Megosztás:

Migrálás nem Microsoft HIPS-ről támadási felületcsökkentési szabályokra

  • Alkalmazandó: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

Ez a cikk segítséget nyújt a gyakori szabályok Végponthoz készült Microsoft Defender való leképezésében.

A nem Microsoft HIPS-termékről a felületcsökkentési szabályok támadására irányuló migrálás forgatókönyvei

Adott fájlok létrehozásának letiltása

  • Minden folyamatra vonatkozik
  • Művelet – Fájllétrehozás
  • Példák fájlokra/mappákra, beállításkulcsokra/értékekre, folyamatokra, szolgáltatásokra– *.zepto, *.odin, *.locky, *.jaff, *.lukitus, *.wnry, *.krab
  • Támadásifelület-csökkentési szabályok – A támadásifelület-csökkentési szabályok nem a támadási technikákat, hanem a biztonsági rések mutatóit (IOC) blokkolják. Egy adott fájlkiterjesztés blokkolása nem mindig hasznos, mivel nem akadályozza meg az eszközök sérülését. Csak részben űz meg egy támadást, amíg a támadók új típusú bővítményt nem hoznak létre a hasznos adatokhoz.
  • Egyéb ajánlott funkciók – A Microsoft Defender víruskereső engedélyezése, valamint a felhővédelem és a viselkedéselemzés használata erősen ajánlott. Javasoljuk, hogy használjon más megelőzést, például a támadási felület csökkentésére vonatkozó szabályt: Speciális védelmet használjon a zsarolóprogramok ellen, ami magasabb szintű védelmet biztosít a zsarolóprogramok elleni támadások ellen. Emellett Végponthoz készült Microsoft Defender számos beállításkulcsot figyel, például az ASEP-technikákat, amelyek adott riasztásokat aktiválnak. A használt beállításkulcsok legalább helyi Rendszergazda vagy megbízható telepítői jogosultságot igényelnek. Ajánlott zárolt környezetet használni minimális rendszergazdai fiókokkal vagy jogosultságokkal. Más rendszerkonfigurációk is engedélyezhetők, beleértve a SeDebug letiltása olyan nem szükséges szerepkörök esetében , amelyek a szélesebb körű biztonsági javaslatok részét képezik.

Adott beállításkulcsok létrehozásának letiltása

  • Minden folyamatra vonatkozik
  • Folyamatok – N/A
  • Művelet – Beállításjegyzék-módosítások
  • Példák fájlokra/mappákra, beállításkulcsokra/értékekre, folyamatokra, szolgáltatásokra- \Software,HKCU\Environment\UserInitMprLogonScript,HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Accessibility\ATs*\StartExe, HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*\Debugger, HKEY_CURRENT_USER\Software\Microsoft\HtmlHelp Author\location, HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit*\MonitorProcess
  • Támadásifelület-csökkentési szabályok – A támadásifelület-csökkentési szabályok nem a támadási technikákat, hanem a biztonsági rések mutatóit (IOC) blokkolják. Egy adott fájlkiterjesztés blokkolása nem mindig hasznos, mert nem akadályozza meg az eszközök sérülését. Csak részben űz meg egy támadást, amíg a támadók új típusú bővítményt nem hoznak létre a hasznos adatokhoz.
  • Egyéb ajánlott funkciók – A Microsoft Defender víruskereső engedélyezése, valamint a felhővédelem és a viselkedéselemzés használata erősen ajánlott. Javasoljuk, hogy használjon extra megelőzést, például a támadási felület csökkentésére vonatkozó szabályt: Speciális védelem használata zsarolóprogramok ellen. Ez magasabb szintű védelmet biztosít a zsarolóprogramok elleni támadások ellen. Emellett Végponthoz készült Microsoft Defender számos beállításkulcsot figyel, például az ASEP-technikákat, amelyek adott riasztásokat aktiválnak. Emellett a használt beállításkulcsok legalább helyi Rendszergazda vagy megbízható telepítői jogosultságot igényelnek. Ajánlott zárolt környezetet használni minimális rendszergazdai fiókokkal vagy jogosultságokkal. Más rendszerkonfigurációk is engedélyezhetők, beleértve a SeDebug letiltása olyan nem szükséges szerepkörök esetében , amelyek a szélesebb körű biztonsági javaslatok részét képezik.

Nem megbízható programok futásának letiltása cserélhető meghajtókról

  • A nem megbízható programokra vonatkozik USB-ről
  • Folyamatok - *
  • Művelet – Folyamat végrehajtása
  • * Példák fájlokra/mappákra, beállításkulcsokra/értékekre, folyamatokra, szolgáltatásokra:
  • Támadásifelület-csökkentési szabályok – A támadásifelület-csökkentési szabályok beépített szabályt tartalmaznak a nem megbízható és aláíratlan programok cserélhető meghajtókról való indításának megakadályozására: Tiltsa le az USB-n futó nem megbízható és aláíratlan folyamatokat, GUID b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4.
  • Egyéb ajánlott funkciók – Tekintse át az USB-eszközök és más cserélhető adathordozók további vezérlőinek használatát a Végponthoz készült Microsoft Defender:Usb-eszközök és más cserélhető adathordozók vezérlése Végponthoz készült Microsoft Defender használatával.

Az Mshta letiltása bizonyos gyermekfolyamatok elindításában

  • A következőkre vonatkozik: Mshta
  • Folyamatok – mshta.exe
  • Művelet – Folyamat végrehajtása
  • Példák fájlokra/mappákra, beállításkulcsokra/értékekre, folyamatokra, szolgáltatásokra powershell.exe, cmd.exe, regsvr32.exe
  • Támadásifelület-csökkentési szabályok – a támadásifelület-csökkentési szabályok nem tartalmaznak olyan konkrét szabályt, amely megakadályozza, hogy a gyermekfolyamatok mshta.exe. Ez a vezérlő a Biztonsági rés kiaknázása elleni védelem vagy a Windows Defender alkalmazásvezérlő hatáskörébe tartozik.
  • Egyéb ajánlott funkciók – Engedélyezze a Windows Defender alkalmazásvezérlést a mshta.exe teljes végrehajtásának megakadályozásához. Ha szervezete mshta.exe igényel az üzletági alkalmazásokhoz, konfiguráljon egy adott Windows Defender biztonsági rés kiaknázása elleni védelmi szabályt, hogy megakadályozza mshta.exe gyermekfolyamatok indítását.

Gyermekfolyamatok indításának letiltása az Outlookban

  • A következőkre vonatkozik: Outlook
  • Folyamatok – outlook.exe
  • Művelet – Folyamat végrehajtása
  • Példák fájlokra/mappákra, beállításkulcsokra/értékekre, folyamatokra, szolgáltatásokra powershell.exe
  • Támadásifelület-csökkentési szabályok – A támadásifelület-csökkentési szabályok beépített szabálysal rendelkeznek, amely megakadályozza, hogy az Office kommunikációs alkalmazásai (Outlook, Skype és Teams) gyermekfolyamatokat indítsanak el: Az Office kommunikációs alkalmazás gyermekfolyamatok létrehozásának letiltása, GUID 26190899-1602-49e8-8b27-eb1d0a1ce869.
  • Egyéb ajánlott funkciók – Javasoljuk, hogy engedélyezze a PowerShell korlátozott nyelvi módját, hogy minimálisra csökkentse a Támadási felületet a PowerShellből.

Gyermekfolyamatok indításának letiltása az Office-alkalmazásokban

  • Az Office-ra vonatkozik
  • Folyamatok – winword.exe, powerpnt.exe, excel.exe
  • Művelet – Folyamat végrehajtása
  • Példák fájlokra/mappákra, beállításkulcsokra/értékekre, folyamatokra, szolgáltatásokra– powershell.exe, cmd.exe, wscript.exe, mshta.exe, EQNEDT32.EXE, regsrv32.exe
  • Támadásifelület-csökkentési szabályok – A támadásifelület-csökkentési szabályok beépített szabálysal rendelkeznek, amely megakadályozza, hogy az Office-alkalmazások gyermekfolyamatokat indítsanak el: Tiltsa le az összes Office-alkalmazás gyermekfolyamatok létrehozását, GUID d4f940ab-401b-4efc-aadc-ad5f3c50688a.
  • Egyéb ajánlott funkciók – N/A

Az Office-appok végrehajtható tartalmak létrehozásának letiltása

  • Az Office-ra vonatkozik
  • Folyamatok – winword.exe, powerpnt.exe, excel.exe
  • Művelet – Fájllétrehozás
  • Példák fájlokra/mappákra, beállításkulcsokra/értékekre, folyamatokra, szolgáltatásokra– C:\Felhasználók*\AppData**.exe, C:\ProgramData**.exe, C:\ProgramData**.com, C:\UsersAppData\Local\Temp**.com, C:\Users\Downloads**.exe, C:\Users*\AppData**.scf, C:\ProgramData**.scf, C:\Users\Public*.exe, C:\Users*\Desktop***.exe
  • Támadásifelület-csökkentési szabályok – N/A.

Bizonyos típusú fájlok olvasásának letiltása a Wscriptben

  • A következőre vonatkozik: Wscript
  • Folyamatok – wscript.exe
  • Művelet – Fájlolvasás
  • Példák fájlokra/mappákra, beállításkulcsokra/értékekre, folyamatokra, szolgáltatásokra– C:\Users*\AppData**.js, C:\Users*\Downloads**.js
  • Támadásifelület-csökkentési szabályok – A megbízhatósági és teljesítménybeli problémák miatt a támadásifelület-csökkentési szabályok nem képesek megakadályozni, hogy egy adott folyamat beolvass egy adott szkriptfájltípust. Van egy szabályunk, amely megakadályozza az ilyen helyzetekből származó támadási vektorokat. A szabály neve Letiltja a JavaScript vagy a VBScript számára a letöltött végrehajtható tartalom elindítását (GUID d3e037e1-3eb8-44c8-a917-57927947596 és a vélhetően rejtjelezett szkriptek ( GUID * 5beb7efe-fd9a-4556-801d-275e5ffc04cc*) blokkolása.
  • Egyéb ajánlott funkciók – Bár vannak olyan specifikus támadásifelület-csökkentési szabályok, amelyek enyhítenek bizonyos támadási vektorokat ezekben a forgatókönyvekben, fontos megemlíteni, hogy az AV alapértelmezés szerint képes valós időben megvizsgálni a szkripteket (PowerShell, Windows-szkriptgazda, JavaScript, VBScript stb.) a Kártevőirtó vizsgálati felületen (AMSI). További információ itt érhető el: Antimalware Scan Interface (AMSI).

Gyermekfolyamatok indításának letiltása

  • A következőkre vonatkozik: Adobe Acrobat
  • Folyamatok – AcroRd32.exe, Acrobat.exe
  • Művelet – Folyamat végrehajtása
  • Példák fájlokra/mappákra, beállításkulcsokra/értékekre, folyamatokra, szolgáltatásokra cmd.exe, powershell.exe, wscript.exe
  • Támadásifelület-csökkentési szabályok – A támadásifelület-csökkentési szabályok lehetővé teszik az Adobe Reader letiltását a gyermekfolyamatok elindításában. A szabály neve Letiltja az Adobe Reader számára a gyermekfolyamatok létrehozását, GUID 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c.
  • Egyéb ajánlott funkciók – N/A

Végrehajtható tartalom letöltésének vagy létrehozásának letiltása

  • A következőre vonatkozik: CertUtil: Végrehajtható fájlok letöltésének vagy létrehozásának letiltása
  • Folyamatok – certutil.exe
  • Művelet – Fájllétrehozás
  • Példák fájlokra/mappákra, beállításkulcsokra/értékekre, folyamatokra, szolgáltatásokra – *.exe
  • Támadásifelület-csökkentési szabályok – A támadásifelület-csökkentési szabályok nem támogatják ezeket a forgatókönyveket, mert Microsoft Defender vírusvédelem részét képezik.
  • Egyéb ajánlott funkciók – Microsoft Defender víruskereső megakadályozza, hogy a CertUtil végrehajtható tartalmakat hozzon létre vagy töltsön le.

Folyamatok blokkolása a kritikus rendszerösszetevők leállításában

  • Minden folyamatra vonatkozik
  • Folyamatok - *
  • Művelet – Folyamat leállítása
  • Példák fájlokra/mappákra, beállításkulcsokra/értékekre, folyamatokra, szolgáltatásokra– MsSense.exe, MsMpEng.exe, NisSrv.exe, svchost.exe*, services.exe, csrss.exe, smss.exe, wininit.exe stb.
  • Támadásifelület-csökkentési szabályok – A támadásifelület-csökkentési szabályok nem támogatják ezeket a forgatókönyveket, mert beépített Windows biztonsági védelemmel vannak védve.
  • Egyéb ajánlott funkciók: ELAM (Korai indítású kártevőirtó), PPL (Védelmi folyamat fénye), PPL AntiMalware Light és System Guard.

Adott indítási folyamat kísérletének letiltása

  • Adott folyamatokra vonatkozik
  • Folyamatok- A folyamat elnevezése
  • Művelet – Folyamat végrehajtása
  • Példák fájlokra/mappákra, beállításkulcsokra/értékekre, folyamatokra, szolgáltatásokra– tor.exe, bittorrent.exe, cmd.exe, powershell.exe stb.
  • Támadásifelület-csökkentési szabályok – Általánosságban elmondható, hogy a támadásifelület-csökkentési szabályok nem úgy lettek kialakítva, hogy alkalmazáskezelőként működjenek.
  • Egyéb ajánlott funkciók – Ha meg szeretné akadályozni, hogy a felhasználók bizonyos folyamatokat vagy programokat indítsanak, ajánlott a Windows Defender alkalmazásvezérlést használni. Végponthoz készült Microsoft Defender fájl- és tanúsítványmutatók incidensmegoldási forgatókönyvekben használhatók (nem tekinthetők alkalmazásvezérlési mechanizmusnak).

A Microsoft Defender víruskereső konfigurációinak jogosulatlan módosításainak letiltása

  • Minden folyamatra vonatkozik
  • Folyamatok - *
  • Művelet – Beállításjegyzék-módosítások
  • Példák fájlokra/mappákra, beállításkulcsokra/értékekre, folyamatokra, szolgáltatásokra– HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\DisableAntiSpyware, HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Policy Manager\AllowRealTimeMonitoring stb.
  • Támadásifelület-csökkentési szabályok – A támadásifelület-csökkentési szabályok nem terjednek ki ezekre a forgatókönyvekre, mert a beépített védelem Végponthoz készült Microsoft Defender részét képezik.
  • Egyéb ajánlott funkciók – Az Illetéktelen módosítás elleni védelem (engedélyezés, Intune által felügyelt) megakadályozza a DisableAntiVirus, a DisableAntiSpyware, a DisableRealtimeMonitoring, a DisableOnAccessProtection, a DisableBehaviorMonitoring és a DisableIOAVProtection beállításkulcsok (és egyebek) jogosulatlan módosítását.

Lásd még

  • Last updated on