Защита основных восьми пользовательских приложений
Злоумышленники часто нацеливается на рабочие станции, использующие вредоносные веб-сайты, электронные письма или съемные носители в попытке извлечь конфиденциальную информацию. Усиление защиты приложений на рабочих станциях является важной частью снижения этого риска. Благодаря своей эффективности защита пользовательских приложений является одним из основных 8 из стратегий ACSC по устранению инцидентов кибербезопасности.
Злоумышленники часто пытаются использовать уязвимости, обнаруженные в более старых неподдерживаемых версиях приложений. Новые версии продуктов Майкрософт обеспечивают значительное улучшение функций безопасности, функциональных возможностей и обеспечивают повышенную стабильность. Часто именно отсутствие улучшенных функций безопасности позволяет злоумышленнику легко скомпрометировать старые версии приложений. Чтобы снизить этот риск, следует использовать последнюю поддерживаемую версию продуктов Майкрософт.
Для удобства Intune требуется развернуть следующие политики для связанного элемента управления:
-
OfficeMacroHardening-PreventActivationofOLE.ps1
- Этот скрипт PowerShell используется для выполнения следующих элементов управления:
-
UserApplicationHardening-RemoveFeatures.ps1
- Этот скрипт PowerShell используется для выполнения следующих элементов управления:
- Интернет-Обозреватель отключен или удален.
- платформа .NET Framework 3.5 (включая .NET 2.0 и 3.0) отключена или удалена.
- Windows PowerShell 2.0 отключена или удалена.
- Этот скрипт PowerShell используется для выполнения следующих элементов управления:
-
Рекомендации по ужесточение защиты Microsoft Edge для ACSC
- Этот профиль конфигурации устройств Intune используется для выполнения следующих элементов управления:
- Веб-браузеры не обрабатывают веб-объявления из Интернета.
- Реализованы рекомендации по обеспечению защиты ACSC или поставщиков для веб-браузеров.
- Этот профиль конфигурации устройств Intune используется для выполнения следующих элементов управления:
-
Рекомендации по усилением защиты Windows ACSC — правила сокращения направлений атак
- Этот Intune профиль правила уменьшения направлений атак с безопасностью конечных точек используется для выполнения следующих элементов управления:
- Microsoft Office не может создавать дочерние процессы.
- Microsoft Office не может создавать исполняемое содержимое.
- Microsoft Office не может внедрять код в другие процессы.
- Этот Intune профиль правила уменьшения направлений атак с безопасностью конечных точек используется для выполнения следующих элементов управления:
Java не устанавливается по умолчанию на Windows 10 или Windows 11.
Элемент управления ISM, сентябрь 2024 г. | Устранение рисков |
---|---|
1486 | Java не устанавливается по умолчанию на Windows 10 или Windows 11. |
Все доступные параметры конфигурации для отключения рекламы в Microsoft Edge настраиваются при развертывании базовых показателей безопасности Microsoft Edge и усиления защиты ACSC для Microsoft Edge.
Дополнительные блокировки можно добиться с помощью сторонних расширений для Microsoft Edge, фильтрации сети в шлюзе или использования защищенной службы DNS. Однако реализация этих элементов находится за пределами область этого документа.
Элемент управления ISM, сентябрь 2024 г. | Устранение рисков |
---|---|
1485 | Политика "Настройка рекламы для сайтов с навязчивой рекламой" настроена для включения. |
Интернет-Обозреватель 11 отсутствует на Windows 11.
15 июня 2022 г. корпорация Майкрософт удалила интернет-Обозреватель 11. Для организации, которая по-прежнему требует интернет-Обозреватель для обеспечения совместимости прежних версий, режим Internet Обозреватель (режим IE) в Microsoft Edge обеспечивает простой и единый браузер. Пользователи могут получать доступ к устаревшим приложениям из Microsoft Edge без необходимости переключения на Интернет Обозреватель 11.
После настройки режима IE администратор может отключить интернет-Обозреватель 11 в качестве автономного браузера. Интернет-Обозреватель 11 значков в меню "Пуск" и на панели задач удаляются. Пользователи перенаправляются в Microsoft Edge при попытке запустить ярлыки или сопоставления файлов, использующие Интернет Обозреватель 11, или при непосредственном вызове двоичного файла iexplore.exe.
Чтобы настроить интернет-Обозреватель открывать для определенных веб-сайтов непосредственно в Microsoft Edge, настройте политики режима IE. Дополнительные сведения см. в разделе Настройка политик режима IE.
Чтобы использовать Intune для отключения интернет-Обозреватель 11 в качестве автономного браузера для Windows 10 устройств, выполните следующие действия:
- Создайте новую политику каталога параметров.
- Просмотрите по категориям и выполните поиск: Отключить Интернет Обозреватель 11 как автономный браузер (пользователь).
- Перейдите в раздел *Административные шаблоны\Компоненты Windows\Internet Обозреватель и выберите параметр Отключить Интернет Обозреватель 11 как автономный браузер (пользователь).
- Включите параметр Отключить интернет-Обозреватель 11 в качестве автономного браузера (пользователь).
- Разверните политику для набора устройств или пользователей.
Кроме того, чтобы полностью удалить интернет-Обозреватель 11:
- Добавьте UserApplicationHardening-RemoveFeatures.ps1в качестве скрипта PowerShell со следующими параметрами:
- Запустите этот скрипт, используя учетные данные для входа: Нет
- Принудительное применение проверка подписи скрипта: Нет
- Выполнение скрипта на 64-разрядном узле PowerShell: Нет
- Назначьте сценарий группе развертывания.
Примечание
Этот скрипт также отключает платформа .NET Framework 3.5 (включая .NET 2.0 и 3.0) и Windows PowerShell 2.0.
Элемент управления ISM, сентябрь 2024 г. | Устранение рисков |
---|---|
1666 | Политика "Настройка списка сайтов в режиме предприятия" настраивается со списком веб-сайтов организации. Internet Обозреватель 11 был удален политикой "Отключить Интернет Обозреватель 11 как автономный браузер", настроенной какВключить, или удален с помощью скрипта. |
Блокировать создание дочерних процессов в Microsoft Office можно с помощью политики безопасности конечных точек сокращения направлений атак (ASR), развернутой с помощью Intune.
Корпорация Майкрософт предоставила на сайте GitHub Intune реализации руководства по защите Windows ACSC. Правило ASR, которое запрещает Microsoft Office создавать дочерние процессы, содержится в этом руководстве.
Чтобы реализовать блокировку создания дочерних процессов, выполните приведенные далее действия.
- Перейдите в раздел Graph Обозреватель и выполните проверку подлинности.
- Создайте запрос POST , используя бета-схему для конечной точки политики сокращения направлений атак: https://graph.microsoft.com/beta/deviceManagement/templates/0e237410-1367-4844-bd7f-15fb0f08943b/createInstance.
- Скопируйте JSON в политику acsc Windows Hardening Guidelines-Attack Surface Reduction и вставьте его в текст запроса.
- При необходимости измените значение имени (необязательно).
Эта политика безопасности конечных точек ASR содержит конкретное правило ASR: Запретить всем приложениям Office создавать дочерние процессы (D4F940AB-401B-4EFC-AADC-AD5F3C50688A).
Примечание
При импорте этого профиля правила ASR Microsoft Office блокирует создание исполняемого содержимого (3B576869-A4EC-4529-8536-B80A7769E899) и внедрение кода в другой процесс (75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84).
Примечание
Эта политика сокращения направлений атаки (ASR) настраивает каждое из правил ASR, рекомендуемых ACSC в режиме аудита. Правила ASR должны быть проверены на наличие проблем совместимости в любой среде перед применением.
Элемент управления ISM, сентябрь 2024 г. | Устранение рисков |
---|---|
1667 | Включено правило ASR "Блокировать создание дочерних процессов для всех приложений Office". |
Блокировка Microsoft Office от создания дочерних процессов (3B576869-A4EC-4529-8536-B80A7769E899) может быть выполнена с помощью политики безопасности конечных точек сокращения направлений атак (ASR), развернутой с помощью Intune.
Элемент управления ISM, сентябрь 2024 г. | Устранение рисков |
---|---|
1668 | Включено правило ASR "Блокировать приложения Office от создания исполняемого содержимого". |
Блокировка Microsoft Office от создания дочерних процессов (75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84) может быть реализована с помощью политики безопасности конечных точек сокращения направлений атаки (ASR), развернутой через Intune.
Элемент управления ISM, сентябрь 2024 г. | Устранение рисков |
---|---|
1669 | Включено правило ASR "Блокировать внедрение кода в другие процессы приложений Office". |
Разверните сценарий PowerShellOfficeMacroHardening-PreventActivationofOLE.ps1, чтобы импортировать разделы реестра, которые блокируют активацию пакетов OLE в Excel, PowerPoint и Word.
Чтобы реализовать предотвращение активации пакетов OLE, выполните приведенные далее действия.
- Добавьте OfficeMacroHardening-PreventActivationofOLE.ps1в качестве скрипта PowerShell со следующими параметрами:
- Запустите этот скрипт с учетными данными для входа: Да
- Принудительное применение проверка подписи скрипта: Нет
- Выполнение скрипта на 64-разрядном узле PowerShell: Нет
- Назначьте сценарий группе развертывания.
Примечание
Этот скрипт PowerShell предназначен специально для Office 2016 и более поздних версий. Скрипт для предотвращения активации OLE для Office 2013 предоставляется здесь: OfficeMacroHardening-PreventActivationofOLE-Office2013.ps1.
Скрипт не подписан. Если требуется подписывание скрипта, ознакомьтесь со следующей документацией, чтобы подписать скрипт, чтобы его можно было выполнить на устройствах Windows: Методы подписывания скриптов и измените проверка Принудительное применение подписи скрипта на : Да.
Элемент управления ISM, сентябрь 2024 г. | Устранение рисков |
---|---|
1542 | Активация пакетов OLE была запрещена с помощью скрипта. |
Microsoft Edge настроен как средство просмотра PDF по умолчанию для Windows 10 и Windows 11. Просмотр PDF-файлов можно дополнительно ужесточить с помощью политик, включенных в ACSC, или руководства по обеспечению безопасности поставщиков для веб-браузеров.
Кроме того, если ваша организация использует Adobe Reader в качестве программного обеспечения PDF по умолчанию, настройте соответствующее правило сокращения направлений атаки, чтобы запретить Adobe Reader создавать дочерние процессы, выполнив следующие действия.
- В Intune перейдите кразделу Снижение уровня атак с безопасностью> конечных точек.
- Создайте (или измените) новую политику безопасности конечных точек сокращения направлений атак.
- Установите параметр Запретить Adobe Reader создавать дочерние процессы в значение Включить.
- Назначьте политику правила сокращения направлений атаки группе.
Элемент управления ISM, сентябрь 2024 г. | Устранение рисков |
---|---|
1670 | Включено правило ASR "Блокировать создание дочерних процессов в Adobe Reader". |
Руководство по обеспечению защиты для веб-браузеров, программного обеспечения Microsoft Office и PDF
Microsoft Edge устанавливается по умолчанию в Windows 10 и Windows 11 и является рекомендуемой веб-браузерой. Microsoft Edge является браузером по умолчанию и средством просмотра PDF-файлов, если не настроено иное.
Корпорация Майкрософт и ACSC предоставили рекомендации и конкретные политики для усиления защиты Microsoft Edge. Оба набора рекомендаций должны развертываться одновременно.
Чтобы реализовать базовые показатели безопасности, выполните следующие действия.
- Перейдите в разделБазовые показатели безопасности>конечных> точекMicrosoft Edge.
- Создайте новый базовый план Microsoft Edge, выбрав Создать профиль.
- Просмотрите конфигурацию и назначьте группе базовый план безопасности.
Чтобы реализовать рекомендации по обеспечению защиты, выполните следующие действия.
- Сохраните политику acsc Microsoft Edge Hardening Guidelines на локальном устройстве.
- Перейдите к консоли Microsoft Intune.
- Импорт политики в разделе Устройства > Профили > конфигурации Windows > Создать > политику импорта
- Присвойте политике имя, выберите Обзор файлов в разделе Файл политики и перейдите к сохраненной политике из шага 1.
- Нажмите Save (Сохранить)
Примечание
Корпорация Майкрософт также выпустила Intune политики, которые были составлены для того, чтобы помочь организациям соблюдать Windows 10 Рекомендации по защите Windows 10 Австралийского центра кибербезопасности (ACSC). В этих политиках также содержатся рекомендуемые политики усиления безопасности ACSC для Microsoft Edge.
Элемент управления ISM, сентябрь 2024 г. | Устранение рисков |
---|---|
1412, 1860 | — Развертывание базовых показателей безопасности Microsoft Edge — Разверните руководство по обеспечению защиты Microsoft Edge для ACSC. |
Microsoft Apps для бизнеса с помощью рекомендуемых параметров для усиления защиты Microsoft 365, Office 2021, Office 2019 и Office 2016 из ACSC в рамках основного раздела Настройка параметров макросов Microsoft Office 8.
Элемент управления ISM, сентябрь 2024 г. | Устранение рисков |
---|---|
1859 | Разверните рекомендации по обеспечению безопасности Office ACSC. |
Параметры безопасности программного обеспечения веб-браузера, Microsoft Office и PDF не могут быть изменены пользователями
Когда политики, указанные в этом документе, развертываются с помощью Intune, параметры, содержащиеся в них, применяются и не могут быть изменены обычными пользователями.
Элемент управления ISM, сентябрь 2024 г. | Устранение рисков |
---|---|
1585 | Когда политики, указанные в этом документе, развертываются с помощью Intune, параметры, содержащиеся в них, применяются и не могут быть изменены обычными пользователями. |
Развертывание скрипта PowerShellUserApplicationHardening-RemoveFeatures.ps1 отключает компонент платформа .NET Framework 3.5 (включая .NET 2.0 и 3.0), если он установлен.
Элемент управления ISM, сентябрь 2024 г. | Устранение рисков |
---|---|
ISM-1655 | платформа .NET Framework 3.5 (включая .NET 2.0 и 3.0) отключена или удалена. |
Развертывание сценария PowerShellUserApplicationHardening-RemoveFeatures.ps1 отключает компонент Windows PowerShell 2.0, если он установлен.
Элемент управления ISM, сентябрь 2024 г. | Устранение рисков |
---|---|
1612 | Windows PowerShell 2.0 отключена или удалена с помощью предоставленного скрипта. |
Ограниченный языковой режим включен в документе о стратегии устранения рисков для основных восьми элементов управления приложениями.
Заблокированные выполнения сценариев PowerShell централизованно регистрируются и защищаются от несанкционированного изменения и удаления, отслеживаются на наличие признаков компрометации и выполняются действия при обнаружении событий кибербезопасности.
Microsoft Defender для конечной точки (MDE) можно использовать для получения и хранения журналов из конечных точек, которые можно использовать для обнаружения событий кибербезопасности.
В Microsoft Defender для конечной точки Advanced Hunting можно выполнить аудит выполнения скрипта. Microsoft Defender для конечной точки функция расширенной охоты регистрирует несколько событий управления приложениями, включая событие с идентификатором 8029, которое сообщает о заблокированных скриптах или скриптах, принудительно выполняемых в ограниченном языковом режиме.
Кроме того, переадресация событий WDAC может использоваться для мониторинга событий в стороннем решении для мониторинга.
Ссылки:
Общие сведения об идентификаторах событий управления приложениями (Windows) — безопасность | WindowsЗапрос событий управления приложениями с помощью расширенной охоты (Windows) — безопасность Windows
Intune можно использовать для простого подключения устройств к MDE.
Как и при выполнении заблокированных сценариев PowerShell, события создания процесса командной строки, которые являются предшественниками для указания компрометации, собираются при регистрации устройства в Defender для конечной точки. События можно просмотреть на портале Defender для конечной точки на странице устройства в разделе Временная шкала.
Чтобы реализовать конечные точки подключения к MDE:
- Создайте профиль конфигурации Windows с типом Template>Microsoft Defender для конечной точки (настольные устройства под управлением Windows 10 или более поздней версии).
- Задайте для параметра Ускорение передачи данных телеметрии значениеВключить.
- Назначьте политику группе развертывания.
После подключения устройств к MDE выполнение PowerShell записывается для проверки, и при необходимости можно выполнить действия. Дополнительные сведения см. в разделе Действия реагирования на устройство в Microsoft Defender для конечной точки.
Элемент управления ISM, сентябрь 2024 г. | Устранение рисков |
---|---|
1664, 1665, 1405 | Идентификаторы событий управления приложениями записываются Defender для конечной точки при регистрации устройств в Defender для конечной точки. |
1899 | События создания процесса командной строки, которые являются предшественниками для признаков компрометации, фиксируются Defender для конечной точки при регистрации устройств в Defender для конечной точки. |