Essential Eight 用户应用程序强化

攻击者通常使用恶意网站、电子邮件或可移动媒体将工作站作为目标,试图提取敏感信息。 在工作站上强化应用程序是降低此风险的重要部分。 由于其有效性,用户应用强化是 ACSC 缓解网络安全事件策略中的 Essential 8 之一。

攻击者经常尝试利用在较旧且不受支持的应用程序版本中发现的漏洞。 较新版本的Microsoft产品在安全功能、功能方面进行了重大改进,并提高了稳定性。 通常,缺少改进的安全功能,使攻击者能够轻松入侵旧版应用程序。 为了降低此风险,应使用Microsoft产品的最新受支持版本。

资源和参考

为便于参考,Intune要求为关联的控件部署以下策略:

Web 浏览器不从 Internet 处理 Java

默认情况下,不会在 Windows 10 或 Windows 11 上安装 Java。

ISM 控制 2024 年 9 月 补救措施
1486 默认情况下,不会在 Windows 10 或 Windows 11 上安装 Java。

Web 浏览器不处理来自 Internet 的 Web 广告

在为 Microsoft Edge 部署 Microsoft Edge 安全基线和 ACSC 强化时,将配置用于在 Microsoft Edge 中禁用播发的所有可用配置选项。

使用 Microsoft Edge 的第三方扩展、网关上的网络筛选或使用受保护的 DNS 服务可以实现更多阻止。 但是,实现这些项目超出了本文档的范围。

ISM 控制 2024 年 9 月 补救措施
1485 策略“针对具有侵入性广告的网站的广告设置”已配置为 “启用”。

Internet Explorer 11 已禁用或删除

Windows 11上不存在 Internet Explorer 11。

2022 年 6 月 15 日,Microsoft 已停用 Internet Explorer 11。 对于仍需要 Internet Explorer 实现旧版兼容性的组织,Microsoft Edge 中的 Internet Explorer 模式 (IE 模式) 提供了无缝的单一浏览器体验。 用户可以从 Microsoft Edge 内部访问旧应用程序,而无需切换回 Internet Explorer 11。

管理员配置 IE 模式后,组织可以禁用 Internet Explorer 11 作为独立浏览器。 删除“开始”菜单和任务栏上的 Internet Explorer 11 图标。 尝试启动使用 Internet Explorer 11 的快捷方式或文件关联,或者直接调用 iexplore.exe 二进制文件时,用户会被重定向到 Microsoft Edge。

若要将 Internet Explorer 配置为直接在特定网站的 Microsoft Edge 中打开,请配置 IE 模式策略。 有关详细信息,请参阅 配置 IE 模式策略

禁用 Internet Explorer 11 的实现详细信息

若要使用Intune禁用 Internet Explorer 11 作为Windows 10设备的独立浏览器,请执行以下操作:

  1. 创建新的设置目录策略。
  2. 按类别浏览,然后搜索: 禁用 Internet Explorer 11 作为独立浏览器 (用户)
  3. 转到“管理模板\Windows 组件\Internet Explorer”,然后选择设置: 禁用 Internet Explorer 11 作为独立浏览器 (用户)
  4. 启用“ 禁用 Internet Explorer 11 作为独立浏览器 (用户) 设置。
  5. 将策略部署到一组设备或用户。

此外,若要完全删除 Internet Explorer 11,请执行以下操作:

  1. 使用以下选项将 UserApplicationHardening-RemoveFeatures.ps1添加为 PowerShell 脚本:
  • 使用登录凭据运行此脚本:
  • 强制检查脚本签名:
  • 在 64 位 PowerShell 主机中运行脚本:
  1. 将脚本分配给部署组。
ISM 控制 2024 年 9 月 补救措施
1666 策略“配置企业模式站点列表”配置了组织特定的网站列表。 Internet Explorer 11 已被配置为“启用”的策略“禁用 Internet Explorer 11 作为独立浏览器”删除,或者通过使用脚本删除。

Microsoft Office 被阻止创建子进程

可以通过通过 Intune 部署的 ASR (ASR) Endpoint Security 策略来阻止Microsoft Office 创建子进程。

Microsoft在 GitHub 上提供了 ACSC Windows 强化指南的Intune实现。本指南包含用于阻止Microsoft Office 创建子进程的 ASR 规则

用于阻止创建子进程的实现详细信息

实现阻止子进程的创建:

  1. 导航到 Graph 资源管理器 并进行身份验证。
  2. 使用 Beta 架构创建 POST 请求,以访问攻击面减少策略终结点:https://graph.microsoft.com/beta/deviceManagement/templates/0e237410-1367-4844-bd7f-15fb0f08943b/createInstance
  3. 复制 ACSC Windows 强化 Guidelines-Attack Surface 缩减 策略中的 JSON,并将其粘贴到请求正文中。
  4. (可选) 根据需要修改 名称 值。

此 ASR 终结点安全策略包含特定的 ASR 规则:阻止所有 Office 应用程序 (D4F940AB-401B-4EFC-AADC-AD5F3C50688A) 创建子进程。

备注

通过导入此 ASR 规则配置文件,Microsoft Office 被阻止创建可执行内容 (3B576869-A4EC-4529-8536-B80A7769E899) ,并将代码注入其他进程 (7568C1F-73B5-4CF0-BB93-3ECF5CB7CC84) 。

备注

此攻击面减少 (ASR) 策略在审核模式下配置 ACSC 建议的每个 ASR 规则。 在强制实施之前,应在任何环境中测试 ASR 规则是否存在兼容性问题。

ISM 控制 2024 年 9 月 补救措施
1667 已启用 ASR 规则“阻止所有 Office 应用程序创建子进程”。

Microsoft Office 被阻止创建可执行内容

阻止Microsoft Office 创建子进程 (3B576869-A4EC-4529-8536-B80A7769E899) 可以通过通过 Intune 部署的攻击面减少 (ASR) Endpoint Security 策略来完成。

ISM 控制 2024 年 9 月 缓解措施
1668 已启用 ASR 规则“阻止 Office 应用程序创建可执行内容”。

Microsoft Office 被阻止将代码注入其他进程

阻止 Microsoft Office 创建子进程 (75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84) 可以通过通过 Intune 部署的攻击面减少 (ASR) Endpoint Security 策略来完成。

ISM 控制 2024 年 9 月 补救措施
1669 已启用 ASR 规则“阻止 Office 应用程序将代码注入其他进程”。

Microsoft Office 配置为阻止激活 OLE 包

部署 OfficeMacroHardening-PreventActivationofOLE.ps1PowerShell 脚本以导入阻止在 Excel、PowerPoint 和 Word 中激活 OLE 包的注册表项。

阻止激活 OLE 包的实现详细信息

若要实现 OLE 包激活的防护,请执行:

  1. 使用以下选项将 OfficeMacroHardening-PreventActivationofOLE.ps1添加为 PowerShell 脚本:
  • 使用登录凭据运行此脚本:
  • 强制检查脚本签名:
  • 在 64 位 PowerShell 主机中运行脚本:
  1. 将脚本分配给部署组。

备注

此 PowerShell 脚本专用于 Office 2016 及更高版本。 此处提供了防止激活 OLE for Office 2013 的脚本: OfficeMacroHardening-PreventActivationofOLE-Office2013.ps1

脚本未签名。 如果需要脚本签名,请查看以下文档以对脚本进行签名,以便可以在 Windows 设备上执行该脚本:对脚本进行签名的方法,并将强制脚本签名检查更改为:是

ISM 控制 2024 年 9 月 补救措施
1542 已通过脚本阻止激活 OLE 包。

PDF 软件被阻止创建子进程

Microsoft Edge 配置为 Windows 10 和 Windows 11 上的默认 PDF 查看器。 可以使用 ACSC 的策略或适用于 Web 浏览器的供应商强化指南,进一步强化 PDF 查看。

或者,如果您的组织使用 Adobe Reader 作为默认 PDF 软件,请配置相应的攻击面减少规则,以阻止 Adobe Reader 创建子进程,使用以下步骤:

  1. 在Intune中,导航到“终结点安全>攻击面减少”。
  2. ) 新的攻击面减少终结点安全策略创建 (或修改。
  3. “阻止 Adobe Reader 创建子进程”设置为 “启用”。
  4. 将攻击面减少规则策略分配给组。
ISM 控制 2024 年 9 月 补救措施
1670 已启用 ASR 规则“阻止 Adobe Reader 创建子进程”。

Web 浏览器、Microsoft Office 和 PDF 软件的强化指南

使用 Microsoft Edge 的 Web 浏览器和 PDF 软件

Microsoft Edge 默认安装在 Windows 10 上,Windows 11建议使用 Web 浏览器。 除非另有配置,否则Microsoft Edge 都是默认浏览器和 PDF 查看器。

Microsoft和 ACSC 提供了强化 Microsoft Edge 的指导和特定策略。 应同时部署这两组指南。

使用 Microsoft Edge 安全基线实现详细信息

实现安全基线:

  1. 导航到 Endpoint Security>Security Baselines>Microsoft Edge Baseline
  2. 通过选择“ 创建配置文件”创建新的Microsoft Edge 基线。
  3. 查看配置,并将安全基线分配给组。

Microsoft Edge 强化指南的实现详细信息

实现强化指南:

  1. ACSC Microsoft Edge 强化指南 策略保存到本地设备。
  2. 导航到Microsoft Intune控制台。
  3. 导入策略,在“设备”>下“Windows > 配置文件>”“创建>导入策略
  4. 命名策略,在“策略文件”下选择“浏览文件”,然后导航到步骤 1 中保存的策略。
  5. 选择“保存”

备注

Microsoft还发布了Intune政策,这些政策旨在帮助组织遵守澳大利亚网络安全中心 (ACSC) Windows 10 强化指南。 ACSC 建议的 Microsoft Edge 强化策略也包含在这些策略中。

ISM 控制 2024 年 9 月 缓解措施
1412, 1860 - 部署 Microsoft Edge 安全基线
- 部署 ACSC Microsoft Edge 强化指南。

Microsoft Office:Microsoft Apps企业版

Microsoft Apps for Enterprise 强化了与从 ACSC 强化Microsoft 365、Office 2021、Office 2019 和 Office 2016 的建议设置,作为 Essential 8 Configure Microsoft Office 宏 设置支柱的一部分。

ISM 控制 2024 年 9 月 缓解措施
1859 部署 ACSC Office 强化指南。

Web 浏览器、Microsoft Office 和 PDF 软件安全设置无法由用户更改

当通过 Intune 部署本文档中提供的策略时,策略包含的设置将强制实施,并且不能由标准用户更改。

ISM 控制 2024 年 9 月 缓解措施
1585 当通过 Intune 部署本文档中提供的策略时,策略包含的设置将强制实施,并且不能由标准用户更改。

.NET Framework 3.5 (包括 .NET 2.0 和 3.0,) 已被禁用或删除

部署 UserApplicationHardening-RemoveFeatures.ps1 PowerShell 脚本会关闭 .NET Framework 3.5 (包括 .NET 2.0 和 3.0) 功能(如果已安装)。

ISM 控制 2024 年 9 月 缓解措施
ISM-1655 .NET Framework 3.5 (包括 .NET 2.0 和 3.0,) 已被禁用或删除。

Windows PowerShell 2.0 已禁用或删除

部署 UserApplicationHardening-RemoveFeatures.ps1 PowerShell 脚本会关闭 Windows PowerShell 2.0 功能(如果已安装)。

ISM 控制 2024 年 9 月 补救措施
1612 使用提供的脚本禁用或删除Windows PowerShell 2.0。

PowerShell 配置为使用约束语言模式

约束语言模式作为基本 8 应用程序控制缓解策略文档的一部分启用。

阻止的 PowerShell 脚本执行将集中记录并防止未经授权的修改和删除,监视泄露迹象,并在检测到网络安全事件时采取措施

Microsoft Defender for Endpoint (MDE) 可用于从可用于检测网络安全事件的终结点获取和保留日志。

可以在Microsoft Defender for Endpoint高级搜寻中本机审核脚本执行。 Microsoft Defender for Endpoint高级搜寻功能记录多个应用程序控制事件,包括事件 ID 8029,这些事件会报告阻止的脚本或强制在约束语言模式下运行的脚本。

或者,WDAC 事件的事件转发可用于在第三方监视解决方案中监视它们。

引用:

了解应用程序控制事件 ID (Windows) - Windows 安全性 | 使用高级搜寻 (Windows) 查询应用程序控制事件 - Windows 安全性

Intune可用于将设备无缝载入到MDE。

命令行进程创建事件集中记录

与阻止的 PowerShell 脚本执行一样,当设备注册到 Defender for Endpoint 时,会收集作为入侵指示的前兆的命令行进程创建事件。 可以在 Defender for Endpoint 门户中的“时间线”下的“设备”页上查看事件。

将终结点载入到 Microsoft Defender for Endpoint 的实现详细信息

若要将终结点载入到 MDE:

  1. 使用运行 Windows 10 或更高版本) 模板>Microsoft Defender for Endpoint (桌面设备创建新的 Windows 配置文件。
  2. “加速遥测报告频率 ”设置为 “启用”。
  3. 将策略分配给部署组。

将设备载入MDE后,将捕获 PowerShell 执行以供审查,并在必要时采取措施。 有关详细信息,请参阅 Microsoft Defender for Endpoint 中的设备上执行响应操作

ISM 控制 2024 年 9 月 补救措施
1664, 1665, 1405 当设备注册到 Defender for Endpoint 时,Defender for Endpoint 会捕获应用程序控制事件 ID。
1899 当设备注册到 Defender for Endpoint 时,Defender for Endpoint 会捕获作为入侵指示的前兆的命令行进程创建事件。