Megosztás a következőn keresztül:

A Támadási felület csökkentésére vonatkozó szabályok kezelése a Microsoft Intune-szabályzattal

  • Cikk

Ha a Defender víruskeresőt a Windows 10- és Windows 11-eszközökön használja, a Microsoft Intune végpontbiztonsági szabályzataival kezelheti ezeket a beállításokat az eszközein.

A támadásifelület-csökkentési (ASR) szabályzatokkal csökkentheti az eszközök támadási felületét, ha minimalizálja azokat a helyeket, ahol a szervezet sebezhető a kibertámadásokkal és támadásokkal szemben. Az Intune ASR-szabályzatai a következő profilokat támogatják:

  • Támadásifelület-csökkentési szabályok: Ezzel a profillal olyan viselkedéseket célozhat meg, amelyeket a kártevők és a rosszindulatú alkalmazások általában a számítógépek megfertőzésére használnak. Ilyen viselkedés például a végrehajtható fájlok és szkriptek használata az Office-appokban, a fájlok letöltését vagy futtatását megkísérlő webposta, valamint az alkalmazások által a szokásos napi munka során általában nem kezdeményezett elfedő vagy egyéb gyanús parancsfájlok viselkedése.

  • Eszközvezérlés: Ezzel a profillal engedélyezheti, letilthatja és egyéb módon biztonságossá teheti a cserélhető adathordozókat olyan vezérlőkkel, amelyek figyelhetik és megakadályozhatják, hogy a jogosulatlan perifériák veszélyeztetjék az eszközöket. és vezérlési funkciók, amelyek megakadályozzák, hogy a jogosulatlan perifériák fenyegetései veszélyeztetzék az eszközöket.

További információ: A támadási felület csökkentésének áttekintése a Windows Veszélyforrások elleni védelem dokumentációjában.

A támadásifelület-csökkentési szabályzatok a Microsoft Intune Felügyeleti központVégpontbiztonsági csomópontjában találhatók.

Érintett szolgáltatás:

A támadásifelület-csökkentési profilok előfeltételei

  • Az eszközöknek Windows 10-et vagy Windows 11-et kell futtatniuk
  • A Defender víruskeresőnek kell lennie az elsődleges víruskeresőnek az eszközön

A Végponthoz készült Microsoft Defender biztonsági felügyeletének támogatása:

Ha a Végponthoz készült Microsoft Defender biztonsági felügyeletet használja az Intune-regisztráció nélkül előkészített Defender-eszközök támogatásához, a támadási felület csökkentése a Windows 10, a Windows 11 és a Windows Server rendszert futtató eszközökre vonatkozik. További információ: AsR-szabályok által támogatott operációs rendszerek a Windows Veszélyforrások elleni védelem dokumentációjában.

Configuration Manager-ügyfelek támogatása:

Ez a forgatókönyv előzetes verzióban érhető el, és a Configuration Manager aktuális ágának 2006-os vagy újabb verzióját kell használnia.

  • Bérlői csatolás beállítása Configuration Manager-eszközökhöz – Ha támogatni szeretné a támadásifelület-csökkentési szabályzat telepítését a Configuration Manager által felügyelt eszközökön, konfigurálja a bérlői csatolást. A bérlői csatolás beállítása magában foglalja a Configuration Manager-eszközgyűjtemények konfigurálását az Intune végpontbiztonsági szabályzatainak támogatásához.

    A bérlő csatolásának beállításához lásd: A bérlői csatolás konfigurálása végpontvédelmi szabályzatok támogatásához.

Szerepköralapú hozzáférés-vezérlés (RBAC)

Az Intune támadásifelület-csökkentési szabályzatának megfelelő szintű engedélyek és jogosultságok hozzárendelésével kapcsolatos útmutatásért lásd: Assign-role-based-access-controls-for-endpoint-security-policy.

Támadásifelület-csökkentési profilok

A támadásifelület-csökkentési szabályzathoz elérhető profilok a választott platformtól függenek.

Megjegyzés:

2022 áprilisától új profilok jelentek meg a támadásifelület-csökkentési szabályzathoz. Amikor egy új profil elérhetővé válik, ugyanazt a profilnevet használja, amelyet lecserél, és ugyanazokat a beállításokat tartalmazza, mint a régebbi profil, de a Beállítások katalógusában látható újabb beállításformátumban. A profilok korábban létrehozott példányai továbbra is használhatók és szerkeszthetők maradnak, de minden újonnan létrehozott példány új formátumban lesz. A következő profilok frissültek:

  • Támadásifelület-csökkentési szabályok (2022. április 5.)
  • Biztonsági rés kiaknázása elleni védelem (2022. április 5.)
  • Eszközvezérlés (2022. május 23.)
  • Alkalmazások és böngészők elkülönítése (2023. április 18.)

Az Intune által felügyelt eszközök

Platform: Windows 10, Windows 11 és Windows Server:

A platform profiljai az Intune-ban regisztrált Windows 10- és Windows 11-eszközökön támogatottak.

  • Támadásifelület-csökkentési szabályok

A platformhoz elérhető profilok a következők:

  • Támadásifelület-csökkentési szabályok – Konfigurálja a támadásifelület-csökkentési szabályok azon beállításait, amelyek a kártevők és a kártékony alkalmazások által a számítógépek megfertőzésére általában használt viselkedéseket célzják, beleértve a következőket:

    • Az Office-appokban vagy a webpostában használt végrehajtható fájlok és parancsfájlok, amelyek fájlokat próbálnak letölteni vagy futtatni
    • Elfedt vagy más módon gyanús szkriptek
    • Az alkalmazások viselkedése általában nem a normál napi munka során indul el

    A támadási felület csökkentése azt jelenti, hogy kevesebb módszert kínál a támadóknak a támadások végrehajtására.

    A támadásifelület-csökkentési szabályok egyesítési viselkedése az Intune-ban:

    A támadásifelület-csökkentési szabályok támogatják a különböző szabályzatok beállításainak egyesítését, hogy minden eszközhöz létrehozhasson egy szabályzatot. A nem ütköző beállítások egyesítve lesznek, míg az ütköző beállítások nem kerülnek a szabályok szuperhalmazára. Korábban, ha két szabályzat ütközéseket tartalmaz egy adott beállításhoz, mindkét szabályzat ütközőként lett megjelölve, és egyik profil beállításai sem lesznek üzembe helyezve.

    A támadási felület csökkentése szabályegyesítési viselkedése a következő:

    • A következő profilokból származó támadásifelület-csökkentési szabályok kiértékelése minden eszközön történik, amelyre a szabályok vonatkoznak:
      • Eszközök > konfigurációs szabályzat > Végpontvédelmi profil > Microsoft Defender Biztonsági rés kiaknázása elleni védelem >támadási felületének csökkentése
      • Végpontbiztonság > Támadásifelület-csökkentési szabályzat >Támadásifelület-csökkentési szabályok
      • Végpontbiztonsági > alapkonfigurációk > A Végponthoz készült Microsoft Defender alapkonfiguráció >támadásifelület-csökkentési szabályai.
    • Az ütközésekkel nem rendelkező beállításokat a rendszer hozzáadja az eszköz szabályzatának egy szuperhalmazához.
    • Ha két vagy több szabályzat ütköző beállításokkal rendelkezik, az ütköző beállítások nem lesznek hozzáadva az egyesített szabályzathoz, míg az ütközést nem okozó beállítások az eszközre vonatkozó szuperhalmaz-szabályzathoz lesznek hozzáadva.
    • Csak az ütköző beállítások konfigurációi lesznek visszatartva.

  • Eszközvezérlés – Az eszközvezérlés beállításaival az eszközöket többrétegű megközelítésre konfigurálhatja a cserélhető adathordozók biztonságossá tételéhez. A Végponthoz készült Microsoft Defender több monitorozási és vezérlési funkciót is biztosít, amelyek segítenek megakadályozni, hogy a jogosulatlan perifériák fenyegetései veszélyeztetzék az eszközöket.

    Intune-profilok eszközvezérlési támogatáshoz:

    A Végponthoz készült Microsoft Defender eszközvezérlésével kapcsolatos további információkért tekintse meg a Következő cikkeket a Defender dokumentációjában:

Platform: Windows 10 és újabb verziók:

A platform profiljai az Intune-ban regisztrált Windows 10- és Windows 11-eszközökön támogatottak. A profilok a következők:

  • Alkalmazás- és böngészőelkülönítés – A Végponthoz készült Defender részeként kezelheti a Windows Defender Alkalmazásőr (Alkalmazásőr) beállításait. Az Alkalmazásőr segít megelőzni a régi és újonnan felmerülő támadásokat, és elkülönítheti a nagyvállalati szintű helyeket nem megbízhatóként, miközben meghatározza, hogy mely helyek, felhőbeli erőforrások és belső hálózatok megbízhatók.

    További információért tekintse meg az Alkalmazásőrt a Végponthoz készült Microsoft Defender dokumentációjában.

  • Alkalmazásvezérlés – Az alkalmazásvezérlési beállítások segíthetnek enyhíteni a biztonsági fenyegetéseket a felhasználók által futtatható alkalmazások és a System Core (kernel) által futtatott kód korlátozásával. Kezelheti az aláíratlan szkripteket és MSI-ket letiltó beállításokat, és korlátozhatja a Windows PowerShell korlátozott nyelvi módban való futtatását.

    További információ: Application Control (Alkalmazásvezérlés ) a Végponthoz készült Microsoft Defender dokumentációjában.

    Megjegyzés:

    Ha ezt a beállítást használja, az AppLocker CSP viselkedése jelenleg arra kéri a végfelhasználót, hogy indítsa újra a gépet egy szabályzat telepítésekor.

  • Biztonsági rés kiaknázása elleni védelem – A biztonsági rés kiaknázása elleni védelmi beállítások segíthetnek megvédeni azokat a kártevőket, amelyek biztonsági réseket használnak az eszközök megfertőzéséhez és terjesztéséhez. A biztonsági rés kiaknázása elleni védelem számos kockázatcsökkentésből áll, amelyek az operációs rendszerre vagy az egyes alkalmazásokra is alkalmazhatók.

  • Webvédelem (Örökölt Microsoft Edge) – A Végponthoz készült Microsoft Defender webvédelmi beállításai úgy konfigurálják a hálózatvédelmet, hogy a gépek védve legyenek a webes fenyegetések ellen. Ha integrálja a Microsoft Edge-et vagy külső böngészőket, például a Chrome-ot és a Firefoxot, a webvédelem webproxy nélkül leállítja a webes fenyegetéseket, és védelmet nyújthat a gépeknek távol vagy a helyszínen. A webvédelem leállítja a hozzáférést a következőhöz:

    • Adathalász webhelyek
    • Kártevővektorok
    • Biztonsági rés kiaknázása webhelyeken
    • Nem megbízható vagy alacsony hírnévnek örvendő webhelyek
    • Egyéni mutatólista használatával letiltott webhelyek.

    További információ: Webvédelem a Végponthoz készült Microsoft Defender dokumentációjában.

A Végponthoz készült Defender biztonsági beállításainak kezelése által felügyelt eszközök

Ha a Végponthoz készült Microsoft Defender biztonsági kezelése forgatókönyvvel támogatja az Intune-ban nem regisztrált Defender által kezelt eszközöket, a Windows 10, a Windows 11 és a Windows Server platform használatával kezelheti a Windows 10, a Windows 11 és a Windows Server rendszert futtató eszközök beállításait. További információ: AsR-szabályok által támogatott operációs rendszerek a Windows Veszélyforrások elleni védelem dokumentációjában.

Az ebben a forgatókönyvben támogatott profilok a következők:

  • Támadásifelület-csökkentési szabályok – Konfigurálja a támadásifelület-csökkentési szabályok azon beállításait, amelyek a kártevők és rosszindulatú alkalmazások által a számítógépek megfertőzésére általában használt viselkedéseket célzják, beleértve a következőket:
    • Az Office-appokban vagy a webpostában használt végrehajtható fájlok és parancsfájlok, amelyek fájlokat próbálnak letölteni vagy futtatni.
    • Elfedt vagy egyéb gyanús szkriptek.
    • Azok a viselkedések, amelyek miatt az alkalmazások általában nem indulnak el a normál napi munka során, a támadási felület csökkentése azt jelenti, hogy a támadók kevesebb módszert kínálnak a támadások végrehajtására.

Fontos

A Végponthoz készült Microsoft Defender biztonsági felügyelete csak a támadásifelület-csökkentési szabályok profilját támogatja. Az összes többi támadásifelület-csökkentési profil nem támogatott.

A Configuration Manager által felügyelt eszközök

Támadásifelület-csökkentés

A Configuration Manager által felügyelt eszközök támogatása előzetes verzióban érhető el.

A Configuration Manager-eszközök támadásifelület-csökkentési beállításainak kezelése bérlői csatolás használatakor.

Szabályzat elérési útja:

  • Végpontbiztonság > Felületcsökkentés > csatolása Windows 10 és újabb rendszerekhez (ConfigMgr)

Profilok:

  • Alkalmazás- és böngészőelkülönítés (ConfigMgr)
  • Támadásifelület-csökkentési szabályok (ConfigMgr)
  • Exploit Protection(ConfigMgr)(előzetes verzió)
  • Web protection (ConfigMgr)(előzetes verzió)

A Configuration Manager szükséges verziója:

  • A Configuration Manager aktuális ágának 2006-os vagy újabb verziója

Támogatott Configuration Manager-eszközplatformok:

  • Windows 10 újabb (x86, x64, ARM64)
  • Windows 11 és újabb (x86, x64, ARM64)

Újrahasználható beállításcsoportok eszközvezérlési profilokhoz

A nyilvános előzetes verzióban az eszközvezérlési profilok támogatják az újrafelhasználható beállításcsoportok használatát az alábbi beállításcsoportok beállításainak kezeléséhez a Windows 10, a Windows 11 és a Windows Server platform eszközein:

  • Nyomtatóeszköz: A nyomtatóeszközhöz a következő eszközvezérlési profilbeállítások érhetők el:

    • PrimaryId
    • PrinterConnectionID
    • VID_PID

    A nyomtatóeszköz beállításairól a Végponthoz készült Microsoft Defender dokumentációjának Nyomtatóvédelem áttekintése című szakaszában olvashat.

  • Cserélhető tároló: A cserélhető tárolókhoz a következő eszközvezérlési profilbeállítások érhetők el:

    • Eszközosztály
    • Eszközazonosító
    • Hardverazonosító
    • Példányazonosító
    • Elsődleges azonosító
    • Termékazonosító
    • Sorozatszám
    • Szállító azonosítója
    • Szállítóazonosító és termékazonosító

    A cserélhető tárolási lehetőségekről további információt a Végponthoz készült Microsoft Defender eszközvezérlés cserélhető tárterület-hozzáférés-vezérlését ismertető dokumentációjában talál.

Ha újrahasználható beállításcsoportot használ egy eszközvezérlési profillal, konfigurálja a Műveleteket a csoportok beállításainak használati módjának meghatározásához.

A profilhoz hozzáadott minden szabály tartalmazhat újrafelhasználható beállításcsoportokat és a szabályhoz közvetlenül hozzáadott egyéni beállításokat is. Fontolja meg azonban az egyes szabályok használatát az újrafelhasználható beállításcsoportokhoz, vagy a közvetlenül a szabályhoz hozzáadott beállítások kezeléséhez. Ez a szétválasztás segíthet leegyszerűsíteni a jövőbeli konfigurációkat vagy módosításokat.

Az újrahasználható csoportok konfigurálásával, majd a profilhoz való hozzáadásával kapcsolatos útmutatásért lásd: Újrafelhasználható beállításcsoportok használata Intune-szabályzatokkal.

Kizárások a támadásifelület-csökkentési szabályokhoz

Az Intune az alábbi két beállítást támogatja adott fájl- és mappaelérési utak kizárásához a támadásifelület-csökkentési szabályok általi kiértékelésből:

  • Globális: Csak támadásifelület-csökkentési kizárásokat használjon.

    Képernyőkép a Támadásifelület-csökkentési kizárások beállításról.

    Ha egy eszközhöz legalább egy olyan szabályzat van hozzárendelve, amely csak támadásifelület-csökkentési kizárásokat konfigurál, a konfigurált kizárások az adott eszközt célzó összes támadásifelület-csökkentési szabályra vonatkoznak. Ez a viselkedés azért fordul elő, mert az eszközök a támadásifelület-csökkentési szabály beállításainak egy részét megkapják az összes vonatkozó szabályzattól, és a beállítások kizárása nem kezelhető az egyes beállítások esetében. Ne használja ezt a beállítást, ha el szeretné kerülni, hogy a kizárások az eszköz összes beállítására vonatkozni tudjanak. Ehelyett konfigurálja a csak szabályonkénti ASR-kizárásokat az egyes beállításokhoz.

    További információt a Defender CSP dokumentációjában talál: Defender/AttackSurfaceReductionOnlyExclusions.

  • Egyéni beállítások: Csak ASR használata szabálykizárásonként

    Képernyőkép az ASR Only \Per Rule Exclusions beállításról.

    Ha a támadásifelület-csökkentési szabályprofilban a megfelelő beállítást a Nincs konfigurálva értékre állítja be, az Intune bemutatja, hogy az adott beállításhoz csak az ASR csak szabálykizárások használhatók. Ezzel a beállítással olyan fájl- és mappakizárásokat konfigurálhat, amelyek külön-külön vannak elkülönítve az egyes beállításokhoz, ezzel ellentétben a Csak támadásifelület-csökkentési kizárások globális beállítással, amely a kizárásokat az eszköz összes beállítására alkalmazza.

    Alapértelmezés szerint a Csak szabályonkénti ASR-kizárások beállítása Nincs konfigurálva.

    Fontos

    Az ASR-szabályzatok nem támogatják a csak szabályonkénti ASR-kizárások egyesítési funkcióit, és szabályzatütközések akkor fordulhatnak létre, ha több szabályzat is konfigurálja az ASR-t szabálykizárásonként ugyanahhoz az eszközütközéshez. Az ütközések elkerülése érdekében egyetlen ASR-szabályzatban egyesítse a csak szabályonkénti ASR-kizárások konfigurációit . Egy későbbi frissítésben folyamatban van a szabályzategyesítés hozzáadása csak szabályonkénti ASR-kizárásokhoz .

Szabályzategyesítés a beállításokhoz

A szabályzategyesítés segít elkerülni az ütközéseket, ha több, ugyanarra az eszközre vonatkozó profil ugyanazt a beállítást különböző értékekkel konfigurálja, és ütközést hoz létre. Az ütközések elkerülése érdekében az Intune kiértékeli az eszközre vonatkozó egyes profilok vonatkozó beállításait. Ezek a beállítások ezután egyetlen beállítás-szuperhalmazba egyesülnek.

Támadásifelület-csökkentési szabályzat esetén a következő profilok támogatják a szabályzategyesítést:

  • Eszközvezérlés

Eszközvezérlési profilok szabályzategyesítése

Az eszközvezérlési profilok támogatják az USB-eszközazonosítók szabályzategyesítését. Az eszközazonosítókat kezelő és a szabályzategyesítést támogató profilbeállítások a következők:

  • Hardvereszközök eszközazonosítók szerinti telepítésének engedélyezése
  • Hardvereszközök eszközazonosítók szerinti telepítésének letiltása
  • Hardvereszközök telepítésének engedélyezése beállítási osztályok szerint
  • Hardvereszközök telepítésének letiltása beállítási osztályok szerint
  • Hardvereszközök eszközpéldány-azonosítók szerinti telepítésének engedélyezése
  • Hardvereszközök eszközpéldány-azonosítók szerinti telepítésének letiltása

A szabályzategyesítés az egyes beállítások konfigurációjára vonatkozik a különböző profilok között, amelyek az adott beállítást alkalmazzák egy eszközre. Az eredmény egyetlen lista az eszközre alkalmazott összes támogatott beállításhoz. Például:

  • A szabályzategyesítés kiértékeli azoknak a beállítási osztályoknak a listáját, amelyeket a hardvereszközök telepítésének engedélyezése az adott eszközre vonatkozó beállítási osztályokban konfiguráltak. A listák egyetlen engedélyezési listába vannak egyesítve, ahol a rendszer eltávolítja a duplikált beállítási osztályokat.

    Az ismétlődések eltávolítása a listáról az ütközések gyakori forrásának eltávolításával történik. A kombinált engedélyezési lista ezután az eszközre lesz kézbesítve.

A szabályzategyesítés nem hasonlítja össze vagy egyesíti a különböző beállítások konfigurációit. Például:

  • Az első példán kibontva, amelyben a Hardvereszközök telepítésének engedélyezése beállítási osztályok szerint listából több lista is egyetlen listába lett egyesítve, több példánya van a Hardvereszközök telepítésének letiltása beállítási osztályok által , amelyek ugyanarra az eszközre vonatkoznak. Az összes kapcsolódó tiltólista egyetlen blokklistává egyesül az eszközön üzembe helyezendő eszközhöz.

    • A beállítási osztályok engedélyezési listája nincs összehasonlítva és nem egyesítve a beállítási osztályok tiltólistájával.
    • Ehelyett az eszköz mindkét listát megkapja, mivel két különböző beállításból származnak. Az eszköz ezután a telepítési osztályok által a telepítés legszigorúbb beállítását kényszeríti ki.

    Ebben a példában a tiltólistán definiált beállítási osztály felülírja ugyanazt a beállítási osztályt, ha az az engedélyezési listán található. Ennek az az eredménye, hogy a beállítási osztály le van tiltva az eszközön.

Következő lépések

Végpontbiztonsági szabályzatok konfigurálása.

Tekintse meg a támadásifelület-csökkentési profilok beállításainak részleteit.