Создание и развертывание политики Exploit Guard
Относится к Configuration Manager (Current Branch)
Вы можете настроить и развернуть политики Configuration Manager, которые управляют всеми четырьмя компонентами Защитник Windows Exploit Guard. К этим компонентам относятся:
- Сокращение направлений атак
- Контролируемый доступ к папкам
- Защита от эксплойтов
- Защита сети
Данные о соответствии для развертывания политики Exploit Guard доступны в консоли Configuration Manager.
Примечание.
Configuration Manager не включает эту необязательную функцию по умолчанию. Перед ее использованием необходимо включить эту функцию. Дополнительные сведения см. в разделе Включение дополнительных функций из обновлений.
Предварительные требования
Управляемые устройства должны работать Windows 10 1709 или более поздней версии; минимальная сборка Windows Server — 1809 или более поздняя до Версии Server 2019. В зависимости от настроенных компонентов и правил также должны быть выполнены следующие требования:
| Компонент Exploit Guard | Дополнительные предварительные требования |
|---|---|
| Сокращение направлений атак | На устройствах должна быть включена Microsoft Defender для конечной точки постоянная защита. |
| Контролируемый доступ к папкам | На устройствах должна быть включена Microsoft Defender для конечной точки постоянная защита. |
| Защита от эксплойтов | Нет |
| Защита сети | На устройствах должна быть включена Microsoft Defender для конечной точки постоянная защита. |
Создание политики Exploit Guard
В консоли Configuration Manager перейдите в раздел Активы и соответствие>Endpoint Protection, а затем щелкните Защитник Windows Exploit Guard.
На вкладке Главная в группе Создать щелкните Создать политику эксплойтов.
На странице Общиемастера создания элемента конфигурации укажите имя и необязательное описание элемента конфигурации.
Затем выберите компоненты Exploit Guard, которыми вы хотите управлять с помощью этой политики. Для каждого выбранного компонента можно настроить дополнительные сведения.
- Сокращение направлений атак: Настройте угрозы Office, угрозы сценариев и угрозы электронной почты, которые вы хотите заблокировать или провести аудит. Из этого правила также можно исключить определенные файлы или папки.
- Управляемый доступ к папкам: Настройте блокировку или аудит, а затем добавьте приложения, которые могут обойти эту политику. Можно также указать дополнительные папки, которые не защищены по умолчанию.
- Защита от эксплойтов: Укажите XML-файл, содержащий параметры для устранения эксплойтов системных процессов и приложений. Эти параметры можно экспортировать из приложения Центра безопасности Защитник Windows на устройстве Windows 10 или более поздней версии.
- Защита сети: Настройте защиту сети для блокировки или аудита доступа к подозрительным доменам.
Завершите работу мастера, чтобы создать политику, которую позже можно развернуть на устройствах.
Предупреждение
XML-файл для защиты от эксплойтов должен быть в безопасности при его передаче между компьютерами. Файл должен быть удален после импорта или храниться в безопасном расположении.
Развертывание политики Exploit Guard
После создания политик Exploit Guard используйте мастер развертывания политики Exploit Guard, чтобы развернуть их. Для этого откройте консоль Configuration Manager в разделе Активы и соответствие>Endpoint Protection, а затем щелкните Развернуть политику Exploit Guard.
Важно!
После развертывания политики Exploit Guard, такой как сокращение направлений атаки или контролируемый доступ к папкам, параметры Exploit Guard не будут удалены из клиентов при удалении развертывания.
Delete not supported записывается в ExploitGuardHandler.log клиента при удалении развертывания Exploit Guard клиента.
Чтобы удалить эти параметры, в контексте SYSTEM можно запустить следующий скрипт PowerShell:
$defenderObject = Get-WmiObject -Namespace "root/cimv2/mdm/dmmap" -Class "MDM_Policy_Config01_Defender02" -Filter "InstanceID='Defender' and ParentID='./Vendor/MSFT/Policy/Config'"
$defenderObject.AttackSurfaceReductionRules = $null
$defenderObject.AttackSurfaceReductionOnlyExclusions = $null
$defenderObject.EnableControlledFolderAccess = $null
$defenderObject.ControlledFolderAccessAllowedApplications = $null
$defenderObject.ControlledFolderAccessProtectedFolders = $null
$defenderObject.EnableNetworkProtection = $null
$defenderObject.Put()
$exploitGuardObject = Get-WmiObject -Namespace "root/cimv2/mdm/dmmap" -Class "MDM_Policy_Config01_ExploitGuard02" -Filter "InstanceID='ExploitGuard' and ParentID='./Vendor/MSFT/Policy/Config'"
$exploitGuardObject.ExploitProtectionSettings = $null
$exploitGuardObject.Put()
параметры политики Exploit Guard Защитник Windows
Политики и параметры сокращения направлений атак
Сокращение направлений атак позволяет уменьшить область атаки приложений с помощью интеллектуальных правил, которые останавливают векторы, используемые вредоносными программами office, скриптами и почтовыми программами. Узнайте больше о сокращении направлений атак и идентификаторах событий, используемых для этого.
Файлы и папки, которые следует исключить из правил сокращения направлений атаки . Щелкните Задать и укажите все файлы или папки для исключения.
Email угрозы:
- Блокировка исполняемого содержимого из почтового клиента и веб-почты.
- Не настроено
- Блокировка
- Аудит
- Блокировка исполняемого содержимого из почтового клиента и веб-почты.
Угрозы Office:
- Запретить приложению Office создавать дочерние процессы.
- Не настроено
- Блокировка
- Аудит
- Запретить приложениям Office создавать исполняемое содержимое.
- Не настроено
- Блокировка
- Аудит
- Запретить приложениям Office внедрять код в другие процессы.
- Не настроено
- Блокировка
- Аудит
- Заблокируйте вызовы API Win32 из макросов Office.
- Не настроено
- Блокировка
- Аудит
- Запретить приложению Office создавать дочерние процессы.
Угрозы сценариев:
- Запретить запуск скачаемого исполняемого содержимого в JavaScript или VBScript.
- Не настроено
- Блокировка
- Аудит
- Блокировать выполнение потенциально скрытых скриптов.
- Not Configured
- Блокировка
- Аудит
- Запретить запуск скачаемого исполняемого содержимого в JavaScript или VBScript.
Угрозы программ-шантажистов: (начиная с Configuration Manager версии 1802)
- Используйте расширенную защиту от программ-шантажистов.
- Не настроено
- Блокировка
- Аудит
- Используйте расширенную защиту от программ-шантажистов.
Угрозы операционной системы: (начиная с Configuration Manager версии 1802)
- Блокировка кражи учетных данных из подсистемы локального центра безопасности Windows.
- Не настроено
- Блокировка
- Аудит
- Блокировать выполнение исполняемых файлов, если они не соответствуют критериям распространенности, возраста или списка доверия.
- Не настроено
- Блокировка
- Аудит
- Блокировка кражи учетных данных из подсистемы локального центра безопасности Windows.
Угрозы для внешних устройств: (начиная с Configuration Manager версии 1802)
- Блокировать недоверенные и неподписанные процессы, выполняемые с USB.
- Не настроено
- Блокировка
- Аудит
- Блокировать недоверенные и неподписанные процессы, выполняемые с USB.
Политики и параметры управляемого доступа к папкам
Помогает защитить файлы в ключевых системных папках от изменений, внесенных вредоносными и подозрительными приложениями, включая вредоносные программы-шантажисты, шифрующие файлы. Дополнительные сведения см. в разделе Контролируемый доступ к папкам и идентификаторы событий, которые он использует.
-
Настройка управляемого доступа к папкам:
- Блокировка
- Блокировать только секторы диска (начиная с Configuration Manager версии 1802)
- Позволяет включить управляемый доступ к папкам только для загрузочных секторов и не включает защиту определенных папок или защищенных папок по умолчанию.
- Аудит
- Аудит только секторов диска (начиная с Configuration Manager версии 1802)
- Позволяет включить управляемый доступ к папкам только для загрузочных секторов и не включает защиту определенных папок или защищенных папок по умолчанию.
- Отключено
- Разрешить приложения с помощью управляемого доступа к папкам . Щелкните Задать и укажите приложения.
- Дополнительные защищенные папки . Щелкните Задать и укажите дополнительные защищенные папки.
Политики защиты от эксплойтов
Применяет методы устранения рисков эксплойтов к процессам и приложениям операционной системы, используемым вашей организацией. Эти параметры можно экспортировать из приложения Центра безопасности Защитник Windows на Windows 10 или более поздних устройствах. Дополнительные сведения см. в разделе Защита от эксплойтов.
XML-файл защиты от эксплойтов: щелкните Обзор и укажите XML-файл для импорта.
Предупреждение
XML-файл для защиты от эксплойтов должен быть в безопасности при его передаче между компьютерами. Файл должен быть удален после импорта или храниться в безопасном расположении.
Политика защиты сети
Помогает свести к минимуму область атак на устройствах, полученных от атак через Интернет. Служба ограничивает доступ к подозрительным доменам, в которых могут размещаться фишинговые аферы, эксплойты и вредоносное содержимое. Дополнительные сведения см. в разделе Защита сети.
-
Настройка защиты сети:
- Блокировка
- Аудит
- Отключено
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по