Włączanie reguł zmniejszania obszaru ataków w usłudze Microsoft Defender dla Firm
Powierzchnie ataków to wszystkie miejsca i sposoby, w jakie sieć i urządzenia organizacji są narażone na cyberzagrożenia i ataki. Niezabezpieczone urządzenia, nieograniczony dostęp do dowolnego adresu URL na urządzeniu firmowym i zezwalanie na uruchamianie dowolnych typów aplikacji lub skryptów na urządzeniach firmowych to przykłady obszarów ataków. Narażają twoją firmę na cyberataki.
Aby ułatwić ochronę sieci i urządzeń, usługa Microsoft Defender dla Firm oferuje kilka możliwości zmniejszania obszaru ataków, w tym reguły zmniejszania obszaru podatnego na ataki. W tym artykule opisano sposób konfigurowania reguł zmniejszania obszaru ataków i opisano możliwości zmniejszania obszaru podatnego na ataki.
Dostępnych jest wiele reguł zmniejszania obszaru podatnego na ataki. Nie musisz ustawiać ich wszystkich jednocześnie. Możesz też skonfigurować niektóre reguły w trybie inspekcji, aby zobaczyć, jak działają w organizacji, i później zmienić je na tryb blokowy. Zalecamy jak najszybsze włączenie następujących standardowych reguł ochrony:
- Blokuj kradzież poświadczeń z podsystemu lokalnego urzędu zabezpieczeń systemu Windows
- Blokowanie nadużyć wobec wykorzystywanych, narażonych na zagrożenia podpisanych kierowców
- Blokowanie trwałości za pośrednictwem subskrypcji zdarzeń WMI
Te reguły pomagają chronić sieć i urządzenia, ale nie powinny powodować zakłóceń dla użytkowników. Użyj usługi Intune, aby skonfigurować reguły zmniejszania obszaru ataków.
W centrum administracyjnym usługi Microsoft Intune przejdź do obszaru Zabezpieczenia punktu końcowego>— zmniejszanie obszaru podatnego na ataki.
Wybierz pozycję Utwórz zasady , aby utworzyć nowe zasady.
- W obszarze Platforma wybierz pozycję Windows 10, Windows 11 i Windows Server.
- W obszarze Profil wybierz pozycję Reguły zmniejszania obszaru podatnego na ataki, a następnie wybierz pozycję Utwórz.
Skonfiguruj zasady w następujący sposób:
Określ nazwę i opis, a następnie wybierz pozycję Dalej.
W przypadku co najmniej trzech następujących reguł ustaw dla każdej z nich wartość Blokuj:
- Blokuj kradzież poświadczeń z podsystemu lokalnego urzędu zabezpieczeń systemu Windows
- Blokowanie trwałości za pośrednictwem subskrypcji zdarzeń WMI
- Blokowanie nadużyć wobec wykorzystywanych, narażonych na zagrożenia podpisanych kierowców
Następnie wybierz pozycję Dalej.
W kroku Tagi zakresu wybierz pozycję Dalej.
W kroku Przypisania wybierz użytkowników lub urządzenia do odbierania reguł, a następnie wybierz pozycję Dalej. (Zalecamy wybranie pozycji Dodaj wszystkie urządzenia).
W kroku Przeglądanie i tworzenie przejrzyj informacje, a następnie wybierz pozycję Utwórz.
Porada
Jeśli wolisz, możesz najpierw skonfigurować reguły zmniejszania obszaru ataków w trybie inspekcji, aby zobaczyć wykrycia przed faktycznym zablokowaniem plików lub procesów. Aby uzyskać bardziej szczegółowe informacje na temat reguł zmniejszania obszaru ataków, zobacz Omówienie wdrażania reguł zmniejszania obszaru podatnego na ataki.
Usługa Defender dla firm zawiera raport dotyczący zmniejszania obszaru ataków, który pokazuje, jak działają reguły zmniejszania obszaru ataków.
W portalu usługi Microsoft Defender w okienku nawigacji wybierz pozycję Raporty.
W obszarze Punkty końcowe wybierz pozycję Reguły zmniejszania obszaru podatnego na ataki. Raport zostanie otwarty i zawiera trzy karty:
- Wykrywania, w których można wyświetlać wykrycia, które wystąpiły w wyniku reguł zmniejszania obszaru ataków
- Konfiguracja, w której można wyświetlać dane dla standardowych reguł ochrony lub innych reguł zmniejszania obszaru ataków
- Dodaj wykluczenia, w których można dodawać elementy, które mają zostać wykluczone z reguł zmniejszania obszaru ataków (oszczędnie używaj wykluczeń; każde wykluczenie zmniejsza poziom ochrony zabezpieczeń)
Aby dowiedzieć się więcej na temat reguł zmniejszania obszaru ataków, zobacz następujące artykuły:
- Omówienie reguł zmniejszania obszaru podatnego na ataki
- Raport reguł zmniejszania obszaru ataków
- Dokumentacja reguł zmniejszania obszaru podatnego na ataki
- Omówienie wdrażania reguł zmniejszania obszaru podatnego na ataki
Reguły zmniejszania obszaru podatnego na ataki są dostępne w usłudze Defender dla Firm. Poniższa tabela zawiera podsumowanie możliwości zmniejszania obszaru ataków w usłudze Defender dla firm. Zwróć uwagę, że inne możliwości, takie jak ochrona następnej generacji i filtrowanie zawartości internetowej, współdziałają z możliwościami zmniejszania obszaru ataków.
Możliwości | Jak go skonfigurować |
---|---|
Reguły zmniejszania obszaru podatnego na ataki Zapobiegaj określonym akcjom, które są często skojarzone ze złośliwym działaniem uruchamianym na urządzeniach z systemem Windows. |
Włącz standardowe reguły zmniejszania obszaru podatnego na ataki ( sekcja w tym artykule). |
Kontrolowany dostęp do folderu Kontrolowany dostęp do folderów umożliwia tylko zaufanym aplikacjom dostęp do chronionych folderów na urządzeniach z systemem Windows. Tę możliwość należy traktować jako ograniczenie ryzyka wymuszania okupu. |
Skonfiguruj zasady dostępu do kontrolowanych folderów w usłudze Microsoft Defender dla Firm. |
Ochrona sieci Ochrona sieci uniemożliwia użytkownikom dostęp do niebezpiecznych domen za pośrednictwem aplikacji na urządzeniach z systemem Windows i Mac. Ochrona sieci jest również kluczowym składnikiem filtrowania zawartości sieci Web w usłudze Microsoft Defender dla Firm. |
Ochrona sieci jest już domyślnie włączona, gdy urządzenia są dołączane do usługi Defender dla Firm, a zasady ochrony nowej generacji w usłudze Defender dla firm są stosowane. Domyślne zasady są skonfigurowane do używania zalecanych ustawień zabezpieczeń. |
Ochrona sieci Web Ochrona sieci Web integruje się z przeglądarkami internetowymi i współpracuje z ochroną sieci w celu ochrony przed zagrożeniami internetowymi i niepożądaną zawartością. Ochrona w Internecie obejmuje filtrowanie zawartości internetowej i raporty dotyczące zagrożeń internetowych. |
Konfigurowanie filtrowania zawartości internetowej w usłudze Microsoft Defender dla Firm. |
Ochrona zapory Ochrona zapory określa, jaki ruch sieciowy może przepływać do lub z urządzeń organizacji. |
Ochrona zapory jest już domyślnie włączona, gdy urządzenia są dołączane do usługi Defender dla Firm, a zasady zapory w usłudze Defender dla firm są stosowane. |