käyttöoikeus SKU:lla) hyödyntääksesi Microsoft Defender for Endpoint (Defender for Endpoint) käytettävissä olevia kehittyneitä valvonta- ja raportointiominaisuuksia. Jos sinulla on kuitenkin toinen käyttöoikeus, kuten Windows Professional tai Windows E3, joka ei sisällä kehittyneitä valvonta- ja raportointiominaisuuksia, voit kehittää omia valvonta- ja raportointityökaluja tapahtumien lisäksi, jotka luodaan jokaisessa päätepisteessä hyökkäyksen pinnan pienentämissääntöjen käynnistyessä (esimerkiksi Tapahtumien edelleenlähetys).
Yritystason hallintaa, kuten Intune tai Microsoft Configuration Manager, suositellaan. Yritystason hallinta korvaa kaikki ryhmäkäytäntö tai PowerShell-asetukset käynnistyksen yhteydessä.
Jätä pois tiedostoja ja kansioita hyökkäysalueen vähentämissäännöistä
Useimmat hyökkäyspinnan pienentämissäännöt eivät voi arvioida tiedostoja ja kansioita. Tämä tarkoittaa sitä, että vaikka hyökkäysalueen pienentämissääntö määrittäisi, että tiedosto tai kansio sisältää haitallista toimintaa, se ei estä tiedoston suorittamista.
Tärkeä
Tiedostojen tai kansioiden jättäminen pois voi heikentää huomattavasti hyökkäysalueen pienentämissääntöjen tarjoamaa suojausta. Pois jätettyjen tiedostojen suorittaminen on sallittua, eikä raporttia tai tapahtumaa tallenneta. Jos hyökkäyspinnan vähentämissäännöt havaitsevat tiedostoja, joita ei mielestäsi pitäisi havaita, testaa sääntö ensin valvontatilassa.
Poikkeusta sovelletaan vain, kun pois jätetty sovellus tai palvelu käynnistyy. Jos esimerkiksi lisäät poissulkemisen jo käynnissä olevalle päivityspalvelulle, päivityspalvelu jatkaa tapahtumien käynnistämistä, kunnes palvelu pysäytetään ja käynnistetään uudelleen.
Kun lisäät poissulkemisia, pidä mielessä seuraavat asiat:
Poikkeukset perustuvat yleensä yksittäisiin tiedostoihin tai kansioihin (kansiopolkuja käytetään tai tiedoston koko polku jätetään pois).
Poikkeukset voidaan lisätä varmenteen ja tiedoston hajautuksen perusteella sallimalla määritetty Defender for Endpoint -tiedosto- ja varmenne-ilmaisimet. Katso Ilmaisimien yleiskatsaus.
Käytäntöristiriita
Jos ristiriitaista käytäntöä käytetään MDM:n ja GP:n kautta, GP:ssä käytetty asetus on etusijalla.
Hyökkäyspinnan vähentämissäännöt hallituille laitteille tukevat nyt eri käytäntöjen asetusten yhdistämistä luodakseen kullekin laitteelle käytännön yläjoukon. Vain asetukset, jotka eivät ole ristiriidassa, yhdistetään, kun taas ristiriitaisia asetuksia ei lisätä sääntöjen yläjoukkoon. Aiemmin, jos kaksi käytäntöä sisälsi ristiriitoja yhdelle asetukselle, molemmat käytännöt merkittiin ristiriitaisiksi eikä kummankaan profiilin asetuksia otettu käyttöön. Hyökkäysalueen pienentämissäännön yhdistäminen toimii seuraavasti:
Hyökkäyspinnan vähentämissäännöt seuraavista profiileista arvioidaan kullekin laitteelle, johon sääntöjä sovelletaan:
Asetukset, joissa ei ole ristiriitoja, lisätään laitteen käytännön yläjoukkoon.
Kun vähintään kahdella käytännöllä on ristiriitaisia asetuksia, ristiriitaisia asetuksia ei lisätä yhdistettyyn käytäntöön, kun taas asetukset, jotka eivät ole ristiriidassa, lisätään laitteeseen sovellettavaan yläjoukkokäytäntöön.
Vain ristiriitaisten asetusten määritykset pidätetään.
Määritysmenetelmät
Tässä osassa on määritystiedot seuraaville määritysmenetelmille:
Seuraavat hyökkäysalueen vähentämissääntöjen käyttöönoton menettelyt sisältävät ohjeita siitä, miten tiedostot ja kansiot jätetään pois.
Intune
Laitemääritysprofiilit
Valitse Laitemääritysprofiilit>. Valitse aiemmin luotu päätepisteen suojausprofiili tai luo uusi. Jos haluat luoda uuden, valitse Luo profiili ja anna tiedot tälle profiilille. Valitse Profiilityyppi-kohdassaPäätepisteen suojaus. Jos olet valinnut aiemmin luodun profiilin, valitse Ominaisuudet ja valitse sitten Asetukset.
Valitse Päätepisteen suojaus -ruudussa Windows Defender Exploit Guard ja valitse sitten Attack Surface Reduction. Valitse haluamasi asetus kullekin hyökkäysalueen pienentämissäännölle.
Kirjoita Attack Surface Reduction -kohtaan yksittäiset tiedostot ja kansiot. Voit myös valita Tuo tuodaksesi CSV-tiedoston, joka sisältää tiedostoja ja kansioita, jotka eivät sisälly hyökkäysalueen vähennyssääntöihin. CSV-tiedoston kunkin rivin tulee olla muotoiltu seuraavasti:
C:\folder, %ProgramFiles%\folder\file, C:\path
Valitse kolmesta määritysruudusta OK. Valitse sitten Luo , jos olet luomassa uutta päätepisteen suojaustiedostoa, tai Tallenna , jos muokkaat aiemmin luotua tiedostoa.
Päätepisteen suojauskäytäntö
Valitse Päätepisteen tietoturvahyökkäyksen>pinnan pienentäminen. Valitse aiemmin luotu hyökkäyspinnan pienentämissääntö tai luo uusi. Jos haluat luoda uuden, valitse Luo käytäntö ja anna tiedot tälle profiilille. Valitse Profiilityyppi-kohdassaHyökkäyspinnan pienentämissäännöt. Jos olet valinnut aiemmin luodun profiilin, valitse Ominaisuudet ja valitse sitten Asetukset.
Valitse Määritysasetukset-ruudussaHyökkäyspinnan pienentäminen ja valitse sitten haluamasi asetus kullekin hyökkäyspinnan pienentämissäännölle.
Anna suojattavan lisäkansion luettelo-kohtaanLuettelo sovelluksista, joilla on suojattujen kansioiden käyttöoikeus, ja Jätä pois tiedostoja ja polkuja hyökkäysalueen vähentämissäännöistä ja kirjoita yksittäisiä tiedostoja ja kansioita. Voit myös valita Tuo tuodaksesi CSV-tiedoston, joka sisältää tiedostoja ja kansioita, jotka eivät sisälly hyökkäysalueen vähennyssääntöihin. CSV-tiedoston kunkin rivin tulee olla muotoiltu seuraavasti:
C:\folder, %ProgramFiles%\folder\file, C:\path
Valitse kolme määritysruutua seuraava ja valitse sitten Luo , jos olet luomassa uutta käytäntöä, tai Tallenna , jos muokkaat aiemmin luotua käytäntöä.
Avaa Microsoft Intune hallintakeskus. Valitse Aloitus-valikostaLaitteet, valitse Määritysprofiilit ja valitse sitten Luo profiili.
Valitse luo profiili -kohdassa seuraavista kahdesta avattavasta luettelosta seuraavat:
Valitse käyttöympäristössäWindows 10 ja uudemmat
Valitse Profiilityyppi-kohdassaMallit
Jos hyökkäysalueen vähentämissäännöt on jo määritetty päätepisteen suojauksen kautta, valitse Profiilityyppi-kohdasta Asetukset Luettelo.
Valitse Mukautettu ja valitse sitten Luo.
Mukautettu malli -työkalu avautuu vaiheeseen 1 Perusteet. Kirjoita 1 Perustiedot-kohdassaNimi-kohtaan mallisi nimi, ja kuvaus-kohtaan voit kirjoittaa kuvauksen (valinnainen).
Valitse Seuraava. Vaihe 2 Määritysasetukset avautuu. Valitse OMA-URI-asetukset valitsemalla Lisää. Näkyviin tulee nyt kaksi vaihtoehtoa: Lisää ja vie.
Valitse Lisää uudelleen.
Lisää rivi OMA-URI-asetukset avautuu. Toimi seuraavasti Lisää rivi -kohdassa:
Kirjoita Nimi-kohtaan säännön nimi.
Kirjoita Kuvaus-ruutuun lyhyt kuvaus.
Kirjoita tai liitä OMA-URI-kohtaan tietty OMA-URI-linkki lisättävälle säännölle. Katso tämän artikkelin MDM-osiosta OMA-URI, jota käytetään tässä esimerkkisäännössä. Lisätietoja hyökkäyksen pinnan pienentämissäännön GUIDS-tunnuksista on artikkelin kohdassa Säännön kuvaukset : Hyökkäyspinnan pienentämissäännöt.
Valitse Tietotyyppi-kohdassaMerkkijono.
Kirjoita arvoon GUID-arvo, = -merkki ja State-arvo ilman välilyöntejä (GUID=StateValue). Jossa:
0: Poista käytöstä (Poista hyökkäysalueen pienennyssääntö käytöstä)
2: Valvonta (Arvioi, miten hyökkäyspinnan pienentämissääntö vaikuttaisi organisaatioosi, jos se on käytössä)
6: Varoita (Ota hyökkäysalueen pienentämissääntö käyttöön, mutta salli käyttäjän ohittaa lohko)
Valitse Tallenna.
Lisää rivi sulkeutuu. Valitse Mukautettu-kohdassaSeuraava. Vaiheen 3 käyttöaluetunnisteet ovat valinnaisia. Tee jokin seuraavista toimista:
Valitse Valitse käyttöaluetunnisteet, valitse käyttöaluetunniste (valinnainen) ja valitse sitten Seuraava.
Tai valitse Seuraava
Valitse vaiheessa 4 VarauksetSisällytetyt Ryhmät ryhmille, joita haluat tämän säännön käyttöön, seuraavista vaihtoehdoista:
Ryhmien lisääminen
Lisää kaikki käyttäjät
Lisää kaikki laitteet
Valitse Pois jätetyissä ryhmissä ryhmät, jotka haluat jättää pois tästä säännöstä, ja valitse sitten Seuraava.
Toimi vaiheessa 5 seuraavien asetusten soveltuvuussääntöjen mukaisesti:
Valitse Sääntö-kohdassa joko Määritä profiili, jos tai Älä määritä profiilia, jos
Valitse Ominaisuus-kohdassa ominaisuus, jota haluat tämän säännön käytettävän
Syötä Arvo-kohtaan soveltuva arvo tai arvoalue
Valitse Seuraava. Tarkista vaiheessa 6 Tarkista + luo, tarkista valitsemasi ja syöttämäsi asetukset ja tiedot ja valitse sitten Luo.
Säännöt ovat aktiivisia ja reaaliaikaisia muutamassa minuutissa.
Huomautus
Ristiriitojen käsittely:
Jos määrität laitteelle kaksi erilaista hyökkäysalueen vähentämiskäytäntöä, mahdollisia käytäntöristiriitoja voi ilmetä sen mukaan, onko sääntöjä määritetty eri tiloissa, onko ristiriitainen hallinta käytössä ja onko tulos virhe. Jos sääntöjä ei ole muodostettu, ne eivät aiheuta virhettä, ja ne on otettu käyttöön oikein. Käytetään ensimmäistä sääntöä, ja sen jälkeiset yhteensovintamattomat säännöt yhdistetään käytäntöön.
2: Valvonta (Arvioi, miten hyökkäyspinnan pienentämissääntö vaikuttaisi organisaatioosi, jos se on käytössä)
6: Varoita (Ota hyökkäysalueen pienentämissääntö käyttöön, mutta salli käyttäjän ohittaa lohko). Varoitustila on käytettävissä useimmille hyökkäysalueen vähentämissäännöille.
Siirry Microsoft Configuration Manager kohtaan Assets and Compliance>Endpoint Protection>Windows Defender Exploit Guard.
Valitse Aloitus>Luo hyödyntämissuojan käytäntö.
Kirjoita nimi ja kuvaus, valitse Attack Surface Reduction ja valitse Seuraava.
Valitse, mitkä säännöt estävät tai valvovat toimintoja, ja valitse Seuraava.
Tarkista asetukset ja luo käytäntö valitsemalla Seuraava .
Kun käytäntö on luotu, valitse Sulje.
Varoitus
Attack Surface Reduction -määrityksen soveltuvuudessa palvelinkäyttöjärjestelmäversioihin on tunnettu ongelma, joka on merkitty yhteensopivaksi ilman varsinaista pakottamista. Tällä hetkellä ETA:a ei ole, milloin tämä korjataan.
Ryhmäkäytäntö
Varoitus
Jos hallitset tietokoneita ja laitteita Intune, Configuration Manager tai muulla yritystason hallintaympäristöllä, hallintaohjelmisto korvaa kaikki käynnistyksen yhteydessä mahdollisesti olevat ristiriitaiset ryhmäkäytäntö asetukset.
Avaa ryhmäkäytäntö hallintatietokoneessa ryhmäkäytäntö hallintakonsoli, napsauta hiiren kakkospainikkeella ryhmäkäytäntö Objekti, jonka haluat määrittää, ja valitse Muokkaa.
Siirry ryhmäkäytäntö Hallintaeditorissatietokoneen määritykseen ja valitse hallintamallit.
Laajenna puu Windowsin osiin>Microsoft Defender virustentorjunta>Microsoft Defender Hyödynnä Guard-hyökkäyksen>pinnan pienentämistä.
Valitse Määritä Hyökkäyspinnan pienentämissäännöt ja valitse Käytössä. Voit sitten määrittää kunkin säännön yksittäisen tilan Asetukset-osassa. Valitse Näytä... ja kirjoita säännön tunnus Arvonimi-sarakkeeseen ja valitsemasi tila Arvo-sarakkeeseen seuraavasti:
0: Poista käytöstä (Poista hyökkäysalueen pienennyssääntö käytöstä)
2: Valvonta (Arvioi, miten hyökkäyspinnan pienentämissääntö vaikuttaisi organisaatioosi, jos se on käytössä)
6: Varoita (Ota hyökkäysalueen pienentämissääntö käyttöön, mutta salli käyttäjän ohittaa lohko)
Jos haluat jättää tiedostoja ja kansioita pois hyökkäysalueen vähentämissäännöistä, valitse Sulje tiedostot ja polut hyökkäysalueen pienentämissääntöjen asetuksesta ja määritä asetukseksi Käytössä. Valitse Näytä ja kirjoita kukin tiedosto tai kansio Arvon nimi - sarakkeeseen. Kirjoita kunkin kohteen Arvo-sarakkeeseen 0.
Varoitus
Älä käytä lainausmerkkejä, sillä Niitä ei tueta Value-nimisarakkeessa tai Value-sarakkeessa .
Säännön tunnuksella ei saa olla alussa tai lopussa olevia välilyöntejä.
PowerShell
Varoitus
Jos hallitset tietokoneita ja laitteita Intune, Configuration Manager tai jollakin toisella yritystason hallintaympäristöllä, hallintaohjelmisto korvaa kaikki käynnistettäessä mahdolliset ristiriitaiset PowerShell-asetukset.
Kirjoita powershell aloitusvalikossa, napsauta Windows PowerShell hiiren kakkospainikkeella ja valitse Suorita järjestelmänvalvojana.
Sinun on määritettävä osavaltio erikseen kullekin säännölle, mutta voit yhdistää säännöt ja osavaltiot pilkuin eroteltuun luetteloon.
Seuraavassa esimerkissä kaksi ensimmäistä sääntöä ovat käytössä, kolmas sääntö on poistettu käytöstä ja neljäs sääntö on otettu käyttöön valvontatilassa: Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID 1>,<rule ID 2>,<rule ID 3>,<rule ID 4> -AttackSurfaceReductionRules_Actions Enabled, Enabled, Disabled, AuditMode
Voit myös lisätä uusia sääntöjä aiemmin luotuun luetteloon PowerShell-verbin avulla Add-MpPreference .
Varoitus
Set-MpPreference korvaa aiemmin luodun sääntöjoukon. Jos haluat lisätä aiemmin luotuun joukkoon, käytä Add-MpPreference sitä. Voit saada luettelon säännöistä ja niiden nykyisestä tilasta käyttämällä -toimintoa Get-MpPreference.
Jos haluat jättää tiedostoja ja kansioita pois hyökkäysalueen vähentämissäännöistä, käytä seuraavaa cmdlet-komentoa:
Add-MpPreference -AttackSurfaceReductionOnlyExclusions "<fully qualified path or resource>"
Jatka käyttöä Add-MpPreference -AttackSurfaceReductionOnlyExclusions tiedostojen ja kansioiden lisäämiseen luetteloon.
Plan and execute an endpoint deployment strategy, using essential elements of modern management, co-management approaches, and Microsoft Intune integration.