Megosztás a következőn keresztül:


A támadásifelület-csökkentési képességek megismerése és használata

Érintett szolgáltatás:

Platformok

  • A Windows

Tipp

Szeretné megismerni a Végponthoz készült Microsoft Defendert? Regisztráció az ingyenes próbaverzióra

A támadási felületek azok a helyek, ahol a szervezet sebezhető a kibertámadásokkal és támadásokkal szemben. A Végponthoz készült Defender számos képességet tartalmaz a támadási felületek csökkentéséhez. Az alábbi videóból többet is megtudhat a támadási felület csökkentéséről.

Támadásifelület-csökkentési képességek konfigurálása

A támadási felület csökkentésének konfigurálásához kövesse az alábbi lépéseket:

  1. Engedélyezze a hardveralapú elkülönítést a Microsoft Edge-ben.

  2. Támadásifelület-csökkentési szabályok engedélyezése.

  3. Alkalmazásvezérlés engedélyezése.

    1. Tekintse át az alapszabályzatokat a Windowsban. Lásd: Példa alapszabályzatok.

    2. Tekintse meg a Windows Defender alkalmazásvezérlés tervezési útmutatót.

    3. Lásd: Deploying Windows Defender Application Control (WDAC) szabályzatok.

  4. Szabályozott mappahozzáférés engedélyezése.

  5. A cserélhető tárolók védelmének engedélyezése.

  6. Kapcsolja be a hálózatvédelmet.

  7. Webvédelem engedélyezése.

  8. Biztonsági rés kiaknázása elleni védelem engedélyezése.

  9. Állítsa be a hálózati tűzfalat.

    1. A fokozott biztonságú Windows tűzfal áttekintése.

    2. A Windows tűzfal tervezési útmutatója segítségével döntse el, hogyan szeretné megtervezni a tűzfalszabályzatokat.

    3. A Windows tűzfal üzembe helyezési útmutatójával magas szintű biztonsággal állíthatja be a szervezet tűzfalát.

Tipp

A legtöbb esetben a támadásifelület-csökkentési képességek konfigurálásakor számos módszer közül választhat:

  • Microsoft Intune
  • Microsoft Configuration Manager
  • Csoportházirend
  • PowerShell-parancsmagok

Támadási felület csökkentésének tesztelése Végponthoz készült Microsoft Defender

A szervezet biztonsági csapatának részeként konfigurálhatja a támadásifelület-csökkentési képességeket naplózási módban való futtatáshoz, hogy lássa, hogyan működnek. Naplózási módban a következő támadásifelület-csökkentési biztonsági funkciókat engedélyezheti:

  • Támadásifelület-csökkentési szabályok
  • Biztonsági rés kiaknázása elleni védelem
  • Hálózatvédelem
  • Mappákhoz való hozzáférés szabályozása
  • Eszközvezérlés

A naplózási mód lehetővé teszi annak rögzítését, hogy mi történt volna, ha a funkció engedélyezve lett volna .

A naplózási módot a funkciók működésének tesztelésekor engedélyezheti. A naplózási mód csak tesztelésre való engedélyezése segít megakadályozni, hogy a naplózási mód hatással legyen az üzletági alkalmazásokra. Azt is megtudhatja, hogy egy adott időszakban hány gyanús fájlmódosítási kísérlet történik.

A funkciók nem blokkolják és nem akadályozzák meg az alkalmazások, szkriptek és fájlok módosítását. A Windows eseménynaplója azonban úgy rögzíti az eseményeket, mintha a funkciók teljes mértékben engedélyezve lennének. A naplózási móddal áttekintheti az eseménynaplót, hogy lássa, milyen hatással lett volna a funkció, ha engedélyezve lett volna.

A naplózott bejegyzések megkereséséhez lépjen az Alkalmazások és szolgáltatások>Microsoft>Windows>Windows Defender>Operational lapra.

A Végponthoz készült Defender használatával részletesebb információkat kaphat az egyes eseményekről. Ezek a részletek különösen hasznosak a támadásifelület-csökkentési szabályok vizsgálatához. A Végponthoz készült Defender konzol használatával a riasztási idővonal és a vizsgálati forgatókönyvek részeként vizsgálhatja ki a problémákat.

A naplózási módot Csoportházirend, PowerShell és konfigurációs szolgáltatók (CSP-k) használatával engedélyezheti.

Naplózási beállítások Naplózási mód engedélyezése Események megtekintése
A naplózás az összes eseményre vonatkozik Mappákhoz való hozzáférés szabályozásának engedélyezése Szabályozott mappaelérési események
A naplózás az egyes szabályokra vonatkozik 1. lépés: Támadásifelület-csökkentési szabályok tesztelése naplózási módban 2. lépés: A támadásifelület-csökkentési szabályok jelentési oldalának ismertetése
A naplózás az összes eseményre vonatkozik Hálózatvédelem engedélyezése Hálózatvédelmi események
A naplózás az egyes kockázatcsökkentésekre vonatkozik Biztonsági rés kiaknázása elleni védelem engedélyezése Biztonsági rés kiaknázása elleni védelmi események

Például tesztelheti a támadásifelület-csökkentési szabályokat naplózási módban, mielőtt letiltott módban engedélyezené őket. A támadásifelület-csökkentési szabályok előre definiálva vannak a gyakori, ismert támadási felületek megerősítéséhez. A támadásifelület-csökkentési szabályok implementálásához több módszer is használható. Az előnyben részesített módszert a következő támadásifelület-csökkentési szabályok üzembehelyezési cikkeiben dokumentáljuk:

Támadásifelület-csökkentési események megtekintése

Tekintse át a támadásifelület-csökkentési eseményeket eseménymegtekintő a szabályok és beállítások működésének figyeléséhez. Azt is megállapíthatja, hogy valamelyik beállítás túl zajos-e, vagy hatással van-e a napi munkafolyamatra.

Az események áttekintése hasznos a funkciók kiértékelésekor. Engedélyezheti a naplózási módot a funkciókhoz és a beállításokhoz, majd áttekintheti, hogy mi történt volna, ha teljes mértékben engedélyezve lettek volna.

Ez a szakasz felsorolja az összes eseményt, azok társított funkcióját vagy beállítását, és leírja, hogyan hozhat létre egyéni nézeteket adott eseményekre való szűréshez.

Részletes jelentéskészítést kaphat az eseményekről, blokkokról és figyelmeztetésekről az Windows biztonság részeként, ha E5-előfizetéssel rendelkezik, és Végponthoz készült Microsoft Defender használ.

Egyéni nézetek használata a támadásifelület-csökkentési képességek áttekintéséhez

Létrehozás a Windows eseménymegtekintő egyéni nézeteit, hogy csak bizonyos képességek és beállítások eseményeit láthassa. A legegyszerűbb módszer az egyéni nézet importálása XML-fájlként. Az XML-fájlt közvetlenül erről a lapról másolhatja.

Manuálisan is navigálhat a funkciónak megfelelő eseményterületre.

Meglévő egyéni XML-nézet importálása

  1. Létrehozás egy üres .txt fájlt, és másolja a használni kívánt egyéni nézet XML-fájljának a .txt fájlba. Végezze el ezt a műveletet a használni kívánt egyéni nézetek mindegyikéhez. Nevezze át a fájlokat az alábbiak szerint (győződjön meg arról, hogy a típust .txt-ról .xml-re módosította):

    • Irányított mappaelérési események egyéni nézete: cfa-events.xml
    • Biztonsági rés kiaknázása elleni védelmi események egyéni nézete: ep-events.xml
    • Támadásifelület-csökkentési események egyéni nézete: asr-events.xml
    • Hálózati/védelmi események egyéni nézete: np-events.xml
  2. Írja be az eseménynaplót a Start menübe, és nyissa meg a eseménymegtekintő.

  3. Válassza azEgyéni nézet importálása művelet>... lehetőséget.

    Animáció az Egyéni nézet importálása lehetőség kiemelésével a Páros megjelenítő ablak bal oldalán.

  4. Keresse meg azt az XML-fájlt, ahová kicsomagolta a kívánt egyéni nézetet, és jelölje ki.

  5. Válassza a Megnyitás parancsot.

  6. Létrehoz egy egyéni nézetet, amely szűrőkkel csak az adott funkcióhoz kapcsolódó eseményeket jeleníti meg.

Az XML másolása közvetlenül

  1. Írja be az eseménynaplót a Start menübe, és nyissa meg a Windows eseménymegtekintő.

  2. A bal oldali panel Műveletek területén válassza Létrehozás Egyéni nézet... lehetőséget.

    Animáció, amely az Egyéni nézet létrehozása lehetőséget emeli ki az Eseménymegjelenítő ablakban.

  3. Lépjen az XML lapra, és válassza a Lekérdezés szerkesztése manuálisan lehetőséget. Megjelenik egy figyelmeztetés, amely szerint nem szerkesztheti a lekérdezést a Szűrő lapon, ha xml-beállítást használ. Válassza az Igen lehetőséget.

  4. Illessze be annak a funkciónak az XML-kódját, amelyből az eseményeket szűrni szeretné az XML szakaszba.

  5. Kattintson az OK gombra. Adja meg a szűrő nevét. Ez a művelet létrehoz egy egyéni nézetet, amely szűrőkkel csak az adott funkcióhoz kapcsolódó eseményeket jeleníti meg.

XML támadásifelület-csökkentési szabályeseményekhez

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
   <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select>
   <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select>
  </Query>
</QueryList>

XML szabályozott mappaelérési eseményekhez

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
   <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
   <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
  </Query>
</QueryList>

XML biztonsági rés kiaknázása elleni védelmi eseményekhez

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Security-Mitigations/KernelMode">
   <Select Path="Microsoft-Windows-Security-Mitigations/KernelMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Concurrency">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Contention">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Messages">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Operational">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Power">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Render">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Tracing">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/UIPI">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Security-Mitigations/UserMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
  </Query>
</QueryList>

XML hálózati védelmi eseményekhez

<QueryList>
 <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
  <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
  <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
 </Query>
</QueryList>

Támadásifelület-csökkentési események listája

A támadásifelület-csökkentési események a Microsoft > Windows Alkalmazás- és szolgáltatásnaplók > területén, majd az alábbi táblázatban felsorolt mappában vagy szolgáltatóban találhatók.

Ezeket az eseményeket a Windows Eseménynaplóban érheti el:

  1. Nyissa meg a Start menüt, írja be az eseménynapló kifejezést, majd válassza ki a eseménymegtekintő eredményt.

  2. Bontsa ki az Alkalmazások és szolgáltatások naplói > Microsoft > Windows elemet, majd lépjen az alábbi táblázatban a Szolgáltató/forrás területen felsorolt mappára.

  3. Az események megtekintéséhez kattintson duplán az alelemre. Görgessen végig az eseményeken, és keresse meg a keresett eseményt.

    A eseménymegtekintő használatát bemutató animáció.

Funkció Szolgáltató/forrás Eseményazonosító Leírás
Biztonsági rés kiaknázása elleni védelem Kockázatcsökkentő intézkedések (rendszermag mód/felhasználói mód) 1 ACG-naplózás
Biztonsági rés kiaknázása elleni védelem Kockázatcsökkentő intézkedések (rendszermag mód/felhasználói mód) 2 ACG kényszerítése
Biztonsági rés kiaknázása elleni védelem Kockázatcsökkentő intézkedések (rendszermag mód/felhasználói mód) 3 Gyermekfolyamatok naplózásának mellőzése
Biztonsági rés kiaknázása elleni védelem Kockázatcsökkentő intézkedések (rendszermag mód/felhasználói mód) 4 Gyermekfolyamat-blokk tiltás letiltása
Biztonsági rés kiaknázása elleni védelem Kockázatcsökkentő intézkedések (rendszermag mód/felhasználói mód) 5 Alacsony integritású rendszerképek naplózásának letiltása
Biztonsági rés kiaknázása elleni védelem Kockázatcsökkentő intézkedések (rendszermag mód/felhasználói mód) 6 Alacsony integritású képek blokkolása
Biztonsági rés kiaknázása elleni védelem Kockázatcsökkentő intézkedések (rendszermag mód/felhasználói mód) 7 Távoli lemezképek naplózásának blokkolása
Biztonsági rés kiaknázása elleni védelem Kockázatcsökkentő intézkedések (rendszermag mód/felhasználói mód) 8 Távoli lemezképek blokkolása
Biztonsági rés kiaknázása elleni védelem Kockázatcsökkentő intézkedések (rendszermag mód/felhasználói mód) 9 Win32k rendszerhívások naplózásának letiltása
Biztonsági rés kiaknázása elleni védelem Kockázatcsökkentő intézkedések (rendszermag mód/felhasználói mód) 10 Win32k rendszerhívási blokk letiltása
Biztonsági rés kiaknázása elleni védelem Kockázatcsökkentő intézkedések (rendszermag mód/felhasználói mód) 11 Kódintegritási védelem naplózása
Biztonsági rés kiaknázása elleni védelem Kockázatcsökkentő intézkedések (rendszermag mód/felhasználói mód) 12 Kódintegritási védőblokk
Biztonsági rés kiaknázása elleni védelem Kockázatcsökkentő intézkedések (rendszermag mód/felhasználói mód) 13 EAF-naplózás
Biztonsági rés kiaknázása elleni védelem Kockázatcsökkentő intézkedések (rendszermag mód/felhasználói mód) 14 EAF kényszerítése
Biztonsági rés kiaknázása elleni védelem Kockázatcsökkentő intézkedések (rendszermag mód/felhasználói mód) 15 EAF+ naplózás
Biztonsági rés kiaknázása elleni védelem Kockázatcsökkentő intézkedések (rendszermag mód/felhasználói mód) 16 EAF+ kényszerítés
Biztonsági rés kiaknázása elleni védelem Kockázatcsökkentő intézkedések (rendszermag mód/felhasználói mód) 17 IAF-naplózás
Biztonsági rés kiaknázása elleni védelem Kockázatcsökkentő intézkedések (rendszermag mód/felhasználói mód) 18 IAF kényszerítése
Biztonsági rés kiaknázása elleni védelem Kockázatcsökkentő intézkedések (rendszermag mód/felhasználói mód) 19 ROP StackPivot-naplózás
Biztonsági rés kiaknázása elleni védelem Kockázatcsökkentő intézkedések (rendszermag mód/felhasználói mód) 20 ROP StackPivot kényszerítése
Biztonsági rés kiaknázása elleni védelem Kockázatcsökkentő intézkedések (rendszermag mód/felhasználói mód) 21 ROP-hívó – Audit ellenőrzése
Biztonsági rés kiaknázása elleni védelem Kockázatcsökkentő intézkedések (rendszermag mód/felhasználói mód) 22 ROP-hívó – Kényszerítés ellenőrzése
Biztonsági rés kiaknázása elleni védelem Kockázatcsökkentő intézkedések (rendszermag mód/felhasználói mód) 23 ROP SimExec-naplózás
Biztonsági rés kiaknázása elleni védelem Kockázatcsökkentő intézkedések (rendszermag mód/felhasználói mód) 24 ROP SimExec kényszerítése
Biztonsági rés kiaknázása elleni védelem WER-Diagnostics 5 CFG-blokk
Biztonsági rés kiaknázása elleni védelem Win32K (működési) 260 Nem megbízható betűtípus
Hálózatvédelem Windows Defender (működési) 5007 A beállítások módosításának eseménye
Hálózatvédelem Windows Defender (működési) 1125 Esemény, amikor a hálózatvédelem naplózási módban aktiválódik
Hálózatvédelem Windows Defender (működési) 1126 Esemény, amikor a hálózatvédelem blokk módban aktiválódik
Mappákhoz való hozzáférés szabályozása Windows Defender (működési) 5007 A beállítások módosításának eseménye
Mappákhoz való hozzáférés szabályozása Windows Defender (működési) 1124 Ellenőrzött mappahozzáférési esemény naplózása
Mappákhoz való hozzáférés szabályozása Windows Defender (működési) 1123 Letiltott mappahozzáférési esemény
Mappákhoz való hozzáférés szabályozása Windows Defender (működési) 1127 Letiltott szabályozott mappahozzáférési szektor írási blokkeseménye
Mappákhoz való hozzáférés szabályozása Windows Defender (működési) 1128 Naplózott ellenőrzött mappahozzáférési szektor írási blokkeseménye
Támadásifelület-csökkentés Windows Defender (működési) 5007 A beállítások módosításának eseménye
Támadásifelület-csökkentés Windows Defender (működési) 1122 Esemény, amikor a szabály naplózási módban aktiválódik
Támadásifelület-csökkentés Windows Defender (működési) 1121 Esemény, amikor a szabály blokk módban aktiválódik

Megjegyzés:

A felhasználó szempontjából a támadási felület csökkentése A figyelmeztetési mód értesítései Windows bejelentési értesítésként jelennek meg a támadásifelület-csökkentési szabályokhoz.

A támadási felület csökkentése esetén a Network Protection csak naplózási és blokkolási módokat biztosít.

Forrásanyagok a támadási felület csökkentéséről

Ahogy a videóban is említettük, a Végponthoz készült Defender számos támadásifelület-csökkentési képességet tartalmaz. További információért használja az alábbi forrásanyagokat:

Cikk Leírás
Alkalmazásvezérlő Az alkalmazásvezérlés használatával az alkalmazásoknak megbízhatónak kell lenniük a futtatáshoz.
Támadásifelület-csökkentési szabályok referenciája Az egyes támadásifelület-csökkentési szabályok részletei.
Támadásifelület-csökkentési szabályok üzembehelyezési útmutatója Áttekintő információkat és előfeltételeket mutat be a támadásifelület-csökkentési szabályok üzembe helyezéséhez, majd részletes útmutatást nyújt a teszteléshez (naplózási mód), az engedélyezéshez (blokk mód) és a monitorozáshoz.
Mappákhoz való hozzáférés szabályozása Segítsen megakadályozni, hogy a kártékony vagy gyanús alkalmazások (beleértve a fájltitkosítást végző zsaroló kártevőket) módosításokat végezhessenek a kulcsfontosságú rendszermappákban lévő fájlokon (ehhez Microsoft Defender víruskereső szükséges).
Eszközvezérlés Az adatvesztés elleni védelmet az eszközök, például cserélhető tárolók és USB-meghajtók adathordozóinak monitorozásával és szabályozásával biztosíthatja a szervezetben.
Biztonsági rés kiaknázása elleni védelem Segít megvédeni a szervezet által használt operációs rendszereket és alkalmazásokat a kihasználtságtól. A biztonsági rés kiaknázása elleni védelem külső víruskereső megoldásokkal is működik.
Hardveralapú elkülönítés A rendszer integritásának védelme és fenntartása a rendszer indításakor és futása közben. Ellenőrizze a rendszer integritását helyi és távoli igazolással. Használjon tárolóelkülönítést a Microsoft Edge-hez a rosszindulatú webhelyek elleni védelem érdekében.
Hálózatvédelem A védelem kiterjesztése a hálózati forgalomra és a kapcsolatra a szervezet eszközein. (Ehhez Microsoft Defender víruskereső szükséges).
Támadásifelület-csökkentési szabályok tesztelése A támadásifelület-csökkentési szabályok teszteléséhez a naplózási mód használatának lépéseit ismerteti.
Webes védelem A webvédelem lehetővé teszi az eszközök védelmét a webes fenyegetések ellen, és segít szabályozni a nemkívánatos tartalmakat.

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.