Biztonsági rés kiaknázása elleni védelem szabályzat létrehozása és üzembe helyezése

Cikk
04/19/2024

A következőre vonatkozik: Configuration Manager (aktuális ág)

Az Windows Defender Exploit Guard mind a négy összetevőjét kezelő Configuration Manager szabályzatokat konfigurálhat és telepíthet. Ezek az összetevők a következők:

Támadási felület csökkentése
Mappákhoz való hozzáférés szabályozása
Biztonsági rés kiaknázása elleni védelem
Hálózatvédelem

A Biztonsági rés kiaknázása elleni védelem szabályzatának üzembe helyezésére vonatkozó megfelelőségi adatok a Configuration Manager konzolon érhetők el.

Megjegyzés:

Configuration Manager alapértelmezés szerint nem engedélyezi ezt a választható funkciót. Használat előtt engedélyeznie kell ezt a funkciót. További információ: Választható funkciók engedélyezése frissítésekből.

Előfeltételek

A felügyelt eszközöknek a 1709-es vagy újabb Windows 10 kell futniuk; a Windows Server buildjének minimális verziója 1809-es vagy újabb, csak a Server 2019-ig. A konfigurált összetevőktől és szabályoktól függően a következő követelményeknek is teljesülniük kell:

Biztonsági rés kiaknázása elleni védelem összetevő	További előfeltételek
Támadási felület csökkentése	Az eszközöknek engedélyezve kell lenniük Végponthoz készült Microsoft Defender mindig bekapcsolt védelemnek.
Mappákhoz való hozzáférés szabályozása	Az eszközöknek engedélyezve kell lenniük Végponthoz készült Microsoft Defender mindig bekapcsolt védelemnek.
Biztonsági rés kiaknázása elleni védelem	Egyikre sem.
Hálózatvédelem	Az eszközöknek engedélyezve kell lenniük Végponthoz készült Microsoft Defender mindig bekapcsolt védelemnek.

Biztonsági rés kiaknázása elleni védelem szabályzatának létrehozása

A Configuration Manager konzolon lépjen az Eszközök és megfelelőség>Endpoint Protection elemre, majd kattintson Windows Defender Exploit Guard elemre.
A KezdőlapLétrehozás csoportjában kattintson a Biztonsági rés kiaknázása szabályzat létrehozása elemre.
A Konfigurációelem létrehozása varázslóÁltalános lapján adja meg a konfigurációelem nevét és leírását (nem kötelező).
Ezután válassza ki a biztonsági rés kiaknázása elleni védelem ezen szabályzattal kezelni kívánt összetevőit. Ezután minden kiválasztott összetevőhöz konfigurálhat további részleteket.
- Támadási felület csökkentése: Konfigurálja a letiltani vagy naplózni kívánt Office-fenyegetést, parancsfájl-alapú fenyegetéseket és e-mailes fenyegetéseket. Adott fájlokat vagy mappákat is kizárhat ebből a szabályból.
- Szabályozott mappahozzáférés: Konfigurálja a blokkolást vagy a naplózást, majd adjon hozzá olyan alkalmazásokat, amelyek megkerülhetik ezt a szabályzatot. További mappákat is megadhat, amelyek alapértelmezés szerint nem védettek.
- Biztonsági rés kiaknázása elleni védelem: Adjon meg egy XML-fájlt, amely a rendszerfolyamatok és alkalmazások biztonsági réseinek csökkentésére szolgáló beállításokat tartalmazza. Ezeket a beállításokat a Windows Defender Security Center alkalmazásból exportálhatja egy Windows 10 vagy újabb eszközön.
- Hálózatvédelem: Állítsa be a hálózatvédelmet a gyanús tartományokhoz való hozzáférés letiltásához vagy naplózásához.
Végezze el a varázslót a szabályzat létrehozásához, amelyet később üzembe helyezhet az eszközökön.

Figyelmeztetés

A biztonsági rés kiaknázása elleni védelem XML-fájljának biztonságosnak kell lennie a gépek közötti átvitelkor. A fájlt az importálás után törölni kell, vagy biztonságos helyen kell tárolni.

Biztonsági rés kiaknázása elleni védelem szabályzatának üzembe helyezése

A Biztonsági rés kiaknázása elleni védelem szabályzatainak létrehozása után a Biztonsági rés kiaknázása elleni védelem szabályzatának üzembe helyezése varázslóval telepítheti őket. Ehhez nyissa meg a Configuration Manager konzolt az Eszközök és megfelelőség>Endpoint Protection területen, majd kattintson a Biztonsági rés kiaknázása elleni védelem szabályzatának üzembe helyezése elemre.

Fontos

Miután telepített egy Biztonsági rés kiaknázása elleni védelem szabályzatot, például a Támadási felület csökkentése vagy a Szabályozott mappahozzáférés, a Biztonsági rés kiaknázása elleni védelem beállításai nem törlődnek az ügyfelekről, ha eltávolítja az üzemelő példányt. Delete not supported az ügyfél ExploitGuardHandler.log rögzíti, ha eltávolítja az ügyfél Exploit Guard üzemelő példányát. A következő PowerShell-szkript a SYSTEM környezetben futtatható a beállítások eltávolításához:

$defenderObject = Get-WmiObject -Namespace "root/cimv2/mdm/dmmap" -Class "MDM_Policy_Config01_Defender02" -Filter "InstanceID='Defender' and ParentID='./Vendor/MSFT/Policy/Config'"
$defenderObject.AttackSurfaceReductionRules = $null
$defenderObject.AttackSurfaceReductionOnlyExclusions = $null
$defenderObject.EnableControlledFolderAccess = $null
$defenderObject.ControlledFolderAccessAllowedApplications = $null
$defenderObject.ControlledFolderAccessProtectedFolders = $null
$defenderObject.EnableNetworkProtection = $null
$defenderObject.Put()

$exploitGuardObject = Get-WmiObject -Namespace "root/cimv2/mdm/dmmap" -Class "MDM_Policy_Config01_ExploitGuard02" -Filter "InstanceID='ExploitGuard' and ParentID='./Vendor/MSFT/Policy/Config'"
$exploitGuardObject.ExploitProtectionSettings = $null
$exploitGuardObject.Put()

biztonsági rés kiaknázása elleni védelem szabályzatbeállításai Windows Defender

Támadásifelület-csökkentési szabályzatok és lehetőségek

A Támadásifelület-csökkentés intelligens szabályokkal csökkentheti az alkalmazások támadási felületét, amelyek megállítják az Office, a szkriptek és a levelezési kártevők által használt vektorokat. További információ a Támadásifelület-csökkentésről és a hozzá használt eseményazonosítókról.

A támadásifelület-csökkentési szabályokból kizárandó fájlok és mappák – Kattintson a Beállítás gombra , és adja meg a kizárandó fájlokat vagy mappákat.
Email fenyegetések:
- Letilthatja a végrehajtható tartalmakat az e-mail ügyfélprogramból és a webpostából.
  - Nincs konfigurálva
  - Letiltás
  - Ellenőrzési
Office-fenyegetések:
- Letilthatja, hogy az Office-alkalmazás gyermekfolyamatokat hozzon létre.
  - Nincs konfigurálva
  - Letiltás
  - Ellenőrzési
- Letilthatja, hogy az Office-alkalmazások végrehajtható tartalmakat hozzanak létre.
  - Nincs konfigurálva
  - Letiltás
  - Ellenőrzési
- Letilthatja, hogy az Office-alkalmazások kódot injektálják más folyamatokba.
  - Nincs konfigurálva
  - Letiltás
  - Ellenőrzési
- Win32 API-hívások letiltása Office-makrókból.
  - Nincs konfigurálva
  - Letiltás
  - Ellenőrzési
Szkriptelési fenyegetések:
- A JavaScript vagy a VBScript letiltása a letöltött végrehajtható tartalom elindításában.
  - Nincs konfigurálva
  - Letiltás
  - Ellenőrzési
- Blokkolhatja a potenciálisan elfedt szkriptek végrehajtását.
  - Nincs konfigurálva
  - Letiltás
  - Ellenőrzési
Zsarolóprogram-fenyegetések: (Configuration Manager 1802-es verziótól kezdve)
- Használjon speciális védelmet a zsarolóprogramok ellen.
  - Nincs konfigurálva
  - Letiltás
  - Ellenőrzési
Operációs rendszer fenyegetései: (Configuration Manager 1802-es verziótól kezdődően)
- Tiltsa le a Hitelesítő adatok ellopása a Windows helyi biztonsági hatóság alrendszeréből.
  - Nincs konfigurálva
  - Letiltás
  - Ellenőrzési
- Tiltsa le a futtatható fájlok futtatását, ha nem felelnek meg az előfordulási gyakoriságra, az életkorra vagy a megbízható listára vonatkozó feltételeknek.
  - Nincs konfigurálva
  - Letiltás
  - Ellenőrzési
Külső eszközfenyegetések: (Configuration Manager 1802-es verziótól kezdődően)
- Tiltsa le az USB-ről futó nem megbízható és aláíratlan folyamatokat.
  - Nincs konfigurálva
  - Letiltás
  - Ellenőrzési

Szabályozott mappahozzáférési szabályzatok és beállítások

Segít megvédeni a kulcsfontosságú rendszermappákban lévő fájlokat a rosszindulatú és gyanús alkalmazások által végrehajtott módosításoktól, beleértve a fájltitkosításra szolgáló zsarolóprogram-kártevőket. További információ: Szabályozott mappahozzáférés és az általa használt eseményazonosítók.

Szabályozott mappahozzáférés konfigurálása:
- Letiltás
- Csak a lemezszektorok blokkolása (Configuration Manager 1802-es verziótól kezdve)
  - A Szabályozott mappahozzáférés engedélyezése csak a rendszerindítási szektorokban engedélyezett, és nem teszi lehetővé bizonyos mappák vagy az alapértelmezett védett mappák védelmét.
- Ellenőrzési
- Csak a lemezszektorok naplózása (Configuration Manager 1802-es verziótól kezdve)
  - A Szabályozott mappahozzáférés engedélyezése csak a rendszerindítási szektorokban engedélyezett, és nem teszi lehetővé bizonyos mappák vagy az alapértelmezett védett mappák védelmét.
- Letiltva
Alkalmazások engedélyezése szabályozott mappahozzáférésen keresztül – Kattintson a Beállítás elemre, és adja meg az alkalmazásokat.
További védett mappák – Kattintson a Beállítás gombra, és adjon meg további védett mappákat.

Biztonsági rés kiaknázása elleni védelmi szabályzatok

Biztonsági rés kiaknázása elleni kockázatcsökkentési technikákat alkalmaz a szervezet által használt operációsrendszer-folyamatokra és alkalmazásokra. Ezek a beállítások a Windows Defender Security Center alkalmazásból exportálhatók Windows 10 vagy újabb eszközökön. További információ: Biztonsági rés kiaknázása elleni védelem.

Biztonsági rés kiaknázása elleni védelem XML-fájlja: Kattintson a Tallózás gombra, és adja meg az importálni kívánt XML-fájlt.

Figyelmeztetés

A biztonsági rés kiaknázása elleni védelem XML-fájljának biztonságosnak kell lennie a gépek közötti átvitelkor. A fájlt az importálás után törölni kell, vagy biztonságos helyen kell tárolni.

Hálózatvédelmi szabályzat

Segít minimalizálni az internetes támadások támadási felületét az eszközökön. A szolgáltatás korlátozza az adathalász csalásokat, biztonsági réseket és kártékony tartalmakat tároló gyanús tartományokhoz való hozzáférést. További információ: Hálózatvédelem.

Hálózatvédelem konfigurálása:
- Letiltás
- Ellenőrzési
- Letiltva

Megosztás a következőn keresztül: