Często zadawane pytania dotyczące zmniejszania obszaru podatnego na ataki

Redukcja obszaru podatnego na ataki była pierwotnie funkcją pakietu funkcji ochrony przed lukami w zabezpieczeniach wprowadzonych jako ważna aktualizacja programu antywirusowego Microsoft Defender w Windows 10, wersja 1709. Microsoft Defender Antivirus jest natywnym składnikiem ochrony przed złośliwym kodem systemu Windows. Jednak pełny zestaw funkcji zmniejszania obszaru podatnego na ataki jest dostępny tylko z licencją enterprise systemu Windows. Należy również pamiętać, że niektóre Microsoft Defender wykluczenia programu antywirusowego mają zastosowanie do wykluczeń reguł zmniejszania obszaru podatnego na ataki. Zobacz Dokumentacja reguł zmniejszania obszaru podatnego na ataki — Microsoft Defender wykluczenia programu antywirusowego i reguły zmniejszania obszaru podatnego na ataki.

Pełny zestaw reguł i funkcji zmniejszania obszaru ataków jest obsługiwany tylko wtedy, gdy masz licencję przedsiębiorstwa na Windows 10 lub Windows 11. Ograniczona liczba reguł może działać bez licencji przedsiębiorstwa. Jeśli masz usługę Microsoft 365 Business, ustaw program antywirusowy Microsoft Defender jako podstawowe rozwiązanie zabezpieczeń i włącz reguły za pośrednictwem programu PowerShell. Korzystanie z redukcji obszaru ataków bez licencji przedsiębiorstwa nie jest oficjalnie obsługiwane i nie będzie można korzystać z pełnych możliwości zmniejszania obszaru ataków.

Aby dowiedzieć się więcej na temat licencjonowania systemu Windows, zobacz licencjonowanie Windows 10 i uzyskaj przewodnik licencjonowania zbiorowego dla Windows 10.

Tak. Redukcja obszaru ataków jest obsługiwana w systemie Windows Enterprise E3 i nowszych wersjach.

Wszystkie reguły obsługiwane w środowisku E3 są również obsługiwane w środowisku E5.

Środowisko E5 dodaje większą integrację z usługą Defender for Endpoint. W wersji E5 można wyświetlać alerty w czasie rzeczywistym, dostosowywać wykluczenia reguł, konfigurować reguły zmniejszania obszaru ataków i wyświetlać listy raportów zdarzeń.

Redukcja obszaru podatnego na ataki obsługuje obecnie wszystkie poniższe reguły.

Aby dowiedzieć się, co jest najlepsze dla Twojego środowiska, zalecamy włączenie reguł zmniejszania obszaru ataków w trybie inspekcji. Dzięki temu podejściu można określić możliwy wpływ na organizację. Na przykład twoje aplikacje biznesowe.

W przypadku reguł zmniejszania obszaru ataków dodanie jednego wykluczenia ma wpływ na każdą regułę zmniejszania obszaru ataków.

Wykluczenia reguł zmniejszania obszaru ataków obsługują symbole wieloznaczne, ścieżki i zmienne środowiskowe. Aby uzyskać więcej informacji na temat używania symboli wieloznacznych w regułach zmniejszania obszaru ataków, zobacz konfigurowanie i weryfikowanie wykluczeń na podstawie rozszerzenia pliku i lokalizacji folderu.

Należy pamiętać o następujących elementach dotyczących wykluczeń reguł zmniejszania obszaru ataków (w tym symboli wieloznacznych i zmiennych env):

• Większość wykluczeń reguł zmniejszania obszaru ataków jest niezależna od wykluczeń programu antywirusowego Microsoft Defender. Jednak Microsoft Defender wykluczenia programu antywirusowego mają zastosowanie do niektórych reguł zmniejszania obszaru ataków. Zobacz Dokumentacja reguł zmniejszania obszaru podatnego na ataki — Microsoft Defender wykluczenia programu antywirusowego i reguły zmniejszania obszaru podatnego na ataki.
• Symboli wieloznacznych nie można używać do definiowania litery dysku.
• Jeśli chcesz wykluczyć więcej niż jeden folder, w ścieżce użyj wielu wystąpień \*\ , aby wskazać wiele zagnieżdżonych folderów (na przykład c:\Folder\*\*\Test)
• Program Microsoft Endpoint Configuration Manager obsługuje symbole wieloznaczne (* lub ?).
• Jeśli chcesz wykluczyć plik zawierający losowe znaki (automatyczne generowanie plików), możesz użyć symbolu "?" (na przykład C:\Folder\fileversion?.docx)
• Wykluczenia zmniejszania obszaru ataków w zasady grupy nie obsługują cudzysłowów (aparat natywnie obsługuje długą ścieżkę, spacje itp., więc nie ma potrzeby używania cudzysłowów).
• Reguły zmniejszania obszaru ataków są uruchamiane w ramach konta NT AUTHORITY\SYSTEM, więc zmienne środowiskowe są ograniczone do zmiennych maszynowych.

Różne reguły zmniejszania obszaru ataków mają różne przepływy ochrony. Zawsze zastanów się, przed czym chroni się skonfigurowana reguła zmniejszania obszaru ataków i jak przepływ rzeczywistego wykonywania jest przesuwany.

Przykład: Blokowanie kradzieży poświadczeń z podsystemu lokalnego urzędu zabezpieczeń systemu Windows odczyt bezpośrednio z procesu podsystemu lokalnego urzędu zabezpieczeń (LSASS) może stanowić zagrożenie dla bezpieczeństwa, ponieważ może on uwidoczniać poświadczenia firmowe.

Ta reguła uniemożliwia niezaufanym procesom bezpośredni dostęp do pamięci LSASS. Za każdym razem, gdy proces próbuje użyć funkcji OpenProcess() w celu uzyskania dostępu do LSASS z prawem dostępu PROCESS_VM_READ, reguła w szczególności blokuje to prawo dostępu.

Patrząc na powyższy przykład, jeśli rzeczywiście trzeba było utworzyć wyjątek dla procesu, że prawo dostępu zostało zablokowane, dodanie nazwy pliku wraz z pełną ścieżką spowoduje wykluczenie go z blokady i po zezwoleniu na dostęp do pamięci procesu LSASS. Wartość 0 oznacza, że reguły zmniejszania obszaru podatnego na ataki ignorują ten plik/proces i nie blokują ani nie przeprowadzają inspekcji.

Aby uzyskać informacje na temat konfigurowania wykluczeń dla reguł, zobacz Testowe reguły zmniejszania obszaru podatnego na ataki.

Zalecamy włączenie każdej możliwej reguły. Jednak w niektórych przypadkach nie należy włączać reguły. Na przykład nie zalecamy włączania reguły blokowania tworzenia procesów pochodzących z reguły poleceń PSExec i WMI, jeśli używasz Configuration Manager punktu końcowego firmy Microsoft (lub programu System Center Configuration Manager — SCCM) do zarządzania punktami końcowymi.

Zdecydowanie zalecamy przeczytanie wszystkich informacji specyficznych dla reguł i/lub ostrzeżeń, które są dostępne w naszej publicznej dokumentacji. obejmujących wiele filarów ochrony, takich jak pakiet Office, poświadczenia, skrypty, poczta e-mail itp. Wszystkie reguły zmniejszania obszaru ataków, z wyjątkiem subskrypcji zdarzeń Blokuj trwałość za pośrednictwem usługi WMI, są obsługiwane w systemie Windows 1709 i nowszych wersjach:

• Blokowanie nadużyć wobec wykorzystywanych, narażonych na zagrożenia podpisanych kierowców
• Blokuj zawartość wykonywalną z klienta poczty e-mail i poczty internetowej
• Blokowanie tworzenia procesów podrzędnych przez wszystkie aplikacje pakietu Office
• Blokowanie tworzenia zawartości wykonywalnej przez aplikacje pakietu Office
• Blokuj aplikacjom pakietu Office wstrzykiwanie kodu do innych procesów
• Blokowanie uruchamiania pobranej zawartości wykonywalnej w języku JavaScript lub VBScript
• Blokuj wykonywanie potencjalnie zaciemnionych skryptów
• Blokuj wywołania interfejsu API Win32 z makra pakietu Office
• Korzystanie z zaawansowanej ochrony przed oprogramowaniem wymuszającym okup
• Blokuj kradzież poświadczeń z podsystemu lokalnego urzędu zabezpieczeń systemu Windows (lsass.exe)
• Blokuj tworzenie procesów pochodzących z poleceń PSExec i WMI
• Blokuj niezaufane i niepodpisane procesy uruchamiane z portu USB
• Blokuj uruchamianie plików wykonywalnych, chyba że spełniają kryteria występowania, wieku lub listy zaufanych
• Blokuj aplikacjom komunikacyjnym pakietu Office możliwość tworzenia procesów podrzędnych
• Zablokuj programowi Adobe Reader tworzenie procesów podrzędnych
• Blokowanie trwałości za pośrednictwem subskrypcji zdarzeń WMI

Domyślny stan reguły zmniejszania obszaru podatnego na ataki "Blokuj kradzież poświadczeń z podsystemu lokalnego urzędu zabezpieczeń systemu Windows (lsass.exe)" zmienia się z Nie skonfigurowano na skonfigurowano , a tryb domyślny ustawiony na Blokuj. Wszystkie inne reguły zmniejszania obszaru ataków pozostają w stanie domyślnym: Nie skonfigurowano. Dodatkowa logika filtrowania została już włączona do reguły w celu zmniejszenia liczby powiadomień użytkowników końcowych. Klienci mogą skonfigurować regułę w trybach Inspekcja, Ostrzeżenie lub Wyłączone , co zastępuje tryb domyślny. Funkcjonalność tej reguły jest taka sama, niezależnie od tego, czy reguła jest skonfigurowana w trybie domyślnym, czy też w trybie blokuj ręcznie.

Sprawdź, jak reguły zmniejszania obszaru podatnego na ataki wpływają na organizację przed włączeniem ich, uruchamiając reguły zmniejszania obszaru ataków w trybie inspekcji przez krótki okres czasu. Podczas uruchamiania reguł w trybie inspekcji można zidentyfikować wszystkie aplikacje biznesowe, które mogą zostać zablokowane błędnie, i wykluczyć je z redukcji obszaru ataków.

Większe organizacje powinny rozważyć wprowadzenie reguł zmniejszania obszaru ataków w "pierścieniach", przeprowadzając inspekcję i włączając reguły w coraz szerszych podzbiorach urządzeń. Urządzenia organizacji można rozmieścić w pierścienie przy użyciu Intune lub narzędzia do zarządzania zasady grupy.

Zachowaj regułę w trybie inspekcji przez około 30 dni, aby uzyskać dobry punkt odniesienia działania reguły po jej uruchomieniu w całej organizacji. W okresie inspekcji można zidentyfikować wszystkie aplikacje biznesowe, które mogą zostać zablokowane przez regułę, i skonfigurować regułę w celu ich wykluczenia.

W większości przypadków łatwiej i lepiej jest zacząć od zaleceń dotyczących planu bazowego sugerowanych przez usługę Defender dla punktu końcowego niż próby zaimportowania reguł z innego rozwiązania zabezpieczeń. Następnie użyj narzędzi, takich jak tryb inspekcji, monitorowanie i analiza, aby skonfigurować nowe rozwiązanie zgodnie z twoimi unikatowymi potrzebami.

Domyślna konfiguracja większości reguł zmniejszania obszaru ataków w połączeniu z ochroną punktu końcowego w czasie rzeczywistym w usłudze Defender chroni przed dużą liczbą luk w zabezpieczeniach i luk w zabezpieczeniach.

Z poziomu usługi Defender for Endpoint możesz zaktualizować swoje mechanizmy obronne za pomocą niestandardowych wskaźników, aby zezwalać na określone zachowania oprogramowania i blokować je. Redukcja obszaru ataków umożliwia również pewne dostosowanie reguł w postaci wykluczeń plików i folderów. Ogólnie rzecz biorąc, najlepiej jest przeprowadzać inspekcję reguły przez pewien czas i konfigurować wykluczenia dla wszystkich aplikacji biznesowych, które mogą zostać zablokowane.

Tak. Aby uzyskać więcej informacji na temat wykluczania plików lub folderów z reguł zmniejszania obszaru ataków, zobacz Wykluczanie plików i folderów z reguł zmniejszania obszaru ataków oraz aby uzyskać więcej informacji na temat używania zmiennych systemowych i symboli wieloznacznych w wykluczonych ścieżkach plików, zobaczKonfigurowanie i weryfikowanie wykluczeń na podstawie rozszerzenia pliku i lokalizacji folderu.

To zależy od reguły. Większość reguł zmniejszania obszaru podatnego na ataki obejmuje zachowanie produktów i usług pakietu Microsoft Office, takich jak Word, Excel, PowerPoint i OneNote lub Outlook. Niektóre reguły zmniejszania obszaru ataków, takie jak Blokowanie wykonywania potencjalnie zaciemnionych skryptów, są bardziej ogólne w zakresie.

Zmniejszanie obszaru ataków używa programu antywirusowego Microsoft Defender do blokowania aplikacji. Obecnie nie można skonfigurować zmniejszania obszaru podatnego na ataki w celu korzystania z innego rozwiązania zabezpieczeń do blokowania.

Za każdym razem, gdy powiadomienie jest wyzwalane lokalnie przez regułę zmniejszania obszaru ataków, raport o zdarzeniu jest również wysyłany do portalu usługi Defender for Endpoint. Jeśli masz problemy ze znalezieniem zdarzenia, możesz filtrować oś czasu zdarzeń przy użyciu pola wyszukiwania. Zdarzenia zmniejszania obszaru ataków można również wyświetlić, odwiedzając stronę Przejdź do zarządzania obszarem ataków z poziomu ikony zarządzania konfiguracją na pasku zadań Defender for Cloud. Strona zarządzania obszarem ataków zawiera kartę wykrywania raportów, która zawiera pełną listę zdarzeń reguł zmniejszania obszaru ataków zgłaszanych do usługi Defender for Endpoint.

Spróbuj otworzyć opcje indeksowania bezpośrednio z Windows 10 lub Windows 11.

1. Wybierz ikonę Search na pasku zadań systemu Windows.

2. W polu wyszukiwania wprowadź opcje indeksowania .

Nie. Kryteria używane przez tę regułę są utrzymywane przez ochronę w chmurze firmy Microsoft w celu stałego aktualizowania listy zaufanych z danymi zebranymi z całego świata. Administratorzy lokalni nie mają dostępu do zapisu w celu zmiany tych danych. Jeśli chcesz skonfigurować tę regułę, aby dostosować ją do przedsiębiorstwa, możesz dodać niektóre aplikacje do listy wykluczeń, aby zapobiec wyzwoleniu reguły.

Ta reguła opiera się na tym, że każda aplikacja ma znaną reputację, mierzoną występowaniem, wiekiem lub dołączeniem do listy zaufanych aplikacji. Decyzja reguły o zablokowaniu lub zezwoleniu na aplikację jest ostatecznie określana przez ocenę tych kryteriów przez usługę Microsoft Cloud Protection.

Zazwyczaj ochrona w chmurze może określić, że nowa wersja aplikacji jest na tyle podobna do poprzednich wersji, że nie trzeba jej ponownie oceniać. Jednak może upłynąć trochę czasu, zanim aplikacja zbuduje reputację po zmianie wersji, szczególnie po ważnej aktualizacji. W międzyczasie możesz dodać aplikację do listy wykluczeń, aby zapobiec blokowaniu ważnych aplikacji przez tę regułę. Jeśli często aktualizujesz i pracujesz z nowymi wersjami aplikacji, możesz zdecydować się na uruchomienie tej reguły w trybie inspekcji.

Powiadomienie wygenerowane przez tę regułę niekoniecznie wskazuje na złośliwe działanie. Jednak ta reguła jest nadal przydatna do blokowania złośliwych działań, ponieważ złośliwe oprogramowanie często jest ukierunkowane na lsass.exe w celu uzyskania nielegalnego dostępu do kont. Proces lsass.exe przechowuje poświadczenia użytkownika w pamięci po zalogowaniu się użytkownika. System Windows używa tych poświadczeń do weryfikowania użytkowników i stosowania lokalnych zasad zabezpieczeń.

Ponieważ wiele legalnych procesów w typowym dniu wywołuje lsass.exe poświadczeń, ta reguła może być szczególnie hałaśliwa. Jeśli znana legalna aplikacja powoduje wygenerowanie przez tę regułę nadmiernej liczby powiadomień, możesz dodać ją do listy wykluczeń. Większość innych reguł zmniejszania obszaru ataków generuje stosunkowo mniejszą liczbę powiadomień w porównaniu z tą, ponieważ wywołanie lsass.exe jest typowe dla normalnego działania wielu aplikacji.

Włączenie tej reguły nie zapewnia dodatkowej ochrony, jeśli włączono również ochronę LSA . Zarówno reguła, jak i ochrona LSA działają w taki sam sposób, więc oba działania w tym samym czasie byłyby nadmiarowe. Jednak czasami może nie być możliwe włączenie ochrony LSA. W takich przypadkach można włączyć tę regułę, aby zapewnić równoważną ochronę przed złośliwym oprogramowaniem docelowym lsass.exe.

• Omówienie zmniejszania obszaru podatnego na ataki
• Ocena reguł zmniejszania obszaru ataków
• Wdrażanie reguł zmniejszania obszaru ataków Krok 3: Implementowanie reguł zmniejszania obszaru ataków
• Włączanie reguł zmniejszania obszaru ataków
• Zgodność programu antywirusowego Microsoft Defender z innymi programami antywirusowymi/złośliwym kodem