Możliwości zmniejszania obszaru ataków w Ochrona punktu końcowego w usłudze Microsoft Defender

Redukcja obszaru podatnego na ataki to zestaw możliwości w Ochrona punktu końcowego w usłudze Microsoft Defender, które eliminują ryzykowne lub niepotrzebne zachowania na urządzeniach i w sieciach, co zmniejsza możliwości naruszenia bezpieczeństwa organizacji przez osoby atakujące. Powierzchnie ataków to wszystkie miejsca, w których organizacja jest podatna na zagrożenia cybernetyczne. Wzmacniając te powierzchnie, możesz przede wszystkim zapobiec atakom.

Te możliwości blokują ryzykowne zachowania oprogramowania, uniemożliwiają nawiązywanie połączeń ze złośliwymi witrynami i chronią dane przed nieautoryzowanym dostępem lub eksfiltracją. Razem tworzą warstwową obronę, która uzupełnia funkcje wykrywania i reagowania w usłudze Defender for Endpoint.

Możliwości zmniejszania obszaru podatnego na ataki

Zmniejszenie obszaru podatnego na ataki w usłudze Defender for Endpoint obejmuje następujące możliwości:

• Reguły zmniejszania obszaru ataków (ASR) ograniczają ryzykowne zachowania oprogramowania wykorzystywane przez osoby atakujące, takie jak uruchamianie plików wykonywalnych, które próbują pobierać pliki, uruchamianie zaciemnionych skryptów lub wykonywanie akcji, których aplikacje zwykle nie inicjują podczas codziennej pracy. Aby uzyskać więcej informacji, zobacz Omówienie reguł zmniejszania obszaru podatnego na ataki (ASR).

• Kontrolowany dostęp do folderów chroni cenne dane przed złośliwymi aplikacjami i zagrożeniami, takimi jak oprogramowanie wymuszające okup. Sprawdza ona listę znanych, zaufanych aplikacji i uniemożliwia niezaufanym aplikacjom modyfikowanie plików w folderach chronionych. Aby uzyskać więcej informacji, zobacz Ochrona ważnych folderów przy użyciu kontrolowanego dostępu do folderów.

• Ochrona przed lukami w zabezpieczeniach stosuje techniki ograniczania ryzyka luk w zabezpieczeniach do procesów i aplikacji systemu operacyjnego automatycznie. Bazuje ona na zabezpieczeniach dostępnych w zestawie narzędzi Enhanced Mitigation Experience Toolkit (EMET) i integruje się z usługą Defender for Endpoint na potrzeby raportowania i alertów. Aby uzyskać więcej informacji, zobacz Ochrona urządzeń przed lukami w zabezpieczeniach.

• Ochrona sieci uniemożliwia nawiązywanie połączeń ze złośliwymi lub podejrzanymi domenami i adresami IP. Rozszerza ochronę Microsoft Defender SmartScreen, aby zablokować cały wychodzący ruch HTTP(S), który próbuje nawiązać połączenie ze źródłami o niskiej reputacji. Aby uzyskać więcej informacji, zobacz Ochrona sieci.

• Ochrona sieci Web zabezpiecza urządzenia przed zagrożeniami internetowymi i pomaga regulować niechcianą zawartość. Ochrona w Internecie obejmuje ochronę przed zagrożeniami w Internecie, filtrowanie zawartości internetowej i wskaźniki niestandardowe. Aby uzyskać więcej informacji, zobacz Ochrona w Internecie.

• Filtrowanie zawartości internetowej śledzi i reguluje dostęp do witryn internetowych na podstawie ich kategorii zawartości, co umożliwia blokowanie kategorii naruszających przepisy zgodności lub zasady organizacyjne. Aby uzyskać więcej informacji, zobacz Filtrowanie zawartości sieci Web.

• Kontrola urządzenia określa, czy użytkownicy mogą instalować urządzenia peryferyjne, takie jak dyski USB, drukarki i urządzenia Bluetooth na swoich komputerach. Kontrola urządzenia pomaga zapobiegać utracie danych i złośliwemu oprogramowaniu z nośników wymiennych. Aby uzyskać więcej informacji, zobacz Kontrola urządzenia w Ochrona punktu końcowego w usłudze Microsoft Defender.

• Raportowanie zapory sieciowej integruje się z zaporą systemu Windows w celu zapewnienia scentralizowanego wglądu w zdarzenia zapory w portalu Microsoft Defender. Aby uzyskać więcej informacji, zobacz Raportowanie zapory hosta.

Dostępność tych funkcji została podsumowana w poniższej tabeli:

Funkcja	System Windows	macOS	Linux
Reguły usługi ASR	T	N	N
Kontrolowany dostęp do folderu	T	N	N
Ochrona przed wykorzystywaniem	T	N	N
Ochrona sieci	T	T	T*
Ochrona sieci Web	T	T	T*
Filtrowanie zawartości sieci Web	T	T	T
Kontrola urządzenia	T	T	N
Raportowanie zapory	T	N	N

^* Obecnie w wersji zapoznawczej.

Powiązane funkcje zabezpieczeń systemu Windows

Następujące funkcje zabezpieczeń systemu Windows uzupełniają redukcję obszaru ataków w usłudze Defender for Endpoint, ale są konfigurowane i zarządzane oddzielnie:

• Microsoft Defender Application Guard zapewnia sprzętową izolację dla przeglądarki Microsoft Edge, otwierając niezaufane witryny w kontenerze w celu ochrony organizacji. Aby uzyskać więcej informacji, zobacz omówienie Microsoft Defender Application Guard.
• Kontrola aplikacji usługi Windows Defender (WDAC) zapewnia, że na urządzeniach działają tylko zaufane aplikacje. Aby uzyskać więcej informacji, zobacz Kontrola aplikacji dla systemu Windows.
• Zapora systemu Windows kontroluje przychodzący i wychodzący ruch sieciowy na urządzeniach. Aby uzyskać więcej informacji, zobacz Zapora systemu Windows z zaawansowanymi zabezpieczeniami.

Jak redukcja obszaru ataków pasuje do usługi Defender for Endpoint

Redukcja obszaru ataków uzupełnia inne możliwości usługi Defender for Endpoint, które wykrywają zagrożenia i reagują na nie po ich wystąpieniu. Podczas gdy ochrona następnej generacji oraz wykrywanie i reagowanie punktów końcowych koncentrują się na identyfikowaniu i korygowaniu aktywnych zagrożeń, redukcja obszaru ataków uniemożliwia uzyskanie przyczółka przez zagrożenia.

Każda funkcja dotyczy innej części obszaru ataku:

• Ryzykowne zachowanie oprogramowania: reguły usługi ASR ograniczają zachowanie aplikacji i skryptów, blokując typowe techniki, których osoby atakujące używają do dostarczania złośliwego oprogramowania lub kradzieży poświadczeń.
• Połączenia sieciowe: Ochrona sieci i ochrona w Internecie blokują dostęp do znanych złośliwych lub nieodpowiednich witryn, zanim zawartość dotrze do urządzenia.
• Dostęp do danych i plików: kontrolowany dostęp do folderów i ograniczanie kontroli urządzeń, do których aplikacji i sprzętu mogą uzyskiwać dostęp lub modyfikować pliki poufne.
• Luki w zabezpieczeniach aplikacji: Ochrona przed lukami w zabezpieczeniach stosuje środki zaradcze, które utrudniają osobom atakującym wykorzystanie luk w zabezpieczeniach w procesach i aplikacjach systemu operacyjnego.

Tryb inspekcji

Tryb inspekcji pomaga ocenić wpływ funkcji zmniejszania obszaru ataków na środowisko bez wpływu na produktywność. Następujące możliwości obsługują tryb inspekcji:

• Reguły i wykluczenia zmniejszania obszaru ataków (ASR)
• Kontrolowany dostęp do folderu
• Ochrona przed wykorzystywaniem
• Ochrona sieci

W trybie inspekcji funkcje nie blokują aplikacji, skryptów ani połączeń. Zamiast tego dziennik zdarzeń systemu Windows rejestruje zdarzenia tak, jakby funkcje były aktywne. Możesz przejrzeć dzienniki zdarzeń i użyć zaawansowanego wyszukiwania zagrożeń w portalu Microsoft Defender, aby zrozumieć, jak każda funkcja wpłynie na aplikacje biznesowe. Aby uzyskać więcej informacji na temat danych w systemie Windows Podgląd zdarzeń, zobacz Wyświetlanie zdarzeń zmniejszania obszaru ataków w systemie Windows Podgląd zdarzeń.

Narzędzia do zarządzania

Możliwości zmniejszania obszaru podatnego na ataki można skonfigurować przy użyciu kilku narzędzi do zarządzania. Często używane są następujące narzędzia:

• Microsoft Intune
• Microsoft Configuration Manager
• Zasady grupy
• Polecenia cmdlet programu PowerShell

Odpowiednie narzędzie zależy od infrastruktury organizacji i preferencji zarządzania. Aby uzyskać szczegółowe wskazówki dotyczące konfiguracji, zobacz artykuły dotyczące poszczególnych funkcji połączone w sekcji Możliwości zmniejszania obszaru ataków .

Zawartość pokrewna

• Omówienie reguł zmniejszania obszaru ataków (ASR)
• Przewodnik wdrażania reguł zmniejszania powierzchni podatnej na ataki (ASR)
• Zdarzenia zmniejszania obszaru ataków w systemie Windows Podgląd zdarzeń
• Ochrona ważnych folderów za pomocą kontrolowanego dostępu do folderów
• Chroń urządzenia przed wykorzystaniem
• Ochrona sieci
• Ochrona sieci Web
• Kontrola urządzenia w Ochrona punktu końcowego w usłudze Microsoft Defender