Включение правил сокращения направлений атак в Microsoft Defender для бизнеса
Ваши атаки — это все места и способы уязвимости сети и устройств вашей организации к киберугрозам и атакам. Незащищенные устройства, неограниченный доступ к любому URL-адресу на устройстве компании и разрешение любого типа приложения или скрипта для запуска на корпоративных устройствах — все это примеры направлений атак. Они делают вашу компанию уязвимой для кибератак.
Чтобы защитить сеть и устройства, Microsoft Defender для бизнеса включает несколько возможностей сокращения направлений атак, включая правила сокращения направлений атак. В этой статье описано, как настроить правила сокращения направлений атак, а также описаны возможности сокращения направлений атак.
Правила ASR для стандартной защиты
Существует множество правил сокращения направлений атак. Вам не нужно настраивать их все сразу. Кроме того, вы можете настроить некоторые правила в режиме аудита, чтобы увидеть, как они работают в вашей организации, и изменить их для работы в режиме блокировки позже. При этом мы рекомендуем как можно скорее включить следующие стандартные правила защиты:
- Блокировка кражи учетных данных из подсистемы локального центра безопасности Windows
- Блокировать злоупотребление эксплуатируемыми уязвимыми подписанными драйверами
- Блокировка сохраняемости с помощью подписки на события WMI
Эти правила помогают защитить сеть и устройства, но не должны вызывать нарушения работы пользователей. Используйте Intune, чтобы настроить правила сокращения направлений атак.
Настройка правил ASR с помощью Intune
В Центре администрирования Microsoft Intune перейдите кразделу Сокращение зоны атакс безопасностью> конечных точек.
Выберите Создать политику , чтобы создать новую политику.
- В поле Платформа выберите Windows 10, Windows 11 и Windows Server.
- В поле Профиль выберите Правила сокращения направлений атаки, а затем нажмите кнопку Создать.
Настройте политику следующим образом:
Укажите имя и описание, а затем нажмите кнопку Далее.
По крайней мере для следующих трех правил присвойте каждому из них значение Блокировать:
- Блокировка кражи учетных данных из подсистемы локального центра безопасности Windows
- Блокировка сохраняемости с помощью подписки на события WMI
- Блокировать злоупотребление эксплуатируемыми уязвимыми подписанными драйверами
Затем нажмите кнопку Далее.
На шаге Теги области нажмите кнопку Далее.
На шаге Назначения выберите пользователей или устройства для получения правил, а затем нажмите кнопку Далее. (Рекомендуется выбрать Добавить все устройства.)
На шаге Проверка и создание просмотрите сведения и нажмите кнопку Создать.
Совет
При желании можно сначала настроить правила сокращения направлений атак в режиме аудита, чтобы увидеть обнаружения до фактической блокировки файлов или процессов. Дополнительные сведения о правилах сокращения направлений атак см. в статье Общие сведения о развертывании правил сокращения направлений атак.
Просмотр отчета о сокращении направлений атак
Defender для бизнеса содержит отчет о сокращении направлений атак, в которых показано, как работают правила сокращения направлений атак.
На портале Microsoft Defender в области навигации выберите Отчеты.
В разделе Конечные точки выберите Правила сокращения направлений атак. Откроется отчет, содержащий три вкладки:
- Обнаружения, в которых можно просматривать обнаружения, произошедшие в результате правил сокращения направлений атак.
- Конфигурация, в которой можно просматривать данные для стандартных правил защиты или других правил сокращения направлений атак.
- Добавление исключений, в которых можно добавлять элементы, которые будут исключены из правил сокращения направлений атак (используйте исключения экономно; каждое исключение снижает уровень защиты)
Дополнительные сведения о правилах сокращения направлений атак см. в следующих статьях:
- Общие сведения о правилах сокращения направлений атак
- Отчет о правилах сокращения направлений атак
- Справочник по правилам сокращения направлений атак
- Общие сведения о развертывании правил сокращения направлений атак
Возможности сокращения направлений атак в Defender для бизнеса
Правила сокращения направлений атак доступны в Defender для бизнеса. В следующей таблице перечислены возможности сокращения направлений атак в Defender для бизнеса. Обратите внимание, что другие возможности, такие как защита нового поколения и фильтрация веб-содержимого, работают вместе с возможностями сокращения направлений атак.
Возможность | Настройка |
---|---|
Правила сокращения направлений атак Запрет выполнения на устройствах Windows определенных действий, которые обычно связаны с вредоносными действиями. |
Включите стандартные правила сокращения направлений атак защиты (раздел этой статьи). |
Контролируемый доступ к папкам Управляемый доступ к папкам позволяет только доверенным приложениям получать доступ к защищенным папкам на устройствах Windows. Эту возможность можно рассматривать как защиту от программ-шантажистов. |
Настройка политики управляемого доступа к папкам в Microsoft Defender для бизнеса. |
Защита сети Защита сети предотвращает доступ пользователей к опасным доменам с помощью приложений на устройствах Windows и Mac. Защита сети также является ключевым компонентом фильтрации веб-содержимого в Microsoft Defender для бизнеса. |
Защита сети уже включена по умолчанию, когда устройства подключены к Defender для бизнеса и применяются политики защиты следующего поколения в Defender для бизнеса . Политики по умолчанию настроены для использования рекомендуемых параметров безопасности. |
Веб-защита Веб-защита интегрируется с веб-браузерами и работает с защитой сети для защиты от веб-угроз и нежелательного содержимого. Веб-защита включает фильтрацию веб-содержимого и отчеты о веб-угрозах. |
Настройка фильтрации веб-содержимого в Microsoft Defender для бизнеса. |
Защита брандмауэра Защита брандмауэра определяет, какой сетевой трафик может поступать на устройства вашей организации или с нее. |
Защита брандмауэра уже включена по умолчанию, когда устройства подключены к Defender для бизнеса и применяются политики брандмауэра в Defender для бизнеса . |