Migrálás nem Microsoft HIPS-ről támadási felületcsökkentési szabályokra

Érintett szolgáltatás:

• Végponthoz készült Microsoft Defender 1. csomag
• Végponthoz készült Microsoft Defender 2. csomag

Ez a cikk segítséget nyújt a gyakori szabályok Végponthoz készült Microsoft Defender való leképezésében.

A nem Microsoft HIPS-termékről a felületcsökkentési szabályok támadására irányuló migrálás forgatókönyvei

Adott fájlok létrehozásának letiltása

• Minden folyamatra vonatkozik
• Művelet – Fájllétrehozás
• Példák fájlokra/mappákra, beállításkulcsokra/értékekre, folyamatokra, szolgáltatásokra– *.zepto, *.odin, *.locky, *.jaff, *.lukitus, *.wnry, *.krab
• Támadásifelület-csökkentési szabályok – A támadásifelület-csökkentési szabályok nem a támadási technikákat, hanem a biztonsági rések mutatóit (IOC) blokkolják. Egy adott fájlkiterjesztés blokkolása nem mindig hasznos, mivel nem akadályozza meg az eszközök sérülését. Csak részben űz meg egy támadást, amíg a támadók új típusú bővítményt nem hoznak létre a hasznos adatokhoz.
• Egyéb ajánlott funkciók – A Microsoft Defender víruskereső engedélyezése, valamint a felhővédelem és a viselkedéselemzés használata erősen ajánlott. Javasoljuk, hogy használjon más megelőzést, például a támadási felület csökkentésére vonatkozó szabályt: Speciális védelmet használjon a zsarolóprogramok ellen, ami magasabb szintű védelmet biztosít a zsarolóprogramok elleni támadások ellen. Emellett Végponthoz készült Microsoft Defender számos beállításkulcsot figyel, például az ASEP-technikákat, amelyek adott riasztásokat aktiválnak. A használt beállításkulcsok legalább helyi Rendszergazda vagy megbízható telepítői jogosultságot igényelnek. Ajánlott zárolt környezetet használni minimális rendszergazdai fiókokkal vagy jogosultságokkal. Más rendszerkonfigurációk is engedélyezhetők, beleértve a SeDebug letiltása olyan nem szükséges szerepkörök esetében , amelyek a szélesebb körű biztonsági javaslatok részét képezik.

Adott beállításkulcsok létrehozásának letiltása

• Minden folyamatra vonatkozik
• Folyamatok – N/A
• Művelet – Beállításjegyzék-módosítások
• Példák fájlokra/mappákra, beállításkulcsokra/értékekre, folyamatokra, szolgáltatásokra- \Software,HKCU\Environment\UserInitMprLogonScript,HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Accessibility\ATs*\StartExe, HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*\Debugger, HKEY_CURRENT_USER\Software\Microsoft\HtmlHelp Author\location, HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit*\MonitorProcess
• Támadásifelület-csökkentési szabályok – A támadásifelület-csökkentési szabályok nem a támadási technikákat, hanem a biztonsági rések mutatóit (IOC) blokkolják. Egy adott fájlkiterjesztés blokkolása nem mindig hasznos, mert nem akadályozza meg az eszközök sérülését. Csak részben űz meg egy támadást, amíg a támadók új típusú bővítményt nem hoznak létre a hasznos adatokhoz.
• Egyéb ajánlott funkciók – A Microsoft Defender víruskereső engedélyezése, valamint a felhővédelem és a viselkedéselemzés használata erősen ajánlott. Javasoljuk, hogy használjon extra megelőzést, például a támadási felület csökkentésére vonatkozó szabályt: Speciális védelem használata zsarolóprogramok ellen. Ez magasabb szintű védelmet biztosít a zsarolóprogramok elleni támadások ellen. Emellett Végponthoz készült Microsoft Defender számos beállításkulcsot figyel, például az ASEP-technikákat, amelyek adott riasztásokat aktiválnak. Emellett a használt beállításkulcsok legalább helyi Rendszergazda vagy megbízható telepítői jogosultságot igényelnek. Ajánlott zárolt környezetet használni minimális rendszergazdai fiókokkal vagy jogosultságokkal. Más rendszerkonfigurációk is engedélyezhetők, beleértve a SeDebug letiltása olyan nem szükséges szerepkörök esetében , amelyek a szélesebb körű biztonsági javaslatok részét képezik.

Nem megbízható programok futásának letiltása cserélhető meghajtókról

• A nem megbízható programokra vonatkozik USB-ről
• Folyamatok - *
• Művelet – Folyamat végrehajtása
• *Példák fájlokra/mappákra, beállításkulcsokra/értékekre, folyamatokra, szolgáltatásokra:
• Támadásifelület-csökkentési szabályok – A támadásifelület-csökkentési szabályok beépített szabályt tartalmaznak a nem megbízható és aláíratlan programok cserélhető meghajtókról való indításának megakadályozására: Tiltsa le az USB-n futó nem megbízható és aláíratlan folyamatokat, GUID b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4.
• Egyéb ajánlott funkciók – Tekintse át az USB-eszközök és más cserélhető adathordozók további vezérlőinek használatát a Végponthoz készült Microsoft Defender:Usb-eszközök és más cserélhető adathordozók vezérlése Végponthoz készült Microsoft Defender használatával.

Az Mshta letiltása bizonyos gyermekfolyamatok elindításában

• A következőkre vonatkozik: Mshta
• Folyamatok – mshta.exe
• Művelet – Folyamat végrehajtása
• Példák fájlokra/mappákra, beállításkulcsokra/értékekre, folyamatokra, szolgáltatásokra powershell.exe, cmd.exe, regsvr32.exe
• Támadásifelület-csökkentési szabályok – a támadásifelület-csökkentési szabályok nem tartalmaznak olyan konkrét szabályt, amely megakadályozza, hogy a gyermekfolyamatok mshta.exe. Ez a vezérlő a Biztonsági rés kiaknázása elleni védelem vagy Windows Defender alkalmazásvezérlés hatáskörébe tartozik.
• Egyéb ajánlott funkciók – Engedélyezze Windows Defender alkalmazásvezérlést, hogy megakadályozza a mshta.exe teljes végrehajtását. Ha szervezete mshta.exe igényel az üzletági alkalmazásokhoz, konfiguráljon egy adott Windows Defender Exploit Protection-szabályt, hogy mshta.exe ne indíthassák el a gyermekfolyamatokat.

Gyermekfolyamatok indításának letiltása az Outlookban

• A következőkre vonatkozik: Outlook
• Folyamatok – outlook.exe
• Művelet – Folyamat végrehajtása
• Példák fájlokra/mappákra, beállításkulcsokra/értékekre, folyamatokra, szolgáltatásokra powershell.exe
• Támadásifelület-csökkentési szabályok – A támadásifelület-csökkentési szabályok beépített szabálysal rendelkeznek, amely megakadályozza, hogy az Office kommunikációs alkalmazásai (Outlook, Skype és Teams) gyermekfolyamatokat indítsanak el: Az Office kommunikációs alkalmazás gyermekfolyamatok létrehozásának letiltása, GUID 26190899-1602-49e8-8b27-eb1d0a1ce869.
• Egyéb ajánlott funkciók – Javasoljuk, hogy engedélyezze a PowerShell korlátozott nyelvi módját, hogy minimálisra csökkentse a Támadási felületet a PowerShellből.

Gyermekfolyamatok indításának letiltása az Office-alkalmazásokban

• Az Office-ra vonatkozik
• Folyamatok – winword.exe, powerpnt.exe, excel.exe
• Művelet – Folyamat végrehajtása
• Példák fájlokra/mappákra, beállításkulcsokra/értékekre, folyamatokra, szolgáltatásokra– powershell.exe, cmd.exe, wscript.exe, mshta.exe, EQNEDT32.EXE, regsrv32.exe
• Támadásifelület-csökkentési szabályok – A támadásifelület-csökkentési szabályok beépített szabálysal rendelkeznek, amely megakadályozza, hogy az Office-alkalmazások gyermekfolyamatokat indítsanak el: Tiltsa le az összes Office-alkalmazás gyermekfolyamatok létrehozását, GUID d4f940ab-401b-4efc-aadc-ad5f3c50688a.
• Egyéb ajánlott funkciók – N/A

Az Office-appok végrehajtható tartalmak létrehozásának letiltása

• Az Office-ra vonatkozik
• Folyamatok – winword.exe, powerpnt.exe, excel.exe
• Művelet – Fájllétrehozás
• Példák fájlokra/mappákra, beállításkulcsokra/értékekre, folyamatokra, szolgáltatásokra– C:\Felhasználók*\AppData**.exe, C:\ProgramData**.exe, C:\ProgramData**.com, C:\UsersAppData\Local\Temp**.com, C:\Users\Downloads**.exe, C:\Users*\AppData**.scf, C:\ProgramData**.scf, C:\Users\Public*.exe, C:\Users*\Desktop***.exe
• Támadásifelület-csökkentési szabályok – N/A.

Bizonyos típusú fájlok olvasásának letiltása a Wscriptben

• A következőre vonatkozik: Wscript
• Folyamatok – wscript.exe
• Művelet – Fájlolvasás
• Példák fájlokra/mappákra, beállításkulcsokra/értékekre, folyamatokra, szolgáltatásokra– C:\Users*\AppData**.js, C:\Users*\Downloads**.js
• Támadásifelület-csökkentési szabályok – A megbízhatósági és teljesítménybeli problémák miatt a támadásifelület-csökkentési szabályok nem képesek megakadályozni, hogy egy adott folyamat beolvass egy adott szkriptfájltípust. Van egy szabályunk, amely megakadályozza az ilyen helyzetekből származó támadási vektorokat. A szabály neve Letiltja a JavaScript vagy a VBScript számára a letöltött végrehajtható tartalom elindítását (GUID d3e037e1-3eb8-44c8-a917-57927947596 és a vélhetően rejtjelezett szkriptek ( GUID * 5beb7efe-fd9a-4556-801d-275e5ffc04cc*) blokkolása.
• Egyéb ajánlott funkciók – Bár vannak olyan specifikus támadásifelület-csökkentési szabályok, amelyek enyhítenek bizonyos támadási vektorokat ezekben a forgatókönyvekben, fontos megemlíteni, hogy az AV alapértelmezés szerint képes valós időben megvizsgálni a szkripteket (PowerShell, Windows-szkriptgazda, JavaScript, VBScript stb.) a Kártevőirtó vizsgálati felületen (AMSI). További információ itt érhető el: Antimalware Scan Interface (AMSI).

Gyermekfolyamatok indításának letiltása

• A következőkre vonatkozik: Adobe Acrobat
• Folyamatok – AcroRd32.exe, Acrobat.exe
• Művelet – Folyamat végrehajtása
• Példák fájlokra/mappákra, beállításkulcsokra/értékekre, folyamatokra, szolgáltatásokra cmd.exe, powershell.exe, wscript.exe
• Támadásifelület-csökkentési szabályok – A támadásifelület-csökkentési szabályok lehetővé teszik az Adobe Reader letiltását a gyermekfolyamatok elindításában. A szabály neve Letiltja az Adobe Reader számára a gyermekfolyamatok létrehozását, GUID 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c.
• Egyéb ajánlott funkciók – N/A

Végrehajtható tartalom letöltésének vagy létrehozásának letiltása

• A következőre vonatkozik: CertUtil: Végrehajtható fájlok letöltésének vagy létrehozásának letiltása
• Folyamatok – certutil.exe
• Művelet – Fájllétrehozás
• Példák fájlokra/mappákra, beállításkulcsokra/értékekre, folyamatokra, szolgáltatásokra – *.exe
• Támadásifelület-csökkentési szabályok – A támadásifelület-csökkentési szabályok nem támogatják ezeket a forgatókönyveket, mert Microsoft Defender vírusvédelem részét képezik.
• Egyéb ajánlott funkciók – Microsoft Defender víruskereső megakadályozza, hogy a CertUtil végrehajtható tartalmakat hozzon létre vagy töltsön le.

Folyamatok blokkolása a kritikus rendszerösszetevők leállításában

• Minden folyamatra vonatkozik
• Folyamatok - *
• Művelet – Folyamat leállítása
• Példák fájlokra/mappákra, beállításkulcsokra/értékekre, folyamatokra, szolgáltatásokra– MsSense.exe, MsMpEng.exe, NisSrv.exe, svchost.exe*, services.exe, csrss.exe, smss.exe, wininit.exe stb.
• Támadásifelület-csökkentési szabályok – A támadásifelület-csökkentési szabályok nem támogatják ezeket a forgatókönyveket, mert beépített Windows biztonsági védelemmel vannak védve.
• Egyéb ajánlott funkciók: ELAM (Korai indítású kártevőirtó), PPL (Védelmi folyamat fénye), PPL AntiMalware Light és Rendszerőr.

Adott indítási folyamat kísérletének letiltása

• Adott folyamatokra vonatkozik
• Folyamatok- A folyamat elnevezése
• Művelet – Folyamat végrehajtása
• Példák fájlokra/mappákra, beállításkulcsokra/értékekre, folyamatokra, szolgáltatásokra– tor.exe, bittorrent.exe, cmd.exe, powershell.exe stb.
• Támadásifelület-csökkentési szabályok – Általánosságban elmondható, hogy a támadásifelület-csökkentési szabályok nem úgy lettek kialakítva, hogy alkalmazáskezelőként működjenek.
• Egyéb ajánlott funkciók – Ha meg szeretné akadályozni, hogy a felhasználók bizonyos folyamatokat vagy programokat indítsanak, ajánlott Windows Defender Alkalmazásvezérlést használni. Végponthoz készült Microsoft Defender fájl- és tanúsítványmutatók incidensmegoldási forgatókönyvekben használhatók (nem tekinthetők alkalmazásvezérlési mechanizmusnak).

A Microsoft Defender víruskereső konfigurációinak jogosulatlan módosításainak letiltása

• Minden folyamatra vonatkozik
• Folyamatok - *
• Művelet – Beállításjegyzék-módosítások
• Példák fájlokra/mappákra, beállításkulcsokra/értékekre, folyamatokra, szolgáltatásokra– HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\DisableAntiSpyware, HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Policy Manager\AllowRealTimeMonitoring stb.
• Támadásifelület-csökkentési szabályok – A támadásifelület-csökkentési szabályok nem terjednek ki ezekre a forgatókönyvekre, mert a beépített védelem Végponthoz készült Microsoft Defender részét képezik.
• Egyéb ajánlott funkciók – Az Illetéktelen módosítás elleni védelem (engedélyezés, Intune által felügyelt) megakadályozza a DisableAntiVirus, a DisableAntiSpyware, a DisableRealtimeMonitoring, a DisableOnAccessProtection, a DisableBehaviorMonitoring és a DisableIOAVProtection beállításkulcsok (és egyebek) jogosulatlan módosítását.

Lásd még

• Támadásifelület-csökkentés GYIK
• Támadásifelület-csökkentési szabályok engedélyezése
• Támadásifelület-csökkentési szabályok kiértékelése

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.