Saldırı yüzeyi azaltma kuralları dağıtımı planlama
Şunlar için geçerlidir:
Saldırı yüzeyi azaltma kurallarını test etmeden veya etkinleştirmeden önce dağıtımınızı planlamanız gerekir. Dikkatli planlama, saldırı yüzeyi azaltma kuralları dağıtımınızı test edip kural özel durumlarının önüne geçmenize yardımcı olur. Saldırı yüzeyi azaltma kurallarını test etmek için planlama yaparken doğru iş birimiyle başladığınıza emin olun. Belirli bir iş birimindeki küçük bir grup kişiyle başlayın. Belirli bir iş birimi içinde uygulamanızı ayarlamaya yardımcı olacak geri bildirim sağlayabilecek bazı şampiyonları belirleyebilirsiniz.
Önemli
Saldırı yüzeyi azaltma kurallarını planlama, denetleme ve etkinleştirme sürecinde ilerlerken aşağıdaki üç standart koruma kuralını etkinleştirmeniz önerilir. saldırı yüzeyi azaltma kurallarının iki türü hakkında önemli ayrıntılar için bkz. Türe göre saldırı yüzeyi azaltma kuralları.
- Windows yerel güvenlik yetkilisi alt sisteminden (lsass.exe) kimlik bilgilerinin çalınmalarını engelleme
- Güvenlik açığı bulunan imzalı sürücülerin kötüye kullanılması engellendi
- Windows Yönetim Araçları (WMI) olay aboneliği aracılığıyla kalıcılığı engelleme
Standart koruma kurallarını genellikle son kullanıcı üzerinde en az fark edilebilir etkiyle etkinleştirebilirsiniz. Standart koruma kurallarını etkinleştirmek için kolay bir yöntem için bkz. Basitleştirilmiş standart koruma seçeneği.
ASR kuralları dağıtımınızı doğru iş birimiyle başlatma
Saldırı yüzeyi azaltma kuralları dağıtımınızı dağıtmak için iş birimini nasıl seçeceğiniz aşağıdaki faktörlere bağlıdır:
- İş biriminin boyutu
- Saldırı yüzeyi azaltma kuralları şampiyonlarının kullanılabilirliği
- Dağıtımı ve kullanımı:
- Yazılım
- Paylaşılan klasörler
- Betiklerin kullanımı
- Office makroları
- Saldırı yüzeyi azaltma kurallarından etkilenen diğer varlıklar
İş gereksinimlerinize bağlı olarak, yazılımın, paylaşılan klasörlerin, betiklerin, makroların vb. kapsamlı bir örneklemesini almak için birden çok iş birimi dahil etmeye karar vekleyebilirsiniz. İlk saldırı yüzeyi azaltma kurallarının kapsamını tek bir iş birimiyle sınırlamaya karar verebilirsiniz. Ardından tüm saldırı yüzeyi azaltma kuralları dağıtım sürecini diğer iş birimlerinize teker teker tekrarlayın.
ASR kuralları şampiyonlarını belirleme
Saldırı yüzeyi azaltma kuralları şampiyonları, kuruluşunuzda ön test ve uygulama aşamalarında ilk saldırı yüzeyi azaltma kuralları dağıtımınıza yardımcı olabilecek üyelerdir. Şampiyonlarınız genellikle teknik açıdan daha usta olan ve aralıklı iş akışı kesintileri tarafından raydan çıkarılmayan çalışanlardır. Şampiyonların katılımı, kuruluşunuza saldırı yüzeyi azaltma kurallarının dağıtımının daha geniş bir genişlemesi boyunca devam eder. Saldırı yüzeyi azaltma kurallarının şampiyonları ilk olarak saldırı yüzeyi azaltma kurallarının her düzeyini deneyimler.
Saldırı yüzeyi azaltma kuralları şampiyonları için, saldırı yüzeyi azaltma kurallarıyla ilgili iş kesintileri konusunda sizi uyarmak ve saldırı yüzeyi azaltma kuralları dağıtımıyla ilgili iletişimleri almak için bir geri bildirim ve yanıt kanalı sağlamak önemlidir.
İş kolu uygulamalarının envanterini alma ve iş birimi süreçlerini anlama
Kuruluşunuz genelinde kullanılan uygulamaları ve iş birimi başına işlemleri tam olarak anlamak, başarılı bir saldırı yüzeyi azaltma kuralları dağıtımı için kritik öneme sahiptir. Ayrıca, bu uygulamaların kuruluşunuzdaki çeşitli iş birimlerinde nasıl kullanıldığını anlamanız şarttır. Başlamak için, kuruluşun genelinde kullanım için onaylanan uygulamaların bir envanterini almanız gerekir. Yazılım uygulamalarının envanterini oluşturmaya yardımcı olmak için Microsoft 365 Uygulamaları yönetim merkezi gibi araçları kullanabilirsiniz. Bkz. Microsoft 365 Uygulamaları yönetim merkezinde envantere genel bakış.
Raporlama ve yanıt ASR kuralları ekip rollerini ve sorumluluklarını tanımlama
Saldırı yüzeyi azaltma kurallarının durumunu ve etkinliğini izlemek ve iletmekle sorumlu kişilerin rollerini ve sorumluluklarını açıkça ifade etmek, saldırı yüzeyi azaltma bakımının temel etkinliğidir. Bu nedenle şunları belirlemek önemlidir:
- Rapor toplamadan sorumlu kişi veya ekip
- Raporların nasıl ve kimlerle paylaşıldığı
- Saldırı yüzeyi azaltma kurallarının neden olduğu yeni tanımlanan tehditler veya istenmeyen engellemeler için yükseltme nasıl giderilir?
Tipik roller ve sorumluluklar şunlardır:
- BT yöneticileri: Saldırı yüzeyi azaltma kurallarını uygulayın, dışlamaları yönetin. Uygulamalar ve süreçler üzerinde farklı iş birimleriyle çalışın. Raporların toplanması ve paydaşlara paylaşılması
- Sertifikalı güvenlik operasyonları merkezi (CSOC) analisti: Tehdidin geçerli olup olmadığını belirlemek için yüksek öncelikli, engellenen süreçleri araştırmaktan sorumludur
- Bilgi güvenliği müdürü (CISO): Kuruluşun genel güvenlik duruşu ve sağlığından sorumludur
ASR kuralları halka dağıtımı
Microsoft, büyük kuruluşlar için saldırı yüzeyi azaltma kurallarının "halkalar" içinde dağıtılması önerilir. Halkalar, örtüşemeyen ağaç halkaları gibi dışa doğru yayılan eşmerkezli daireler olarak görsel olarak temsil edilen cihaz gruplarıdır. En içteki halka başarıyla dağıtıldığında, bir sonraki halkaya test aşamasına geçebilirsiniz. İş birimlerinizin kapsamlı değerlendirmesi, saldırı yüzeyi azaltma kuralları şampiyonları, uygulamalar ve süreçler halkalarınızı tanımlamak için zorunludur. Çoğu durumda, kuruluşunuzun Windows güncelleştirmelerinin aşamalı dağıtımları için dağıtım halkaları vardır. Saldırı yüzeyi azaltma kurallarını uygulamak için mevcut halka tasarımınızı kullanabilirsiniz. Bkz. Windows için dağıtım planı İçerik Oluşturucu
Bu dağıtım koleksiyonundaki diğer makaleler
Saldırı yüzeyi azaltma kuralları dağıtımına genel bakış
Test saldırısı yüzeyi azaltma kuralları
Saldırı yüzeyi azaltma kurallarını etkinleştirme
Saldırı yüzeyi azaltma kurallarını kullanıma hazır hale getirme
Saldırı yüzeyi azaltma kuralları başvurusu
İpucu
Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.