Hyökkäyspinnan pienentämissääntöjen käyttöönotto

Koskee seuraavia:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender XDR
• Microsoft Defenderin virustentorjunta

Käyttöympäristöt

• Windows

Vihje

Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.

Hyökkäyspinnan vähentämissäännöt auttavat ehkäisemään toimia, joita haittaohjelmat käyttävät usein väärin laitteiden ja verkkojen vaarantumiseen.

Vaatimukset

Hyökkäyspinnan vähentämisominaisuudet Windows-versioissa

Voit määrittää hyökkäyspinnan vähentämissääntöjä laitteille, joissa on käytössä jokin seuraavista Windowsin versioista ja versioista:

• Windows 11 Pro
• Windows 11 Enterprise
• Windows 10 Pro, versio 1709 tai uudempi
• Windows 10 Enterprise, versio 1709 tai uudempi
• Windows Server, versio 1803 (puolivuosittainen kanava) tai uudempi versio
• Windows Server 2012 R2
• Windows Server 2016
• Windows Server 2019
• Windows Server 2022

Jotta voit käyttää kaikkia hyökkäyspinnan vähentämissääntöjä, tarvitset seuraavat:

• Microsoft Defender virustentorjunta ensisijaiseksi AV:ksi (reaaliaikainen suojaus käytössä)
• Cloud-Delivery Protection (jotkin säännöt edellyttävät sitä)
• Windows 10 Enterprise E5- tai E3-käyttöoikeus

Vaikka hyökkäysalueen vähentämissäännöt eivät edellytä Windows E5 -käyttöoikeutta, Windows E5 -käyttöoikeudella saat lisähallintaominaisuuksia, kuten valvontaa, analytiikkaa ja työnkulkuja, jotka ovat käytettävissä Defender for Endpointissa, sekä raportointi- ja määritysominaisuuksia Microsoft Defender XDR-portaalissa. Nämä lisäominaisuudet eivät ole käytettävissä E3-käyttöoikeudella, mutta voit silti tarkastella hyökkäyksen pinnan pienentämissääntöjen tapahtumia Tapahtumienvalvonta.

Jokainen hyökkäyspinnan pienentämissääntö sisältää yhden neljästä asetuksista:

• Ei määritetty | Poistettu käytöstä: Poista hyökkäysalueen pienennyssääntö käytöstä
• Lohko: Ota hyökkäysalueen pienentämissääntö käyttöön
• Valvonta: Arvioi, miten hyökkäyspinnan pienentämissääntö vaikuttaisi organisaatioosi, jos se on käytössä
• Varoitus: Ota hyökkäysalueen pienentämissääntö käyttöön, mutta salli käyttäjän ohittaa lohko

Suosittelemme käyttämään hyökkäysalueen vähentämissääntöjä Windows E5 -käyttöoikeudella (tai vastaavalla käyttöoikeus SKU:lla) hyödyntääksesi Microsoft Defender for Endpoint (Defender for Endpoint) käytettävissä olevia kehittyneitä valvonta- ja raportointiominaisuuksia. Jos sinulla on kuitenkin toinen käyttöoikeus, kuten Windows Professional tai Windows E3, joka ei sisällä kehittyneitä valvonta- ja raportointiominaisuuksia, voit kehittää omia valvonta- ja raportointityökaluja tapahtumien lisäksi, jotka luodaan jokaisessa päätepisteessä hyökkäyksen pinnan pienentämissääntöjen käynnistyessä (esimerkiksi Tapahtumien edelleenlähetys).

Vihje

Lisätietoja Windowsin käyttöoikeuksista on artikkelissa Windows 10 Käyttöoikeus ja volyymikäyttöoikeusopas Windows 10.

Voit ottaa hyökkäyspinnan pienentämissäännöt käyttöön käyttämällä mitä tahansa seuraavista menetelmistä:

• Microsoft Intune
• Mobiililaitteiden hallinta (MDM)
• Microsoft Configuration Manager
• Ryhmäkäytäntö
• PowerShell

Yritystason hallintaa, kuten Intune tai Microsoft Configuration Manager, suositellaan. Yritystason hallinta korvaa kaikki ryhmäkäytäntö tai PowerShell-asetukset käynnistyksen yhteydessä.

Jätä pois tiedostoja ja kansioita hyökkäysalueen vähentämissäännöistä

Useimmat hyökkäyspinnan pienentämissäännöt eivät voi arvioida tiedostoja ja kansioita. Tämä tarkoittaa sitä, että vaikka hyökkäysalueen pienentämissääntö määrittäisi, että tiedosto tai kansio sisältää haitallista toimintaa, se ei estä tiedoston suorittamista.

Tärkeää

Tiedostojen tai kansioiden jättäminen pois voi heikentää huomattavasti hyökkäysalueen pienentämissääntöjen tarjoamaa suojausta. Pois jätettyjen tiedostojen suorittaminen on sallittua, eikä raporttia tai tapahtumaa tallenneta. Jos hyökkäyspinnan vähentämissäännöt havaitsevat tiedostoja, joita ei mielestäsi pitäisi havaita, testaa sääntö ensin valvontatilassa. Poikkeusta sovelletaan vain, kun pois jätetty sovellus tai palvelu käynnistyy. Jos esimerkiksi lisäät poissulkemisen jo käynnissä olevalle päivityspalvelulle, päivityspalvelu jatkaa tapahtumien käynnistämistä, kunnes palvelu pysäytetään ja käynnistetään uudelleen.

Kun lisäät poissulkemisia, pidä mielessä seuraavat asiat:

• Poikkeukset perustuvat yleensä yksittäisiin tiedostoihin tai kansioihin (kansiopolkuja käytetään tai tiedoston koko polku jätetään pois).
• Poissulkemispolut voivat käyttää ympäristömuuttujia ja yleismerkkejä. Katso Yleismerkkien käyttäminen tiedostonimi- ja kansiopolkujen tai tunnisteiden poissulkemisluetteloissa
• Kun ne otetaan käyttöön ryhmäkäytäntö tai PowerShellin kautta, poikkeukset koskevat kaikkia hyökkäyksen pinnan vähentämissääntöjä. Intune avulla on mahdollista määrittää poikkeus tietylle hyökkäyspinnan pienentämissäännölle. Katso Hyökkäyspinnan pienentämissääntöjen määrittäminen sääntökohtaisia poissulkemisia varten
• Poikkeukset voidaan lisätä varmenteen ja tiedoston hajautuksen perusteella sallimalla määritetty Defender for Endpoint -tiedosto- ja varmenne-ilmaisimet. Katso Ilmaisimien hallinta.

Käytäntöristiriita

1. Jos ristiriitaista käytäntöä käytetään MDM:n ja GP:n kautta, GP:ssä käytetty asetus on etusijalla.

2. Hyökkäyspinnan vähentämissäännöt hallituille laitteille tukevat nyt eri käytäntöjen asetusten yhdistämistä luodakseen kullekin laitteelle käytännön yläjoukon. Vain asetukset, jotka eivät ole ristiriidassa, yhdistetään, kun taas ristiriitaisia asetuksia ei lisätä sääntöjen yläjoukkoon. Aiemmin, jos kaksi käytäntöä sisälsi ristiriitoja yhdelle asetukselle, molemmat käytännöt merkittiin ristiriitaisiksi eikä kummankaan profiilin asetuksia otettu käyttöön. Hyökkäysalueen pienentämissäännön yhdistäminen toimii seuraavasti:

   • Hyökkäyspinnan vähentämissäännöt seuraavista profiileista arvioidaan kullekin laitteelle, johon sääntöjä sovelletaan:
     • Laitteiden > kokoonpanoprofiilit > Päätepisteen suojausprofiilin >Microsoft Defender Exploit Guard>Attack Surface Reduction .
     • Endpoint security >Attack surface reduction policy>Attack surface reduction rules.
     • Päätepisteen suojauksen > perustasot >Microsoft Defender ATP:n perushyökkäyksen>pinnan pienentämissääntöjä.
   • Asetukset, joissa ei ole ristiriitoja, lisätään laitteen käytännön yläjoukkoon.
   • Kun vähintään kahdella käytännöllä on ristiriitaisia asetuksia, ristiriitaisia asetuksia ei lisätä yhdistettyyn käytäntöön, kun taas asetukset, jotka eivät ole ristiriidassa, lisätään laitteeseen sovellettavaan yläjoukkokäytäntöön.
   • Vain ristiriitaisten asetusten määritykset pidätetään.

Määritysmenetelmät

Tässä osassa on määritystiedot seuraaville määritysmenetelmille:

• Intune
• Mukautettu profiili Intune
• MDM
• Microsoft Configuration Manager
• Ryhmäkäytäntö
• PowerShell

Seuraavat hyökkäysalueen vähentämissääntöjen käyttöönoton menettelyt sisältävät ohjeita siitä, miten tiedostot ja kansiot jätetään pois.

Intune

Laitemääritysprofiilit

1. Valitse Laitemääritysprofiilit>. Valitse aiemmin luotu päätepisteen suojausprofiili tai luo uusi. Jos haluat luoda uuden, valitse Create profiili ja kirjoita tämän profiilin tiedot. Valitse Profiilityyppi-kohdassaPäätepisteen suojaus. Jos olet valinnut aiemmin luodun profiilin, valitse Ominaisuudet ja valitse sitten Asetukset.

2. Valitse Päätepisteen suojaus -ruudussa Windows Defender Hyödynnä suojausta ja valitse sitten Hyökkäyspinnan pienentäminen. Valitse haluamasi asetus kullekin hyökkäysalueen pienentämissäännölle.

3. Kirjoita Attack Surface Reduction -kohtaan yksittäiset tiedostot ja kansiot. Voit myös valita Tuo tuodaksesi CSV-tiedoston, joka sisältää tiedostoja ja kansioita, jotka eivät sisälly hyökkäysalueen vähennyssääntöihin. CSV-tiedoston kunkin rivin tulee olla muotoiltu seuraavasti:

   C:\folder, %ProgramFiles%\folder\file, C:\path

4. Valitse kolmesta määritysruudusta OK. Valitse sitten Create, jos olet luomassa uutta päätepisteen suojaustiedostoa, tai Tallenna, jos muokkaat aiemmin luotua tiedostoa.

Päätepisteen suojauskäytäntö

1. Valitse Päätepisteen tietoturvahyökkäyksen>pinnan pienentäminen. Valitse aiemmin luotu hyökkäyspinnan pienentämissääntö tai luo uusi. Jos haluat luoda uuden, valitse Create Käytäntö ja anna tiedot tälle profiilille. Valitse Profiilityyppi-kohdassaHyökkäyspinnan pienentämissäännöt. Jos olet valinnut aiemmin luodun profiilin, valitse Ominaisuudet ja valitse sitten Asetukset.

2. Valitse Määritysasetukset-ruudussaHyökkäyspinnan pienentäminen ja valitse sitten haluamasi asetus kullekin hyökkäyspinnan pienentämissäännölle.

3. Anna suojattavan lisäkansion luettelo-kohtaanLuettelo sovelluksista, joilla on suojattujen kansioiden käyttöoikeus, ja Jätä pois tiedostoja ja polkuja hyökkäysalueen vähentämissäännöistä ja kirjoita yksittäisiä tiedostoja ja kansioita. Voit myös valita Tuo tuodaksesi CSV-tiedoston, joka sisältää tiedostoja ja kansioita, jotka eivät sisälly hyökkäysalueen vähennyssääntöihin. CSV-tiedoston kunkin rivin tulee olla muotoiltu seuraavasti:

   C:\folder, %ProgramFiles%\folder\file, C:\path

4. Valitse kolme määritysruutua Seuraava ja valitse sitten Create, jos olet luomassa uutta käytäntöä, tai Tallenna, jos muokkaat aiemmin luotua käytäntöä.

Mukautettu profiili Intune

Microsoft Intune OMA-URI:n avulla voit määrittää mukautetut hyökkäyspinnan pienentämissäännöt. Seuraavassa toimenpiteessä käytetään esimerkiksi sääntöä Haavoittuvassa asemassa olevien allekirjoitettujen ohjainten väärinkäytön estäminen .

1. Avaa Microsoft Intune hallintakeskus. Valitse Aloitus-valikostaLaitteet, valitse Määritysprofiilit ja valitse sitten Create profiili.

   

2. Valitse profiilin Create seuraavista kahdesta avattavasta luettelosta seuraavat:

   • Valitse käyttöympäristössäWindows 10 ja uudemmat
   • Valitse Profiilityyppi-kohdassaMallit
   • Jos hyökkäysalueen vähentämissäännöt on jo määritetty päätepisteen suojauksen kautta, valitse Profiilityyppi-kohdasta Asetukset Luettelo.

   Valitse Mukautettu ja valitse sitten Create.

   

3. Mukautettu malli -työkalu avautuu vaiheeseen 1 Perusteet. Kirjoita 1 Perustiedot-kohdassaNimi-kohtaan mallisi nimi, ja kuvaus-kohtaan voit kirjoittaa kuvauksen (valinnainen).

   

4. Valitse Seuraava. Vaihe 2 Määritysasetukset avautuu. Valitse OMA-URI-asetukset valitsemalla Lisää. Näkyviin tulee nyt kaksi vaihtoehtoa: Lisää ja vie.

   

5. Valitse Lisää uudelleen. Lisää rivi OMA-URI-asetukset avautuu. Toimi seuraavasti Lisää rivi -kohdassa:

   • Kirjoita Nimi-kohtaan säännön nimi.

   • Kirjoita Kuvaus-ruutuun lyhyt kuvaus.

   • Kirjoita tai liitä OMA-URI-kohtaan tietty OMA-URI-linkki lisättävälle säännölle. Katso tämän artikkelin MDM-osiosta OMA-URI, jota käytetään tässä esimerkkisäännössä. Lisätietoja hyökkäyksen pinnan pienentämissäännön GUIDS-tunnuksista on artikkelin kohdassa Säännön kuvaukset : Hyökkäyspinnan pienentämissäännöt.

   • Valitse Tietotyyppi-kohdassaMerkkijono.

   • Kirjoita arvoon GUID-arvo, = -merkki ja State-arvo ilman välilyöntejä (GUID=StateValue). Jossa:

     • 0: Poista käytöstä (Poista hyökkäysalueen pienennyssääntö käytöstä)
     • 1: Estä (Ota hyökkäyspinnan pienentämissääntö käyttöön)
     • 2: Valvonta (Arvioi, miten hyökkäyspinnan pienentämissääntö vaikuttaisi organisaatioosi, jos se on käytössä)
     • 6: Varoita (Ota hyökkäysalueen pienentämissääntö käyttöön, mutta salli käyttäjän ohittaa lohko)

   

6. Valitse Tallenna. Lisää rivi sulkeutuu. Valitse Mukautettu-kohdassaSeuraava. Vaiheen 3 käyttöaluetunnisteet ovat valinnaisia. Tee jokin seuraavista toimista:

   • Valitse Valitse käyttöaluetunnisteet, valitse käyttöaluetunniste (valinnainen) ja valitse sitten Seuraava.
   • Tai valitse Seuraava

7. Valitse vaiheessa 4 VarauksetJaetut ryhmät -kohdassa ryhmille, joita haluat tämän säännön sisältävän, seuraavista vaihtoehdoista:

   • Ryhmien lisääminen
   • Lisää kaikki käyttäjät
   • Lisää kaikki laitteet

   

8. Valitse Pois jätetyissä ryhmissä ryhmät, jotka haluat jättää pois tästä säännöstä, ja valitse sitten Seuraava.

9. Toimi vaiheessa 5 seuraavien asetusten soveltuvuussääntöjen mukaisesti:

   • Valitse Sääntö-kohdassa joko Määritä profiili, jos tai Älä määritä profiilia, jos

   • Valitse Ominaisuus-kohdassa ominaisuus, jota haluat tämän säännön käytettävän

   • Syötä Arvo-kohtaan soveltuva arvo tai arvoalue

   

10. Valitse Seuraava. Tarkista vaiheessa 6 Tarkista + luo, tarkista valitsemasi ja antamasi asetukset ja tiedot ja valitse sitten Create.

    

    Säännöt ovat aktiivisia ja reaaliaikaisia muutamassa minuutissa.

Huomautus

Ristiriitojen käsittely:

Jos määrität laitteelle kaksi erilaista hyökkäysalueen vähentämiskäytäntöä, mahdollisia käytäntöristiriitoja voi ilmetä sen mukaan, onko sääntöjä määritetty eri tiloissa, onko ristiriitainen hallinta käytössä ja onko tulos virhe. Jos sääntöjä ei ole muodostettu, ne eivät aiheuta virhettä, ja ne on otettu käyttöön oikein. Käytetään ensimmäistä sääntöä, ja sen jälkeiset yhteensovintamattomat säännöt yhdistetään käytäntöön.

MDM

Käytä ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules-määrityspalveluntarjoajaa (CSP) ottaaksesi jokaisen säännön tilan käyttöön ja määrittääksesi sen tilan erikseen.

Seuraavassa on esimerkki viitteeksi, jossa käytetään HYÖKKÄYKSEN pinnan pienentämissääntöjen viitettä guiD-arvoja.

OMA-URI path: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules

Value: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84=2|3b576869-a4ec-4529-8536-b80a7769e899=1|d4f940ab-401b-4efc-aadc-ad5f3c50688a=2|d3e037e1-3eb8-44c8-a917-57927947596d=1|5beb7efe-fd9a-4556-801d-275e5ffc04cc=0|be9ba2d9-53ea-4cdc-84e5-9b1eeee46550=1

Valvontatilassa käyttöön otettavat arvot (Estä), Poista käytöstä, Varoita tai ota käyttöön:

• 0: Poista käytöstä (Poista hyökkäysalueen pienennyssääntö käytöstä)
• 1: Estä (Ota hyökkäyspinnan pienentämissääntö käyttöön)
• 2: Valvonta (Arvioi, miten hyökkäyspinnan pienentämissääntö vaikuttaisi organisaatioosi, jos se on käytössä)
• 6: Varoita (Ota hyökkäysalueen pienentämissääntö käyttöön, mutta salli käyttäjän ohittaa lohko). Varoitustila on käytettävissä useimmille hyökkäysalueen vähentämissäännöille.

Lisää poissulkemisia käyttämällä ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions-määrityspalveluntarjoajaa (CSP).

Esimerkki:

OMA-URI path: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions

Value: c:\path|e:\path|c:\Exclusions.exe

Huomautus

Muista antaa OMA-URI-arvot ilman välilyöntejä.

Microsoft Configuration Manager

1. Siirry Microsoft Configuration Manager kohtaan Assets and Compliance>Endpoint Protection>Windows Defender Exploit Guard.

2. Valitse Aloitus>Create Hyödynnä vartiokäytäntöä.

3. Kirjoita nimi ja kuvaus, valitse Attack Surface Reduction ja valitse Seuraava.

4. Valitse, mitkä säännöt estävät tai valvovat toimintoja, ja valitse Seuraava.

5. Tarkista asetukset ja luo käytäntö valitsemalla Seuraava .

6. Kun käytäntö on luotu, valitse Sulje.

Varoitus

Attack Surface Reduction -määrityksen soveltuvuudessa palvelinkäyttöjärjestelmäversioihin on tunnettu ongelma, joka on merkitty yhteensopivaksi ilman varsinaista pakottamista. Tällä hetkellä ETA:a ei ole, milloin tämä korjataan.

Ryhmäkäytäntö

Varoitus

Jos hallitset tietokoneita ja laitteita Intune, Configuration Manager tai muulla yritystason hallintaympäristöllä, hallintaohjelmisto korvaa kaikki käynnistyksen yhteydessä mahdollisesti olevat ristiriitaiset ryhmäkäytäntö asetukset.

1. Avaa ryhmäkäytäntö hallintatietokoneessa ryhmäkäytäntö hallintakonsoli, napsauta hiiren kakkospainikkeella ryhmäkäytäntö Objekti, jonka haluat määrittää, ja valitse Muokkaa.

2. Siirry ryhmäkäytäntö Hallintaeditorissatietokoneen määritykseen ja valitse hallintamallit.

3. Laajenna puu Windowsin osiin>Microsoft Defender virustentorjunta>Microsoft Defender Hyödynnä Guard-hyökkäyksen>pinnan pienentämistä.

4. Valitse Määritä Hyökkäyspinnan pienentämissäännöt ja valitse Käytössä. Voit sitten määrittää kunkin säännön yksittäisen tilan Asetukset-osassa. Valitse Näytä... ja kirjoita säännön tunnus Arvonimi-sarakkeeseen ja valitsemasi tila Arvo-sarakkeeseen seuraavasti:

   • 0: Poista käytöstä (Poista hyökkäysalueen pienennyssääntö käytöstä)

   • 1: Estä (Ota hyökkäyspinnan pienentämissääntö käyttöön)

   • 2: Valvonta (Arvioi, miten hyökkäyspinnan pienentämissääntö vaikuttaisi organisaatioosi, jos se on käytössä)

   • 6: Varoita (Ota hyökkäysalueen pienentämissääntö käyttöön, mutta salli käyttäjän ohittaa lohko)

     

5. Jos haluat jättää tiedostoja ja kansioita pois hyökkäysalueen vähentämissäännöistä, valitse Sulje tiedostot ja polut hyökkäysalueen pienentämissääntöjen asetuksesta ja määritä asetukseksi Käytössä. Valitse Näytä ja kirjoita kukin tiedosto tai kansio Arvon nimi - sarakkeeseen. Kirjoita kunkin kohteen Arvo-sarakkeeseen 0.

   Varoitus

   Älä käytä lainausmerkkejä, sillä Niitä ei tueta Value-nimisarakkeessa tai Value-sarakkeessa . Säännön tunnuksella ei saa olla alussa tai lopussa olevia välilyöntejä.

PowerShell

Varoitus

Jos hallitset tietokoneita ja laitteita Intune, Configuration Manager tai jollakin toisella yritystason hallintaympäristöllä, hallintaohjelmisto korvaa kaikki käynnistettäessä mahdolliset ristiriitaiset PowerShell-asetukset.

1. Kirjoita powershell aloitusvalikossa, napsauta Windows PowerShell hiiren kakkospainikkeella ja valitse Suorita järjestelmänvalvojana.

2. Kirjoita jokin seuraavista cmdlet-komennoista. (Lisätietoja, kuten säännön tunnus, on kohdassa Hyökkäyspinnan pienentämissääntöjen viite.)

   Tehtävä	PowerShellin cmdlet-komento
   Hyökkäyspinnan pienentämissääntöjen käyttöönotto	Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Enabled
   Hyökkäyspinnan pienentämissääntöjen käyttöönotto valvontatilassa	Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions AuditMode
   Hyökkäyspinnan pienentämissääntöjen käyttöönotto varoitustilassa	Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Warn
   Ota käyttöön hyökkäyspinnan vähentäminen Hyödynnettyjen, haavoittuvassa asemassa olevien allekirjoitettujen ohjainten väärinkäytön estäminen	Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Enabled
   Poista käytöstä hyökkäyspinnan pienentämissäännöt	Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Disabled

   Tärkeää

   Sinun on määritettävä osavaltio erikseen kullekin säännölle, mutta voit yhdistää säännöt ja osavaltiot pilkuin eroteltuun luetteloon.

   Seuraavassa esimerkissä kaksi ensimmäistä sääntöä ovat käytössä, kolmas sääntö on poistettu käytöstä ja neljäs sääntö on otettu käyttöön valvontatilassa: Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID 1>,<rule ID 2>,<rule ID 3>,<rule ID 4> -AttackSurfaceReductionRules_Actions Enabled, Enabled, Disabled, AuditMode

   Voit myös lisätä uusia sääntöjä aiemmin luotuun luetteloon PowerShell-verbin avulla Add-MpPreference .

   Varoitus

   Set-MpPreference korvaa aiemmin luodun sääntöjoukon. Jos haluat lisätä aiemmin luotuun joukkoon, käytä Add-MpPreference sitä. Voit saada luettelon säännöistä ja niiden nykyisestä tilasta käyttämällä -toimintoa Get-MpPreference.

3. Jos haluat jättää tiedostoja ja kansioita pois hyökkäysalueen vähentämissäännöistä, käytä seuraavaa cmdlet-komentoa:

   Add-MpPreference -AttackSurfaceReductionOnlyExclusions "<fully qualified path or resource>"

   Jatka käyttöä Add-MpPreference -AttackSurfaceReductionOnlyExclusions tiedostojen ja kansioiden lisäämiseen luetteloon.

   Tärkeää

   Käytä Add-MpPreference sovellusten lisäämiseksi luetteloon. Cmdlet-komennon Set-MpPreference käyttäminen korvaa aiemmin luodun luettelon.

Aiheeseen liittyviä artikkeleita

• Hyökkäyksen pinnan pienentämissääntöjen viittaus
• Arvioi hyökkäyspinnan pienentäminen
• Hyökkäyspinta-alan rajoittamisen usein kysytyt kysymykset

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.