Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Сокращение направлений атак — это набор возможностей в Microsoft Defender для конечной точки, которые устраняют рискованное или ненужное поведение на устройствах и сетях, уменьшая возможности, которые злоумышленники могут скомпрометировать вашу организацию. Области атак — это все места, где ваша организация уязвима для киберугроз. Затвердев эти поверхности, вы в первую очередь можете предотвратить атаки.
Эти возможности блокируют опасное поведение программного обеспечения, предотвращают подключения к вредоносным сайтам и защищают данные от несанкционированного доступа или кражи. Вместе они формируют многоуровневую защиту, которая дополняет функции обнаружения и реагирования в Defender для конечной точки.
Возможности уменьшения площади атаки
Сокращение направлений атак в Defender для конечной точки включает следующие возможности:
Правила сокращения направлений атак (ASR) ограничивают рискованное поведение программного обеспечения, которое злоумышленники используют, например запуск исполняемых файлов, пытающихся скачать файлы, выполнение скрытых сценариев или выполнение действий, которые приложения обычно не инициируют во время повседневной работы. Дополнительные сведения см. в статье Общие сведения о правилах сокращения направлений атак (ASR).
Контролируемый доступ к папкам защищает ценные данные от вредоносных приложений и угроз, таких как программы-шанты. Он проверяет приложения на соответствие списку известных доверенных приложений и не позволяет ненадежным приложениям изменять файлы в защищенных папках. Дополнительные сведения см. в разделе Защита важных папок с помощью управляемого доступа к папкам.
Защита от эксплойтов автоматически применяет методы устранения эксплойтов к процессам и приложениям операционной системы. Он основан на защите, доступной в расширенном средстве по устранению рисков (EMET), и интегрируется с Defender для конечной точки для создания отчетов и оповещений. Дополнительные сведения см. в разделе Защита устройств от эксплойтов.
Защита сети предотвращает подключения к вредоносным или подозрительным доменам и IP-адресам. Он расширяет защиту SmartScreen Microsoft Defender, чтобы блокировать весь исходящий трафик HTTP(S), который пытается подключиться к источникам с низкой репутацией. Дополнительные сведения см. в разделе Защита сети.
Веб-защита защищает устройства от веб-угроз и помогает регулировать нежелательное содержимое. Веб-защита включает защиту от веб-угроз, фильтрацию веб-содержимого и пользовательские индикаторы. Дополнительные сведения см. в разделе Веб-защита.
Фильтрация веб-содержимого отслеживает и регулирует доступ к веб-сайтам на основе их категорий контента, позволяя блокировать категории, которые нарушают правила соответствия требованиям или политики организации. Дополнительные сведения см. в разделе Фильтрация веб-содержимого.
Управление устройствами определяет, могут ли пользователи устанавливать и использовать периферийные устройства, такие как USB-накопители, принтеры и устройства Bluetooth, на своих компьютерах. Управление устройствами помогает предотвратить потерю данных и вредоносные программы со съемных носителей. Дополнительные сведения см. в разделе Управление устройствами в Microsoft Defender для конечной точки.
Отчеты брандмауэра сети интегрируются с брандмауэром Windows, чтобы обеспечить централизованную видимость событий брандмауэра на портале Microsoft Defender. Дополнительные сведения см. в разделе Отчеты брандмауэра узла.
Доступность этих функций приведена в следующей таблице:
| Функция | Windows | macOS | Linux |
|---|---|---|---|
| Правила ASR | Да | Нет | Нет |
| Контролируемый доступ к папкам | Да | Нет | Нет |
| Защита от эксплойтов | Да | Нет | Нет |
| Защита сети | Да | Да | Да* |
| Веб-защита | Да | Да | Да* |
| Фильтрация веб-содержимого | Да | Да | Да |
| Управление устройствами | Да | Да | Нет |
| Отчеты брандмауэра | Да | Нет | Нет |
* В настоящее время находится в предварительной версии.
Связанные функции безопасности Windows
Следующие функции безопасности Windows дополняют сокращение направлений атак в Defender для конечной точки, но настраиваются и управляются отдельно:
- Application Guard в Microsoft Defender обеспечивает аппаратную изоляцию для Microsoft Edge, открывая ненадежные сайты в контейнере для защиты вашей организации. Дополнительные сведения см. в статье Общие сведения о Application Guard в Microsoft Defender.
- Управление приложениями в Защитнике Windows (WDAC) гарантирует, что на ваших устройствах будут работать только доверенные приложения. Дополнительные сведения см. в разделе Управление приложениями для Windows.
- Брандмауэр Windows управляет входящим и исходящим сетевым трафиком на устройствах. Дополнительные сведения см. в разделе Брандмауэр Windows с повышенной безопасностью.
Как сокращение направлений атаки вписывается в Defender для конечной точки
Сокращение направлений атак дополняет другие возможности Defender для конечной точки, которые обнаруживают угрозы и реагируют на них после их возникновения. В то время как защита и обнаружение конечных точек нового поколения и реагирование на нее сосредоточены на выявлении и устранении активных угроз, сокращение направлений атак предотвращает возникновение угроз.
Каждая из этих возможностей предназначена для разных направлений атак:
- Рискованное поведение программного обеспечения. Правила ASR ограничивают поведение приложений и сценариев, блокируя распространенные методы, которые злоумышленники используют для доставки вредоносных программ или кражи учетных данных.
- Сетевые подключения. Защита сети и веб-защита блокируют доступ к известным вредоносным или недопустимым сайтам до того, как содержимое достигнет устройства.
- Доступ к данным и файлам. Контролируемый доступ к папкам и управление устройствами ограничивает, какие приложения и оборудование могут получать доступ к конфиденциальным файлам или изменять их.
- Уязвимости приложений. Защита от эксплойтов применяет меры по устранению рисков, которые затрудняют использование злоумышленниками уязвимостей в процессах и приложениях операционной системы.
Режим аудита
Режим аудита позволяет оценить влияние функций сокращения направлений атак на среду, не влияя на производительность. Режим аудита поддерживается следующими возможностями:
- Правила и исключения сокращения направлений атак (ASR)
- Контролируемый доступ к папкам
- Защита от эксплойтов
- Защита сети
В режиме аудита функции не блокируют приложения, скрипты или подключения. Вместо этого в журнале событий Windows события записываются так, как если бы компоненты были активны. Вы можете просмотреть журналы событий и использовать расширенный поиск на портале Microsoft Defender, чтобы понять, как каждая функция повлияет на бизнес-приложения. Дополнительные сведения о данных в Windows Просмотр событий см. в статье Просмотр событий сокращения направлений атак в Windows Просмотр событий.
Средства управления
Вы можете настроить возможности сокращения направлений атак с помощью нескольких средств управления. Обычно используются следующие средства:
- Microsoft Intune
- Microsoft Configuration Manager
- Групповая политика
- Командлеты PowerShell
Правильный инструмент зависит от инфраструктуры и предпочтений управления вашей организации. Подробные рекомендации по настройке см. в статьях об отдельных функциях, приведенных в разделе Возможности сокращения направлений атак .
Связанные материалы
- Общие сведения о правилах сокращения направлений атак (ASR)
- Руководство по развертыванию правил сокращения направлений атак (СНА)
- События сокращения направлений атаки в Windows Просмотр событий
- Защита важных папок с помощью управляемого доступа к папкам
- Защита устройств от эксплойтов
- Защита сети
- Веб-защита
- Управление устройствами в Microsoft Defender для конечной точки