מעבר מ- HIPS שאינו של Microsoft כדי לתקוף כללי צמצום שטח
חל על:
מאמר זה עוזר לך למפות כללים נפוצים Microsoft Defender עבור נקודת קצה.
תרחישים בעת העברה ממוצר HIPS שאינו של Microsoft כדי לתקוף כללי צמצום שטח
חסימת יצירה של קבצים ספציפיים
- חל על - כל התהליכים
- פעולה - יצירת קובץ
- דוגמאות לקבצים/תיקיות, מפתחות רישום/ערכים, תהליכים, שירותים- *.zepto, *.odin, *.locky, *.jaff, *.lukitus, *.wnry, *.krab
- כללים הפחתת Surface התקפה - כללים הפחתת פני השטח התקפה חוסם את טכניקות ההתקפה ולא את המחוונים של פשרה (IOC). חסימת סיומת קובץ ספציפית אינה שימושית תמיד, מאחר שהיא אינה מונעת סכנה של מכשיר. היא תיצור הרחבה חדשה עבור תוכן המנה רק באופן חלקי עד שהתוקפים יוצרים סוג חדש של הרחבה.
- תכונות מומלצות אחרות - מומלץ Microsoft Defender אנטי-וירוס זמין, יחד עם ניתוח הגנה מפני ענן וההתפקוד של הענן. אנו ממליצים להשתמש במניעה אחרת, כגון כלל ההפחתת פני השטח של ההתקפה השתמש בהגנה מתקדמת מפני תוכנות כופר, שמספקת רמת הגנה גבוהה יותר מפני תקיפות של תוכנות כופר. יתר על כן, Microsoft Defender עבור נקודת קצה מנטר רבות ממפתחות רישום אלה, כגון טכניקות ASEP, המפעילות התראות ספציפיות. מפתחות הרישום שבהם נעשה שימוש דורשים מינימום של הרשאות מרכז הניהול או של Trusted Installer. מומלץ להשתמש בסביבה נעולה עם חשבונות ניהול מינימליים או זכויות ניהוליות. ניתן להפוך תצורות מערכת אחרות לזמינות, כולל הפוך את SeDebug ללא זמין עבור תפקידים שאינם דרושים המהווים חלק מהמלצות האבטחה הרחבות יותר שלנו.
חסימת יצירה של מפתחות רישום ספציפיים
- חל על - כל התהליכים
- תהליכים- לא ישים
- Operation- Registry Modifications
- דוגמאות לקבצים/תיקיות, מפתחות רישום/ערכים, תהליכים, שירותים- \Software,HKCU\Environment\UserInitMprLogonScript,HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Accessibility\ATs*\StartExe, HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*\Debugger, HKEY_CURRENT_USER\Software\Microsoft\HtmlHelp Author\location, HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit*\MonitorProcess
- כללים הפחתת Surface התקפה - כללים הפחתת פני השטח התקפה חוסם את טכניקות ההתקפה ולא את המחוונים של פשרה (IOC). חסימת סיומת קובץ ספציפית אינה שימושית תמיד, מכיוון שהיא אינה מונעת סכנה של מכשיר. היא תיצור הרחבה חדשה עבור תוכן המנה רק באופן חלקי עד שהתוקפים יוצרים סוג חדש של הרחבה.
- תכונות מומלצות אחרות - מומלץ Microsoft Defender אנטי-וירוס זמין, יחד עם ניתוח הגנה מפני ענן וההתפקוד של הענן. מומלץ להשתמש במניעה נוספת, כגון כלל ההפחתה של משטח התקיפה השתמש בהגנה מתקדמת מפני תוכנות כופר. הדבר מספק רמת הגנה גבוהה יותר מפני תקיפות של תוכנות כופר. יתר על כן, Microsoft Defender עבור נקודת קצה מנטר כמה ממפתחות רישום אלה, כגון טכניקות ASEP, המפעילות התראות ספציפיות. בנוסף, מפתחות הרישום המשמשים דורשים מינימום של הרשאות מרכז הניהול מקומי או מתקין מהימן. מומלץ להשתמש בסביבה נעולה עם חשבונות ניהול מינימליים או זכויות ניהוליות. ניתן להפוך תצורות מערכת אחרות לזמינות, כולל הפוך את SeDebug ללא זמין עבור תפקידים שאינם דרושים המהווים חלק מהמלצות האבטחה הרחבות יותר שלנו.
חסימת הפעלה של תוכניות לא מהימנה מכוננים נשלפים
- חל על - תוכניות לא מהימנה מ- USB
- תהליכים- *
- פעולה - ביצוע תהליך
- *דוגמאות של קבצים/תיקיות, מפתחות רישום/ערכים, תהליכים, שירותים:-
- כללים להקטנת Surface של התקפה - כללים להקטנת משטח תקיפה כוללים כלל מוכלל למניעת הפעלה של תוכניות לא מהימנה ולא חתימה מכוננים נשלפים: חסימת תהליכים לא מהימנה וביטול חתימה הפועלים מ- USB, GUIDb2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4.
- תכונות מומלצות אחרות - עיין בפקדים נוספים עבור התקני USB ומדיה נשלפת אחרת באמצעות Microsoft Defender עבור נקודת קצה:כיצד לשלוט בהתקני USB ובמדיה נשלפת אחרת באמצעות Microsoft Defender עבור נקודת קצה.
חסום את Mshta מהפעלת תהליכי צאצא מסוימים
- חל על - שטה
- תהליכים - mshta.exe
- פעולה - ביצוע תהליך
- דוגמאות לקבצים/תיקיות, מפתחות רישום/ערכים, תהליכים, שירותים- powershell.exe, cmd.exe, regsvr32.exe
- כללים להקטנת Surface של התקפה - כללי הפחתת פני השטח של ההתקפה אינם מכילים כלל ספציפי כלשהו כדי למנוע מתהליכי צאצאmshta.exe. פקד זה נמצא במסגרת ההחזרה של הגנה מפני ניצול לרעה או Windows Defender היישום.
- תכונות מומלצות אחרות - Windows Defender בקרת יישומים כדי mshta.exe לחלוטין את ההפעלות. אם הארגון שלך דורשmshta.exe עבור אפליקציות קו פעולה עסקי, קבע תצורה של כלל Windows Defender הגנה מפני ניצול לרעה, כדי mshta.exe להפעיל תהליכי צאצא.
חסימת Outlook מהפעלת תהליכי צאצא
- חל על- Outlook
- תהליכים - outlook.exe
- פעולה - ביצוע תהליך
- דוגמאות לקבצים/תיקיות, מפתחות רישום/ערכים, תהליכים, שירותים- powershell.exe
- כללים להקטנת Surface של התקפה - כללים להפחתת פני השטח של ההתקפה כוללים כלל מוכלל למניעת יישומי תקשורת של Office (Outlook, Skype ו- Teams) להפעיל תהליכי צאצא: חסום את יישום התקשורת של Office ביצירת תהליכי צאצא, GUID 26190899-1602-49e8-8b27-eb1d0a1ce869.
- תכונות מומלצות אחרות - מומלץ להפוך את מצב השפה המוגבלת של PowerShell לזמין כדי למזער את משטח התקיפה מ- PowerShell.
חסימת יישומי Office מהפעלת תהליכי צאצא
- חל על- Office
- תהליכים - winword.exe, powerpnt.exe, excel.exe
- פעולה - ביצוע תהליך
- דוגמאות לקבצים/תיקיות, מפתחות רישום/ערכים, תהליכים, שירותים- powershell.exe, cmd.exe, wscript.exe, mshta.exe, EQNEDT32.EXE, regsrv32.exe
- כללים להקטנת Surfaceשל התקפה - כללים להפחתת פני השטח של ההתקפה כוללים כלל מוכלל שימנע מאפליקציות Office להפעיל תהליכי צאצא: חסום את כל יישומי Office ביצירת תהליכי צאצא, GUID d4f940ab-401b-4efc-aadc-ad5f3c50688a.
- תכונות מומלצות אחרות - לא ישים
חסימת אפליקציות Office מפני יצירת תוכן בר הפעלה
- חל על- Office
- תהליכים - winword.exe, powerpnt.exe, excel.exe
- פעולה - יצירת קובץ
- דוגמאות לקבצים/תיקיות, מפתחות רישום/ערכים, תהליכים, שירותים- C:\Users*\AppData**.exe, C:\ProgramData**.exe, C:\ProgramData**.com, C:\UsersAppData\Local\Temp**.com, C:\Users\Downloads**.exe, C:\Users*\AppData**.scf, C:\ProgramData**.scf, C:\Users\Public*.exe, C:\Users*\Desktop.exe
- כללים להקטנת Surface של התקפה - לא ישים.
חסימת Wscript בקריאת סוגים מסוימים של קבצים
- חל על - Wscript
- תהליכים - wscript.exe
- פעולה - קריאת קובץ
- דוגמאות לקבצים/תיקיות, מפתחות רישום/ערכים, תהליכים, שירותים- C:\Users*\AppData**.js, C:\Users*\Downloads**.js
- כללי הפחתת Surface של התקפה - עקב בעיות מהימנות וביצועים, כללי הפחתת פני השטח של ההתקפה אינם כוללים את היכולת למנוע מתהליך ספציפי לקרוא סוג קובץ Script מסוים. יש לנו כלל למניעת התקפה וקטורים שמקורם בתרחישים אלה. שם הכלל הוא חסום JavaScript או VBScript מהפעלת תוכן הפעלה שהורד (GUID d3e037e1-3eb8-44c8-a917-57927947596 d) וביצוע החסימה של קבצי Script שעלולים להיות מוסתרים (GUID * 5beb7efe-fd9a-4556-801d-275e5ffc04cc*).
- תכונות מומלצות אחרות - על אף שקיימים כללים ספציפיים להקטנת פני השטח של ההתקפה המצמצם וקטורי תקיפה מסוימים בתרחישים אלה, חשוב לציין ש- AV יכול כברירת מחדל לבדוק קבצי Script (PowerShell, Windows Script Host, JavaScript, VBScript ועוד) בזמן אמת, באמצעות ממשק הסריקה נגד תוכנות זדוניות (AMSI). מידע נוסף זמין כאן: ממשק סריקה נגד תוכנות זדוניות (AMSI).
חסימת הפעלה של תהליכי צאצא
- חל על- Adobe Acrobat
- תהליכים - AcroRd32.exe, Acrobat.exe
- פעולה - ביצוע תהליך
- דוגמאות לקבצים/תיקיות, מפתחות רישום/ערכים, תהליכים, שירותים- cmd.exe, powershell.exe, wscript.exe
- כללים הפחתת פני השטח של ההתקפה - כללים להקטנת פני השטח מאפשרים חסימת Adobe Reader מהשקת תהליכי צאצא. שם הכלל הוא חסום את Adobe Reader ביצירת תהליכי צאצא, GUID 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c.
- תכונות מומלצות אחרות - לא ישים
חסימת הורדה או יצירה של תוכן הפעלה
- חל על- CertUtil: חסימת הורדה או יצירה של קובץ הפעלה
- תהליכים - certutil.exe
- פעולה - יצירת קובץ
- דוגמאות לקבצים/תיקיות, מפתחות רישום/ערכים, תהליכים, שירותים- *.exe
- כללים להקטנת Surface של התקפה - כללים להקטנת פני השטח של ההתקפה אינם תומכים בתרחישים אלה מכיוון שהם חלק Microsoft Defender אנטי-וירוס.
- תכונות מומלצות אחרות - Microsoft Defender אנטי-וירוס מונע מ- CertUtil ליצור או להוריד תוכן הפעלה.
חסימת תהליכים מפסיקה רכיבי מערכת קריטיים
- חל על - כל התהליכים
- תהליכים- *
- פעולה - סיום תהליך
- דוגמאות לקבצים/תיקיות, מפתחות רישום/ערכים, תהליכים, שירותים- MsSense.exe, MsMpEng.exe, NisSrv.exe, svchost.exe*, services.exe, csrss.exe, smss.exe, wininit.exe ועוד.
- כללים להקטנת Surface של התקפה - כללים להפחתת פני השטח של ההתקפה אינם תומכים בתרחישים אלה מכיוון שהם מוגנים באמצעות הגנות אבטחה מוכללות של Windows.
- תכונות מומלצות אחרות - ELAM (הפעלה מוקדמת נגד תוכנות זדוניות), PPL (אור תהליך הגנה), PPL נגד תוכנות זדוניות ו- System Guard.
חסום ניסיון תהליך הפעלה ספציפי
- חל על תהליכים ספציפיים
- תהליכים- תן שם לתהליך שלך
- פעולה - ביצוע תהליך
- דוגמאות לקבצים/תיקיות, מפתחות רישום/ערכים, תהליכים, שירותים- tor.exe, bittorrent.exe, cmd.exe powershell.exe, powershell.exe ועוד
- כללים להקטנת Surface של התקפה - כללי, כללי הפחתת פני השטח של ההתקפה אינם מיועדים לפעול כמנהל יישומים.
- תכונות מומלצות אחרות - כדי למנוע ממשתמשים להפעיל תהליכים או תוכניות ספציפיים, מומלץ להשתמש בפקד Windows Defender היישום. Microsoft Defender עבור נקודת קצה ניתן להשתמש במחווני 'קובץ' ו'אישור', בתרחיש של תגובה לתקריות (לא ניתן לראות אותם כמנגנון בקרת יישומים).
חסימת שינויים לא מורשים Microsoft Defender אנטי-וירוס
- חל על - כל התהליכים
- תהליכים- *
- Operation- Registry Modifications
- דוגמאות לקבצים/תיקיות, מפתחות רישום/ערכים, תהליכים, שירותים- HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\DisableAntiSpyware, HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Policy Manager\AllowRealTimeMonitoring וכן הלאה.
- כללים להקטנת Surface של התקפה - כללים להפחתת פני השטח של ההתקפה אינם מכסים תרחישים אלה Microsoft Defender עבור נקודת קצה חלק מההגנה המוכללת.
- תכונות מומלצות אחרות - הגנה מפני טיפול שלא כדין (הסכמת הצטרפות, המנוהלת מ- Intune) מונעת שינויים לא מורשים ב- DisableAntiVirus, DisableAntiSpyware, DisableRealtimeMonitoring, DisableOnAccessProtection, DisableBehaviorMonitoring ומפתחות הרישום DisableIOAVProtection (ועוד).
למידע נוסף
- שאלות נפוצות בנושא צמצום שטח תקיפה
- אפשר כללי צמצום פני השטח של ההתקפה
- הערכת כללי צמצום פני השטח של ההתקפה
עצה
האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.
משוב
בקרוב: במהלך 2024, נפתור בעיות GitHub כמנגנון המשוב לתוכן ונחליף אותו במערכת משוב חדשה. לקבלת מידע נוסף, ראה: https://aka.ms/ContentUserFeedback.
שלח והצג משוב עבור