Включение правил сокращения направлений атак

Область применения:

Платформы

  • Windows

Совет

Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

Правила сокращения направлений атак помогают предотвратить действия, которые вредоносные программы часто используют для компрометации устройств и сетей.

Требования

Функции сокращения направлений атак в разных версиях Windows

Вы можете задать правила сокращения направлений атак для устройств под управлением любого из следующих выпусков и версий Windows:

Чтобы использовать весь набор функций правил сокращения направлений атак, вам потребуется следующее:

  • Microsoft Defender антивирусная программа в качестве основной avy (защита в режиме реального времени)
  • Защита от доставки в облако в (некоторые правила требуют этого)
  • лицензия Windows 10 Корпоративная E5 или E3

Хотя правила сокращения направлений атак не требуют лицензии Windows E5, с лицензией Windows E5 вы получаете расширенные возможности управления, включая мониторинг, аналитику и рабочие процессы, доступные в Defender для конечной точки, а также возможности создания отчетов и конфигурации на портале Microsoft Defender XDR. Эти расширенные возможности недоступны с лицензией E3, но вы по-прежнему можете использовать Просмотр событий для просмотра событий правил сокращения направлений атак.

Каждое правило сокращения направлений атаки содержит один из четырех параметров:

  • Не настроено | Отключено: отключите правило сокращения направлений атак.
  • Блокировать. Включение правила сокращения направлений атак
  • Аудит. Оцените, как правило сокращения направлений атак повлияет на вашу организацию, если оно включено.
  • Предупреждение: включите правило сокращения направлений атаки, но разрешите конечному пользователю обходить блок.

Мы рекомендуем использовать правила сокращения направлений атак с лицензией Windows E5 (или аналогичным номером SKU лицензирования), чтобы воспользоваться преимуществами расширенных возможностей мониторинга и создания отчетов, доступных в Microsoft Defender для конечной точки (Defender для конечной точки). Однако если у вас есть другая лицензия, например Windows Professional или Windows E3, которая не включает расширенные возможности мониторинга и создания отчетов, вы можете разработать собственные средства мониторинга и создания отчетов на основе событий, создаваемых в каждой конечной точке при активации правил сокращения направлений атаки (например, переадресация событий).

Совет

Дополнительные сведения о лицензировании Windows см. в статье лицензирование Windows 10 и руководство по корпоративному лицензированию для Windows 10.

Вы можете включить правила сокращения направлений атак с помощью любого из следующих методов:

Рекомендуется управление корпоративного уровня, например Intune или Microsoft Configuration Manager. Управление корпоративного уровня перезаписывает все конфликтующие параметры групповая политика или PowerShell при запуске.

Исключение файлов и папок из правил сокращения направлений атак

Вы можете исключить файлы и папки из оценки большинства правил сокращения направлений атак. Это означает, что даже если правило сокращения направлений атаки определяет, что файл или папка содержит вредоносное поведение, оно не блокирует запуск файла.

Важно!

Исключение файлов или папок может значительно снизить защиту, предоставляемую правилами сокращения направлений атак. Исключенные файлы будут разрешены к запуску, и отчет или событие не будут записаны. Если правила сокращения направлений атаки обнаруживают файлы, которые, по мнению пользователя, не должны быть обнаружены, сначала следует использовать режим аудита для тестирования правила. Исключение применяется только при запуске исключенного приложения или службы. Например, если добавить исключение для уже запущенной службы обновлений, служба обновления продолжает активировать события до тех пор, пока служба не будет остановлена и не перезапущена.

При добавлении исключений учитывайте следующие моменты:

Конфликт политик

  1. Если конфликтующая политика применяется через MDM и GP, приоритет имеет параметр, применяемый из GP.

  2. Правила сокращения направлений атаки для управляемых устройств теперь поддерживают поведение для слияния параметров из разных политик, чтобы создать надмножество политик для каждого устройства. Объединяются только параметры, которые не конфликтуют, а конфликтующие не добавляются в надмножество правил. Ранее, если две политики включали конфликты для одного параметра, обе политики помечались как конфликтующие, и параметры из любого профиля не развертывались. Поведение слияния правил сокращения направлений атаки выглядит следующим образом:

    • Правила сокращения направлений атак из следующих профилей оцениваются для каждого устройства, к которому применяются правила:
    • Параметры, не имеющие конфликтов, добавляются в надмножество политики для устройства.
    • Если две или несколько политик имеют конфликтующие параметры, конфликтующие параметры не добавляются в объединенную политику, а параметры, которые не конфликтуют, добавляются в политику надмножества, применяемую к устройству.
    • Удерживаются только конфигурации для конфликтующих параметров.

Методы конфигурации

В этом разделе содержатся сведения о конфигурации для следующих методов конфигурации:

Следующие процедуры для включения правил сокращения направлений атак включают инструкции по исключению файлов и папок.

Intune

Профили конфигурации устройств

  1. Выберите Профили конфигурации> устройств. Выберите существующий профиль защиты конечных точек или создайте новый. Чтобы создать новый, выберите Создать профиль и введите сведения для этого профиля. В поле Тип профиля выберите Endpoint Protection. Если вы выбрали существующий профиль, выберите Свойства , а затем — Параметры.

  2. В области Защита конечных точек выберите Защитник Windows Exploit Guard, а затем — Сокращение направлений атак. Выберите нужный параметр для каждого правила сокращения направлений атак.

  3. В разделе Исключения уменьшения направлений атаки введите отдельные файлы и папки. Вы также можете выбрать Импорт , чтобы импортировать CSV-файл, содержащий файлы и папки, которые следует исключить из правил сокращения направлений атаки. Каждая строка в CSV-файле должна быть отформатирована следующим образом:

    C:\folder, %ProgramFiles%\folder\file, C:\path

  4. Нажмите кнопку ОК на трех панелях конфигурации. Затем выберите Создать , если вы создаете новый файл endpoint protection, или Сохранить, если вы редактировать существующий файл.

Политика безопасности конечной точки

  1. ВыберитеСокращение зоны атак с безопасностью>конечных точек. Выберите существующее правило сокращения направлений атак или создайте новое. Чтобы создать новую, выберите Создать политику и введите сведения для этого профиля. В поле Тип профиля выберите Правила сокращения направлений атак. Если вы выбрали существующий профиль, выберите Свойства , а затем — Параметры.

  2. В области Параметры конфигурации выберите Сокращение направлений атаки , а затем выберите нужный параметр для каждого правила сокращения направлений атаки.

  3. В разделе Список дополнительных папок, которые необходимо защитить, Список приложений, имеющих доступ к защищенным папкам и Исключить файлы и пути из правил сокращения направлений атаки, введите отдельные файлы и папки. Вы также можете выбрать Импорт , чтобы импортировать CSV-файл, содержащий файлы и папки, которые следует исключить из правил сокращения направлений атаки. Каждая строка в CSV-файле должна быть отформатирована следующим образом:

    C:\folder, %ProgramFiles%\folder\file, C:\path

  4. Нажмите кнопку Далее на трех панелях конфигурации, а затем выберите Создать , если вы создаете новую политику, или Сохранить, если вы редактируете существующую политику.

Настраиваемый профиль в Intune

Вы можете использовать Microsoft Intune OMA-URI для настройки настраиваемых правил сокращения направлений атак. В следующей процедуре для примера используется правило Блокировать злоупотребление эксплуатируемыми уязвимыми подписанными драйверами .

  1. Откройте Центр администрирования Microsoft Intune. В меню Главная выберите Устройства, выберите Профили конфигурации, а затем — Создать профиль.

    Страница Создание профиля на портале Центра администрирования Microsoft Intune.

  2. В разделе Создание профиля в двух раскрывающихся списках выберите следующее:

    • В разделе Платформа выберите Windows 10 и более поздних версий.
    • В поле Тип профиля выберите Шаблоны.
    • Если правила сокращения направлений атак уже заданы в разделе Безопасность конечных точек, в поле Тип профиля выберите Каталог параметров.

    Выберите Настраиваемый, а затем — Создать.

    Атрибуты профиля правила на портале Центра администрирования Microsoft Intune.

  3. Откроется средство "Настраиваемый шаблон" для шага 1 Основные сведения. В разделе 1 Основные сведения в поле Имя введите имя шаблона, а в поле Описание можно ввести описание (необязательно).

    Основные атрибуты на портале Центра администрирования Microsoft Intune

  4. Нажмите кнопку Далее. Откроется шаг 2 Параметры конфигурации . Для параметра Параметры OMA-URI нажмите кнопку Добавить. Теперь отображаются два варианта: Добавить и Экспортировать.

    Параметры конфигурации на портале Центра администрирования Microsoft Intune.

  5. Нажмите кнопку Добавить еще раз. Откроется раздел Добавление ПАРАМЕТРОВ OMA-URI строки . В разделе Добавление строки выполните следующие действия.

    • В поле Имя введите имя правила.

    • В поле Описание введите краткое описание.

    • В поле OMA-URI введите или вставьте конкретную ссылку OMA-URI для добавляемого правила. OMA-URI, используемый для этого примера правила, см. в разделе MDM этой статьи. Идентификаторы GUID правил сокращения направлений атаки см. в разделе Описание каждого правила статьи Правила сокращения направлений атаки.

    • В поле Тип данных выберите Строка.

    • В поле Значение введите или вставьте значение GUID, знак = и значение State без пробелов (GUID=StateValue). Где:

      • 0: отключить (отключить правило сокращения направлений атак)
      • 1. Блокировать (включить правило сокращения направлений атак)
      • 2. Аудит (оцените, как правило сокращения направлений атак повлияет на вашу организацию, если оно включено)
      • 6. Предупреждение (включите правило сокращения направлений атаки, но разрешите конечному пользователю обходить блок)

    Конфигурация OMA URI на портале Центра администрирования Microsoft Intune

  6. Нажмите кнопку Сохранить. Добавление закрытия строки . В Пользовательский выберите Далее. На шаге 3 теги области область теги являются необязательными. Выполните одно из следующих действий.

    • Выберите Выбрать теги области, выберите тег область (необязательно) и нажмите кнопку Далее.
    • Или нажмите кнопку Далее.
  7. На шаге 4 Назначения в разделе Включенные группы для групп, к которым нужно применить это правило, выберите один из следующих вариантов:

    • Добавление групп
    • Добавление всех пользователей
    • Добавление всех устройств

    Назначения на портале Центра администрирования Microsoft Intune

  8. В разделе Исключенные группы выберите все группы, которые нужно исключить из этого правила, а затем нажмите кнопку Далее.

  9. На шаге 5 Правила применимости для следующих параметров выполните следующие действия:

    • В разделе Правило выберите Назначить профиль, если, или Не назначать профиль, если

    • В разделе Свойство выберите свойство, к которому требуется применить это правило.

    • В поле Значение введите применимое значение или диапазон значений.

    Правила применимости на портале Центра администрирования Microsoft Intune

  10. Нажмите кнопку Далее. На шаге 6 Просмотр и создание просмотрите выбранные и введенные параметры и сведения, а затем нажмите кнопку Создать.

    Параметр Просмотр и создание на портале Центра администрирования Microsoft Intune

    Правила активны и действуют в течение нескольких минут.

Примечание.

Обработка конфликтов:

Если назначить устройству две разные политики сокращения направлений атак, могут возникнуть потенциальные конфликты политик в зависимости от того, назначены ли правилам разные состояния, имеется ли управление конфликтами и является ли результатом ошибка. Неконфликтные правила не приводят к ошибке, и такие правила применяются правильно. Применяется первое правило, а последующие неконфликтные правила объединяются в политику.

MDM

Используйте поставщик службы конфигурации (CSP) ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules , чтобы по отдельности включить и задать режим для каждого правила.

Ниже приведен пример для справки с использованием значений GUID для справочника по правилам сокращения направлений атак.

OMA-URI path: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules

Value: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84=2|3b576869-a4ec-4529-8536-b80a7769e899=1|d4f940ab-401b-4efc-aadc-ad5f3c50688a=2|d3e037e1-3eb8-44c8-a917-57927947596d=1|5beb7efe-fd9a-4556-801d-275e5ffc04cc=0|be9ba2d9-53ea-4cdc-84e5-9b1eeee46550=1

В режиме аудита необходимо включить (блокировать), отключить, предупредить или включить следующие значения:

  • 0: отключить (отключить правило сокращения направлений атак)
  • 1. Блокировать (включить правило сокращения направлений атак)
  • 2. Аудит (оцените, как правило сокращения направлений атак повлияет на вашу организацию, если оно включено)
  • 6. Предупреждение (включите правило сокращения направлений атаки, но разрешите конечному пользователю обходить блок). Режим предупреждения доступен для большинства правил сокращения направлений атак.

Используйте поставщик службы конфигурации ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions для добавления исключений.

Пример.

OMA-URI path: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions

Value: c:\path|e:\path|c:\Exclusions.exe

Примечание.

Обязательно введите значения OMA-URI без пробелов.

Microsoft Configuration Manager

  1. В Microsoft Configuration Manager перейдите в раздел Активы и соответствие>Endpoint Protection>Защитник Windows Exploit Guard.

  2. Выберите HomeCreate Exploit Guard Policy (Создать> политику Exploit Guard).

  3. Введите имя и описание, выберите Сокращение направлений атаки и нажмите кнопку Далее.

  4. Выберите правила, которые будут блокировать или выполнять аудит действий, и нажмите кнопку Далее.

  5. Просмотрите параметры и нажмите кнопку Далее , чтобы создать политику.

  6. После создания политики нажмите Закрыть.

Предупреждение

Существует известная проблема с применимостью сокращения направлений атаки на версии ОС сервера, которая помечается как совместимая без фактического применения. В настоящее время нет ETA для того, когда это будет исправлено.

Групповая политика

Предупреждение

Если вы управляете компьютерами и устройствами с помощью Intune, Configuration Manager или другой платформы управления корпоративного уровня, программное обеспечение для управления перезапишет все конфликтующие параметры групповая политика при запуске.

  1. Для этого на компьютере, управляющем групповыми политиками, откройте Консоль управления групповой политикой, щелкните правой кнопкой мыши нужный объект групповой политики и выберите Изменить.

  2. В редакторе управления групповыми политиками перейдите к конфигурации компьютера и выберите Административные шаблоны.

  3. Разверните дерево для компонентов> Windows Microsoft Defender Антивирусная программа> Microsoft DefenderСокращение зоны атакExploit Guard>.

  4. Выберите Настроить правила сокращения направлений атак и выберите Включено. Затем можно задать отдельное состояние для каждого правила в разделе параметров. Выберите Показать... и введите идентификатор правила в столбце Имя значения и выбранное состояние в столбце Значение следующим образом:

    • 0: отключить (отключить правило сокращения направлений атак)

    • 1. Блокировать (включить правило сокращения направлений атак)

    • 2. Аудит (оцените, как правило сокращения направлений атак повлияет на вашу организацию, если оно включено)

    • 6. Предупреждение (включите правило сокращения направлений атаки, но разрешите конечному пользователю обходить блок)

      Правила сокращения направлений атак в групповая политика

  5. Чтобы исключить файлы и папки из правил сокращения направлений атак, выберите параметр Исключить файлы и пути из правил сокращения направлений атаки и задайте для параметра Включено. Выберите Показать и введите каждый файл или папку в столбце Имя значения . Введите 0 в столбце Значение для каждого элемента.

    Предупреждение

    Не используйте кавычки, так как они не поддерживаются ни для столбца Имя значения , ни для столбца Значение . Идентификатор правила не должен содержать начальные или конечные пробелы.

PowerShell

Предупреждение

Если вы управляете компьютерами и устройствами с помощью Intune, Configuration Manager или другой платформы управления корпоративного уровня, программное обеспечение для управления перезаписывает все конфликтующие параметры PowerShell при запуске.

  1. Введите powershell в меню «Пуск», щелкните правой кнопкой мыши Windows PowerShell и выберите Запуск от имени администратора.

  2. Введите один из следующих командлетов. (Дополнительные сведения, например идентификатор правила, см. в справочнике по правилам сокращения направлений атак.)

    Задача Командлет PowerShell
    Включение правил сокращения направлений атак Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Enabled
    Включение правил сокращения направлений атак в режиме аудита Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions AuditMode
    Включение правил сокращения направлений атак в режиме предупреждения Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Warn
    Включение сокращения направлений атаки Блок злоупотреблений эксплуатируемыми уязвимыми подписанными драйверами Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Enabled
    Отключение правил сокращения направлений атак Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Disabled

    Важно!

    Необходимо указать состояние отдельно для каждого правила, но можно объединять правила и состояния в списке, разделенном запятыми.

    В следующем примере первые два правила включены, третье правило отключено, а четвертое правило включено в режиме аудита: Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID 1>,<rule ID 2>,<rule ID 3>,<rule ID 4> -AttackSurfaceReductionRules_Actions Enabled, Enabled, Disabled, AuditMode

    Вы также можете использовать Add-MpPreference команду PowerShell для добавления новых правил в существующий список.

    Предупреждение

    Set-MpPreference перезаписывает существующий набор правил. Если вы хотите добавить в существующий набор, используйте Add-MpPreference вместо него. Список правил и их текущее состояние можно получить с помощью Get-MpPreference.

  3. Чтобы исключить файлы и папки из правил сокращения направлений атак, используйте следующий командлет:

    Add-MpPreference -AttackSurfaceReductionOnlyExclusions "<fully qualified path or resource>"

    Продолжайте использовать Add-MpPreference -AttackSurfaceReductionOnlyExclusions для добавления дополнительных файлов и папок в список.

    Важно!

    Используйте Add-MpPreference для добавления или добавления приложений в список. С помощью командлета Set-MpPreference перезаписывается существующий список.

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.