הערה
הגישה לדף זה מחייבת הרשאה. באפשרותך לנסות להיכנס או לשנות מדריכי כתובות.
הגישה לדף זה מחייבת הרשאה. באפשרותך לנסות לשנות מדריכי כתובות.
בדיקת Microsoft Defender עבור נקודת קצה של התקפה על פני השטח מסייעת לך לקבוע אם הכללים פוגם בפעולות קו פעולה עסקי לפני הפיכת כללים לזמינים. על-ידי התחלה מקבוצה קטנה ומבוקרת, באפשרותך להגביל הפרעות פוטנציאליות בעבודה בעת הרחבת הפריסה ברחבי הארגון.
בסעיף זה של מדריך הפריסה של כללי הפחתת השטח של ההתקפה, תלמד כיצד לבצע את הפעולות הבאות:
- קביעת תצורה של כללים באמצעות Microsoft Intune
- השתמש Microsoft Defender עבור נקודת קצה כללים להקטנת שטח תקיפה
- קביעת תצורה של אי הכללות בכללי צמצום פני השטח של ההתקפה
- אפשר כללים של צמצום שטח תקיפה באמצעות PowerShell
- השתמש מציג האירועים עבור אירועי כללי הפחתת פני השטח של ההתקפה
הערה
לפני שתתחיל לבדוק כללי הפחתת פני השטח של ההתקפה, מומלץ לבטל תחילה את כל הכללים שהיו מוגדרים בעבר לביקורת או כזמינים (אם רלוונטי). ראה דוחות כללי הפחתת פני השטח של ההתקפה לקבלת מידע על השימוש בכללי צמצום השטח של ההתקפה מדווחים על השבתת כללי הפחתת פני השטח של ההתקפה.
התחל בפריסת כללי הפחתת פני השטח של ההתקפה שלך עם טבעת 1.
שלב 1: בדיקת כללי הפחתת שטח ההתקפה באמצעות ביקורת
התחל את שלב הבדיקה על-ידי הפעלת כללי ההפחתה של משטח התקיפה כאשר הכללים מוגדרים ל'ביקורת', החל ממשתמשים מובילים או במכשירים שלך טבעת 1. בדרך כלל, ההמלצה היא להפוך את כל הכללים (בביקורת) לזמינים כדי שתוכל לקבוע אילו כללים מופעלים במהלך שלב הבדיקה.
כללים המוגדרים ל'ביקורת' אינם משפיעים בדרך כלל על הפונקציונליות של הישות או הישויות שעליו הכלל מוחל, אך יוצרים אירועים רשומים לצורך ההערכה; למשתמשי קצה אין השפעה.
קביעת תצורה של כללי צמצום שטח תקיפה באמצעות Intune
כדי לקבוע את התצורה של כללי הפחתת פני השטח של התקיפה באמצעות מדיניות צמצום פני השטח של התקפה של נקודת Microsoft Intune, ראה יצירת מדיניות אבטחה של נקודת קצה (נפתחת בכרטיסיה חדשה בתיעוד של Intune). בעת יצירת המדיניות, השתמש בהגדרות הבאות:
- סוג מדיניות: הפחתת פני השטח של ההתקפה
- פלטפורמה: Windows 10, Windows 11 ו- Windows Server
- פרופיל: כללים להקטנת משטח של התקפה
- הגדרות תצורה: הגדרת כל הכללים למצב ביקורת כדי להעריך את ההשפעה לפני האכיפה
לקבלת מידע נוסף על פרופילי הפחתת פני השטח של ההתקפה הזמינים ב- Microsoft Intune, ראה ניהול הגדרות הפחתת פני השטח של ההתקפה באמצעות Microsoft Intune.
לאחר יצירת המדיניות וההקציה, חזור למאמר זה כדי להמשיך בבדיקה וב האימות.
שלב 2: הבנת דף הדיווח של כללי הפחתת השטח של ההתקפה Microsoft Defender הפורטל
דף הדיווח של כללי הפחתת פני השטח של התקיפה נמצא בדוחות Microsoft Defender של> פורטלהתקיפה>של כללים להפחתת שטח. דף זה כולל שלוש כרטיסיות:
- זיהויים וזיהויים
- תצורה
- הוספת פריטים שאינם נכללים
הכרטיסיה 'זיהויים'
מספק ציר זמן של 30 יום של אירועים שזוהו כאירועי ביקורת ואירועים חסומים.
חלונית כללי ההפחתה של משטח התקיפה מספקת מבט כולל על אירועים שזוהו על בסיס כל כלל.
הערה
יש כמה וריאציות בדוחות כללי הפחתת פני השטח של ההתקפה. Microsoft נמצאת בתהליך של עדכון אופן הפעולה של דוחות כללי ההפחתה של משטח התקיפה כדי לספק חוויה עקבית.
בחר הצג זיהויים כדי לפתוח את הכרטיסיה זיהויים .
החלונית GroupBy ו- Filter מספקת את האפשרויות הבאות:
GroupBy מחזיר את ערכת התוצאות לקבוצות הבאות:
- ללא קיבוץ
- קובץ שזוהה
- ביקורת או חסימה
- כלל
- אפליקציית מקור
- מכשיר
- משתמש
- Publisher
הערה
בעת סינון לפי כלל, מספר הפריטים הבודדים שזוהו המפורטים במחצית התחתונה של הדוח מוגבל כעת ל- 200 כללים. באפשרותך להשתמש בייצוא כדי לשמור את הרשימה המלאה של הזיהויים ב- Excel.
מסנן פותח את הדף סינון לפי כללים, המאפשר לך להגדיר טווח של התוצאות לכללי ההקטנה של משטח התקיפה שנבחרו בלבד:
הערה
אם יש לך רשיון עבור Microsoft 365 Security E5 או A5, או Windows E5 או A5, הקישור הבא פותח את פורטל Microsoft Defender עם זיהויים גלויים: זיהויים של צמצום פני השטח של ההתקפה.
הכרטיסיה 'תצורה'
רשימות, על בסיס מחשב, המצב המצטבר של כללי צמצום פני השטח של ההתקפה: כבוי, ביקורת, חסימה.
בכרטיסיה תצורות, תוכל לראות אילו כללי הפחתת פני השטח של ההתקפה זמינים ואת המצב שלהם עבור כל מכשיר על-ידי בחירת המכשיר שברצונך לסקור.
הקישור תחילת העבודה פותח את מרכז Microsoft Intune, שבו באפשרותך ליצור או לשנות מדיניות הגנה של נקודת קצה עבור צמצום פני השטח של ההתקפה:
באבטחה של נקודת קצה | מבט כולל, בחר הפחתת פני השטח של ההתקפה:
אבטחת נקודת הקצה | חלונית צמצום פני השטח של ההתקפה נפתחת:
הערה
אם יש לך חשבון Microsoft Defender 365 E5 (או Windows E5?) רשיון, קישור זה פותח את הכרטיסיה תצורות של Microsoft Defender 365 Reports > Attack Surface >Reductions( תצורות).
הוספת פריטים שאינם נכללים
כרטיסיה זו מספקת שיטה לבחירת ישויות שזוהו (לדוגמה, תוצאות חיוביות מוטעות) עבור אי הכללה. בעת הוספת אי-הכללות, הדוח מספק סיכום של ההשפעה הצפויה.
הערה
כללים הפחתת פני השטח התקפה מכבדים Microsoft Defender אנטי-וירוס (AV) אי הכללה. ראה קביעת תצורה ואי-אימות של פריטים שאינם נכללים בהתבסס על סיומת, שם או מיקום.
הערה
אם יש לך רשיון והרשאות מתאימים, קישור זה פותח את Microsoft Defender עם פריטים שאינם נכללים.
לקבלת מידע נוסף על השימוש בדוח כללי הפחתת פני השטח של ההתקפה, ראה דוחות כללי צמצום פני השטח של ההתקפה.
קביעת תצורה של אי-הכללות של צמצום פני השטח של ההתקפה לפי כלל
כללי הפחתת פני השטח של ההתקפה מספקים כעת את היכולת לקבוע תצורה של אי-הכללים הספציפיים לכלל, הידועים בשם "פריטים שאינם נכללים בכלל".
כדי לקבוע תצורה של אי הכללים הספציפיים, יש לך את האפשרויות לשימוש בניהול הגדרות האבטחה של Defender for Endpoint, Intune ו- מדיניות קבוצתית.
הערה
בעת קביעת התצורה של חריגות מסוג Attack משטח Reduction לכל כלל, זכור כי ציון שם הקובץ או היישום בלבד (לדוגמה, test1.exe) אינו מספיק. עליך לספק את נתיב הקובץ או היישום המלא (לדוגמה, C:\test1.exe) כדי להבטיח שהכלל לא יוחל כראוי.
דרך Intune
פתח את Microsoft Intune הניהול של מרכז הניהול, ונווט אל הפחתת פני השטח>של אבטחת נקודת קצה>ביתית.
אם תצורתו עדיין לא נקבעה, הגדר את הכלל שעבורו ברצונך לקבוע תצורה של אי-הכללות לביקורת אולחסימה.
תחת אי-הכללה של ASR בלבד לכל כלל, בחר את הלחצן הדו-מצבי כדי לשנות את האפשרות לא נקבעהלתצורה נקבעה.
הזן את שמות הקבצים או היישום שברצונך לא לכלול.
בחלק התחתון של אשף יצירת הפרופיל , בחר הבא ולאחר מכן בצע את הוראות האשף.
עצה
השתמש בתיבות הסימון לצד רשימת ערכי אי-הכללה כדי לבחור פריטים למחיקה ,למיון, לייבוא או לייצוא.
דרך מדיניות קבוצתית
לקבלת הוראות, ראה קביעת תצורה של כללי ASR באמצעות מדיניות קבוצתית.
אם ה- GPO אינו חל על מכשירים, ראה פתרון בעיות בהגדרות Microsoft Defender אנטי-וירוס.
השתמש ב- PowerShell כשיטה חלופית כדי לאפשר כללי צמצום פני שטח תקיפה
השתמש ב- PowerShell, כאפשרות חלופית Intune, כדי לאפשר כללי צמצום פני שטח התקפה במצב ביקורת. תצורה זו מאפשרת לך להציג רשומה של יישומים היו נחסמים אם התכונה היתה זמינה באופן מלא. תוכל גם לראות באיזו תדירות הכללים מופעלים במהלך שימוש רגיל.
כדי להפוך כלל הפחתת פני שטח תקיפה לזמין במצב ביקורת, השתמש ב- cmdlet הבא של PowerShell:
Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions AuditMode
היכן <rule ID> נמצא ערך GUID של כלל הפחתת פני השטח של ההתקפה.
כדי להפוך את כל כללי ההפחתה של משטח ההתקפה שנוספו לזמינים במצב ביקורת, השתמש ב- cmdlet הבא של PowerShell:
(Get-MpPreference).AttackSurfaceReductionRules_Ids | Foreach {Add-MpPreference -AttackSurfaceReductionRules_Ids $_ -AttackSurfaceReductionRules_Actions AuditMode}
עצה
אם ברצונך לבצע ביקורת מלאה על האופן שבו כללים להפחתת שטח תקיפה פועלים בארגון שלך, עליך להשתמש בכלי ניהול כדי לפרוס הגדרה זו במכשירים ברשת שלך.
באפשרותך גם להשתמש מדיניות קבוצתית, Intune או ספקי שירותי תצורה של ניהול מכשירים ניידים (MDM) כדי לקבוע את התצורה ולפרוס את ההגדרה. קבל מידע נוסף במאמר הראשי בנושא כללי צמצום השטח של ההתקפה .
השתמש ב מציג האירועים Windows מציג האירועים סקירה כ החלופה לדף הדיווח של כללי ההפחתה של משטח התקיפה בפורטל Microsoft Defender התקיפה
כדי לסקור אפליקציות שייחסמו, פתח את מציג האירועים ובצע סינון עבור מזהה אירוע 1121 ביומן Microsoft-Windows-Windows Defender/Operational. הטבלה הבאה מפרטת את כל אירועי ההגנה על הרשת.
| מזהה אירוע | תיאור |
|---|---|
| 5007 | אירוע בעת שינוי ההגדרות |
| 1121 | אירוע כאשר כלל הפחתת פני השטח של ההתקפה פועל במצב חסימה |
| 1122 | אירוע כאשר כלל הפחתת פני השטח של ההתקפה פועל במצב ביקורת |
מאמרים אחרים באוסף פריסה זה
מבט כולל על פריסת כללי הפחתת פני השטח של התקיפה
תכנון פריסה של כללי הפחתת פני השטח של ההתקפה
אפשר כללי צמצום פני השטח של ההתקפה
תפעול כללי צמצום פני השטח של ההתקפה