Támadásifelület-csökkentési szabályok bemutatói
Érintett szolgáltatás:
- Végponthoz készült Microsoft Defender 2. csomag
- Microsoft Defender Vállalati verzió
- Végponthoz készült Microsoft Defender 1. csomag
- Microsoft Defender víruskereső
A támadásifelület-csökkentési szabályok olyan konkrét viselkedéseket céloznak meg, amelyeket általában a kártevők és a rosszindulatú alkalmazások használnak a gépek megfertőzésére, például:
- Az Office-appokban vagy a webpostában használt végrehajtható fájlok és parancsfájlok, amelyek fájlokat próbálnak letölteni vagy futtatni
- Rejtjelezett vagy egyéb módon gyanús szkriptek
- Olyan viselkedések, amelyeket az alkalmazások vállalnak, amelyeket nem a normál napi munka során kezdeményeznek
Forgatókönyv követelményei és beállítása
- Windows 11 1709-Windows 10 16273-ás vagy újabb buildje
- Windows Server 2022, Windows Server 2019, Windows Server 2016 vagy Windows Server 2012 R2 az egyesített MDE-ügyféllel.
- Microsoft Defender víruskereső
- Microsoft 365-alkalmazások (Office; office-szabályokhoz szükséges és minta)
- Támadásifelület-csökkentési PowerShell-szkriptek letöltése
PowerShell-parancsok
Add-MpPreference -AttackSurfaceReductionRules_Ids BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536-B80A7769E899 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D3E037E1-3EB8-44C8-A917-57927947596D -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D1E49AAC-8F56-4280-B9BA-993A6D77406C -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids C1DB55AB-C21A-4637-BB3F-A12568109D35 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-CD74-433A-B99E-2ECDC07BFC25 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids e6db77e5-3df2-4cf1-b95a-636979351e5b -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids a8f5898e-1dc8-49a9-9878-85004b8a61e6 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-49E8-8B27-EB1D0A1CE869 -AttackSurfaceReductionRules_Actions AuditMode
Add-MpPreference -AttackSurfaceReductionRules_Ids 7674BA52-37EB-4A4F-A9A1-F0F9A1619A2C -AttackSurfaceReductionRules_Actions AuditMode
Szabályállapotok
| Állapot | Mód | Számérték |
|---|---|---|
| Letiltva | = Kikapcsolva | 0 |
| Engedélyezve. | = Blokk mód | 1 |
| Ellenőrzési | = Naplózási mód | 2 |
Konfiguráció ellenőrzése
Get-MpPreference
Fájlok tesztelése
Megjegyzés – egyes tesztfájlok több biztonsági rést ágyaznak be, és több szabályt aktiválnak
| Szabály neve | Szabály GUID azonosítója |
|---|---|
| Végrehajtható tartalom letiltása az e-mail ügyfélprogramból és a webpostából | BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550 |
| Az Office-alkalmazások gyermekfolyamatok létrehozásának letiltása | D4F940AB-401B-4EFC-AADC-AD5F3C50688A |
| Az Office-alkalmazások végrehajtható tartalom létrehozásának letiltása | 3B576869-A4EC-4529-8536-B80A7769E899 |
| Az Office-alkalmazások más folyamatokba való beszúrásának letiltása | 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84 |
| A JavaScript és a VBScript akadályozása a végrehajtható fájlok elindításában | D3E037E1-3EB8-44C8-A917-57927947596D |
| A potenciálisan rejtjelezett szkriptek végrehajtásának letiltása | 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC |
| Win32-importálás letiltása makrókódból az Office-ban | 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDDC7B |
| {A PSExec & WMI-parancsokból származó folyamatlétrehozások blokkolása | D1E49AAC-8F56-4280-B9BA-993A6D77406C |
| Nem megbízható vagy aláíratlan végrehajtható fájlok végrehajtásának letiltása cserélhető USB-adathordozón | B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4 |
| Agresszív zsarolóvírusok megelőzése | C1DB55AB-C21A-4637-BB3F-A12568109D35 |
| A végrehajtható fájlok futásának letiltása, ha nem felelnek meg az előfordulási gyakoriságra, az életkorra vagy a megbízható listára vonatkozó feltételeknek | 01443614-CD74-433A-B99E-2ECDC07BFC25 |
| Gyermekfolyamatok létrehozásának letiltása az Adobe Readerben | 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c |
| A kizsákmányolt, sebezhető aláírt illesztőprogramokkal való visszaélés letiltása | 56a863a9-875e-4185-98a7-b882c64b5ce5 |
| A Windows helyi biztonsági hatóság alrendszeréből (lsass.exe) származó hitelesítő adatok ellopásának letiltása | 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 |
| Adatmegőrzés letiltása WMI-esemény-előfizetésen keresztül | e6db77e5-3df2-4cf1-b95a-636979351e5b |
| Webshell-létrehozás letiltása kiszolgálókhoz | a8f5898e-1dc8-49a9-9878-85004b8a61e6 |
Forgatókönyvek
Beállítás
Töltse le és futtassa ezt a telepítési szkriptet. A szkript futtatása előtt állítsa a végrehajtási szabályzatot Korlátlan értékre ezzel a PowerShell-paranccsal:
Set-ExecutionPolicy Unrestricted
Ehelyett az alábbi manuális lépéseket hajthatja végre:
- Létrehozás egy mappát a c: nevű demo, "c:\demo" alatt
- Mentse ezt a tiszta fájlt a c:\demo fájlba.
- Engedélyezze az összes szabályt a PowerShell-paranccsal.
1. forgatókönyv: A támadási felület csökkentése blokkolja a több biztonsági rést tartalmazó tesztfájlt
- Engedélyezze az összes szabályt blokk módban a PowerShell-parancsokkal (az összeset másolhatja)
- Töltse le és nyissa meg bármelyik tesztfájlt/dokumentumot, és ha a rendszer kéri, engedélyezze a szerkesztést és a tartalmat.
Az 1. forgatókönyv várt eredményei
Azonnal megjelenik egy "Művelet letiltva" értesítés.
2. forgatókönyv: Az ASR-szabály blokkolja a tesztfájlt a megfelelő biztonsági résrel
Konfigurálja a tesztelni kívánt szabályt az előző lépésben használt PowerShell-paranccsal.
Példa:
Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions EnabledTöltse le és nyissa meg a tesztelni kívánt szabály tesztfájlját/dokumentumát, és ha a rendszer kéri, engedélyezze a szerkesztést és a tartalmat.
Példa: Az Office-alkalmazások gyermekfolyamatok létrehozásának letiltása D4F940AB-401B-4EFC-AADC-AD5F3C50688A
A 2. forgatókönyv várt eredményei
Azonnal megjelenik egy "Művelet letiltva" értesítés.
3. forgatókönyv (Windows 10 vagy újabb): Az ASR-szabály letiltja az aláíratlan USB-tartalmak végrehajtását
- Konfigurálja a szabályt az USB-védelemhez (
B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4).
Add-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4 -AttackSurfaceReductionRules_Actions Enabled
- Töltse le a fájlt, helyezze egy USB-meghajtóra, és hajtsa végre a nem megbízható vagy aláíratlan végrehajtható fájlok végrehajtásának blokkolása cserélhető USB-adathordozón
A 3. forgatókönyv várt eredményei
Azonnal megjelenik egy "Művelet letiltva" értesítés.
4. forgatókönyv: Mi történne a támadási felület csökkentése nélkül?
Kapcsolja ki az összes támadásifelület-csökkentési szabályt a tisztítási szakaszban található PowerShell-parancsokkal.
Töltse le a tesztfájlt/dokumentumot, és ha a rendszer kéri, engedélyezze a szerkesztést és a tartalmat.
A 4. forgatókönyv várt eredményei
- A c:\demo fájl titkosítva van, és figyelmeztető üzenetet kell kapnia
- Futtassa újra a tesztfájlt a fájlok visszafejtéséhez
Tisztítás
Töltse le és futtassa ezt a tisztítási szkriptet
Másik lehetőségként elvégezheti az alábbi manuális lépéseket:
Add-MpPreference -AttackSurfaceReductionRules_Ids BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536-B80A7769E899 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D3E037E1-3EB8-44C8-A917-57927947596D -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D1E49AAC-8F56-4280-B9BA-993A6D77406C -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids C1DB55AB-C21A-4637-BB3F-A12568109D35 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-CD74-433A-B99E-2ECDC07BFC25 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids e6db77e5-3df2-4cf1-b95a-636979351e5b -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids a8f5898e-1dc8-49a9-9878-85004b8a61e6 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-49E8-8B27-EB1D0A1CE869 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 7674BA52-37EB-4A4F-A9A1-F0F9A1619A2C -AttackSurfaceReductionRules_Actions Disabled
A c:\demo titkosítás eltávolítása a titkosítási/visszafejtési fájl futtatásával
Lásd még
Támadásifelület-csökkentési szabályok üzembehelyezési útmutatója
Támadásifelület-csökkentési szabályok referenciája
Végponthoz készült Microsoft Defender – bemutató forgatókönyvek
Tipp
Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.