Udostępnij za pośrednictwem


Krok nr 1. Konfigurowanie planu bazowego zabezpieczeń

Pierwszym krokiem do przeciwdziałania atakom wymuszającym okup jest skonfigurowanie następujących punktów odniesienia zabezpieczeń zdefiniowanych przez firmę Microsoft:

Te punkty odniesienia zawierają ustawienia konfiguracji i reguły, które są dobrze znane przez osoby atakujące, których brak jest szybko zauważany i często wykorzystywany.

Punkt odniesienia zabezpieczeń platformy Microsoft 365

Najpierw oceń i zmierz stan zabezpieczeń przy użyciu wskaźnika bezpieczeństwa firmy Microsoft i postępuj zgodnie z instrukcjami, aby je ulepszyć w razie potrzeby.

Następnie użyj reguł zmniejszania obszaru ataków , aby zablokować podejrzane działania i podatną na zagrożenia zawartość. Te reguły obejmują zapobieganie:

  • Wszystkie aplikacje pakietu Office z tworzenia procesów podrzędnych
  • Zawartość wykonywalna z klienta poczty e-mail i poczty internetowej
  • Uruchamianie plików wykonywalnych, chyba że spełniają kryterium występowania, wieku lub listy zaufanych
  • Wykonywanie potencjalnie zaciemnionych skryptów
  • Uruchamianie pobranej zawartości wykonywalnej w języku JavaScript lub VBScript
  • Tworzenie zawartości wykonywalnej przez aplikacje pakietu Office
  • Wprowadzanie kodu do innych procesów przez aplikacje pakietu Office
  • Aplikacja do komunikacji pakietu Office z tworzenia procesów podrzędnych
  • Niezaufane i niepodpisane procesy uruchamiane z portu USB
  • Trwałość za pośrednictwem subskrypcji zdarzeń interfejsu zarządzania windows (WMI)
  • Kradzież poświadczeń z podsystemu lokalnego urzędu zabezpieczeń systemu Windows (lsass.exe)
  • Tworzenie procesów pochodzące z poleceń PSExec i WMI

Punkt odniesienia zarządzania pocztą e-mail programu Exchange

Zapobiegaj początkowemu dostępowi do dzierżawy przed atakiem opartym na wiadomościach e-mail przy użyciu tych ustawień punktu odniesienia poczty e-mail programu Exchange:

Dodatkowe punkty odniesienia

Stosowanie punktów odniesienia zabezpieczeń dla:

  • Microsoft Windows 11 lub 10
  • Aplikacje Microsoft 365 dla przedsiębiorstw
  • Microsoft Edge

Wpływ na użytkowników i zarządzanie zmianami

Najlepszym rozwiązaniem dla reguły zmniejszania obszaru ataków jest ocena wpływu reguły na sieć, otwierając zalecenie dotyczące zabezpieczeń dla tej reguły w usłudze Defender Vulnerability Management. W okienku szczegółów rekomendacji opisano wpływ użytkownika, którego można użyć do określenia, jaki procent urządzeń może zaakceptować nowe zasady umożliwiające regułę w trybie blokowania bez negatywnego wpływu na produktywność użytkowników.

Ponadto ustawienia punktu odniesienia poczty e-mail programu Exchange mogą blokować przychodzące wiadomości e-mail i uniemożliwiać wysyłanie wiadomości e-mail lub klikanie linków w wiadomości e-mail. Poinformuj pracowników o tym zachowaniu i o przyczynie, dla którego podejmowane są te środki ostrożności.

Konfiguracja wyniku

Oto ochrona przed oprogramowaniem wymuszającym okup dla dzierżawy po tym kroku.

Ochrona przed oprogramowaniem wymuszającym okup dla dzierżawy platformy Microsoft 365 po kroku 1

Następny krok

Krok 2 dotyczący ochrony przed oprogramowaniem wymuszającym okup za pomocą platformy Microsoft 365

Przejdź do kroku 2 , aby wdrożyć funkcje wykrywania ataków i reagowania na nie dla dzierżawy platformy Microsoft 365.