共用方式為


瞭解並使用受攻擊面縮小功能

適用於:

平台

  • Windows

提示

想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。

受攻擊面是您的組織容易受到網絡威脅和攻擊的所有地方。 適用於端點的 Defender 包含數個功能,可協助減少您的受攻擊面。 觀看下列影片以深入瞭解受攻擊面縮小。

設定受攻擊面縮小功能

若要在您的環境中設定受攻擊面縮小,請遵循下列步驟:

  1. 啟用 Microsoft Edge 的硬體型隔離

  2. 啟用受攻擊面縮小規則

  3. 啟用應用程控。

    1. 檢閱 Windows 中的基底原則。 請參閱 基本原則範例

    2. 請參閱 Windows Defender 應用程控設計指南

    3. 請參閱部署 Windows Defender 應用程控 (WDAC) 原則

  4. 啟用受控資料夾存取權

  5. 啟用 抽取式記憶體保護

  6. 開啟網路保護

  7. 啟用 Web 保護

  8. 啟用惡意探索保護

  9. 設定網路防火牆。

    1. 取得具有進階 安全性的 Windows 防火牆概觀。

    2. 使用 Windows 防火牆設計指南 來決定您要如何設計防火牆原則。

    3. 使用 Windows 防火牆部署指南 ,以進階安全性設定組織的防火牆。

提示

在大部分情況下,當您設定受攻擊面縮小功能時,您可以從數種方法中選擇:

  • Microsoft Intune
  • Microsoft Configuration Manager
  • 群組原則
  • Powershell Cmdlet

測試受攻擊面縮小 適用於端點的 Microsoft Defender

身為組織安全性小組的一員,您可以將受攻擊面縮小功能設定為以稽核模式執行,以查看其運作方式。 您可以在稽核模式中啟用下列受攻擊面縮小安全性功能:

  • 受攻擊面縮小規則
  • 入侵防護
  • 網路保護
  • 受控資料夾存取權
  • 裝置控制

稽核模式可讓您查看啟用此功能 時所 發生情況的記錄。

您可以在測試功能的運作方式時啟用稽核模式。 僅針對測試啟用稽核模式有助於防止稽核模式影響您的企業營運應用程式。 您也可以瞭解在一段時間內有多少可疑的檔案修改嘗試發生。

這些功能不會封鎖或防止修改應用程式、腳本或檔案。 不過,Windows 事件記錄檔會記錄事件,就像功能已完全啟用一樣。 使用稽核模式時,您可以檢閱事件記錄檔,以查看啟用此功能會產生什麼效果。

若要尋找稽核的專案,請移至應用程式和服務>Microsoft>Windows>Windows Defender>Operational

使用適用於端點的 Defender 取得每個事件的更多詳細數據。 這些詳細數據對於調查受攻擊面縮小規則特別有説明。 使用適用於端點的 Defender 控制台可讓您 在警示時程表和調查案例中調查問題

您可以使用 群組原則、PowerShell 和設定服務提供者, (CSP) 啟用稽核模式。

稽核選項 如何啟用稽核模式 如何檢視事件
稽核適用於所有事件 啟用受控資料夾存取權 受控資料夾存取事件
稽核適用於個別規則 步驟 1:使用稽核模式測試受攻擊面縮小規則 步驟 2:瞭解受攻擊面縮小規則報告頁面
稽核適用於所有事件 啟用網路保護 網路保護事件
稽核適用於個別風險降低 啟用入侵防護 惡意探索保護事件

例如,您可以在稽核模式中測試受攻擊面縮小規則,然後再以封鎖模式加以啟用。 攻擊面縮小規則是預先定義的,可強化常見的已知受攻擊面。 有數種方法可用來實作受攻擊面縮小規則。 下列受攻擊面縮小規則部署文章記載慣用的方法:

檢視受攻擊面縮小事件

檢閱 事件檢視器 中的受攻擊面縮小事件,以監視哪些規則或設定正在運作。 您也可以判斷是否有任何設定太「雜訊」,或影響您的日常工作流程。

當您評估功能時,檢閱事件十分方便。 您可以啟用功能或設定的稽核模式,然後檢閱如果完全啟用,會發生什麼事。

本節列出所有事件、其相關聯的功能或設定,並描述如何建立自定義檢視以篩選特定事件。

如果您有 E5 訂閱並使用 適用於端點的 Microsoft Defender,請在 Windows 安全性 中取得事件、區塊和警告詳細報告。

使用自定義檢視來檢視受攻擊面縮小功能

Create Windows 事件檢視器 中的自定義檢視,只查看特定功能和設定的事件。 最簡單的方式是將自定義檢視匯入為 XML 檔案。 您可以直接從此頁面複製 XML。

您也可以手動瀏覽至對應至功能的事件區域。

匯入現有的 XML 自定義檢視

  1. Create 空的 .txt 檔案,並將您想要使用之自定義檢視的 XML 複製到 .txt 檔案中。 針對您想要使用的每個自定義檢視執行此動作。 請依照下列方式重新命名檔案 (確定您將類型從 .txt 變更為 .xml) :

    • 受控資料夾存取事件自訂檢視: cfa-events.xml
    • 惡意探索保護事件自訂檢視: ep-events.xml
    • 受攻擊面縮小事件自定義檢視: asr-events.xml
    • 網路/保護事件自定義檢視: np-events.xml
  2. 在 [開始] 功能表中輸入事件查看器,然後開啟 事件檢視器

  3. 取動作>匯入自定義檢視...

    醒目提示 [偶數查看器] 視窗左側 [匯入自定義檢視] 的動畫。

  4. 流覽至您為您要的自定義檢視擷取 XML 檔案的位置,然後加以選取。

  5. 選取 [開啟]

  6. 它會建立自定義檢視,篩選以僅顯示與該功能相關的事件。

直接複製 XML

  1. 在 [開始] 功能表中輸入事件查看器,然後開啟 Windows 事件檢視器

  2. 在左面板的 [動作] 底下,選取 [Create 自定義檢視...]

    醒目提示 [事件查看器] 視窗上 [建立自定義檢視] 選項的動畫。

  3. 移至 [XML] 索引標籤,然後 選取 [手動編輯查詢]。 如果您使用 XML 選項,您會看到無法使用 [ 篩選 ] 索引標籤編輯查詢的警告。 選取 [是]。

  4. 將您要從中篩選事件之功能的 XML 程式代碼貼到 XML 區段。

  5. 選取 [確定]。 指定篩選的名稱。 此動作會建立自定義檢視,篩選以僅顯示與該功能相關的事件。

適用於受攻擊面縮小規則事件的 XML

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
   <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select>
   <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select>
  </Query>
</QueryList>

受控制資料夾存取事件的 XML

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
   <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
   <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
  </Query>
</QueryList>

用於惡意探索保護事件的 XML

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Security-Mitigations/KernelMode">
   <Select Path="Microsoft-Windows-Security-Mitigations/KernelMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Concurrency">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Contention">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Messages">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Operational">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Power">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Render">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Tracing">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/UIPI">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Security-Mitigations/UserMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
  </Query>
</QueryList>

網路保護事件的 XML

<QueryList>
 <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
  <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
  <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
 </Query>
</QueryList>

受攻擊面縮小事件的清單

所有受攻擊面縮小事件都位於 應用程式和服務記錄 > Microsoft > Windows 底下,然後位於下表所列的資料夾或提供者之下。

您可以在 Windows 事件檢視器中存取這些事件:

  1. 開啟 [開始] 功能表並輸入事件查看器,然後選取 事件檢視器 結果。

  2. 展開 [應用程式和服務記錄 > Microsoft > Windows ],然後移至下表中 [ 提供者/來源 ] 下所列的資料夾。

  3. 按兩下子專案以查看事件。 捲動事件以尋找您要尋找的事件。

    使用 事件檢視器 顯示的動畫。

功能 提供者/來源 事件識別碼 描述
入侵防護 Security-Mitigations (核心模式/使用者模式) 1 ACG 稽核
入侵防護 Security-Mitigations (核心模式/使用者模式) 2 ACG 強制執行
入侵防護 Security-Mitigations (核心模式/使用者模式) 3 不允許子處理序稽核
入侵防護 Security-Mitigations (核心模式/使用者模式) 4 不允許子處理序封鎖
入侵防護 Security-Mitigations (核心模式/使用者模式) 5 封鎖低完整性映像稽核
入侵防護 Security-Mitigations (核心模式/使用者模式) 6 封鎖低完整性映像封鎖
入侵防護 Security-Mitigations (核心模式/使用者模式) 7 封鎖遠端映像稽核
入侵防護 Security-Mitigations (核心模式/使用者模式) 8 封鎖遠端映像封鎖
入侵防護 Security-Mitigations (核心模式/使用者模式) 9 停用 win32k 系統呼叫稽核
入侵防護 Security-Mitigations (核心模式/使用者模式) 10 停用 win32k 系統呼叫封鎖
入侵防護 Security-Mitigations (核心模式/使用者模式) 11 程式碼完整性防護稽核
入侵防護 Security-Mitigations (核心模式/使用者模式) 12 程式碼完整性防護封鎖
入侵防護 Security-Mitigations (核心模式/使用者模式) 13 EAF 稽核
入侵防護 Security-Mitigations (核心模式/使用者模式) 14 EAF 強制執行
入侵防護 Security-Mitigations (核心模式/使用者模式) 15 EAF+ 稽核
入侵防護 Security-Mitigations (核心模式/使用者模式) 16 EAF+ 強制執行
入侵防護 Security-Mitigations (核心模式/使用者模式) 17 IAF 稽核
入侵防護 Security-Mitigations (核心模式/使用者模式) 18 IAF 強制執行
入侵防護 Security-Mitigations (核心模式/使用者模式) 19 ROP StackPivot 稽核
入侵防護 Security-Mitigations (核心模式/使用者模式) 20 ROP StackPivot 強制執行
入侵防護 Security-Mitigations (核心模式/使用者模式) 21 ROP CallerCheck 稽核
入侵防護 Security-Mitigations (核心模式/使用者模式) 22 ROP CallerCheck 強制執行
入侵防護 Security-Mitigations (核心模式/使用者模式) 23 ROP SimExec 稽核
入侵防護 Security-Mitigations (核心模式/使用者模式) 24 ROP SimExec 強制執行
入侵防護 WER-Diagnostics 5 CFG 封鎖
入侵防護 Win32K (作業) 260 不信任的字型
網路保護 Windows Defender (作業) 5007 變更設定時的事件
網路保護 Windows Defender (作業) 1125 在稽核模式中引發網路保護的事件
網路保護 Windows Defender (作業) 1126 在封鎖模式中引發網路保護時的事件
受控資料夾存取權 Windows Defender (作業) 5007 變更設定時的事件
受控資料夾存取權 Windows Defender (作業) 1124 稽核的受控資料夾存取事件
受控資料夾存取權 Windows Defender (作業) 1123 已封鎖的受控資料夾存取事件
受控資料夾存取權 Windows Defender (作業) 1127 封鎖的受控資料夾存取扇區寫入區塊事件
受控資料夾存取權 Windows Defender (作業) 1128 稽核的受控資料夾存取扇區寫入區塊事件
受攻擊面縮小 Windows Defender (作業) 5007 變更設定時的事件
受攻擊面縮小 Windows Defender (作業) 1122 在稽核模式中引發規則時的事件
受攻擊面縮小 Windows Defender (作業) 1121 在封鎖模式中引發規則時的事件

注意事項

從用戶的觀點來看,受攻擊面縮小警告模式通知會做為受攻擊面縮小規則的 Windows 快顯通知。

在受攻擊面縮小中,網路保護僅提供稽核和封鎖模式。

深入瞭解受攻擊面縮小的資源

如影片中所述,適用於端點的Defender包含數個受攻擊面縮小功能。 使用下列資源來深入瞭解:

文章 描述
應用程式控制 使用應用程控,讓您的應用程式必須獲得信任才能執行。
受攻擊面縮小規則參考 提供每個受攻擊面縮小規則的詳細數據。
受攻擊面縮小規則部署指南 提供部署受攻擊面縮小規則的概觀資訊和必要條件,後面接著測試 (稽核模式) 、啟用 (區塊模式) 和監視的逐步指引。
受控資料夾存取權 協助防止惡意或可疑的應用程式 (包括檔案加密勒索軟體惡意代碼) ,避免對密鑰系統資料夾中的檔案進行變更 (需要 Microsoft Defender 防病毒軟體) 。
裝置控制 監視和控制組織中裝置上使用的媒體,例如卸除式記憶體和USB磁碟驅動器,以防止數據遺失。
入侵防護 協助保護您的組織所使用的作業系統和應用程式,避免遭到惡意探索。 惡意探索保護也適用於協力廠商防毒軟體解決方案。
硬體隔離 在系統啟動和執行時保護和維護系統的完整性。 透過本機和遠端證明驗證系統完整性。 使用 Microsoft Edge 的容器隔離來協助防範惡意網站。
網路保護 延伸對組織裝置上網路流量和連線的保護。 (需要 Microsoft Defender 防毒軟體)。
測試受攻擊面縮小規則 提供使用稽核模式來測試受攻擊面縮小規則的步驟。
Web 保護 Web 保護可讓您保護裝置免於遭受 Web 威脅,並協助您規範不必要的內容。

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:適用於端點的 Microsoft Defender 技術社群。