Megosztás a következőn keresztül:

Migrálás nem Microsoft HIPS-ről támadási felületcsökkentési szabályokra

  • Cikk

Érintett szolgáltatás:

Ez a cikk segítséget nyújt a gyakori szabályok Végponthoz készült Microsoft Defender való leképezésében.

A nem Microsoft HIPS-termékről a felületcsökkentési szabályok támadására irányuló migrálás forgatókönyvei

Adott fájlok létrehozásának letiltása

  • Minden folyamatra vonatkozik
  • Művelet – Fájllétrehozás
  • Példák fájlokra/mappákra, beállításkulcsokra/értékekre, folyamatokra, szolgáltatásokra– *.zepto, *.odin, *.locky, *.jaff, *.lukitus, *.wnry, *.krab
  • Támadásifelület-csökkentési szabályok – A támadásifelület-csökkentési szabályok nem a támadási technikákat, hanem a biztonsági rések mutatóit (IOC) blokkolják. Egy adott fájlkiterjesztés blokkolása nem mindig hasznos, mivel nem akadályozza meg az eszközök sérülését. Csak részben űz meg egy támadást, amíg a támadók új típusú bővítményt nem hoznak létre a hasznos adatokhoz.
  • Egyéb ajánlott funkciók – A Microsoft Defender víruskereső engedélyezése, valamint a felhővédelem és a viselkedéselemzés használata erősen ajánlott. Javasoljuk, hogy használjon más megelőzést, például a támadási felület csökkentésére vonatkozó szabályt: Speciális védelmet használjon a zsarolóprogramok ellen, ami magasabb szintű védelmet biztosít a zsarolóprogramok elleni támadások ellen. Emellett Végponthoz készült Microsoft Defender számos beállításkulcsot figyel, például az ASEP-technikákat, amelyek adott riasztásokat aktiválnak. A használt beállításkulcsok legalább helyi Rendszergazda vagy megbízható telepítői jogosultságot igényelnek. Ajánlott zárolt környezetet használni minimális rendszergazdai fiókokkal vagy jogosultságokkal. Más rendszerkonfigurációk is engedélyezhetők, beleértve a SeDebug letiltása olyan nem szükséges szerepkörök esetében , amelyek a szélesebb körű biztonsági javaslatok részét képezik.

Adott beállításkulcsok létrehozásának letiltása

  • Minden folyamatra vonatkozik
  • Folyamatok – N/A
  • Művelet – Beállításjegyzék-módosítások
  • Példák fájlokra/mappákra, beállításkulcsokra/értékekre, folyamatokra, szolgáltatásokra- \Software,HKCU\Environment\UserInitMprLogonScript,HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Accessibility\ATs*\StartExe, HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*\Debugger, HKEY_CURRENT_USER\Software\Microsoft\HtmlHelp Author\location, HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit*\MonitorProcess
  • Támadásifelület-csökkentési szabályok – A támadásifelület-csökkentési szabályok nem a támadási technikákat, hanem a biztonsági rések mutatóit (IOC) blokkolják. Egy adott fájlkiterjesztés blokkolása nem mindig hasznos, mert nem akadályozza meg az eszközök sérülését. Csak részben űz meg egy támadást, amíg a támadók új típusú bővítményt nem hoznak létre a hasznos adatokhoz.
  • Egyéb ajánlott funkciók – A Microsoft Defender víruskereső engedélyezése, valamint a felhővédelem és a viselkedéselemzés használata erősen ajánlott. Javasoljuk, hogy használjon extra megelőzést, például a támadási felület csökkentésére vonatkozó szabályt: Speciális védelem használata zsarolóprogramok ellen. Ez magasabb szintű védelmet biztosít a zsarolóprogramok elleni támadások ellen. Emellett Végponthoz készült Microsoft Defender számos beállításkulcsot figyel, például az ASEP-technikákat, amelyek adott riasztásokat aktiválnak. Emellett a használt beállításkulcsok legalább helyi Rendszergazda vagy megbízható telepítői jogosultságot igényelnek. Ajánlott zárolt környezetet használni minimális rendszergazdai fiókokkal vagy jogosultságokkal. Más rendszerkonfigurációk is engedélyezhetők, beleértve a SeDebug letiltása olyan nem szükséges szerepkörök esetében , amelyek a szélesebb körű biztonsági javaslatok részét képezik.

Nem megbízható programok futásának letiltása cserélhető meghajtókról

  • A nem megbízható programokra vonatkozik USB-ről
  • Folyamatok - *
  • Művelet – Folyamat végrehajtása
  • * Példák fájlokra/mappákra, beállításkulcsokra/értékekre, folyamatokra, szolgáltatásokra:
  • Támadásifelület-csökkentési szabályok – A támadásifelület-csökkentési szabályok beépített szabályt tartalmaznak a nem megbízható és aláíratlan programok cserélhető meghajtókról való indításának megakadályozására: Tiltsa le az USB-n futó nem megbízható és aláíratlan folyamatokat, GUID b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4.
  • Egyéb ajánlott funkciók – Tekintse át az USB-eszközök és más cserélhető adathordozók további vezérlőinek használatát a Végponthoz készült Microsoft Defender:Usb-eszközök és más cserélhető adathordozók vezérlése Végponthoz készült Microsoft Defender használatával.

Az Mshta letiltása bizonyos gyermekfolyamatok elindításában

  • A következőkre vonatkozik: Mshta
  • Folyamatok – mshta.exe
  • Művelet – Folyamat végrehajtása
  • Példák fájlokra/mappákra, beállításkulcsokra/értékekre, folyamatokra, szolgáltatásokra powershell.exe, cmd.exe, regsvr32.exe
  • Támadásifelület-csökkentési szabályok – a támadásifelület-csökkentési szabályok nem tartalmaznak olyan konkrét szabályt, amely megakadályozza, hogy a gyermekfolyamatok mshta.exe. Ez a vezérlő a Biztonsági rés kiaknázása elleni védelem vagy Windows Defender alkalmazásvezérlés hatáskörébe tartozik.
  • Egyéb ajánlott funkciók – Engedélyezze Windows Defender alkalmazásvezérlést, hogy megakadályozza a mshta.exe teljes végrehajtását. Ha szervezete mshta.exe igényel az üzletági alkalmazásokhoz, konfiguráljon egy adott Windows Defender Exploit Protection-szabályt, hogy mshta.exe ne indíthassák el a gyermekfolyamatokat.

Gyermekfolyamatok indításának letiltása az Outlookban

  • A következőkre vonatkozik: Outlook
  • Folyamatok – outlook.exe
  • Művelet – Folyamat végrehajtása
  • Példák fájlokra/mappákra, beállításkulcsokra/értékekre, folyamatokra, szolgáltatásokra powershell.exe
  • Támadásifelület-csökkentési szabályok – A támadásifelület-csökkentési szabályok beépített szabálysal rendelkeznek, amely megakadályozza, hogy az Office kommunikációs alkalmazásai (Outlook, Skype és Teams) gyermekfolyamatokat indítsanak el: Az Office kommunikációs alkalmazás gyermekfolyamatok létrehozásának letiltása, GUID 26190899-1602-49e8-8b27-eb1d0a1ce869.
  • Egyéb ajánlott funkciók – Javasoljuk, hogy engedélyezze a PowerShell korlátozott nyelvi módját, hogy minimálisra csökkentse a Támadási felületet a PowerShellből.

Gyermekfolyamatok indításának letiltása az Office-alkalmazásokban

  • Az Office-ra vonatkozik
  • Folyamatok – winword.exe, powerpnt.exe, excel.exe
  • Művelet – Folyamat végrehajtása
  • Példák fájlokra/mappákra, beállításkulcsokra/értékekre, folyamatokra, szolgáltatásokra– powershell.exe, cmd.exe, wscript.exe, mshta.exe, EQNEDT32.EXE, regsrv32.exe
  • Támadásifelület-csökkentési szabályok – A támadásifelület-csökkentési szabályok beépített szabálysal rendelkeznek, amely megakadályozza, hogy az Office-alkalmazások gyermekfolyamatokat indítsanak el: Tiltsa le az összes Office-alkalmazás gyermekfolyamatok létrehozását, GUID d4f940ab-401b-4efc-aadc-ad5f3c50688a.
  • Egyéb ajánlott funkciók – N/A

Az Office-appok végrehajtható tartalmak létrehozásának letiltása

  • Az Office-ra vonatkozik
  • Folyamatok – winword.exe, powerpnt.exe, excel.exe
  • Művelet – Fájllétrehozás
  • Példák fájlokra/mappákra, beállításkulcsokra/értékekre, folyamatokra, szolgáltatásokra– C:\Felhasználók*\AppData**.exe, C:\ProgramData**.exe, C:\ProgramData**.com, C:\UsersAppData\Local\Temp**.com, C:\Users\Downloads**.exe, C:\Users*\AppData**.scf, C:\ProgramData**.scf, C:\Users\Public*.exe, C:\Users*\Desktop***.exe
  • Támadásifelület-csökkentési szabályok – N/A.

Bizonyos típusú fájlok olvasásának letiltása a Wscriptben

  • A következőre vonatkozik: Wscript
  • Folyamatok – wscript.exe
  • Művelet – Fájlolvasás
  • Példák fájlokra/mappákra, beállításkulcsokra/értékekre, folyamatokra, szolgáltatásokra– C:\Users*\AppData**.js, C:\Users*\Downloads**.js
  • Támadásifelület-csökkentési szabályok – A megbízhatósági és teljesítménybeli problémák miatt a támadásifelület-csökkentési szabályok nem képesek megakadályozni, hogy egy adott folyamat beolvass egy adott szkriptfájltípust. Van egy szabályunk, amely megakadályozza az ilyen helyzetekből származó támadási vektorokat. A szabály neve Letiltja a JavaScript vagy a VBScript számára a letöltött végrehajtható tartalom elindítását (GUID d3e037e1-3eb8-44c8-a917-57927947596 és a vélhetően rejtjelezett szkriptek ( GUID * 5beb7efe-fd9a-4556-801d-275e5ffc04cc*) blokkolása.
  • Egyéb ajánlott funkciók – Bár vannak olyan specifikus támadásifelület-csökkentési szabályok, amelyek enyhítenek bizonyos támadási vektorokat ezekben a forgatókönyvekben, fontos megemlíteni, hogy az AV alapértelmezés szerint képes valós időben megvizsgálni a szkripteket (PowerShell, Windows-szkriptgazda, JavaScript, VBScript stb.) a Kártevőirtó vizsgálati felületen (AMSI). További információ itt érhető el: Antimalware Scan Interface (AMSI).

Gyermekfolyamatok indításának letiltása

  • A következőkre vonatkozik: Adobe Acrobat
  • Folyamatok – AcroRd32.exe, Acrobat.exe
  • Művelet – Folyamat végrehajtása
  • Példák fájlokra/mappákra, beállításkulcsokra/értékekre, folyamatokra, szolgáltatásokra cmd.exe, powershell.exe, wscript.exe
  • Támadásifelület-csökkentési szabályok – A támadásifelület-csökkentési szabályok lehetővé teszik az Adobe Reader letiltását a gyermekfolyamatok elindításában. A szabály neve Letiltja az Adobe Reader számára a gyermekfolyamatok létrehozását, GUID 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c.
  • Egyéb ajánlott funkciók – N/A

Végrehajtható tartalom letöltésének vagy létrehozásának letiltása

  • A következőre vonatkozik: CertUtil: Végrehajtható fájlok letöltésének vagy létrehozásának letiltása
  • Folyamatok – certutil.exe
  • Művelet – Fájllétrehozás
  • Példák fájlokra/mappákra, beállításkulcsokra/értékekre, folyamatokra, szolgáltatásokra – *.exe
  • Támadásifelület-csökkentési szabályok – A támadásifelület-csökkentési szabályok nem támogatják ezeket a forgatókönyveket, mert Microsoft Defender vírusvédelem részét képezik.
  • Egyéb ajánlott funkciók – Microsoft Defender víruskereső megakadályozza, hogy a CertUtil végrehajtható tartalmakat hozzon létre vagy töltsön le.

Folyamatok blokkolása a kritikus rendszerösszetevők leállításában

  • Minden folyamatra vonatkozik
  • Folyamatok - *
  • Művelet – Folyamat leállítása
  • Példák fájlokra/mappákra, beállításkulcsokra/értékekre, folyamatokra, szolgáltatásokra– MsSense.exe, MsMpEng.exe, NisSrv.exe, svchost.exe*, services.exe, csrss.exe, smss.exe, wininit.exe stb.
  • Támadásifelület-csökkentési szabályok – A támadásifelület-csökkentési szabályok nem támogatják ezeket a forgatókönyveket, mert beépített Windows biztonsági védelemmel vannak védve.
  • Egyéb ajánlott funkciók: ELAM (Korai indítású kártevőirtó), PPL (Védelmi folyamat fénye), PPL AntiMalware Light és Rendszerőr.

Adott indítási folyamat kísérletének letiltása

  • Adott folyamatokra vonatkozik
  • Folyamatok- A folyamat elnevezése
  • Művelet – Folyamat végrehajtása
  • Példák fájlokra/mappákra, beállításkulcsokra/értékekre, folyamatokra, szolgáltatásokra– tor.exe, bittorrent.exe, cmd.exe, powershell.exe stb.
  • Támadásifelület-csökkentési szabályok – Általánosságban elmondható, hogy a támadásifelület-csökkentési szabályok nem úgy lettek kialakítva, hogy alkalmazáskezelőként működjenek.
  • Egyéb ajánlott funkciók – Ha meg szeretné akadályozni, hogy a felhasználók bizonyos folyamatokat vagy programokat indítsanak, ajánlott Windows Defender Alkalmazásvezérlést használni. Végponthoz készült Microsoft Defender fájl- és tanúsítványmutatók incidensmegoldási forgatókönyvekben használhatók (nem tekinthetők alkalmazásvezérlési mechanizmusnak).

A Microsoft Defender víruskereső konfigurációinak jogosulatlan módosításainak letiltása

  • Minden folyamatra vonatkozik
  • Folyamatok - *
  • Művelet – Beállításjegyzék-módosítások
  • Példák fájlokra/mappákra, beállításkulcsokra/értékekre, folyamatokra, szolgáltatásokra– HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\DisableAntiSpyware, HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Policy Manager\AllowRealTimeMonitoring stb.
  • Támadásifelület-csökkentési szabályok – A támadásifelület-csökkentési szabályok nem terjednek ki ezekre a forgatókönyvekre, mert a beépített védelem Végponthoz készült Microsoft Defender részét képezik.
  • Egyéb ajánlott funkciók – Az Illetéktelen módosítás elleni védelem (engedélyezés, Intune által felügyelt) megakadályozza a DisableAntiVirus, a DisableAntiSpyware, a DisableRealtimeMonitoring, a DisableOnAccessProtection, a DisableBehaviorMonitoring és a DisableIOAVProtection beállításkulcsok (és egyebek) jogosulatlan módosítását.

Lásd még

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.