Включение правил сокращения направлений атак в Microsoft Defender для бизнеса

  • Статья

Ваши атаки — это все места и способы уязвимости сети и устройств вашей организации к киберугрозам и атакам. Незащищенные устройства, неограниченный доступ к любому URL-адресу на устройстве компании и разрешение любого типа приложения или скрипта для запуска на корпоративных устройствах — все это примеры направлений атак. Они делают вашу компанию уязвимой для кибератак.

Для защиты сети и устройств Microsoft Defender для бизнеса включает несколько возможностей сокращения направлений атак, включая правила сокращения направлений атак. В этой статье описано, как настроить правила сокращения направлений атак, а также описаны возможности сокращения направлений атак.

Примечание.

Intune не входит в автономную версию Defender для бизнеса, но его можно добавить.

Правила ASR для стандартной защиты

Существует множество правил сокращения направлений атак. Вам не нужно настраивать их все сразу. Кроме того, вы можете настроить некоторые правила в режиме аудита, чтобы увидеть, как они работают в вашей организации, и изменить их для работы в режиме блокировки позже. При этом мы рекомендуем как можно скорее включить следующие стандартные правила защиты:

Эти правила помогают защитить сеть и устройства, но не должны вызывать нарушения работы пользователей. Используйте Intune для настройки правил сокращения направлений атак.

Настройка правил ASR с помощью Intune

  1. Как глобальный администратор в центре администрирования Microsoft Intune (https://intune.microsoft.com/) перейдите в раздел Сокращение зоны атак с безопасностью>конечных точек.

  2. Выберите Create политику, чтобы создать новую политику.

    • Для параметра Платформа выберите Windows 10, Windows 11 и Windows Server.
    • В поле Профиль выберите Правила сокращения направлений атак, а затем выберите Create.

  3. Настройте политику следующим образом:

    1. Укажите имя и описание, а затем нажмите кнопку Далее.

    2. По крайней мере для следующих трех правил присвойте каждому из них значение Блокировать:

      • Блокировка кражи учетных данных из подсистемы локального центра безопасности Windows
      • Блокировка сохраняемости с помощью подписки на события WMI
      • Блокировать злоупотребление эксплуатируемыми уязвимыми подписанными драйверами

      Затем нажмите кнопку Далее.

    3. На шаге Теги области нажмите кнопку Далее.

    4. На шаге Назначения выберите пользователей или устройства для получения правил, а затем нажмите кнопку Далее. (Рекомендуется выбрать Добавить все устройства.)

    5. На шаге Проверка и создание просмотрите сведения и выберите Create.

Совет

При желании можно сначала настроить правила сокращения направлений атак в режиме аудита, чтобы увидеть обнаружения до фактической блокировки файлов или процессов. Дополнительные сведения о правилах сокращения направлений атак см. в статье Общие сведения о развертывании правил сокращения направлений атак.

Просмотр отчета о сокращении направлений атак

Defender для бизнеса содержит отчет о сокращении направлений атак, в которых показано, как работают правила сокращения направлений атак.

  1. Как глобальный администратор на портале Microsoft Defender (https://security.microsoft.com) в области навигации выберите Отчеты.

  2. В разделе Конечные точки выберите Правила сокращения направлений атак. Откроется отчет, содержащий три вкладки:

    • Обнаружения, в которых можно просматривать обнаружения, произошедшие в результате правил сокращения направлений атак.
    • Конфигурация, в которой можно просматривать данные для стандартных правил защиты или других правил сокращения направлений атак.
    • Добавление исключений, в которых можно добавлять элементы, которые будут исключены из правил сокращения направлений атак (используйте исключения экономно; каждое исключение снижает уровень защиты)

Дополнительные сведения о правилах сокращения направлений атак см. в следующих статьях:

Возможности сокращения направлений атак в Defender для бизнеса

Правила сокращения направлений атак доступны в Defender для бизнеса. В следующей таблице перечислены возможности сокращения направлений атак в Defender для бизнеса. Обратите внимание, что другие возможности, такие как защита нового поколения и фильтрация веб-содержимого, работают вместе с возможностями сокращения направлений атак.

Возможность Настройка
Правила сокращения направлений атак
Запрет выполнения на устройствах Windows определенных действий, которые обычно связаны с вредоносными действиями.		 Включите стандартные правила сокращения направлений атак защиты (раздел этой статьи).
Контролируемый доступ к папкам
Управляемый доступ к папкам позволяет только доверенным приложениям получать доступ к защищенным папкам на устройствах Windows. Эту возможность можно рассматривать как защиту от программ-шантажистов.		 Настройте политику управляемого доступа к папкам в Microsoft Defender для бизнеса.
Защита сети
Защита сети предотвращает доступ пользователей к опасным доменам с помощью приложений на устройствах Windows и Mac. Защита сети также является ключевым компонентом фильтрации веб-содержимого в Microsoft Defender для бизнеса.		 Защита сети уже включена по умолчанию, когда устройства подключены к Defender для бизнеса и применяются политики защиты следующего поколения в Defender для бизнеса . Политики по умолчанию настроены для использования рекомендуемых параметров безопасности.
Веб-защита
Веб-защита интегрируется с веб-браузерами и работает с защитой сети для защиты от веб-угроз и нежелательного содержимого. Веб-защита включает фильтрацию веб-содержимого и отчеты о веб-угрозах.		 Настройте фильтрацию веб-содержимого в Microsoft Defender для бизнеса.
Защита брандмауэра
Защита брандмауэра определяет, какой сетевой трафик может поступать на устройства вашей организации или с нее.		 Защита брандмауэра уже включена по умолчанию, когда устройства подключены к Defender для бизнеса и применяются политики брандмауэра в Defender для бизнеса .

Дальнейшие действия