Włączanie reguł zmniejszania obszaru ataków w Microsoft Defender dla Firm
Powierzchnie ataków to wszystkie miejsca i sposoby, w jakie sieć i urządzenia organizacji są narażone na cyberzagrożenia i ataki. Niezabezpieczone urządzenia, nieograniczony dostęp do dowolnego adresu URL na urządzeniu firmowym i zezwalanie na uruchamianie dowolnych typów aplikacji lub skryptów na urządzeniach firmowych to przykłady obszarów ataków. Narażają twoją firmę na cyberataki.
Aby chronić sieć i urządzenia, Microsoft Defender dla Firm obejmuje kilka możliwości zmniejszania obszaru ataków, w tym reguły zmniejszania obszaru ataków. W tym artykule opisano sposób konfigurowania reguł zmniejszania obszaru ataków i opisano możliwości zmniejszania obszaru podatnego na ataki.
Uwaga
Intune nie jest uwzględniona w autonomicznej wersji usługi Defender for Business, ale można ją dodać.
Reguły asr ochrony standardowej
Dostępnych jest wiele reguł zmniejszania obszaru podatnego na ataki. Nie musisz ustawiać ich wszystkich jednocześnie. Możesz też skonfigurować niektóre reguły w trybie inspekcji, aby zobaczyć, jak działają w organizacji, i później zmienić je na tryb blokowy. Zalecamy jak najszybsze włączenie następujących standardowych reguł ochrony:
- Blokuj kradzież poświadczeń z podsystemu lokalnego urzędu zabezpieczeń systemu Windows
- Blokowanie nadużyć wobec wykorzystywanych, narażonych na zagrożenia podpisanych kierowców
- Blokowanie trwałości za pośrednictwem subskrypcji zdarzeń WMI
Te reguły pomagają chronić sieć i urządzenia, ale nie powinny powodować zakłóceń dla użytkowników. Użyj Intune, aby skonfigurować reguły zmniejszania obszaru ataków.
Konfigurowanie reguł usługi ASR przy użyciu Intune
Jako administrator globalny w centrum administracyjnym Microsoft Intune (https://intune.microsoft.com/) przejdź do obszaru Obszarataków zabezpieczeń >punktu końcowego.
Wybierz Twórca zasad, aby utworzyć nowe zasady.
- W obszarze Platforma wybierz pozycje Windows 10, Windows 11 i Windows Server.
- W obszarze Profil wybierz pozycję Reguły zmniejszania obszaru podatnego na ataki, a następnie wybierz pozycję Twórca.
Skonfiguruj zasady w następujący sposób:
Określ nazwę i opis, a następnie wybierz pozycję Dalej.
W przypadku co najmniej trzech następujących reguł ustaw dla każdej z nich wartość Blokuj:
- Blokuj kradzież poświadczeń z podsystemu lokalnego urzędu zabezpieczeń systemu Windows
- Blokowanie trwałości za pośrednictwem subskrypcji zdarzeń WMI
- Blokowanie nadużyć wobec wykorzystywanych, narażonych na zagrożenia podpisanych kierowców
Następnie wybierz pozycję Dalej.
W kroku Tagi zakresu wybierz pozycję Dalej.
W kroku Przypisania wybierz użytkowników lub urządzenia do odbierania reguł, a następnie wybierz pozycję Dalej. (Zalecamy wybranie pozycji Dodaj wszystkie urządzenia).
W kroku Przeglądanie i tworzenie przejrzyj informacje, a następnie wybierz pozycję Twórca.
Porada
Jeśli wolisz, możesz najpierw skonfigurować reguły zmniejszania obszaru ataków w trybie inspekcji, aby zobaczyć wykrycia przed faktycznym zablokowaniem plików lub procesów. Aby uzyskać bardziej szczegółowe informacje na temat reguł zmniejszania obszaru ataków, zobacz Omówienie wdrażania reguł zmniejszania obszaru podatnego na ataki.
Wyświetlanie raportu redukcji obszaru ataków
Usługa Defender dla firm zawiera raport dotyczący zmniejszania obszaru ataków, który pokazuje, jak działają reguły zmniejszania obszaru ataków.
Jako administrator globalny w portalu Microsoft Defender (https://security.microsoft.com) w okienku nawigacji wybierz pozycję Raporty.
W obszarze Punkty końcowe wybierz pozycję Reguły zmniejszania obszaru podatnego na ataki. Raport zostanie otwarty i zawiera trzy karty:
- Wykrywania, w których można wyświetlać wykrycia, które wystąpiły w wyniku reguł zmniejszania obszaru ataków
- Konfiguracja, w której można wyświetlać dane dla standardowych reguł ochrony lub innych reguł zmniejszania obszaru ataków
- Dodaj wykluczenia, w których można dodawać elementy, które mają zostać wykluczone z reguł zmniejszania obszaru ataków (oszczędnie używaj wykluczeń; każde wykluczenie zmniejsza poziom ochrony zabezpieczeń)
Aby dowiedzieć się więcej na temat reguł zmniejszania obszaru ataków, zobacz następujące artykuły:
- Omówienie reguł zmniejszania obszaru podatnego na ataki
- Raport reguł zmniejszania obszaru ataków
- Dokumentacja reguł zmniejszania obszaru podatnego na ataki
- Omówienie wdrażania reguł zmniejszania obszaru podatnego na ataki
Możliwości zmniejszania obszaru ataków w usłudze Defender for Business
Reguły zmniejszania obszaru podatnego na ataki są dostępne w usłudze Defender dla Firm. Poniższa tabela zawiera podsumowanie możliwości zmniejszania obszaru ataków w usłudze Defender dla firm. Zwróć uwagę, że inne możliwości, takie jak ochrona następnej generacji i filtrowanie zawartości internetowej, współdziałają z możliwościami zmniejszania obszaru ataków.
| Możliwości | Jak go skonfigurować |
|---|---|
| Reguły zmniejszania obszaru podatnego na ataki Zapobiegaj określonym akcjom, które są często skojarzone ze złośliwym działaniem uruchamianym na urządzeniach z systemem Windows. |
Włącz standardowe reguły zmniejszania obszaru podatnego na ataki ( sekcja w tym artykule). |
| Kontrolowany dostęp do folderu Kontrolowany dostęp do folderów umożliwia tylko zaufanym aplikacjom dostęp do chronionych folderów na urządzeniach z systemem Windows. Tę możliwość należy traktować jako ograniczenie ryzyka wymuszania okupu. |
Skonfiguruj zasady dostępu do folderów kontrolowanych w Microsoft Defender dla Firm. |
| Ochrona sieci Ochrona sieci uniemożliwia użytkownikom dostęp do niebezpiecznych domen za pośrednictwem aplikacji na urządzeniach z systemem Windows i Mac. Ochrona sieci jest również kluczowym składnikiem filtrowania zawartości sieci Web w Microsoft Defender dla Firm. |
Ochrona sieci jest już domyślnie włączona, gdy urządzenia są dołączane do usługi Defender dla Firm, a zasady ochrony nowej generacji w usłudze Defender dla firm są stosowane. Domyślne zasady są skonfigurowane do używania zalecanych ustawień zabezpieczeń. |
| Ochrona sieci Web Ochrona sieci Web integruje się z przeglądarkami internetowymi i współpracuje z ochroną sieci w celu ochrony przed zagrożeniami internetowymi i niepożądaną zawartością. Ochrona w Internecie obejmuje filtrowanie zawartości internetowej i raporty dotyczące zagrożeń internetowych. |
Skonfiguruj filtrowanie zawartości sieci Web w Microsoft Defender dla Firm. |
| Ochrona zapory Ochrona zapory określa, jaki ruch sieciowy może przepływać do lub z urządzeń organizacji. |
Ochrona zapory jest już domyślnie włączona, gdy urządzenia są dołączane do usługi Defender dla Firm, a zasady zapory w usłudze Defender dla firm są stosowane. |
Następne kroki
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla