Olvasás angol nyelven

Megosztás a következőn keresztül:


Támadásifelület-csökkentési szabályok engedélyezése a Microsoft Defender vállalati verziójában

A támadási felületek jelentik a szervezet hálózatának és eszközeinek a kibertámadásokkal és támadásokkal szembeni sebezhetőségének összes helyét és módját. A nem biztonságos eszközök, a vállalati eszközök URL-címéhez való korlátlan hozzáférés, valamint bármilyen alkalmazás vagy szkript vállalati eszközökön való futtatásának engedélyezése mind példa a támadási felületekre. Sebezhetővé teszik a vállalatát a kibertámadásokkal szemben.

A hálózat és az eszközök védelme érdekében a Microsoft Defender for Business számos támadásifelület-csökkentési képességet tartalmaz, beleértve a támadásifelület-csökkentési szabályokat is. Ez a cikk a támadásifelület-csökkentési szabályok beállítását és a támadásifelület-csökkentési képességeket ismerteti.

Standard védelmi ASR-szabályok

Számos támadásifelület-csökkentési szabály érhető el. Nem kell mindegyiket egyszerre beállítania. Emellett beállíthat néhány szabályt naplózási módban, hogy lássa, hogyan működnek a szervezeténél, és később módosítsa őket blokk módban való működésre. Ennek megfelelően javasoljuk, hogy a lehető leghamarabb engedélyezze a következő szabványos védelmi szabályokat:

Ezek a szabályok segítenek megvédeni a hálózatot és az eszközöket, de nem okozhatnak fennakadásokat a felhasználók számára. Az Intune-ból beállíthatja a támadásifelület-csökkentési szabályokat.

ASR-szabályok beállítása az Intune-ból

  1. A Microsoft Intune Felügyeleti központban lépjen a Végpontbiztonság>Támadási felület csökkentése elemre.

  2. Új szabályzat létrehozásához válassza a Szabályzat létrehozása lehetőséget.

    • A Platform területen válassza a Windows 10, a Windows 11 és a Windows Server lehetőséget.
    • A Profil mezőben válassza a Támadásifelület-csökkentési szabályok, majd a Létrehozás lehetőséget.
  3. Állítsa be a szabályzatot az alábbiak szerint:

    1. Adjon meg egy nevet és egy leírást, majd válassza a Tovább gombot.

    2. Legalább az alábbi három szabály esetében mindegyiknél állítsa a Blokk értéket:

      • Hitelesítő adatok windowsos helyi biztonsági szolgáltató alrendszeréből való ellopásának letiltása
      • Adatmegőrzés letiltása WMI-esemény-előfizetésen keresztül
      • A kizsákmányolt, sebezhető aláírt illesztőprogramokkal való visszaélés letiltása

      Ezután válassza a Tovább gombot.

    3. A Hatókörcímkék lépésben válassza a Tovább gombot.

    4. A Hozzárendelések lépésben válassza ki a szabályokat fogadó felhasználókat vagy eszközöket, majd kattintson a Tovább gombra. (Javasoljuk, hogy válassza az Összes eszköz hozzáadása lehetőséget.)

    5. Az Áttekintés + létrehozás lépésben tekintse át az információkat, majd válassza a Létrehozás lehetőséget.

Tipp.

Tetszés szerint először naplózási módban állíthatja be a támadásifelület-csökkentési szabályokat, hogy lássa az észleléseket a fájlok vagy folyamatok tényleges letiltása előtt. A támadásifelület-csökkentési szabályokkal kapcsolatos részletesebb információkért lásd: Támadásifelület-csökkentési szabályok üzembe helyezésének áttekintése.

A támadási felület csökkentéséről szóló jelentés megtekintése

A Defender Vállalati verzió tartalmaz egy támadásifelület-csökkentési jelentést, amely bemutatja, hogyan működnek a támadásifelület-csökkentési szabályok.

  1. A Microsoft Defender portál navigációs ablakában válassza a Jelentések lehetőséget.

  2. A Végpontok területen válassza a Támadásifelület-csökkentési szabályok lehetőséget. Megnyílik a jelentés, és három lapot tartalmaz:

    • Észlelések, ahol megtekintheti a támadásifelület-csökkentési szabályok miatt történt észleléseket
    • Konfiguráció, ahol megtekintheti a szabványos védelmi szabályok vagy más támadásifelület-csökkentési szabályok adatait
    • Kizárások hozzáadása, ahol hozzáadhat olyan elemeket, amelyeket ki szeretne zárni a támadásifelület-csökkentési szabályokból (a kizárásokat takarékosan használja; minden kizárás csökkenti a biztonsági védelem szintjét)

A támadásifelület-csökkentési szabályokkal kapcsolatos további információkért tekintse meg a következő cikkeket:

Támadásifelület-csökkentési képességek a Defender Vállalati verzióban

A támadásifelület-csökkentési szabályok a Defender Vállalati verzióban érhetők el. Az alábbi táblázat összefoglalja a Defender vállalati verzió támadásifelület-csökkentési képességeit. Figyelje meg, hogy más képességek, például a következő generációs védelem és a webes tartalomszűrés együttműködnek a támadásifelület-csökkentési képességekkel.

Képesség A beállítás menete
Támadásifelület-csökkentési szabályok
A Windows-eszközökön futó rosszindulatú tevékenységekkel gyakran társított konkrét műveletek megakadályozása.
Engedélyezze a szabványos védelmi támadásifelület-csökkentési szabályokat (a cikk szakasza).
Mappákhoz való hozzáférés szabályozása
A szabályozott mappahozzáférés csak a megbízható alkalmazások számára teszi lehetővé a védett mappák elérését Windows-eszközökön. Gondoljon erre a képességre zsarolóprogram-elhárításként.
Állítson be szabályozott mappahozzáférés-házirendet a Microsoft Defender vállalati verziójában.
Hálózatvédelem
A hálózatvédelem megakadályozza, hogy a felhasználók a Windows- és Mac-eszközeiken futó alkalmazásokon keresztül hozzáférjenek a veszélyes tartományokhoz. A hálózatvédelem a Webes tartalomszűrés kulcsfontosságú összetevője a Microsoft Defender vállalati verziójában.
A hálózatvédelem alapértelmezés szerint engedélyezve van, amikor az eszközöket a Defender Vállalati verzióba regisztrálják, és a Defender vállalati verzió következő generációs védelmi szabályzatai lesznek alkalmazva. Az alapértelmezett szabályzatok az ajánlott biztonsági beállítások használatára vannak konfigurálva.
Webes védelem
A webvédelem integrálható a webböngészőkkel, és hálózatvédelemmel működik a webes fenyegetések és a nemkívánatos tartalmak elleni védelem érdekében. A webvédelem magában foglalja a webes tartalomszűrést és a webes fenyegetésjelentéseket.
Webes tartalomszűrés beállítása a Microsoft Defender Vállalati verzióban.
Tűzfalvédelem
A tűzfalvédelem határozza meg, hogy milyen hálózati forgalom áramolhat a szervezet eszközeire vagy eszközeiről.
A tűzfalvédelem alapértelmezés szerint engedélyezve van, amikor az eszközöket regisztrálják a Defender Vállalati verzióba, és a Defender for Business tűzfalszabályzatai érvényesülnek.

Következő lépések