מבט כולל על פריסת כללי הפחתת פני השטח של התקיפה
חל על:
משטחי תקיפה הם כל המקומות שבהם הארגון שלך פגיע לאיומי סייבר ולתקיפות סייבר. הפחתת משטח התקיפה פירושה הגנה על המכשירים והרשת של הארגון שלך, מה שמשאיר לתוקפים פחות דרכים לתקוף. קביעת התצורה Microsoft Defender עבור נקודת קצה הפחתה של משטח ההתקפה יכולה לעזור.
כללי הפחתת פני השטח של ההתקפה ממקדים אופני פעולה מסוימים של תוכנה, כגון:
- הפעלת קבצי הפעלה וקובצי Script שניסיון להוריד או להפעיל קבצים
- הפעלת קבצי Script מעורפלים או חשודים באופן אחר
- אופני פעולה שאפליקציות אינן מתרחשות בדרך כלל במהלך עבודה רגילה
על-ידי צמצום משטחי ההתקפה השונים, תוכל למנוע מתקפות לקרות מלכתחילה.
אוסף פריסה זה מספק מידע על ההיבטים הבאים של כללי צמצום פני השטח של ההתקפה:
- דרישות כללי הפחתת פני השטח של התקפה
- תוכנית פריסה של כללי הפחתת פני השטח של התקיפה
- כללים להפחתת פני השטח של התקפה בבדיקה
- קביעת תצורה והפעלה של כללי צמצום פני השטח של ההתקפה
- שיטות העבודה המומלצות של כללי הפחתת פני השטח של תקיפה
- התקפה פני השטח הפחתת כללים ציד מתקדם
- כללים הפחתה של פני השטח התקפה מציג האירועים
שלבי פריסה של כללי הפחתת פני השטח של ההתקפה
בדומה לכל יישום חדש בקנה מידה רחב, שעשוי להשפיע על פעולות קו פעולה עסקי, חשוב להיות שיטתי בתכנון וביישום. תכנון ופריסה קפדניים של כללי הפחתת פני השטח של ההתקפה נדרשים כדי לוודא שהם פועלים בצורה הטובה ביותר עבור זרימות העבודה הייחודיות של הלקוחות שלך. כדי לעבוד בסביבה שלך, עליך לתכנן, לבדוק, ליישם ולתפעול את כללי ההפחתה של משטח ההתקפה בזהירות.
אזהרה חשובה על קדם-הפצה
מומלץ להפוך את שלושת כללי ההגנה הסטנדרטית הבאים לזמינים. ראה כללים להפחתת פני השטח של ההתקפה לפי סוג לקבלת פרטים חשובים על שני סוגי כללי צמצום פני השטח של ההתקפה.
- חסימת גניבה של אישורים ממערכת המשנה של רשות האבטחה המקומית של Windows (lsass.exe)
- חסימת שימוש לרעה במנהלי התקנים חשופים לפגיעים
- חסימת התמדה באמצעות מנוי לאירוע Windows Management Instrumentation (WMI)
בדרך כלל, באפשרותך להפוך את כללי ההגנה הרגילים לזמינים עם השפעה משמעותית מינימלית עד לא משמעותית על משתמש הקצה. לקבלת שיטה קלה להאפשר את כללי ההגנה הרגילים, ראה אפשרות הגנה רגילה פשוטה יותר.
הערה
עבור לקוחות המשתמשים ב- HIPS שאינו של Microsoft ועברים לכללי ההפחתה של משטח התקיפה של Microsoft Defender עבור נקודת קצה, Microsoft ממליצה להפעיל את פתרון HIPS לצד פריסת כללי הפחתת שטח התקיפה עד לרגע שבו אתה מצטרף למצב ביקורת למצב חסימה. זכור שעליך ליצור קשר עם ספק האנטי-וירוס שלך שאינו של Microsoft לקבלת המלצות על אי הכללה.
לפני שתתחיל לבדוק או להפעיל כללי הפחתת פני השטח של ההתקפה
במהלך ההכנה הראשונית, חשוב להבין את יכולות המערכות שהכנת. הבנת היכולות עוזרת לך לקבוע אילו כללי הפחתת פני השטח של ההתקפה הם החשובים ביותר להגנה על הארגון שלך. בנוסף, יש כמה דרישות מוקדמות, שאתה חייב להשתתף בהן כהכנה של פריסת ההקטנת פני השטח של ההתקפה.
חשוב
מדריך זה מספק תמונות ודוגמאות שיעזרו לך להחליט כיצד לקבוע את התצורה של כללי צמצום פני השטח של ההתקפה; ייתכן שתמונות ודוגמאות אלה לא ישקפו את אפשרויות התצורה הטובות ביותר עבור הסביבה שלך.
לפני שתתחילו, סקור את מבט כולל על הפחתת פני השטח של ההתקפה ,ו-Demystifying כללים להקטנת פני השטח של ההתקפה - חלק 1 למידע בסיסי. כדי להבין את תחומי הכיסוי וההשפעה הפוטנציאלית, הכר את קבוצת כללי ההפחתה הנוכחית של משטח ההתקפה; ראה חומר עזר בנושא כללי הפחתת פני השטח של ההתקפה. בזמן שאתה מתמצא בערכת כללי ההפחתה של משטח התקיפה, שים לב למיפויי GUID לפי כלל; ראה כלל הפחתת פני השטח של ההתקפה למטריצת GUID.
כללים הפחתת פני השטח התקפה הם רק יכולת אחת של יכולות הפחתת פני השטח ההתקפה בתוך Microsoft Defender עבור נקודת קצה. מסמך זה מפרטים יותר על פריסת כללים להפחתת פני השטח של ההתקפה באופן יעיל כדי להפסיק איומים מתקדמים כגון תוכנת כופר המופעלת על-ידי בני אדם ואיומים אחרים.
רשימת כללי הפחתת פני השטח של ההתקפה לפי קטגוריה
הטבלה הבאה מציגה כללי צמצום פני השטח של ההתקפה לפי קטגוריה:
| איומים פולימורפים | גניבת אישורים & רוחביות | כללי יישומי פרודוקטיביות | כללי דואר אלקטרוני | כללי Script | כללי שונות |
|---|---|---|---|---|---|
| חסימת הפעלה של קבצי הפעלה, אלא אם הם עומדים בקריטריוני שכיחות (1,000 מחשבים), גיל או רשימה מהימנה | חסימת יצירות בתהליך שמקורן בפקודות PSExec ו- WMI | חסימת אפליקציות Office מפני יצירת תוכן בר הפעלה | חסימת תוכן בר הפעלה מלקוח דואר אלקטרוני ודואר אינטרנט | חסימת קוד JS/VBS/PS/macro מעורפל | חסימת שימוש לרעה במנהלי התקנים פגיעים חתומים [1] |
| חסימת תהליכים לא מהימנה וביטול חתימה הפועלים מ- USB | חסימת גניבת אישורים ממערכת המשנה של רשות האבטחה המקומית של Windows (lsass.exe)[2] | חסימת אפליקציות Office ביצירת תהליכי צאצא | חסימת יצירת תהליכי צאצא ביישומי תקשורת של Office בלבד | חסימת JS/VBS מהפעלת תוכן הפעלה שהורד | |
| השתמש בהגנה מתקדמת מפני תוכנות כופר | חסימת התמדה באמצעות מנוי לאירוע WMI | חסימת אפליקציות Office מפני הזרקת קוד לתהליכים אחרים | חסימת אפליקציות תקשורת של Office ביצירת תהליכי צאצא | ||
| חסימת Adobe Reader ביצירת תהליכי צאצא |
(1) חסימת שימוש לרעה במנהלי התקנים> פגיעים חתומים זמינה כעת תחת הפחתת Surface של התקפה של אבטחת נקודתקצה.
(2) כללים מסוימים של צמצום פני השטח של ההתקפה יוצרים רעש משמעותי, אך אינם חוסמיים פונקציונליות. לדוגמה, אם אתה מעדכן את Chrome, Chrome ניגשlsass.exe; סיסמאות מאוחסנות ב - lsass במכשיר. עם זאת, Chrome לא אמור לגשת למכשיר מקומיlsass.exe. אם אתה מאפשר לכלל לחסום גישה ל - lsass, אתה רואה אירועים רבים. אירועים אלה הם אירועים טובים מאחר שתהליך עדכון התוכנה אינו אמור לגשת lsass.exe. השימוש בכלל זה חוסם את הגישה ל- Lsass על-ידי עדכוני Chrome, אך אינו חוסם את העדכון של Chrome. הדבר נכון גם לגבי אפליקציות אחרות ש מבצעות שיחות מיותרות lsass.exe. הגישה לחסימה ל- lsass חוסמת שיחות מיותרות ל- lsass, אך אינה חוסמת את הפעלת היישום.
דרישות תשתית להפחתת פני השטח של ההתקפה
למרות ששיטות מרובות של יישום כללי הפחתת פני השטח של ההתקפה אפשריות, מדריך זה מבוסס על תשתית המורכבת
- מזהה Microsoft Entra
- Microsoft Intune
- Windows 10 ומכשירי Windows 11 ניידים
- Microsoft Defender עבור נקודת קצה E5 או Windows E5
כדי לנצל את היתרונות של כללי ההפחתה והדיווח על פני השטח של ההתקפה, מומלץ להשתמש ברשיון E5 או ב- Windows E5 וב- A5 של Microsoft Defender XDR או ב- A5. קבל מידע נוסף בדרישות המינימום עבור Microsoft Defender עבור נקודת קצה.
הערה
קיימות שיטות מרובות לקבוע את התצורה של כללי הפחתת פני השטח של ההתקפה. ניתן לקבוע את התצורה של כללי ההפחתה של משטח התקיפה באמצעות: Microsoft Intune, PowerShell, מדיניות קבוצתית, Microsoft Configuration Manager (ConfigMgr), Intune OMA-URI. אם אתה משתמש בתצורה של תשתית שונה מהתצורה המפורטת עבור דרישות התשתית , תוכל לקבל מידע נוסף על פריסת כללי הפחתת פני השטח של ההתקפה באמצעות תצורות אחרות כאן: אפשר כללי צמצום שטח תקיפה.
יחסי תלות של כללים להפחתת פני השטח של ההתקפה
Microsoft Defender האנטי-וירוס חייב להיות זמין ומוגדר כפתרון אנטי-וירוס ראשי, ועליך להיות במצב הבא:
- פתרון אנטי-וירוס/נגד תוכנות זדוניות ראשי
- מצב: מצב פעיל
Microsoft Defender האנטי-וירוס אינו יכול להיכלל אף אחד מהמצבים הבאים:
- פסיבי
- מצב פאסיבי עם זיהוי ותגובה של נקודות קצה (EDR) במצב חסימה
- סריקה תקופתית מוגבלת (LPS)
- לא פעיל
לקבלת מידע נוסף, ראה הגנה מבוססת ענן Microsoft Defender אנטי-וירוס.
יש להפוך את ההגנה על הענן (MAPS) לזמינה כדי לאפשר כללי צמצום שטח תקיפה
Microsoft Defender האנטי-וירוס פועל בצורה חלקה עם שירותי הענן של Microsoft. שירותי הגנה בענן אלה, הנקראים גם שירות ההגנה המתקדם של Microsoft (MAPS), משפרים את ההגנה בזמן אמת הסטנדרטית, ומספקים את הגנת האנטי-וירוס הטובה ביותר. הגנה על הענן היא קריטית כדי למנוע הפרות של תוכנות זדוניות ורכיב קריטי של כללי הפחתת פני השטח של ההתקפה. הפעל הגנה מבוססת ענן ב- Microsoft Defender אנטי-וירוס.
Microsoft Defender אנטי-וירוס חייבים להיות גרסאות עדכניות עבור כללי צמצום פני השטח של ההתקפה
הגירסאות Microsoft Defender אנטי-וירוס הבאות חייבות להיות לא יותר משתי גירסאות ישנות יותר מהגירסה הזמינה כעת ביותר:
- Microsoft Defender עדכון פלטפורמת האנטי-וירוס - Microsoft Defender האנטי-וירוס מתעדכנת מדי חודש.
- Microsoft Defender אנטי-וירוס - Microsoft Defender אנטי-וירוס מתעדכן מדי חודש.
- Microsoft Defender אנטי-וירוס - Microsoft מעדכנת באופן שוטף Microsoft Defender האבטחה (המכונה גם הגדרה וחתימה) כדי לטפל באיומים העדכניים ביותר ולמקד את לוגיקת הזיהוי.
שמירה Microsoft Defender אנטי-וירוס מסייעת בהפחתת כללי הפחתת השטח של ההתקפה לקבלת תוצאות חיוביות מוטעות ומשפרת את יכולות Microsoft Defender אנטי-וירוס. לקבלת פרטים נוספים על הגירסאות הנוכחיות וכיצד לעדכן את רכיבי האנטי Microsoft Defender אנטי-וירוס השונים, בקר Microsoft Defender התמיכה של פלטפורמת האנטי-וירוס.
אזהרה
כללים מסוימים אינם פועלים היטב אם היישום וקובץ ה- Script שפותח באופן פנימי אינם פועלים כראוי. קשה יותר לפרוס כללי צמצום שטח תקיפה אם חתימת קוד אינה נאכפת.
מאמרים אחרים באוסף פריסה זה
כללים להקטנת פני השטח של ההתקפה בבדיקה
אפשר כללי צמצום פני השטח של ההתקפה
תפעול כללי צמצום פני השטח של ההתקפה
חומר עזר לכללי הפחתת פני השטח של ההתקפה
הפניות
בלוגים
כללים להקטנת פני השטח של התקפה Demystifying - חלק 1
כללים להקטנת פני השטח של ההתקפה Demystifying - חלק 2
Demystifying attack surface reduction rules - Part 3
כללים להקטנת פני השטח של ההתקפה Demystifying - חלק 4
אוסף כללי צמצום פני השטח של ההתקפה
מבט כולל על צמצום פני השטח של ההתקפה
השתמש בכללי הפחתת פני השטח של ההתקפה כדי למנוע הידבקות בתוכנות זדוניות
אפשר כללי צמצום פני השטח של ההתקפה - תצורות חלופיות
חומר עזר לכללי הפחתת פני השטח של ההתקפה
שאלות נפוצות בנושא צמצום שטח תקיפה
Microsoft Defender
טיפול בתוצאות חיוביות/שליליות מוטעות ב- Microsoft Defender עבור נקודת קצה
הגנה מבוססת ענן ואנטי Microsoft Defender אנטי-וירוס
הפעלת הגנה מבוססת ענן באנטי-Microsoft Defender שלך
קביעת תצורה ואימתה של פריטים שאינם נכללים בהתבסס על סיומת, שם או מיקום
Microsoft Defender פלטפורמת אנטי-וירוס
מבט כולל על המלאי יישומי Microsoft 365 הניהול
Create תוכנית פריסה עבור Windows
השתמש בפקדי גישה מבוססי תפקיד (RBAC) ותגיות טווח עבור IT מבוזר Intune
הקצאת פרופילי מכשיר ב- Microsoft Intune
אתרי ניהול
Microsoft Intune הניהול של Microsoft
תצורות של כללי הפחתת פני השטח של ההתקפה
הכללות של צמצום פני השטח של ההתקפה
עצה
האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.
משוב
בקרוב: במהלך 2024, נפתור בעיות GitHub כמנגנון המשוב לתוכן ונחליף אותו במערכת משוב חדשה. לקבלת מידע נוסף, ראה: https://aka.ms/ContentUserFeedback.
שלח והצג משוב עבור