Migrowanie z systemu HIPS firmy innej niż Microsoft do reguł zmniejszania obszaru podatnego na ataki

  • Artykuł

Dotyczy:

Ten artykuł ułatwia mapowanie typowych reguł na Ochrona punktu końcowego w usłudze Microsoft Defender.

Scenariusze migracji z produktu HIPS firmy innej niż Microsoft do reguł zmniejszania obszaru podatnego na ataki

Blokuj tworzenie określonych plików

  • Dotyczy — wszystkie procesy
  • Operacja — tworzenie pliku
  • Przykłady plików/folderów, kluczy rejestru/wartości, procesów, usług — *.zepto, *.odin, *.locky, *.jaff, *.lukitus, *.wnry, *.krab
  • Reguły zmniejszania obszaru ataków — reguły zmniejszania obszaru ataków blokują techniki ataków, a nie wskaźniki kompromisu (IOC). Blokowanie określonego rozszerzenia pliku nie zawsze jest przydatne, ponieważ nie uniemożliwia naruszenia zabezpieczeń urządzenia. Tylko częściowo udaremnia atak, dopóki atakujący nie utworzy nowego typu rozszerzenia dla ładunku.
  • Inne zalecane funkcje — włączenie programu antywirusowego Microsoft Defender wraz z usługą Cloud Protection i analizą zachowań jest zdecydowanie zalecane. Zalecamy stosowanie innych działań zapobiegawczych, takich jak reguła zmniejszania obszaru ataków Korzystanie z zaawansowanej ochrony przed oprogramowaniem wymuszającym okup, która zapewnia większy poziom ochrony przed atakami wymuszającym okup. Ponadto Ochrona punktu końcowego w usłudze Microsoft Defender monitoruje wiele z tych kluczy rejestru, takich jak techniki ASEP, które wyzwalają określone alerty. Używane klucze rejestru wymagają minimalnej liczby uprawnień Administracja lokalnych lub uprawnień zaufanego instalatora. Zaleca się używanie zablokowanego środowiska z minimalnymi kontami administracyjnymi lub prawami. Można włączyć inne konfiguracje systemu, w tym Wyłączyć SeDebug dla ról niewymaganych , które są częścią naszych szerszych zaleceń dotyczących zabezpieczeń.

Blokuj tworzenie określonych kluczy rejestru

  • Dotyczy — wszystkie procesy
  • Procesy — nie dotyczy
  • Operacja — modyfikacje rejestru
  • Przykłady plików/folderów, kluczy rejestru/wartości, procesów, usług- \Software,HKCU\Environment\UserInitMprLogonScript,HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Accessibility\ATs*\StartExe, HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*\Debugger, HKEY_CURRENT_USER\Software\Microsoft\HtmlHelp Author\location, HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit*\MonitorProcess
  • Reguły zmniejszania obszaru ataków — reguły zmniejszania obszaru ataków blokują techniki ataków, a nie wskaźniki kompromisu (IOC). Blokowanie określonego rozszerzenia pliku nie zawsze jest przydatne, ponieważ nie uniemożliwia naruszenia zabezpieczeń urządzenia. Tylko częściowo udaremnia atak, dopóki atakujący nie utworzy nowego typu rozszerzenia dla ładunku.
  • Inne zalecane funkcje — włączenie programu antywirusowego Microsoft Defender wraz z usługą Cloud Protection i analizą zachowań jest zdecydowanie zalecane. Zalecamy użycie dodatkowej ochrony, takiej jak reguła zmniejszania obszaru ataków Korzystanie z zaawansowanej ochrony przed oprogramowaniem wymuszającym okup. Zapewnia to większy poziom ochrony przed atakami wymuszania okupu. Ponadto Ochrona punktu końcowego w usłudze Microsoft Defender monitoruje kilka z tych kluczy rejestru, takich jak techniki ASEP, które wyzwalają określone alerty. Ponadto używane klucze rejestru wymagają co najmniej uprawnień Administracja lokalnego lub zaufanego instalatora. Zaleca się używanie zablokowanego środowiska z minimalnymi kontami administracyjnymi lub prawami. Można włączyć inne konfiguracje systemu, w tym Wyłączyć SeDebug dla ról niewymaganych , które są częścią naszych szerszych zaleceń dotyczących zabezpieczeń.

Blokowanie uruchamiania niezaufanych programów z dysków wymiennych

  • Dotyczy — niezaufane programy z usb
  • Procesy — *
  • Operacja — wykonywanie procesu
  • *Przykłady plików/folderów, kluczy rejestru/wartości, procesów, usług:-
  • Reguły zmniejszania obszaru podatnego na ataki — reguły zmniejszania obszaru ataków mają wbudowaną regułę, aby zapobiec uruchamianiu niezaufanych i niepodpisanych programów z dysków wymiennych: blokuj niezaufane i niepodpisane procesy uruchamiane z usb, identyfikator GUID b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4.
  • Inne zalecane funkcje — zapoznaj się z większą ilością kontrolek dla urządzeń USB i innych nośników wymiennych przy użyciu Ochrona punktu końcowego w usłudze Microsoft Defender:Jak sterować urządzeniami USB i innymi nośnikami wymiennymi przy użyciu Ochrona punktu końcowego w usłudze Microsoft Defender.

Zablokuj programowi Mshta uruchamianie niektórych procesów podrzędnych

  • Dotyczy — Mshta
  • Procesy — mshta.exe
  • Operacja — wykonywanie procesu
  • Przykłady plików/folderów, kluczy/wartości rejestru, procesów, usług— powershell.exe, cmd.exe, regsvr32.exe
  • Reguły zmniejszania obszaru podatnego na ataki — reguły zmniejszania obszaru ataków nie zawierają żadnej konkretnej reguły, aby zapobiec mshta.exeprocesów podrzędnych. Ta kontrolka należy do zakresu funkcji Exploit Protection lub Windows Defender Application Control.
  • Inne zalecane funkcje — włącz Windows Defender kontrolkę aplikacji, aby całkowicie zapobiec wykonywaniu mshta.exe. Jeśli Twoja organizacja wymaga mshta.exe dla aplikacji biznesowych, skonfiguruj określoną regułę Windows Defender Exploit Protection, aby uniemożliwić mshta.exe uruchamianie procesów podrzędnych.

Blokowanie uruchamiania procesów podrzędnych w programie Outlook

  • Dotyczy — Outlook
  • Procesy — outlook.exe
  • Operacja — wykonywanie procesu
  • Przykłady plików/folderów, kluczy rejestru/wartości, procesów, usług — powershell.exe
  • Reguły zmniejszania obszaru podatnego na ataki — reguły zmniejszania obszaru ataków mają wbudowaną regułę, która uniemożliwia aplikacjom komunikacyjnym pakietu Office (Outlook, Skype i Teams) uruchamianie procesów podrzędnych: blokuj aplikacjom komunikacyjnym pakietu Office tworzenie procesów podrzędnych, identyfikator GUID 26190899-1602-49e8-8b27-eb1d0a1ce869.
  • Inne zalecane funkcje — zalecamy włączenie ograniczonego trybu języka programu PowerShell w celu zminimalizowania obszaru ataków z poziomu programu PowerShell.

Blokowanie uruchamiania procesów podrzędnych w usłudze Office Apps

  • Dotyczy pakietu Office
  • Procesy — winword.exe, powerpnt.exe, excel.exe
  • Operacja — wykonywanie procesu
  • Przykłady plików/folderów, kluczy/wartości rejestru, procesów, usług— powershell.exe, cmd.exe, wscript.exe, mshta.exe, EQNEDT32.EXE, regsrv32.exe
  • Reguły zmniejszania obszaru podatnego na ataki — reguły zmniejszania obszaru ataków mają wbudowaną regułę, która uniemożliwia aplikacjom pakietu Office uruchamianie procesów podrzędnych: blokuj wszystkim aplikacjom pakietu Office tworzenie procesów podrzędnych, identyfikator GUID d4f940ab-401b-4efc-aadc-ad5f3c50688a.
  • Inne zalecane funkcje — N/A

Blokowanie aplikacji pakietu Office tworzenia zawartości wykonywalnej

  • Dotyczy pakietu Office
  • Procesy — winword.exe, powerpnt.exe, excel.exe
  • Operacja — tworzenie pliku
  • Przykłady plików/folderów, kluczy rejestru/wartości, procesów, usług— C:\Users*\AppData**.exe, C:\ProgramData**.exe, C:\ProgramData**.com, C:\UsersAppData\Local\Temp**.com, C:\Users\Downloads**.exe, C:\Users*\AppData**.scf, C:\ProgramData**.scf, C:\Users\Public*.exe, C:\Users*\Desktop***.exe
  • Reguły zmniejszania obszaru podatnego na ataki — N/A.

Blokuj odczytywanie niektórych typów plików w języku Wscript

  • Dotyczy — Wscript
  • Procesy — wscript.exe
  • Operacja — odczyt pliku
  • Przykłady plików/folderów, kluczy rejestru/wartości, procesów, usług— C:\Users*\AppData**.js, C:\Users*\Downloads**.js
  • Reguły zmniejszania obszaru podatnego na ataki — ze względu na problemy z niezawodnością i wydajnością reguły zmniejszania obszaru ataków nie mają możliwości zapobiegania odczytywaniu określonego typu pliku skryptu przez określony proces. Mamy regułę zapobiegania wektorom ataków, które mogą pochodzić z tych scenariuszy. Nazwa reguły to Blokuj uruchamianie pobranej zawartości wykonywalnej w języku JavaScript lub VBScript (GUID d3e037e1-3eb8-44c8-a917-57927947596d ) i blokuj wykonywanie potencjalnie zaciemnionych skryptów (GUID * 5beb7efe-fd9a-4556-801d-275e5ffc04cc*).
  • Inne zalecane funkcje — chociaż istnieją specyficzne reguły zmniejszania obszaru ataków, które eliminują niektóre wektory ataków w tych scenariuszach, należy pamiętać, że usługa AV może domyślnie sprawdzać skrypty (PowerShell, Host skryptów systemu Windows, JavaScript, VBScript i inne) w czasie rzeczywistym za pośrednictwem interfejsu skanowania oprogramowania chroniącego przed złośliwym kodem (AMSI). Więcej informacji można znaleźć tutaj: Antimalware Scan Interface (AMSI).

Blokuj uruchamianie procesów podrzędnych

  • Dotyczy — Adobe Acrobat
  • Procesy — AcroRd32.exe, Acrobat.exe
  • Operacja — wykonywanie procesu
  • Przykłady plików/folderów, kluczy/wartości rejestru, procesów, usług— cmd.exe, powershell.exe, wscript.exe
  • Reguły zmniejszania obszaru podatnego na ataki — reguły zmniejszania obszaru ataków umożliwiają blokowanie uruchamiania procesów podrzędnych przez program Adobe Reader. Nazwa reguły to Blokuj programowi Adobe Reader możliwość tworzenia procesów podrzędnych, identyfikator GUID 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c.
  • Inne zalecane funkcje — N/A

Blokuj pobieranie lub tworzenie zawartości wykonywalnej

  • Dotyczy — CertUtil: blokuj pobieranie lub tworzenie pliku wykonywalnego
  • Procesy — certutil.exe
  • Operacja — tworzenie pliku
  • Przykłady plików/folderów, kluczy rejestru/wartości, procesów, usług — *.exe
  • Reguły zmniejszania obszaru podatnego na ataki — reguły zmniejszania obszaru ataków nie obsługują tych scenariuszy, ponieważ są częścią ochrony antywirusowej Microsoft Defender.
  • Inne zalecane funkcje — program antywirusowy Microsoft Defender uniemożliwia aplikacji CertUtil tworzenie lub pobieranie zawartości wykonywalnej.

Blokowanie zatrzymywania krytycznych składników systemu przez procesy

  • Dotyczy — wszystkie procesy
  • Procesy — *
  • Operacja — zakończenie procesu
  • Przykłady plików/folderów, kluczy/wartości rejestru, procesów, usług— MsSense.exe, MsMpEng.exe, NisSrv.exe, svchost.exe*, services.exe, csrss.exe, smss.exe, wininit.exe i innych.
  • Reguły zmniejszania obszaru podatnego na ataki — reguły zmniejszania obszaru ataków nie obsługują tych scenariuszy, ponieważ są chronione za pomocą wbudowanych zabezpieczeń systemu Windows.
  • Inne zalecane funkcje— ELAM (Early Launch AntiMalware), PPL (Protection Process Light), PPL AntiMalware Light i System Guard.

Blokuj określoną próbę uruchomienia procesu

  • Dotyczy określonych procesów
  • Procesów- Nadaj nazwę procesowi
  • Operacja — wykonywanie procesu
  • Przykłady plików/folderów, kluczy/wartości rejestru, procesów, usług — tor.exe, bittorrent.exe, cmd.exe, powershell.exe i innych
  • Reguły zmniejszania obszaru podatnego na ataki — ogólnie rzecz biorąc, reguły zmniejszania obszaru ataków nie są przeznaczone do działania jako menedżer aplikacji.
  • Inne zalecane funkcje — aby uniemożliwić użytkownikom uruchamianie określonych procesów lub programów, zaleca się używanie Windows Defender kontroli aplikacji. Ochrona punktu końcowego w usłudze Microsoft Defender wskaźniki plików i certyfikatów mogą być używane w scenariuszu reagowania na zdarzenia (nie powinny być postrzegane jako mechanizm kontroli aplikacji).

Blokowanie nieautoryzowanych zmian w konfiguracjach programu antywirusowego Microsoft Defender

  • Dotyczy — wszystkie procesy
  • Procesy — *
  • Operacja — modyfikacje rejestru
  • Przykłady plików/folderów, kluczy rejestru/wartości, procesów, usług— HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\DisableAntiSpyware, HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Policy Manager\AllowRealTimeMonitoring itd.
  • Reguły zmniejszania obszaru podatnego na ataki — reguły zmniejszania obszaru ataków nie obejmują tych scenariuszy, ponieważ są częścią Ochrona punktu końcowego w usłudze Microsoft Defender wbudowanej ochrony.
  • Inne zalecane funkcje — ochrona przed naruszeniami (opt-in, zarządzane z Intune) uniemożliwia nieautoryzowane zmiany disableAntiVirus, DisableAntiSpyware, DisableRealtimeMonitoring, DisableOnAccessProtection, DisableBehaviorMonitoring i DisableIOAVProtection kluczy rejestru (i więcej).

Zobacz też

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.