Включение правил сокращения направлений атак в Microsoft Defender для бизнеса
Ваши атаки — это все места и способы уязвимости сети и устройств вашей организации к киберугрозам и атакам. Незащищенные устройства, неограниченный доступ к любому URL-адресу на устройстве компании и разрешение любого типа приложения или скрипта для запуска на корпоративных устройствах — все это примеры направлений атак. Они делают вашу компанию уязвимой для кибератак.
Чтобы защитить сеть и устройства, Microsoft Defender для бизнеса включает несколько возможностей сокращения направлений атак, включая правила сокращения направлений атак. В этой статье описано, как настроить правила сокращения направлений атак, а также описаны возможности сокращения направлений атак.
Существует множество правил сокращения направлений атак. Вам не нужно настраивать их все сразу. Кроме того, вы можете настроить некоторые правила в режиме аудита, чтобы увидеть, как они работают в вашей организации, и изменить их для работы в режиме блокировки позже. При этом мы рекомендуем как можно скорее включить следующие стандартные правила защиты:
- Блокировка кражи учетных данных из подсистемы локального центра безопасности Windows
- Блокировать злоупотребление эксплуатируемыми уязвимыми подписанными драйверами
- Блокировка сохраняемости с помощью подписки на события WMI
Эти правила помогают защитить сеть и устройства, но не должны вызывать нарушения работы пользователей. Используйте Intune, чтобы настроить правила сокращения направлений атак.
В Центре администрирования Microsoft Intune перейдите кразделу Сокращение зоны атакс безопасностью> конечных точек.
Выберите Создать политику , чтобы создать новую политику.
- В поле Платформа выберите Windows 10, Windows 11 и Windows Server.
- В поле Профиль выберите Правила сокращения направлений атаки, а затем нажмите кнопку Создать.
Настройте политику следующим образом:
Укажите имя и описание, а затем нажмите кнопку Далее.
По крайней мере для следующих трех правил присвойте каждому из них значение Блокировать:
- Блокировка кражи учетных данных из подсистемы локального центра безопасности Windows
- Блокировка сохраняемости с помощью подписки на события WMI
- Блокировать злоупотребление эксплуатируемыми уязвимыми подписанными драйверами
Затем нажмите кнопку Далее.
На шаге Теги области нажмите кнопку Далее.
На шаге Назначения выберите пользователей или устройства для получения правил, а затем нажмите кнопку Далее. (Рекомендуется выбрать Добавить все устройства.)
На шаге Проверка и создание просмотрите сведения и нажмите кнопку Создать.
Совет
При желании можно сначала настроить правила сокращения направлений атак в режиме аудита, чтобы увидеть обнаружения до фактической блокировки файлов или процессов. Дополнительные сведения о правилах сокращения направлений атак см. в статье Общие сведения о развертывании правил сокращения направлений атак.
Defender для бизнеса содержит отчет о сокращении направлений атак, в которых показано, как работают правила сокращения направлений атак.
На портале Microsoft Defender в области навигации выберите Отчеты.
В разделе Конечные точки выберите Правила сокращения направлений атак. Откроется отчет, содержащий три вкладки:
- Обнаружения, в которых можно просматривать обнаружения, произошедшие в результате правил сокращения направлений атак.
- Конфигурация, в которой можно просматривать данные для стандартных правил защиты или других правил сокращения направлений атак.
- Добавление исключений, в которых можно добавлять элементы, которые будут исключены из правил сокращения направлений атак (используйте исключения экономно; каждое исключение снижает уровень защиты)
Дополнительные сведения о правилах сокращения направлений атак см. в следующих статьях:
- Общие сведения о правилах сокращения направлений атак
- Отчет о правилах сокращения направлений атак
- Справочник по правилам сокращения направлений атак
- Общие сведения о развертывании правил сокращения направлений атак
Правила сокращения направлений атак доступны в Defender для бизнеса. В следующей таблице перечислены возможности сокращения направлений атак в Defender для бизнеса. Обратите внимание, что другие возможности, такие как защита нового поколения и фильтрация веб-содержимого, работают вместе с возможностями сокращения направлений атак.
Возможность | Настройка |
---|---|
Правила сокращения направлений атак Запрет выполнения на устройствах Windows определенных действий, которые обычно связаны с вредоносными действиями. |
Включите стандартные правила сокращения направлений атак защиты (раздел этой статьи). |
Контролируемый доступ к папкам Управляемый доступ к папкам позволяет только доверенным приложениям получать доступ к защищенным папкам на устройствах Windows. Эту возможность можно рассматривать как защиту от программ-шантажистов. |
Настройка политики управляемого доступа к папкам в Microsoft Defender для бизнеса. |
Защита сети Защита сети предотвращает доступ пользователей к опасным доменам с помощью приложений на устройствах Windows и Mac. Защита сети также является ключевым компонентом фильтрации веб-содержимого в Microsoft Defender для бизнеса. |
Защита сети уже включена по умолчанию, когда устройства подключены к Defender для бизнеса и применяются политики защиты следующего поколения в Defender для бизнеса . Политики по умолчанию настроены для использования рекомендуемых параметров безопасности. |
Веб-защита Веб-защита интегрируется с веб-браузерами и работает с защитой сети для защиты от веб-угроз и нежелательного содержимого. Веб-защита включает фильтрацию веб-содержимого и отчеты о веб-угрозах. |
Настройка фильтрации веб-содержимого в Microsoft Defender для бизнеса. |
Защита брандмауэра Защита брандмауэра определяет, какой сетевой трафик может поступать на устройства вашей организации или с нее. |
Защита брандмауэра уже включена по умолчанию, когда устройства подключены к Defender для бизнеса и применяются политики брандмауэра в Defender для бизнеса . |