Skapa och distribuera en Exploit Guard-princip
Gäller för: Configuration Manager (aktuell gren)
Du kan konfigurera och distribuera Configuration Manager principer som hanterar alla fyra komponenterna i Windows Defender Exploit Guard. Dessa komponenter omfattar:
- Minskning av attackytan
- Reglerad mappåtkomst
- Exploateringsskydd
- Nätverksskydd
Efterlevnadsdata för Exploit Guard-principdistribution är tillgängliga från Configuration Manager-konsolen.
Obs!
Configuration Manager aktiverar inte den här valfria funktionen som standard. Du måste aktivera den här funktionen innan du använder den. Mer information finns i Aktivera valfria funktioner från uppdateringar.
Förutsättningar
Hanterade enheter måste köra Windows 10 1709 eller senare. Den lägsta Versionen av Windows Server är version 1809 eller senare tills endast Server 2019. Följande krav måste också uppfyllas, beroende på vilka komponenter och regler som konfigurerats:
| Exploit Guard-komponent | Ytterligare krav |
|---|---|
| Minskning av attackytan | Enheter måste ha Microsoft Defender för Endpoint alltid aktiverat skydd. |
| Reglerad mappåtkomst | Enheter måste ha Microsoft Defender för Endpoint alltid aktiverat skydd. |
| Exploateringsskydd | Ingen |
| Nätverksskydd | Enheter måste ha Microsoft Defender för Endpoint alltid aktiverat skydd. |
Skapa en Exploit Guard-princip
I Configuration Manager-konsolen går du till Tillgångar och efterlevnad>Endpoint Protection och klickar sedan på Windows Defender Exploit Guard.
Klicka på Skapa exploateringsprincip i gruppen Skapa på fliken Start.
På sidan Allmänt i guiden Skapa konfigurationsobjekt anger du ett namn och en valfri beskrivning för konfigurationsobjektet.
Välj sedan de Exploit Guard-komponenter som du vill hantera med den här principen. För varje komponent du väljer kan du sedan konfigurera ytterligare information.
- Minskning av attackytan: Konfigurera Office-hot, skripthot och e-posthot som du vill blockera eller granska. Du kan också exkludera specifika filer eller mappar från den här regeln.
- Kontrollerad mappåtkomst: Konfigurera blockering eller granskning och lägg sedan till appar som kan kringgå den här principen. Du kan också ange ytterligare mappar som inte skyddas som standard.
- Sårbarhetsskydd: Ange en XML-fil som innehåller inställningar för att minimera sårbarheter i systemprocesser och appar. Du kan exportera de här inställningarna från appen Windows Defender Security Center på en Windows 10 eller senare enhet.
- Nätverksskydd: Ange nätverksskydd för att blockera eller granska åtkomst till misstänkta domäner.
Slutför guiden för att skapa principen, som du senare kan distribuera till enheter.
Varning
XML-filen för exploateringsskydd bör vara säker när den överförs mellan datorer. Filen ska tas bort efter import eller förvaras på en säker plats.
Distribuera en Exploit Guard-princip
När du har skapat Exploit Guard-principer använder du guiden Distribuera exploit guard-princip för att distribuera dem. Om du vill göra det öppnar du Configuration Manager-konsolen till Tillgångar och efterlevnad>Endpoint Protection och klickar sedan på Distribuera Exploit Guard-princip.
Viktigt
När du distribuerar en Exploit Guard-princip, till exempel minskning av attackytan eller kontrollerad mappåtkomst, tas inställningarna för Exploit Guard inte bort från klienterna om du tar bort distributionen. Delete not supported registreras i klientens ExploitGuardHandler.log om du tar bort klientens Exploit Guard-distribution. Följande PowerShell-skript kan köras under SYSTEMkontext för att ta bort de här inställningarna:
$defenderObject = Get-WmiObject -Namespace "root/cimv2/mdm/dmmap" -Class "MDM_Policy_Config01_Defender02" -Filter "InstanceID='Defender' and ParentID='./Vendor/MSFT/Policy/Config'"
$defenderObject.AttackSurfaceReductionRules = $null
$defenderObject.AttackSurfaceReductionOnlyExclusions = $null
$defenderObject.EnableControlledFolderAccess = $null
$defenderObject.ControlledFolderAccessAllowedApplications = $null
$defenderObject.ControlledFolderAccessProtectedFolders = $null
$defenderObject.EnableNetworkProtection = $null
$defenderObject.Put()
$exploitGuardObject = Get-WmiObject -Namespace "root/cimv2/mdm/dmmap" -Class "MDM_Policy_Config01_ExploitGuard02" -Filter "InstanceID='ExploitGuard' and ParentID='./Vendor/MSFT/Policy/Config'"
$exploitGuardObject.ExploitProtectionSettings = $null
$exploitGuardObject.Put()
principinställningar för Windows Defender Exploit Guard
Principer och alternativ för minskning av attackytan
Minskning av attackytan kan minska angreppsytan för dina program med intelligenta regler som stoppar de vektorer som används av Office, skript och e-postbaserad skadlig kod. Läs mer om minskning av attackytan och de händelse-ID:er som används för den.
Filer och mappar som ska undantas från reglerna för minskning av attackytan – Klicka på Ange och ange vilka filer eller mappar som ska undantas.
Email hot:
- Blockera körbart innehåll från e-postklienten och webbmeddelandet.
- Inte konfigurerad
- Blockera
- Granskning
- Blockera körbart innehåll från e-postklienten och webbmeddelandet.
Office-hot:
- Blockera Office-program från att skapa underordnade processer.
- Inte konfigurerad
- Blockera
- Granskning
- Blockera Office-program från att skapa körbart innehåll.
- Inte konfigurerad
- Blockera
- Granskning
- Blockera Office-program från att mata in kod i andra processer.
- Inte konfigurerad
- Blockera
- Granskning
- Blockera Win32 API-anrop från Office-makron.
- Inte konfigurerad
- Blockera
- Granskning
- Blockera Office-program från att skapa underordnade processer.
Skripthot:
- Blockera JavaScript eller VBScript från att starta nedladdat körbart innehåll.
- Inte konfigurerad
- Blockera
- Granskning
- Blockera körning av potentiellt dolda skript.
- Inte konfigurerad
- Blockera
- Granskning
- Blockera JavaScript eller VBScript från att starta nedladdat körbart innehåll.
Utpressningstrojanhot: (från och med Configuration Manager version 1802)
- Använd avancerat skydd mot utpressningstrojaner.
- Inte konfigurerad
- Blockera
- Granskning
- Använd avancerat skydd mot utpressningstrojaner.
Operativsystemhot: (från och med Configuration Manager version 1802)
- Blockera stöld av autentiseringsuppgifter från undersystemet windows lokal säkerhetsmyndighet.
- Inte konfigurerad
- Blockera
- Granskning
- Blockera körbara filer från att köras om de inte uppfyller kriterierna för prevalens, ålder eller betrodd lista.
- Inte konfigurerad
- Blockera
- Granskning
- Blockera stöld av autentiseringsuppgifter från undersystemet windows lokal säkerhetsmyndighet.
Hot mot externa enheter: (från och med Configuration Manager version 1802)
- Blockera obetrodda och osignerade processer som körs från USB.
- Inte konfigurerad
- Blockera
- Granskning
- Blockera obetrodda och osignerade processer som körs från USB.
Reglerade åtkomstprinciper och alternativ för mappar
Hjälper till att skydda filer i viktiga systemmappar från ändringar som görs av skadliga och misstänkta appar, inklusive skadlig kod för filkryptering av utpressningstrojaner. Mer information finns i Kontrollerad mappåtkomst och de händelse-ID:t som används.
- Konfigurera kontrollerad mappåtkomst:
- Blockera
- Blockera endast disksektorer (från och med Configuration Manager version 1802)
- Tillåter endast kontrollerad mappåtkomst för startsektorer och aktiverar inte skydd av specifika mappar eller standardskyddade mappar.
- Granskning
- Granska endast disksektorer (från och med Configuration Manager version 1802)
- Tillåter endast kontrollerad mappåtkomst för startsektorer och aktiverar inte skydd av specifika mappar eller standardskyddade mappar.
- Inaktiverad
- Tillåt appar via Kontrollerad mappåtkomst – Klicka på Ange och ange appar.
- Ytterligare skyddade mappar – Klicka på Ange och ange ytterligare skyddade mappar.
Principer för exploateringsskydd
Tillämpar metoder för att minska exploateringen på operativsystemprocesser och appar som din organisation använder. De här inställningarna kan exporteras från appen Windows Defender Security Center på Windows 10 eller senare enheter. Mer information finns i Sårbarhetsskydd.
XML för sårbarhetsskydd: -Klicka på Bläddra och ange den XML-fil som ska importeras.
Varning
XML-filen för exploateringsskydd bör vara säker när den överförs mellan datorer. Filen ska tas bort efter import eller förvaras på en säker plats.
Nätverksskyddsprincip
Hjälper till att minimera attackytan på enheter från Internetbaserade attacker. Tjänsten begränsar åtkomsten till misstänkta domäner som kan vara värdar för nätfiskebedrägerier, kryphål och skadligt innehåll. Mer information finns i Nätverksskydd.
- Konfigurera nätverksskydd:
- Blockera
- Granskning
- Inaktiverad
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för