יישום כללי צמצום פני השטח של ההתקפה
חל על:
הטמעת כללי הפחתת פני השטח של ההתקפה מעבירה את טבעת הבדיקה הראשונה למצב פונקציונלי זמין.
שלב 1: כללי צמצום השטח של התקפה על מעבר מביקורת לחסימה
- לאחר קביעת כל הפריטים שלא ייכללו במצב ביקורת, התחל להגדיר כללים מסוימים של צמצום פני השטח של ההתקפה למצב "חסימה", החל מהכלל הכולל את האירועים הכי פחות מופעלים. ראה הפעלת כללי צמצום פני השטח של ההתקפה.
- סקור את דף הדיווח בפורטל Microsoft Defender; ראה דוח הגנה מפני איומים Microsoft Defender עבור נקודת קצה. עיין גם במשוב מהאלוף שלך.
- מיקוד אי-הכללות או יצירת אי-הכללות חדשות לפי הצורך.
- העבר כללים בעייתיים בחזרה לביקורת.
הערה
עבור כללים בעייתיים (כללים היוצרים רעש רב מדי), עדיף ליצור אי-הכללות מאשר לבטל כללים או לחזור לביקורת. יהיה עליך לקבוע מה הכי טוב עבור הסביבה שלך.
עצה
כאשר אפשרות זו זמינה, נצל את ההגדרה מצב אזהרה בכללים כדי להגביל את ההפרעות. הפעלת כללי הפחתת פני השטח של ההתקפה במצב אזהרה מאפשרת לך ללכוד אירועים מופעלים ולהצגת ההפרעות הפוטנציאליות שלהם, מבלי לחסום למעשה גישה למשתמשי קצה. מידע נוסף: מצב אזהרה עבור משתמשים.
כיצד פועל מצב אזהרה?
מצב אזהרה הוא למעשה הוראת חסימה, אך עם אפשרות למשתמש "לבטל את החסימה" של הביצועים הבאים של הזרימה או היישום הנתונה. בטל את החסימה של מצב אזהרה בכל מכשיר, משתמש, קובץ ושילוב בתהליך. המידע אודות מצב הזהר מאוחסן באופן מקומי ומשך הזמן שלו הוא 24 שעות.
שלב 2: הרחב את הפריסה כדי לצלצל אל n + 1
כאשר אתה בטוח שתגדיר כראוי את כללי הפחתת השטח של ההתקפה עבור טבעת 1, תוכל להרחיב את טווח הפריסה שלך למצלצל הבא (טבעת n + 1).
תהליך הפריסה, שלבים 1 עד 3, זהה למעשה עבור כל טבעת בהמשך:
- בדוק כללים ב'ביקורת'
- סקירת אירועי ביקורת המופעלים על ידי הפחתת משטח התקיפה בפורטל Microsoft Defender התקיפה
- Create הכללות
- סקירה: מיקוד, הוספה או הסרה של פריטים שאינם נכללים לפי הצורך
- הגדר כללים ל"חסימה"
- סקור את דף הדיווח בפורטל Microsoft Defender שלך.
- Create הכללות.
- הפוך כללים בעייתיים ללא זמינים או העבר אותם בחזרה לביקורת.
התאמה אישית של כללי צמצום פני השטח של ההתקפה
כאשר תמשיך להרחיב את הפריסה של כללי ההפחתת פני השטח של ההתקפה, ייתכן שתצטרך או יהיה מועיל להתאים אישית את כללי ההפחתה של משטח ההתקפה שהאפשרות שלך זמינה.
אל תכלול קבצים ותיקיות
באפשרותך לבחור לא לכלול את ההערכה של קבצים ותיקיות באמצעות כללי צמצום פני השטח של ההתקפה. כאשר לא נכלל, הפעלת הקובץ אינה חסומה גם אם כלל הפחתת פני השטח של ההתקפה מזהה שהקובץ מכיל אופן פעולה זדוני.
לדוגמה, שקול את כלל תוכנת הכופר:
כלל תוכנת הכופר נועד לעזור ללקוחות ארגוניים להפחית את הסיכונים של תקיפות תוכנות כופר ולהבטיח המשכיות עסקית. כברירת מחדל, כלל תוכנת הכופר שגיאות בצד זהירות והגנה מפני קבצים שעדיין לא הצלחנו להשיג מוניטין וס אמון מספיקים. כדי להדגיש מחדש, כלל תוכנת הכופר מופעל רק בקבצים שלא צברו מספיק מוניטין חיובי ושכיחות, בהתבסס על מדדי השימוש של מיליוני הלקוחות שלנו. בדרך כלל, הבלוקים נפתרים באופן עצמי, מכיוון שכל ערכי "המוניטין וה אמון" של כל קובץ משודרגים בהפרשים קבועים ככל שהשימוש שאינו בעייתי גדל.
במקרים שבהם בלוקים אינם נפתרים באופן זמני, הלקוחות יכולים , על אחריותם בלבד – להשתמש במנגנון השירות העצמי או ביכולת "רשימת התרה" המבוססת על מחוון פשרה (IOC) כדי לבטל את החסימה של הקבצים עצמם.
אזהרה
אי-הכללה או ביטול חסימה של קבצים או תיקיות עשויים לאפשר לקבצים לא בטוחים לפעול ולהדביק את המכשירים שלך. אי-הכללת קבצים או תיקיות עשויה להפחית קשות את ההגנה שסופקה על-ידי כללים לצמצום שטח התקיפה. ניתן יהיה להפעיל קבצים שנחסמו על-ידי כלל, ולא יוקלטו דוח או אירוע.
אי הכללה יכולה לחול על כל הכללים שמאפשרים אי-הכללות או חלים על כללים ספציפיים המשתמשים בפריטים שאינם נכללים לפי כלל. באפשרותך לציין קובץ, נתיב תיקיה או שם תחום מלא עבור משאב.
אי הכללה מוחלת רק כאשר היישום או השירות שלא נכללו מופעלים. לדוגמה, אם תוסיף אי הכללה עבור שירות עדכון שכבר פועל, שירות העדכון ימשיך להפעיל אירועים עד לעצירה והפעלה מחדש של השירות.
הפחתת פני השטח של ההתקפה תומכת במשתנה סביבה ובתווים כלליים. לקבלת מידע אודות השימוש בתווים כלליים, ראה שימוש בתווים כלליים ברשימות אי-הכללה של שם הקובץ והתיקיה או של הסיומת. אם אתה נתקל בבעיות בכללים שמאתרים קבצים שאתה סבור שאינם אמורים להיות מזוהים, השתמש במצב ביקורת כדי לבדוק את הכלל.
עיין במאמר חומר עזר בנושא הפחתת פני השטח של ההתקפה לקבלת פרטים על כל כלל.
השתמש מדיניות קבוצתית כדי לא לכלול קבצים ותיקיות
במחשב הניהול מדיניות קבוצתית שלך, פתח את מדיניות קבוצתית הניהול. לחץ באמצעות לחצן העכבר הימני מדיניות קבוצתית האובייקט שברצונך לקבוע את תצורתו ובחר ערוך.
בעורך ניהול מדיניות קבוצתית, עבור אל תצורת המחשב ובחר תבניות מנהליות.
הרחב את העץ לרכיבי Windows Microsoft Defender>אנטי>Microsoft Defender הפחתת פני השטח של התקפהExploit Guard>.
לחץ פעמיים על ההגדרה אל תכלול קבצים נתי נתיבים מתוך כללים להפחתת פני השטח של התקפה והגדר את האפשרות כזמינה. בחר הצג והזן כל קובץ או תיקיה בעמודה שם ערך. הזן 0 בעמודה ערך עבור כל פריט.
אזהרה
אל תשתמש במרכאות כיוון שהן אינן נתמכות עבור העמודה שם ערך או עבור העמודה ערך.
שימוש ב- PowerShell כדי לא לכלול קבצים ותיקיות
הקלד powershell בתפריט ההתחלה, לחץ באמצעות לחצן העכבר הימני על Windows PowerShell ובחר הפעל כמנהל מערכת.
הזן את ה-cmdlet הבא:
Add-MpPreference -AttackSurfaceReductionOnlyExclusions "<fully qualified path or resource>"
המשך להשתמש כדי
Add-MpPreference -AttackSurfaceReductionOnlyExclusions
להוסיף תיקיות נוספות לרשימה.חשוב
השתמש
Add-MpPreference
כדי לצרף או להוסיף יישומים לרשימה. שימוש בSet-MpPreference
- cmdlet יחליף את הרשימה הקיימת.
השתמש ב- CSPs של MDM כדי לא לכלול קבצים ותיקיות
השתמש בספק שירות התצורה (CSP) של ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions כדי להוסיף אי-הכללות.
התאמה אישית של ההודעה
באפשרותך להתאים אישית את ההודעה עבור הפעלת כלל החוסם יישום או קובץ. עיין במאמר אבטחת Windows זה.
מאמרים נוספים באוסף פריסה זה
מבט כולל על פריסת כללי הפחתת פני השטח של התקיפה
תכנון פריסה של כללי הפחתת פני השטח של ההתקפה
כללים להקטנת פני השטח של ההתקפה בבדיקה
תפעול כללי צמצום פני השטח של ההתקפה
חומר עזר לכללי הפחתת פני השטח של ההתקפה
למידע נוסף
עצה
האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.