从非 Microsoft HIPS 迁移到攻击面减少规则

适用于:

本文可帮助你将通用规则映射到Microsoft Defender for Endpoint。

从非 Microsoft HIPS 产品迁移到攻击面减少规则的方案

阻止特定文件的创建

  • 适用于 - 所有进程
  • 操作 - 文件创建
  • 文件/文件夹、注册表项/值、进程、服务 - *.zepto、*.odin、*.locky、*.jaff、*.lukitus、*.wnry、*.krab 的示例
  • 攻击面减少规则 - 攻击面减少规则会阻止攻击技术,而不是国际奥委会) (入侵指标。 阻止特定文件扩展名并不总是有用,因为它不会阻止设备泄露。 在攻击者为有效负载创建一种新型扩展之前,它只会部分挫败攻击。
  • 其他建议的功能 - 强烈建议启用Microsoft Defender防病毒以及云保护和行为分析。 建议使用其他防护,例如攻击面减少规则 使用针对勒索软件的高级防护,该规则提供更高级别的勒索软件攻击防护。 此外,Microsoft Defender for Endpoint监视其中许多注册表项,例如 ASEP 技术,这些注册表项会触发特定警报。 使用的注册表项至少需要本地管理员或受信任的安装程序权限可以修改。 建议使用具有最低管理帐户或权限的锁定环境。 可以启用其他系统配置,包括 为非所需角色禁用 SeDebug ,这是我们更广泛的安全建议的一部分。

阻止特定注册表项的创建

  • 适用于 - 所有进程
  • 进程 - 不适用
  • 操作 - 注册表修改
  • 文件/文件夹、注册表项/值、进程、服务- 的示例\Software,HKCU\Environment\UserInitMprLogonScript,HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Accessibility\ATs*\StartExe, HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*\Debugger, HKEY_CURRENT_USER\Software\Microsoft\HtmlHelp Author\location, HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit*\MonitorProcess
  • 攻击面减少规则 - 攻击面减少规则会阻止攻击技术,而不是国际奥委会) (入侵指标。 阻止特定文件扩展名并不总是有用,因为它不会阻止设备泄露。 在攻击者为有效负载创建一种新型扩展之前,它只会部分挫败攻击。
  • 其他建议的功能 - 强烈建议启用Microsoft Defender防病毒以及云保护和行为分析。 建议使用额外的防护,例如攻击面减少规则 使用针对勒索软件的高级保护。 这提供了更高级别的勒索软件攻击防护。 此外,Microsoft Defender for Endpoint监视其中几个注册表项,例如 ASEP 技术,这些注册表项会触发特定警报。 此外,使用的注册表项至少需要本地管理员或受信任的安装程序权限可以修改。 建议使用具有最低管理帐户或权限的锁定环境。 可以启用其他系统配置,包括 为非所需角色禁用 SeDebug ,这是我们更广泛的安全建议的一部分。

阻止从可移动驱动器运行不受信任的程序

  • 适用于 - USB 中的不受信任的程序
  • Process- *
  • 操作 - 进程执行
  • * 文件/文件夹、注册表项/值、进程、服务示例:-
  • 攻击面减少规则 - 攻击面减少规则具有内置规则,可防止从可移动驱动器启动不受信任和未签名的程序:阻止从 USB、GUID b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4运行的不受信任和未签名的进程
  • 其他推荐的功能 - 请使用 Microsoft Defender for Endpoint:如何使用 Microsoft Defender for Endpoint 控制 USB 设备和其他可移动媒体的更多控件。

阻止 Mshta 启动某些子进程

  • 适用于 - Mshta
  • 进程 - mshta.exe
  • 操作 - 进程执行
  • 文件/文件夹、注册表项/值、进程、服务 powershell.exe、cmd.exe regsvr32.exe 的示例
  • 攻击面减少规则 - 攻击面减少规则不包含任何特定规则,以防止子进程 mshta.exe。 此控制在 Exploit Protection 或 Windows Defender Application Control 的范围内。
  • 其他建议的功能 - 启用Windows Defender应用程序控制以防止完全执行 mshta.exe。 如果组织需要为业务线应用 mshta.exe,请配置特定的Windows Defender Exploit Protection 规则,以防止 mshta.exe 启动子进程。

阻止 Outlook 启动子进程

  • 适用于 - Outlook
  • 进程 - outlook.exe
  • 操作 - 进程执行
  • 文件/文件夹、注册表项/值、进程、服务 powershell.exe 的示例
  • 攻击面减少规则 - 攻击面减少规则具有内置规则,可防止 Office 通信应用 (Outlook、Skype 和 Teams) 启动子进程: 阻止 Office 通信应用程序创建子进程,GUID 26190899-1602-49e8-8b27-eb1d0a1ce869
  • 其他建议的功能 - 建议启用 PowerShell 约束语言模式,以最大程度地减少来自 PowerShell 的攻击面。

阻止 Office 应用启动子进程

  • 适用于 - Office
  • 进程 - winword.exe、powerpnt.exe、excel.exe
  • 操作 - 进程执行
  • 文件/文件夹、注册表项/值、进程、服务 powershell.exe、cmd.exe、wscript.exe、mshta.exe、EQNEDT32.EXE regsrv32.exe 的示例
  • 攻击面减少规则 - 攻击面减少规则具有阻止 Office 应用启动子进程的内置规则: 阻止所有 Office 应用程序创建子进程,GUID d4f940ab-401b-4efc-aadc-ad5f3c50688a
  • 其他建议的功能 - 不适用

阻止 Office 应用创建可执行内容

  • 适用于 - Office
  • 进程 - winword.exe、powerpnt.exe、excel.exe
  • 操作 - 文件创建
  • 文件/文件夹、注册表项/值、进程、Services - C:\Users*\AppData**.exe 的示例 C:\ProgramData**.exe、C:\ProgramData**.com、C:\UsersAppData\Local\Temp**.com、C:\Users\Downloads**.exe、C:\Users*\AppData**.scf、C:\ProgramData**.scf、C:\Users\Public*.exe、C:\Users*\Desktop***.exe
  • 攻击面减少规则 - 不适用。

阻止 Wscript 读取某些类型的文件

  • 适用于 - Wscript
  • 进程 - wscript.exe
  • 操作 - 文件读取
  • 文件/文件夹、注册表项/值、进程、Services - C:\Users*\AppData**.js、C:\Users*\Downloads**.js
  • 攻击面减少规则 - 由于可靠性和性能问题,攻击面减少规则无法阻止特定进程读取特定脚本文件类型。 我们确实有一个规则来防止可能源自这些方案的攻击途径。 规则名称为 阻止 JavaScript 或 VBScript 启动下载的可执行内容 (GUID d3e037e1-3eb8-44c8-a917-57927947596d) (GUID * 5beb7efe-fd9a-4556-801d-275e5ffc04cc*) , 阻止潜在的模糊脚本执行
  • 其他推荐的功能 - 虽然存在特定的攻击面减少规则,可以缓解这些方案中的某些攻击途径,但提及,默认情况下,AV 能够通过反恶意软件扫描接口 (AMSI) 实时检查 (PowerShell、Windows 脚本主机、JavaScript、VBScript) 等脚本。 有关详细信息,请参阅: 反恶意软件扫描接口 (AMSI)

阻止启动子进程

  • 适用于 - Adobe Acrobat
  • 进程 - AcroRd32.exe、Acrobat.exe
  • 操作 - 进程执行
  • 文件/文件夹、注册表项/值、进程、服务 cmd.exe、powershell.exe wscript.exe 的示例
  • 攻击面减少规则 - 攻击面减少规则允许阻止 Adobe Reader 启动子进程。 规则名称为 阻止 Adobe Reader 创建子进程 GUID 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c
  • 其他建议的功能 - 不适用

阻止下载或创建可执行内容

  • 适用于 - CertUtil:阻止下载或创建可执行文件
  • 进程 - certutil.exe
  • 操作 - 文件创建
  • 文件/文件夹、注册表项/值、进程、服务的示例 - *.exe
  • 攻击面减少规则 - 攻击面减少规则不支持这些方案,因为它们是Microsoft Defender防病毒保护的一部分。
  • 其他建议的功能 - Microsoft Defender防病毒可防止 CertUtil 创建或下载可执行内容。

阻止进程停止关键系统组件

  • 适用于 - 所有进程
  • Process- *
  • 操作 - 进程终止
  • 文件/文件夹、注册表项/值、进程、服务 MsSense.exe、MsMpEng.exe、NisSrv.exe、svchost.exe*、services.exe、csrss.exe、smss.exe、wininit.exe 等的示例。
  • 攻击面减少规则 - 攻击面减少规则不支持这些方案,因为它们受 Windows 内置安全保护的保护。
  • 其他建议的功能 - ELAM (早期启动反恶意软件) 、PPL (保护进程浅色) 、PPL 反恶意软件浅色和System Guard。

阻止特定启动进程尝试

  • 适用于 - 特定进程
  • 过程- 为进程命名
  • 操作 - 进程执行
  • 文件/文件夹、注册表项/值、进程、服务 tor.exe、bittorrent.exe、cmd.exe、powershell.exe 等的示例
  • 攻击面减少规则 - 总体而言,攻击面减少规则不设计为充当应用程序管理器。
  • 其他建议的功能 - 若要防止用户启动特定进程或程序,建议使用Windows Defender应用程序控制。 Microsoft Defender for Endpoint文件和证书指示器可用于事件响应方案, (不应被视为应用程序控制机制) 。

阻止对Microsoft Defender防病毒配置进行未经授权的更改

  • 适用于 - 所有进程
  • Process- *
  • 操作 - 注册表修改
  • 文件/文件夹、注册表项/值、进程、Services - HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\DisableAntiSpyware、HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Policy Manager\AllowRealTimeMonitoring 等的示例。
  • 攻击面减少规则 - 攻击面减少规则不涵盖这些方案,因为它们是Microsoft Defender for Endpoint内置保护的一部分。
  • 其他建议的功能 - 篡改防护 (选择加入,从 Intune) 进行管理,可防止对 DisableAntiVirus、DisableAntiSpyware、DisableRealtimeMonitoring、DisableOnAccessProtection、DisableBehaviorMonitoring 和 DisableIOAVProtection 注册表项 (等) 进行未经授权的更改。

另请参阅

提示

想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender for Endpoint技术社区