שתף באמצעות


אפשר כללי צמצום פני השטח של ההתקפה

חל על:

פלטפורמות

  • Windows

עצה

רוצה לחוות את Defender עבור נקודת קצה? הירשם לקבלת גירסת ניסיון ללא תשלום.

כללים להפחתת פני השטח של ההתקפה עוזרים למנוע פעולות שתוכנות זדוניות פוגעות בהן לעתים קרובות כדי לסכן מכשירים ורשתות.

דרישות

תכונות הפחתת פני השטח של ההתקפה בכל הגירסאות של Windows

באפשרותך להגדיר כללים להפחתת פני השטח של ההתקפה עבור מכשירים שבהם פועלת כל אחת מההדורות והגרסאות הבאות של Windows:

כדי להשתמש בערכת התכונות שלמות של כללי צמצום פני השטח של ההתקפה, עליך:

  • Microsoft Defender אנטי-וירוס כ- AV ראשי (הגנה בזמן אמת מופעלת)
  • הגנת מסירה בענן מופעלת (יש כללים שמחריכים זאת)
  • Windows 10 Enterprise E5 או E3 License

למרות שכללים להפחתת פני השטח של ההתקפה אינם דורשים רשיון של Windows E5, עם רשיון Windows E5, אתה מקבל יכולות ניהול מתקדמות, כולל ניטור, ניתוח וזרימות עבודה הזמינות ב- Defender for Endpoint, וכן יכולות דיווח ותצורה בפורטל Microsoft Defender XDR. יכולות מתקדמות אלה אינן זמינות עם רשיון E3, אך ניתן עדיין להשתמש ב- מציג האירועים כדי לסקור אירועי כלל הפחתת שטח התקפה.

כל כלל הפחתת פני השטח של ההתקפה מכיל אחת מארבע הגדרות:

  • לא נקבעה תצורה | מושבת: השבת את כלל צמצום השטח של ההתקפה
  • בלוק: אפשר את כלל צמצום פני השטח של ההתקפה
  • ביקורת: הערכת האופן שבו כלל ההפחתת פני השטח של ההתקפה ישפיע על הארגון שלך אם הוא זמין
  • אזהרה: הפוך את כלל הירידה של משטח התקיפה לזמין, אך אפשר למשתמש הקצה לעקוף את הבלוק

אנו ממליצים להשתמש בכללי הפחתת פני השטח של ההתקפה עם רשיון Windows E5 (או SKU דומה של רישוי) כדי לנצל את יכולות הניטור והדיווח המתקדמות הזמינות ב- Microsoft Defender עבור נקודת קצה (Defender for Endpoint). עם זאת, אם יש לך רשיון אחר, כגון Windows Professional או Windows E3 שאינו כולל יכולות ניטור ודיווח מתקדמות, באפשרותך לפתח כלי ניטור ודיווח משלך מעל האירועים הנוצרים בכל נקודת קצה כאשר כללי צמצום פני השטח של התקיפה מופעלים (לדוגמה, העברת אירועים).

עצה

לקבלת מידע נוסף על רישוי Windows, ראה Windows 10 רישוי רב משתמשים וקבל את המדריך לרישוי רב משתמשים עבור Windows 10.

באפשרותך להפעיל את כללי ההפחתה של משטח התקיפה באמצעות כל אחת מהשיטות הבאות:

מומלץ לבצע ניהול ברמת הארגון, כגון Intune או Microsoft Configuration Manager ארגוניים. ניהול ברמת הארגון מחליף הגדרות מתנגשות של מדיניות קבוצתית או PowerShell בעת ההפעלה.

אל תכלול קבצים ותיקיות בכללי צמצום פני השטח של ההתקפה

ניתן לא לכלול קבצים ותיקיות בהערכה על-ידי רוב כללי ההקטנה של משטח התקיפה. משמעות הדבר היא כי גם אם כלל הפחתת פני השטח של ההתקפה קובע שהקובץ או התיקיה מכילים אופן פעולה זדוני, הוא אינו חוסם את הפעלת הקובץ.

חשוב

אי-הכללת קבצים או תיקיות עשויה להפחית קשות את ההגנה שסופקה על-ידי כללים לצמצום שטח התקיפה. ניתן להפעיל קבצים לא כלולים, ולא יתועדו דוח או אירוע. אם כללים להפחתת פני השטח של ההתקפה מזהים קבצים שאתה סבור שאינם אמורים להיות מזוהים, עליך להשתמש תחילה במצב ביקורת כדי לבדוק את הכלל. אי הכללה מוחלת רק כאשר היישום או השירות שלא נכללו מופעלים. לדוגמה, אם תוסיף אי הכללה עבור שירות עדכון שכבר פועל, שירות העדכון ימשיך להפעיל אירועים עד לעצירה והפעלה מחדש של השירות.

בעת הוספת פריטים שאינם נכללים, זכור נקודות אלה:

התנגשות מדיניות

  1. אם מדיניות מתנגשת מוחלת באמצעות MDM ו- GP, ההגדרה המוחלת מ- GP מקבלת קדימות.

  2. כללי הפחתת פני השטח של ההתקפה עבור מכשירים מנוהלים תומכים כעת באופן הפעולה עבור מיזוג הגדרות ממדיניות שונה, כדי ליצור ערכת-על של מדיניות עבור כל מכשיר. רק ההגדרות שאינן מתנגשות ממוזגות, בעוד שההגדרות המתנגשות אינן נוספות לערכת-העל של הכללים. בעבר, אם שני פריטי מדיניות כללו התנגשויות עבור הגדרה אחת, שני פריטי המדיניות שסומנו כהתנגשות, ולא נפרסו הגדרות משני הפרופילים. אופן הפעולה של מיזוג כלל הפחתת פני השטח של ההתקפה הוא כדלקמן:

    • כללי הפחתת פני השטח של ההתקפה מהפרופילים הבאים מוערכים עבור כל מכשיר שעליו חלים הכללים:
    • הגדרות שאינן כוללות התנגשויות מתווספות ל קבוצת-על של מדיניות עבור המכשיר.
    • כאשר לשני פריטי מדיניות או יותר יש הגדרות מתנגשות, ההגדרות המתנגשות אינן נוספות למדיניות המשולבת, בעוד שהגדרות שאינן מתנגשות נוספות למדיניות ערכת-העל החלה על מכשיר.
    • רק התצורות עבור הגדרות מתנגשות נשמרות.

שיטות תצורה

סעיף זה מספק פרטי תצורה עבור שיטות התצורה הבאות:

ההליכים הבאים להפיכת כללים להפחתה של משטח ההתקפה כוללים הוראות לאי-הכללה של קבצים ותיקיות.

Intune

פרופילי תצורת מכשיר

  1. בחר פרופילי תצורת>מכשיר. בחר פרופיל קיים להגנה על נקודת קצה או צור פרופיל חדש. כדי ליצור פרופיל חדש, בחר צור פרופיל והזן מידע עבור פרופיל זה. עבור סוג פרופיל, בחר הגנת נקודת קצה. אם בחרת פרופיל קיים, בחר מאפיינים ולאחר מכן בחר הגדרות.

  2. בחלונית הגנה על נקודות קצה , בחר Windows Defender Exploit Guard ולאחר מכן בחר הפחתת פני השטח של ההתקפה. בחר את ההגדרה הרצויה עבור כל כלל צמצום פני השטח של ההתקפה.

  3. תחת חריגות של הפחתת Surface להתקפה, הזן קבצים ותיקיות בודדים. באפשרותך גם לבחור ייבוא כדי לייבא קובץ CSV המכיל קבצים ותיקיות שלא ייכללו בכללי צמצום פני השטח של ההתקפה. יש לעצב כל שורה בקובץ ה- CSV באופן הבא:

    C:\folder, %ProgramFiles%\folder\file, C:\path

  4. בחר אישור בשלוש חלוניות התצורה. לאחר מכן בחר צור אם אתה יוצר קובץ חדש להגנה על נקודת קצה או שמור אם אתה עורך קובץ קיים.

מדיניות אבטחה של נקודת קצה

  1. בחר הפחתת שטח של התקפה של>נקודת קצה של אבטחה. בחר כלל קיים להפחתת פני השטח של ההתקפה או צור כלל חדש. כדי ליצור מדיניות חדשה, בחר צור מדיניות והזן מידע עבור פרופיל זה. עבור סוג פרופיל, בחר כללי צמצום פני השטח של התקיפה. אם בחרת פרופיל קיים, בחר מאפיינים ולאחר מכן בחר הגדרות.

  2. בחלונית הגדרות תצורה , בחר Attack Surface Reduction ולאחר מכן בחר את ההגדרה הרצויה עבור כל כלל צמצום פני השטח של ההתקפה.

  3. תחת רשימה של תיקיות נוספות שיש להגן עליהן , רשימת אפליקציות שיש לגשת לתיקיות מוגנות, ואל תכלול קבצים נתיבים מכללי ההפחתה של משטח התקיפה , הזן קבצים ותיקיות בודדים. באפשרותך גם לבחור ייבוא כדי לייבא קובץ CSV המכיל קבצים ותיקיות שלא ייכללו בכללי צמצום פני השטח של ההתקפה. יש לעצב כל שורה בקובץ ה- CSV באופן הבא:

    C:\folder, %ProgramFiles%\folder\file, C:\path

  4. בחר הבא בשלוש חלוניות התצורה ולאחר מכן בחר צור אם אתה יוצר מדיניות חדשה או שמור אם אתה עורך מדיניות קיימת.

פרופיל מותאם אישית Intune

באפשרותך להשתמש ב- Microsoft Intune OMA-URI כדי לקבוע תצורה של כללי צמצום שטח תקיפה מותאמים אישית. ההליך הבא משתמש בכלל חסימת שימוש לרעה במנהלי התקנים פגיעים חתומים עבור הדוגמה.

  1. פתח את Microsoft Intune הניהול. בתפריט בית , לחץ על התקנים, בחר פרופילי תצורה ולאחר מכן לחץ על צור פרופיל.

    דף יצירת פרופיל בפורטל Microsoft Intune הניהול.

  2. תחת צור פרופיל, בשתי הרשימות הנפתחות הבאות, בחר את האפשרויות הבאות:

    • בפלטפורמה, בחר Windows 10 מאוחר יותר
    • בסוג פרופיל, בחר תבניות
    • אם כללי הפחתת פני השטח של ההתקפה כבר מוגדרים דרך אבטחת נקודת קצה, בסוג פרופיל, בחר קטלוג הגדרות.

    בחר מותאם אישית ולאחר מכן בחר צור.

    תכונות פרופיל הכלל בפורטל Microsoft Intune הניהול.

  3. הכלי תבנית מותאמת אישית נפתח לשלב 1 יסודות. ב - 1 יסודות, בשם, הקלד שם עבור התבנית שלך, ובתיאור , באפשרותך להקליד תיאור (אופציונלי).

    התכונות הבסיסיות בפורטל Microsoft Intune הניהול

  4. לחץ על הבא. הגדרות התצורה של שלב 2 ייפתחו . עבור הגדרות OMA-URI, לחץ על הוסף. שתי אפשרויות מופיעות כעת: הוספהוייצוא.

    הגדרות התצורה בפורטל Microsoft Intune הניהול.

  5. לחץ שוב על הוסף. הגדרות הוספת שורה OMA-URI נפתחות . תחת הוסף שורה, בצע את הפעולות הבאות:

    • בתיבה שם, הקלד שם עבור הכלל.

    • תחת תיאור, הקלד תיאור קצר.

    • ב - OMA-URI, הקלד או הדבק את הקישור הספציפי OMA-URI עבור הכלל שאתה מוסיף. עיין בסעיף MDM במאמר זה כדי ש- OMA-URI ישתמש עבור כלל לדוגמה זה. עבור GUIDS של כלל הפחתת פני השטח של ההתקפה, ראה תיאורים לפי כלל במאמר: כללי צמצום פני השטח של ההתקפה.

    • בסוג נתונים, בחר מחרוזת.

    • בתיבה ערך, הקלד או הדבק את ערך ה- GUID, את הסימן = ואת הערך State ללא רווחים (GUID=StateValue). היכן:

      • 0: הפוך ללא זמין (השבת את כלל צמצום השטח של ההתקפה)
      • 1: בלוק (אפשר את כלל צמצום השטח של ההתקפה)
      • 2: ביקורת (הערכת האופן שבו כלל ההפחתת פני השטח של ההתקפה ישפיע על הארגון שלך אם הוא זמין)
      • 6: אזהרה (אפשר את כלל ההפחתת פני השטח של ההתקפה, אך אפשר למשתמש הקצה לעקוף את הבלוק)

    תצורת OMA URI בפורטל Microsoft Intune הניהול של

  6. לחץ שמור. הוספת שורה נסגרת. ב'מותאם אישית', בחר הבא. בשלב 3 תגי טווח, תגיות טווח הן אופציונליות. בצע אחת מהפעולות הבאות:

    • בחר בחר תגיות טווח, בחר את תג הטווח (אופציונלי) ולאחר מכן בחר הבא.
    • לחלופין, בחר הבא
  7. בשלב 4 הקצאות, תחת קבוצות, עבור הקבוצות שברצונך שכלל זה יחולו, בחר מבין האפשרויות הבאות:

    • הוספת קבוצות
    • הוספת כל המשתמשים
    • הוסף את כל המכשירים

    המטלות בפורטל Microsoft Intune הניהול

  8. בקבוצות לא נכללו, בחר את הקבוצות שברצונך לא לכלול בכלל זה ולאחר מכן בחר הבא.

  9. בשלב 5 כללי ישימות עבור ההגדרות הבאות, בצע את הפעולות הבאות:

    • בכלל, בחר הקצה פרופיל אם, או אל תקצה פרופיל אם

    • במאפיין, בחר את המאפיין שעליו ברצונך שכלל זה יחול

    • In Value, enter the applicable value or value range

    כללי הישימות בפורטל Microsoft Intune הניהול של הדף

  10. בחר באפשרות הבא. בשלב 6 סקירה + יצירה, סקור את ההגדרות והמידע שבחרת והזנת ולאחר מכן בחר צור.

    האפשרות 'סקירה ויצירה' בפורטל Microsoft Intune הניהול

    הכללים פעילים וקיימים תוך דקות ספורות.

הערה

טיפול בהתנגשויות:

אם אתה מקצה למכשיר שני פריטי מדיניות שונים של צמצום שטח תקיפה, עלולות להתרחש התנגשויות מדיניות פוטנציאליות, בהתאם לשאלה אם כללים הוקצו מצבים שונים, האם ניהול התנגשויות קיים ואם התוצאה היא שגיאה. כללים שאינם תואמים אינם התוצאה של שגיאה, וכללים אלה מוחלים כראוי. הכלל הראשון מוחל, וכללים הבאים שאינם ממזגים לתוך המדיניות.

‏‏MDM

השתמש בספק שירות התצורה (CSP) של ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules כדי להפעיל ולהגדיר את המצב עבור כל כלל בנפרד.

להלן דוגמה לעיון, תוך שימוש בערכי GUID עבור חומר עזר בנושא כללי צמצום פני השטח של ההתקפה.

OMA-URI path: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules

Value: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84=2|3b576869-a4ec-4529-8536-b80a7769e899=1|d4f940ab-401b-4efc-aadc-ad5f3c50688a=2|d3e037e1-3eb8-44c8-a917-57927947596d=1|5beb7efe-fd9a-4556-801d-275e5ffc04cc=0|be9ba2d9-53ea-4cdc-84e5-9b1eeee46550=1

הערכים המאפשרים (לחסום), להפוך ללא זמינים, להזהיר או להפוך אותם לזמינים במצב ביקורת הם:

  • 0: הפוך ללא זמין (השבת את כלל צמצום השטח של ההתקפה)
  • 1: בלוק (אפשר את כלל צמצום השטח של ההתקפה)
  • 2: ביקורת (הערכת האופן שבו כלל ההפחתת פני השטח של ההתקפה ישפיע על הארגון שלך אם הוא זמין)
  • 6: אזהרה (אפשר את כלל ההקטנה של משטח ההתקפה, אך אפשר למשתמש הקצה לעקוף את החסימה). מצב אזהרה זמין עבור רוב כללי ההפחתה של משטח התקיפה.

השתמש בספק שירות התצורה (CSP) של ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions כדי להוסיף אי-הכללות.

דוגמה:

OMA-URI path: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions

Value: c:\path|e:\path|c:\Exclusions.exe

הערה

הקפד להזין ערכי OMA-URI ללא רווחים.

Microsoft Configuration Manager

  1. ב- Microsoft Configuration Manager, עבור אל Assets and Compliance>Endpoint Protection>Windows Defender Exploit Guard.

  2. בחר Home>Create Exploit Guard Policy.

  3. הזן שם ותיאור, בחר הפחתת פני השטח של ההתקפה ובחר הבא.

  4. בחר אילו כללים תחסום או יבצע ביקורת של פעולות ובחר הבא.

  5. סקור את ההגדרות ובחר הבא כדי ליצור את המדיניות.

  6. לאחר יצירת המדיניות, בחר 'סגור'.

אזהרה

קיימת בעיה ידועה עם הישימות של Attack Surface Reduction בגירסאות מערכת ההפעלה Server, אשר מסומנות כתאימות ללא אכיפה בפועל. בשלב זה, אין זמן משוער לתיקון.

מדיניות קבוצתית

אזהרה

אם אתה מנהל את המחשבים וההתקנים שלך באמצעות Intune, Configuration Manager או פלטפורמת ניהול אחרת ברמת הארגון, תוכנת הניהול תחליף את כל ההגדרות המתנגשות מדיניות קבוצתית בעת ההפעלה.

  1. במחשב הניהול מדיניות קבוצתית, פתח את מסוף הניהול של מדיניות קבוצתית, לחץ באמצעות לחצן העכבר הימני על מדיניות קבוצתית האובייקט שברצונך לקבוע את תצורתו ובחר ערוך.

  2. בעורך ניהול מדיניות קבוצתית, עבור אל תצורת המחשב ובחר תבניות מנהליות.

  3. הרחב את העץ לרכיבי Windows Microsoft Defender>אנטי>Microsoft Defender הפחתת פני השטח של התקפהExploit Guard>.

  4. בחר קבע תצורה של כללי צמצום פני השטח של ההתקפה ובחר זמין. לאחר מכן תוכל להגדיר את המצב הבודד עבור כל כלל במקטע האפשרויות. בחר הצג... והזן את מזהה הכלל בעמודה שם ערך ואת המצב שבחרת בעמודה ערך באופן הבא:

    • 0: הפוך ללא זמין (השבת את כלל צמצום השטח של ההתקפה)

    • 1: בלוק (אפשר את כלל צמצום השטח של ההתקפה)

    • 2: ביקורת (הערכת האופן שבו כלל ההפחתת פני השטח של ההתקפה ישפיע על הארגון שלך אם הוא זמין)

    • 6: אזהרה (אפשר את כלל ההפחתת פני השטח של ההתקפה, אך אפשר למשתמש הקצה לעקוף את הבלוק)

      כללים הפחתת פני השטח התקפה מדיניות קבוצתית

  5. כדי לא לכלול קבצים ותיקיות בכללי צמצום שטח התקיפה, בחר את ההגדרה אל תכלול קבצים נתי נתיבים מתוך ההגדרה כללי צמצום פני השטח של ההתקפה והגדר את האפשרות כזמין. בחר הצג והזן כל קובץ או תיקיה בעמודה שם ערך. הזן 0 בעמודה ערך עבור כל פריט.

    אזהרה

    אל תשתמש במרכאות כיוון שהן אינן נתמכות עבור העמודה שם ערך או עבור העמודה ערך. מזהה הכלל אינו יכול לכלול רווחים מובילים או נגררים.

PowerShell

אזהרה

אם אתה מנהל את המחשבים והמכשירים שלך באמצעות Intune, Configuration Manager או פלטפורמת ניהול אחרת ברמת הארגון, תוכנת הניהול מחליפה את כל ההגדרות המתנגשות של PowerShell בעת ההפעלה.

  1. הקלד powershell בתפריט ההתחלה, לחץ באמצעות לחצן העכבר הימני על Windows PowerShell ובחר הפעל כמנהל מערכת.

  2. הקלד אחד מרכיבי ה- cmdlet הבאים. (לקבלת מידע נוסף, כגון מזהה כלל, ראה חומר עזר בנושא כללי צמצום השטח של ההתקפה.)

    משימה cmdlet של PowerShell
    אפשר כללי צמצום פני השטח של ההתקפה Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Enabled
    אפשר כללי צמצום שטח תקיפה במצב ביקורת Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions AuditMode
    אפשר כללים של צמצום שטח תקיפה במצב אזהרה Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Warn
    אפשר הפחתת שטח תקיפה חסימת שימוש לרעה במנהלי התקנים פגיעים חתומים Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Enabled
    כבה את כללי צמצום השטח של ההתקפה Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Disabled

    חשוב

    עליך לציין את המצב בנפרד עבור כל כלל, אך באפשרותך לשלב כללים ושלבים ברשימה המופרדת באמצעות פסיקים.

    בדוגמה הבאה, שני הכללים הראשונים זמינים, הכלל השלישי אינו זמין והכלל הרביעי זמין במצב ביקורת: Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID 1>,<rule ID 2>,<rule ID 3>,<rule ID 4> -AttackSurfaceReductionRules_Actions Enabled, Enabled, Disabled, AuditMode

    באפשרותך גם להשתמש בפועל Add-MpPreference PowerShell כדי להוסיף כללים חדשים לרשימה הקיימת.

    אזהרה

    Set-MpPreference מחליף את קבוצת הכללים הקיימת. אם ברצונך להוסיף לערכה הקיימת, השתמש במקום Add-MpPreference זאת. באפשרותך להשיג רשימה של כללים ואת המצב הנוכחי שלהם באמצעות Get-MpPreference.

  3. כדי לא לכלול קבצים ותיקיות בכללי הפחתת פני השטח של ההתקפה, השתמש ב- cmdlet הבא:

    Add-MpPreference -AttackSurfaceReductionOnlyExclusions "<fully qualified path or resource>"

    המשך להשתמש כדי Add-MpPreference -AttackSurfaceReductionOnlyExclusions להוסיף קבצים ותיקיות נוספים לרשימה.

    חשוב

    השתמש Add-MpPreference כדי לצרף או להוסיף יישומים לרשימה. שימוש ב Set-MpPreference - cmdlet יחליף את הרשימה הקיימת.

עצה

האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.