Támadásifelület-csökkentési szabályok engedélyezése a Microsoft Defender Vállalati verzió
A támadási felületek jelentik a szervezet hálózatának és eszközeinek a kibertámadásokkal és támadásokkal szembeni sebezhetőségének összes helyét és módját. A nem biztonságos eszközök, a vállalati eszközök URL-címéhez való korlátlan hozzáférés, valamint bármilyen alkalmazás vagy szkript vállalati eszközökön való futtatásának engedélyezése mind példa a támadási felületekre. Sebezhetővé teszik a vállalatát a kibertámadásokkal szemben.
A hálózat és az eszközök védelme érdekében Microsoft Defender Vállalati verzió számos támadásifelület-csökkentési képességet tartalmaz, beleértve a támadásifelület-csökkentési szabályokat is. Ez a cikk a támadásifelület-csökkentési szabályok beállítását és a támadásifelület-csökkentési képességeket ismerteti.
Megjegyzés:
Intune nem szerepel a Defender Vállalati verzió önálló verziójában, de hozzáadható a következőhöz: .
Standard védelmi ASR-szabályok
Számos támadásifelület-csökkentési szabály érhető el. Nem kell mindegyiket egyszerre beállítania. Emellett beállíthat néhány szabályt naplózási módban, hogy lássa, hogyan működnek a szervezeténél, és később módosítsa őket blokk módban való működésre. Ennek megfelelően javasoljuk, hogy a lehető leghamarabb engedélyezze a következő szabványos védelmi szabályokat:
- Hitelesítő adatok windowsos helyi biztonsági szolgáltató alrendszeréből való ellopásának letiltása
- A kizsákmányolt, sebezhető aláírt illesztőprogramokkal való visszaélés letiltása
- Adatmegőrzés letiltása WMI-esemény-előfizetésen keresztül
Ezek a szabályok segítenek megvédeni a hálózatot és az eszközöket, de nem okozhatnak fennakadásokat a felhasználók számára. A Intune használatával állíthatja be a támadásifelület-csökkentési szabályokat.
ASR-szabályok beállítása a Intune használatával
Globális rendszergazdaként a Microsoft Intune Felügyeleti központban (https://intune.microsoft.com/) lépjen a Végpontbiztonság>támadási felületének csökkentése elemre.
Új szabályzat létrehozásához válassza Létrehozás szabályzatot.
- A Platform területen válassza a Windows 10, a Windows 11 és a Windows Server lehetőséget.
- A Profil mezőben válassza a Támadásifelület-csökkentési szabályok lehetőséget, majd válassza a Létrehozás lehetőséget.
Állítsa be a szabályzatot az alábbiak szerint:
Adjon meg egy nevet és egy leírást, majd válassza a Tovább gombot.
Legalább az alábbi három szabály esetében mindegyiknél állítsa a Blokk értéket:
- Hitelesítő adatok windowsos helyi biztonsági szolgáltató alrendszeréből való ellopásának letiltása
- Adatmegőrzés letiltása WMI-esemény-előfizetésen keresztül
- A kizsákmányolt, sebezhető aláírt illesztőprogramokkal való visszaélés letiltása
Ezután válassza a Tovább gombot.
A Hatókörcímkék lépésben válassza a Tovább gombot.
A Hozzárendelések lépésben válassza ki a szabályokat fogadó felhasználókat vagy eszközöket, majd kattintson a Tovább gombra. (Javasoljuk, hogy válassza az Összes eszköz hozzáadása lehetőséget.)
A Felülvizsgálat + létrehozás lépésben tekintse át az információkat, majd válassza a Létrehozás lehetőséget.
Tipp
Tetszés szerint először naplózási módban állíthatja be a támadásifelület-csökkentési szabályokat, hogy lássa az észleléseket a fájlok vagy folyamatok tényleges letiltása előtt. A támadásifelület-csökkentési szabályokkal kapcsolatos részletesebb információkért lásd: Támadásifelület-csökkentési szabályok üzembe helyezésének áttekintése.
A támadási felület csökkentéséről szóló jelentés megtekintése
A Defender Vállalati verzió tartalmaz egy támadásifelület-csökkentési jelentést, amely bemutatja, hogyan működnek a támadásifelület-csökkentési szabályok.
Globális rendszergazdaként a Microsoft Defender portálon (https://security.microsoft.com) a navigációs panelen válassza a Jelentések lehetőséget.
A Végpontok területen válassza a Támadásifelület-csökkentési szabályok lehetőséget. Megnyílik a jelentés, és három lapot tartalmaz:
- Észlelések, ahol megtekintheti a támadásifelület-csökkentési szabályok miatt történt észleléseket
- Konfiguráció, ahol megtekintheti a szabványos védelmi szabályok vagy más támadásifelület-csökkentési szabályok adatait
- Kizárások hozzáadása, ahol hozzáadhat olyan elemeket, amelyeket ki szeretne zárni a támadásifelület-csökkentési szabályokból (a kizárásokat takarékosan használja; minden kizárás csökkenti a biztonsági védelem szintjét)
A támadásifelület-csökkentési szabályokkal kapcsolatos további információkért tekintse meg a következő cikkeket:
- Támadásifelület-csökkentési szabályok áttekintése
- Támadásifelület-csökkentési szabályok jelentése
- Támadásifelület-csökkentési szabályok referenciája
- Támadásifelület-csökkentési szabályok üzembe helyezésének áttekintése
Támadásifelület-csökkentési képességek a Defender Vállalati verzióban
A támadásifelület-csökkentési szabályok a Defender Vállalati verzióban érhetők el. Az alábbi táblázat összefoglalja a Defender vállalati verzió támadásifelület-csökkentési képességeit. Figyelje meg, hogy más képességek, például a következő generációs védelem és a webes tartalomszűrés együttműködnek a támadásifelület-csökkentési képességekkel.
| Képesség | A beállítás menete |
|---|---|
| Támadásifelület-csökkentési szabályok A Windows-eszközökön futó rosszindulatú tevékenységekkel gyakran társított konkrét műveletek megakadályozása. |
Engedélyezze a szabványos védelmi támadásifelület-csökkentési szabályokat (a cikk szakasza). |
| Mappákhoz való hozzáférés szabályozása A szabályozott mappahozzáférés csak a megbízható alkalmazások számára teszi lehetővé a védett mappák elérését Windows-eszközökön. Gondoljon erre a képességre zsarolóprogram-elhárításként. |
Állítson be szabályozott mappahozzáférés-házirendet a Microsoft Defender Vállalati verzió. |
| Hálózatvédelem A hálózatvédelem megakadályozza, hogy a felhasználók a Windows- és Mac-eszközeiken futó alkalmazásokon keresztül hozzáférjenek a veszélyes tartományokhoz. A hálózatvédelem a webes tartalomszűrés kulcsfontosságú összetevője is Microsoft Defender Vállalati verzió. |
A hálózatvédelem alapértelmezés szerint engedélyezve van, amikor az eszközöket a Defender Vállalati verzióba regisztrálják, és a Defender vállalati verzió következő generációs védelmi szabályzatai lesznek alkalmazva. Az alapértelmezett szabályzatok az ajánlott biztonsági beállítások használatára vannak konfigurálva. |
| Webes védelem A webvédelem integrálható a webböngészőkkel, és hálózatvédelemmel működik a webes fenyegetések és a nemkívánatos tartalmak elleni védelem érdekében. A webvédelem magában foglalja a webes tartalomszűrést és a webes fenyegetésjelentéseket. |
Webes tartalomszűrés beállítása Microsoft Defender Vállalati verzió. |
| Tűzfalvédelem A tűzfalvédelem határozza meg, hogy milyen hálózati forgalom áramolhat a szervezet eszközeire vagy eszközeiről. |
A tűzfalvédelem alapértelmezés szerint engedélyezve van, amikor az eszközöket regisztrálják a Defender Vállalati verzióba, és a Defender for Business tűzfalszabályzatai érvényesülnek. |
Következő lépések
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: