Migrera från en ICKE-Microsoft HIPS till regler för minskning av attackytan

Gäller för:

• Microsoft Defender för Endpoint Abonnemang 1
• Microsoft Defender för Endpoint Abonnemang 2

Den här artikeln hjälper dig att mappa vanliga regler till Microsoft Defender för Endpoint.

Scenarier när du migrerar från en HIPS-produkt som inte kommer från Microsoft till regler för minskning av attackytan

Blockera skapande av specifika filer

• Gäller för – Alla processer
• Åtgärd – Skapa fil
• Exempel på filer/mappar, registernycklar/värden, processer, tjänster – *.zepto, *.odin, *.locky, *.jaff, *.lukitus, *.wnry, *.krab
• Regler för minskning av attackytan – regler för minskning av attackytan blockerar attackteknikerna och inte indikatorerna för kompromettering (IOK). Det är inte alltid användbart att blockera ett visst filnamnstillägg eftersom det inte hindrar en enhet från att komprometteras. Det förhindrar bara delvis en attack tills angripare skapar en ny typ av tillägg för nyttolasten.
• Andra rekommenderade funktioner – Att ha Microsoft Defender Antivirus aktiverat, tillsammans med cloud protection och beteendeanalys rekommenderas starkt. Vi rekommenderar att du använder andra förebyggande åtgärder, till exempel regeln för minskning av attackytan Använd avancerat skydd mot utpressningstrojaner, vilket ger en högre skyddsnivå mot utpressningstrojanattacker. Dessutom övervakar Microsoft Defender för Endpoint många av dessa registernycklar, till exempel ASEP-tekniker, som utlöser specifika aviseringar. Registernycklarna som används kräver minst lokal Admin eller betrodda installationsprogrambehörigheter kan ändras. Vi rekommenderar att du använder en låst miljö med minsta möjliga administrativa konton eller rättigheter. Andra systemkonfigurationer kan aktiveras, inklusive Inaktivera SeDebug för icke-efterfrågade roller som ingår i våra bredare säkerhetsrekommendationer.

Blockera skapande av specifika registernycklar

• Gäller för alla processer
• Processer – ej tillämpligt
• Åtgärd – Registerändringar
• Exempel på filer/mappar, registernycklar/-värden, processer, tjänster- \Software,HKCU\Environment\UserInitMprLogonScript,HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Accessibility\ATs*\StartExe, HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*\Debugger, HKEY_CURRENT_USER\Software\Microsoft\HtmlHelp Author\location, HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit*\MonitorProcess
• Regler för minskning av attackytan – regler för minskning av attackytan blockerar attackteknikerna och inte indikatorerna för kompromettering (IOK). Det är inte alltid användbart att blockera ett visst filnamnstillägg eftersom det inte hindrar en enhet från att komprometteras. Det förhindrar bara delvis en attack tills angripare skapar en ny typ av tillägg för nyttolasten.
• Andra rekommenderade funktioner – Att ha Microsoft Defender Antivirus aktiverat, tillsammans med cloud protection och beteendeanalys rekommenderas starkt. Vi rekommenderar att du använder extra skydd, till exempel regeln för minskning av attackytan Använd avancerat skydd mot utpressningstrojaner. Detta ger ett högre skydd mot utpressningstrojanattacker. Dessutom övervakar Microsoft Defender för Endpoint flera av dessa registernycklar, till exempel ASEP-tekniker, som utlöser specifika aviseringar. Dessutom kräver de registernycklar som används minst lokal Admin eller betrodda installationsprogrambehörigheter kan ändras. Vi rekommenderar att du använder en låst miljö med minsta möjliga administrativa konton eller rättigheter. Andra systemkonfigurationer kan aktiveras, inklusive Inaktivera SeDebug för icke-efterfrågade roller som ingår i våra bredare säkerhetsrekommendationer.

Blockera ej betrodda program från att köras från flyttbara enheter

• Gäller för – Ej betrodda program från USB
• Processer - *
• Åtgärd – Processkörning
• *Exempel på filer/mappar, registernycklar/-värden, processer, tjänster:-
• Regler för minskning av attackytan – regler för minskning av attackytan har en inbyggd regel för att förhindra att obetrodda och osignerade program startas från flyttbara enheter: Blockera obetrodda och osignerade processer som körs från USB, GUID b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4.
• Andra rekommenderade funktioner – Utforska fler kontroller för USB-enheter och andra flyttbara medier med hjälp av Microsoft Defender för Endpoint:Så här styr du USB-enheter och andra flyttbara medier med hjälp av Microsoft Defender för Endpoint.

Blockera Mshta från att starta vissa underordnade processer

• Gäller för – Mshta
• Processer – mshta.exe
• Åtgärd – Processkörning
• Exempel på filer/mappar, registernycklar/-värden, processer, tjänster – powershell.exe, cmd.exe, regsvr32.exe
• Regler för minskning av attackytan – regler för minskning av attackytan innehåller ingen specifik regel för att förhindra underordnade processer från attmshta.exe. Den här kontrollen omfattas av Sårbarhetsskydd eller Windows Defender programkontroll.
• Andra rekommenderade funktioner – Aktivera Windows Defender programkontroll för att förhindra att mshta.exe körs helt och hållet. Om din organisation kräver mshta.exe för verksamhetsspecifika appar konfigurerar du en specifik regel för Windows Defender sårbarhetsskydd för att förhindra mshta.exe från att starta underordnade processer.

Blockera Outlook från att starta underordnade processer

• Gäller för – Outlook
• Processer – outlook.exe
• Åtgärd – Processkörning
• Exempel på filer/mappar, registernycklar/-värden, processer, tjänster powershell.exe
• Regler för minskning av attackytan – regler för minskning av attackytan har en inbyggd regel för att förhindra att Office-kommunikationsappar (Outlook, Skype och Teams) startar underordnade processer: Blockera Office-kommunikationsprogram från att skapa underordnade processer, GUID 26190899-1602-49e8-8b27-eb1d0a1ce869.
• Andra rekommenderade funktioner – Vi rekommenderar att du aktiverar PowerShell-begränsat språkläge för att minimera attackytan från PowerShell.

Blockera Office-appar från att starta underordnade processer

• Gäller för Office
• Processer – winword.exe, powerpnt.exe, excel.exe
• Åtgärd – Processkörning
• Exempel på filer/mappar, registernycklar/registervärden, processer, tjänster – powershell.exe, cmd.exe, wscript.exe, mshta.exe, EQNEDT32.EXE, regsrv32.exe
• Regler för minskning av attackytan – regler för minskning av attackytan har en inbyggd regel för att förhindra att Office-appar startar underordnade processer: Blockera alla Office-program från att skapa underordnade processer, GUID d4f940ab-401b-4efc-aadc-ad5f3c50688a.
• Andra rekommenderade funktioner – Ej tillämpligt

Blockera Office Apps från att skapa körbart innehåll

• Gäller för Office
• Processer – winword.exe, powerpnt.exe, excel.exe
• Åtgärd – Skapa fil
• Exempel på filer/mappar, registernycklar/registervärden, processer, tjänster – C:\Användare*\AppData**.exe, C:\ProgramData**.exe, C:\ProgramData**.com, C:\UsersAppData\Local\Temp**.com, C:\Users\Downloads**.exe, C:\Users*\AppData**.scf, C:\ProgramData**.scf, C:\Users\Public*.exe, C:\Users*\Desktop***.exe
• Regler för minskning av attackytan – ej tillämpligt.

Blockera Wscript från att läsa vissa typer av filer

• Gäller för Wscript
• Processer – wscript.exe
• Åtgärd – Filläsning
• Exempel på filer/mappar, registernycklar/registervärden, processer, tjänster – C:\Användare*\AppData**.js, C:\Användare*\Nedladdningar**.js
• Regler för minskning av attackytan – På grund av tillförlitlighets- och prestandaproblem har reglerna för minskning av attackytan inte möjlighet att förhindra att en viss process läser en viss typ av skriptfil. Vi har en regel för att förhindra angreppsvektorer som kan komma från dessa scenarier. Regelnamnet är Blockera JavaScript eller VBScript från att starta nedladdat körbart innehåll (GUID d3e037e1-3eb8-44c8-a917-57927947596 d) och Block execution of potentially obfuscated scripts (GUID * 5beb7efe-fd9a-4556-801d-275e5ffc04cc*).
• Andra rekommenderade funktioner – Även om det finns specifika regler för minskning av attackytan som åtgärdar vissa attackvektorer i dessa scenarier är det viktigt att nämna att AV som standard kan inspektera skript (PowerShell, Windows Script Host, JavaScript, VBScript med mera) i realtid via AMSI (Antimalware Scan Interface). Mer information finns här: AMSI (Antimalware Scan Interface).

Blockera start av underordnade processer

• Gäller för Adobe Acrobat
• Processer – AcroRd32.exe, Acrobat.exe
• Åtgärd – Processkörning
• Exempel på filer/mappar, registernycklar/-värden, processer, tjänster – cmd.exe, powershell.exe, wscript.exe
• Regler för minskning av attackytan – regler för minskning av attackytan gör det möjligt att blockera Adobe Reader från att starta underordnade processer. Regelnamnet är Blockera Adobe Reader från att skapa underordnade processer, GUID 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c.
• Andra rekommenderade funktioner – Ej tillämpligt

Blockera nedladdning eller skapande av körbart innehåll

• Gäller för – CertUtil: Blockera nedladdning eller skapande av körbar fil
• Processer – certutil.exe
• Åtgärd – Skapa fil
• Exempel på filer/mappar, registernycklar/värden, processer, tjänster – *.exe
• Regler för minskning av attackytan – regler för minskning av attackytan stöder inte dessa scenarier eftersom de ingår i Microsoft Defender antivirusskydd.
• Andra rekommenderade funktioner – Microsoft Defender Antivirus förhindrar att CertUtil skapar eller laddar ned körbart innehåll.

Blockera processer från att stoppa kritiska systemkomponenter

• Gäller för alla processer
• Processer - *
• Avslutning av åtgärdsprocess
• Exempel på filer/mappar, registernycklar/-värden, processer, tjänster – MsSense.exe, MsMpEng.exe, NisSrv.exe, svchost.exe*, services.exe, csrss.exe, smss.exe, wininit.exe med mera.
• Regler för minskning av attackytan – reglerna för minskning av attackytan stöder inte dessa scenarier eftersom de skyddas med inbyggda Windows-säkerhetsskydd.
• Andra rekommenderade funktioner – ELAM (Early Launch AntiMalware), PPL (Protection Process Light), PPL AntiMalware Light och System Guard.

Blockera specifikt startprocessförsök

• Gäller för specifika processer
• Processer- Namnge processen
• Åtgärd – Processkörning
• Exempel på filer/mappar, registernycklar/-värden, processer, tjänster – tor.exe, bittorrent.exe, cmd.exe, powershell.exe med mera
• Regler för minskning av attackytan – Generellt sett är reglerna för minskning av attackytan inte utformade för att fungera som programhanterare.
• Andra rekommenderade funktioner – För att förhindra att användare startar specifika processer eller program rekommenderar vi att du använder Windows Defender Programkontroll. Microsoft Defender för Endpoint fil- och certifikatindikatorer kan användas i ett incidenthanteringsscenario (bör inte ses som en mekanism för programkontroll).

Blockera obehöriga ändringar i Microsoft Defender Antivirus-konfigurationer

• Gäller för alla processer
• Processer - *
• Åtgärd – Registerändringar
• Exempel på filer/mappar, registernycklar/värden, processer, tjänster – HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\DisableAntiSpyware, HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Policy Manager\AllowRealTimeMonitoring och så vidare.
• Regler för minskning av attackytan – regler för minskning av attackytan täcker inte dessa scenarier eftersom de ingår i Microsoft Defender för Endpoint inbyggt skydd.
• Andra rekommenderade funktioner – Manipulationsskydd (opt-in, hanteras från Intune) förhindrar obehöriga ändringar av Registernycklarna DisableAntiVirus, DisableAntiSpyware, DisableRealtimeMonitoring, DisableOnAccessProtection, DisableBehaviorMonitoring och DisableIOAVProtection (med mera).

Se även

• Vanliga frågor och svar för minskning av attackytan
• Aktivera regler för minskning av attackytan
• Utvärdera regler för minskning av attackytan

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.