Udostępnij za pośrednictwem

Tworzenie i wdrażanie zasad funkcji Exploit Guard

  • Artykuł

Dotyczy: programu Configuration Manager (bieżąca gałąź)

Można skonfigurować i wdrożyć zasady Configuration Manager, które zarządzają wszystkimi czterema składnikami Windows Defender Exploit Guard. Te składniki obejmują:

  • Zmniejszanie obszaru podatnego na ataki
  • Kontrolowany dostęp do folderu
  • Ochrona przed wykorzystywaniem
  • Ochrona sieci

Dane zgodności dotyczące wdrażania zasad funkcji Exploit Guard są dostępne w konsoli Configuration Manager.

Uwaga

Configuration Manager domyślnie nie włącza tej opcjonalnej funkcji. Należy włączyć tę funkcję przed jej użyciem. Aby uzyskać więcej informacji, zobacz Włączanie opcjonalnych funkcji z aktualizacji.

Wymagania wstępne

Urządzenia zarządzane muszą działać Windows 10 1709 lub nowszym; minimalna kompilacja systemu Windows Server to wersja 1809 lub nowsza tylko do serwera 2019. W zależności od skonfigurowanych składników i reguł muszą być spełnione następujące wymagania:

Składnik Exploit Guard Dodatkowe wymagania wstępne
Zmniejszanie obszaru podatnego na ataki Urządzenia muszą mieć włączoną Ochrona punktu końcowego w usłudze Microsoft Defender zawsze włączoną ochronę.
Kontrolowany dostęp do folderu Urządzenia muszą mieć włączoną Ochrona punktu końcowego w usłudze Microsoft Defender zawsze włączoną ochronę.
Ochrona przed wykorzystywaniem Brak
Ochrona sieci Urządzenia muszą mieć włączoną Ochrona punktu końcowego w usłudze Microsoft Defender zawsze włączoną ochronę.

Tworzenie zasad funkcji Exploit Guard

  1. W konsoli Configuration Manager przejdź do pozycji Zasoby i zgodność>Programu Endpoint Protection, a następnie kliknij pozycję Windows Defender Exploit Guard.

  2. Na karcie Narzędzia główne w grupie Tworzenie kliknij pozycję Utwórz zasady programu Exploit.

  3. Na stronie OgólneKreatora tworzenia elementu konfiguracji określ nazwę i opcjonalny opis elementu konfiguracji.

  4. Następnie wybierz składniki funkcji Exploit Guard, które chcesz zarządzać za pomocą tych zasad. Dla każdego wybranego składnika można skonfigurować dodatkowe szczegóły.

    • Zmniejszanie obszaru podatnego na ataki: Skonfiguruj zagrożenia pakietu Office, zagrożenia związane z skryptami i zagrożenia pocztą e-mail, które chcesz zablokować lub przeprowadź inspekcję. Można również wykluczyć określone pliki lub foldery z tej reguły.
    • Kontrolowany dostęp do folderu: Skonfiguruj blokowanie lub inspekcję, a następnie dodaj aplikacje, które mogą pominąć te zasady. Można również określić dodatkowe foldery, które nie są domyślnie chronione.
    • Ochrona przed lukami w zabezpieczeniach: Określ plik XML zawierający ustawienia dotyczące łagodzenia luk w zabezpieczeniach procesów systemowych i aplikacji. Te ustawienia można wyeksportować z aplikacji Windows Defender Security Center na urządzeniu Windows 10 lub nowszym.
    • Ochrona sieci: Ustaw ochronę sieci, aby blokować lub przeprowadzać inspekcję dostępu do podejrzanych domen.

  5. Ukończ pracę kreatora, aby utworzyć zasady, które można później wdrożyć na urządzeniach.

    Ostrzeżenie

    Plik XML do ochrony przed lukami w zabezpieczeniach powinien być zabezpieczony podczas przenoszenia go między maszynami. Plik powinien zostać usunięty po zaimportowaniu lub przechowywaniu w bezpiecznej lokalizacji.

Wdrażanie zasad funkcji Exploit Guard

Po utworzeniu zasad funkcji Exploit Guard użyj kreatora wdrażania zasad funkcji Exploit Guard, aby je wdrożyć. W tym celu otwórz konsolę Configuration Manager w obszarze Zasoby i zgodność>Endpoint Protection, a następnie kliknij pozycję Wdróż zasady funkcji Exploit Guard.

Ważna

Po wdrożeniu zasad funkcji Exploit Guard, takich jak zmniejszanie obszaru podatnego na ataki lub kontrolowany dostęp do folderów, ustawienia funkcji Exploit Guard nie zostaną usunięte z klientów po usunięciu wdrożenia. Delete not supported jest rejestrowany w ExploitGuardHandler.log klienta, jeśli usuniesz wdrożenie funkcji Exploit Guard klienta. Następujący skrypt programu PowerShell można uruchomić w kontekście SYSTEMU, aby usunąć te ustawienia:

$defenderObject = Get-WmiObject -Namespace "root/cimv2/mdm/dmmap" -Class "MDM_Policy_Config01_Defender02" -Filter "InstanceID='Defender' and ParentID='./Vendor/MSFT/Policy/Config'"
$defenderObject.AttackSurfaceReductionRules = $null
$defenderObject.AttackSurfaceReductionOnlyExclusions = $null
$defenderObject.EnableControlledFolderAccess = $null
$defenderObject.ControlledFolderAccessAllowedApplications = $null
$defenderObject.ControlledFolderAccessProtectedFolders = $null
$defenderObject.EnableNetworkProtection = $null
$defenderObject.Put()

$exploitGuardObject = Get-WmiObject -Namespace "root/cimv2/mdm/dmmap" -Class "MDM_Policy_Config01_ExploitGuard02" -Filter "InstanceID='ExploitGuard' and ParentID='./Vendor/MSFT/Policy/Config'"
$exploitGuardObject.ExploitProtectionSettings = $null
$exploitGuardObject.Put()

ustawienia zasad Windows Defender Exploit Guard

Zasady i opcje zmniejszania obszaru podatnego na ataki

Zmniejszanie obszaru podatnego na ataki może zmniejszyć obszar ataków aplikacji dzięki inteligentnym regułom, które zatrzymują wektory używane przez pakiet Office, skrypty i złośliwe oprogramowanie oparte na wiadomościach e-mail. Dowiedz się więcej na temat zmniejszania obszaru podatnego na ataki i identyfikatorów zdarzeń używanych w tym celu.

  • Pliki i foldery do wykluczenia z reguł zmniejszania obszaru podatnego na ataki — kliknij pozycję Ustaw i określ wszystkie pliki lub foldery do wykluczenia.

  • zagrożenia Email:

    • Blokuj zawartość wykonywalną z klienta poczty e-mail i poczty internetowej.
      • Nie skonfigurowano
      • Blokuj
      • Inspekcji

  • Zagrożenia pakietu Office:

    • Zablokuj aplikacji pakietu Office możliwość tworzenia procesów podrzędnych.
      • Nie skonfigurowano
      • Blokuj
      • Inspekcji
    • Zablokuj aplikacjom pakietu Office tworzenie zawartości wykonywalnej.
      • Nie skonfigurowano
      • Blokuj
      • Inspekcji
    • Zablokuj aplikacjom pakietu Office wstrzykiwanie kodu do innych procesów.
      • Nie skonfigurowano
      • Blokuj
      • Inspekcji
    • Blokuj wywołania interfejsu API Win32 z makr pakietu Office.
      • Nie skonfigurowano
      • Blokuj
      • Inspekcji

  • Zagrożenia związane z tworzeniem skryptów:

    • Blokuj uruchamianie pobranej zawartości wykonywalnej w języku JavaScript lub VBScript.
      • Nie skonfigurowano
      • Blokuj
      • Inspekcji
    • Blokuj wykonywanie potencjalnie zaciemnionych skryptów.
      • Nie skonfigurowano
      • Blokuj
      • Inspekcji

  • Zagrożenia związane z oprogramowaniem wymuszającym okup: (począwszy od Configuration Manager wersji 1802)

    • Użyj zaawansowanej ochrony przed oprogramowaniem wymuszającym okup.
      • Nie skonfigurowano
      • Blokuj
      • Inspekcji

  • Zagrożenia systemu operacyjnego: (począwszy od Configuration Manager wersji 1802)

    • Blokuj kradzież poświadczeń z podsystemu lokalnego urzędu zabezpieczeń systemu Windows.
      • Nie skonfigurowano
      • Blokuj
      • Inspekcji
    • Blokuj uruchamianie plików wykonywalnych, chyba że spełniają kryteria występowania, wieku lub listy zaufanych.
      • Nie skonfigurowano
      • Blokuj
      • Inspekcji

  • Zagrożenia związane z urządzeniami zewnętrznymi: (począwszy od Configuration Manager wersji 1802)

    • Blokuj niezaufane i niepodpisane procesy uruchamiane z portu USB.
      • Nie skonfigurowano
      • Blokuj
      • Inspekcji

Zasady i opcje dostępu do folderów kontrolowanych

Pomaga chronić pliki w kluczowych folderach systemowych przed zmianami wprowadzonymi przez złośliwe i podejrzane aplikacje, w tym złośliwym oprogramowaniem wymuszającym szyfrowanie plików. Aby uzyskać więcej informacji, zobacz Kontrolowany dostęp do folderu i identyfikatory zdarzeń, których używa.

  • Skonfiguruj kontrolowany dostęp do folderu:
    • Blokuj
    • Blokuj tylko sektory dysków (począwszy od Configuration Manager wersji 1802)
      • Umożliwia włączenie dostępu do folderów kontrolowanych tylko dla sektorów rozruchu i nie włącza ochrony określonych folderów lub domyślnych folderów chronionych.
    • Inspekcji
    • Tylko sektory dysków inspekcji (począwszy od Configuration Manager wersji 1802)
      • Umożliwia włączenie dostępu do folderów kontrolowanych tylko dla sektorów rozruchu i nie włącza ochrony określonych folderów lub domyślnych folderów chronionych.
    • Wyłączona
  • Zezwalaj aplikacjom na dostęp do kontrolowanych folderów — kliknij pozycję Ustaw i określ aplikacje.
  • Dodatkowe foldery chronione — kliknij pozycję Ustaw i określ dodatkowe chronione foldery.

Zasady ochrony przed lukami w zabezpieczeniach

Stosuje techniki ograniczania ryzyka luk w zabezpieczeniach do procesów systemu operacyjnego i aplikacji używanych przez organizację. Te ustawienia można wyeksportować z aplikacji Windows Defender Security Center na urządzeniach Windows 10 lub nowszych. Aby uzyskać więcej informacji, zobacz Ochrona przed lukami w zabezpieczeniach.

  • Kod XML ochrony przed lukami w zabezpieczeniach: —kliknij pozycję Przeglądaj i określ plik XML do zaimportowania.

    Ostrzeżenie

    Plik XML do ochrony przed lukami w zabezpieczeniach powinien być zabezpieczony podczas przenoszenia go między maszynami. Plik powinien zostać usunięty po zaimportowaniu lub przechowywaniu w bezpiecznej lokalizacji.

Zasady ochrony sieci

Pomaga zminimalizować obszar ataków na urządzenia przed atakami internetowymi. Usługa ogranicza dostęp do podejrzanych domen, które mogą hostować wyłudzanie informacji, luki w zabezpieczeniach i złośliwą zawartość. Aby uzyskać więcej informacji, zobacz Ochrona sieci.

  • Konfigurowanie ochrony sieci:
    • Blokuj
    • Inspekcji
    • Wyłączona