在 Microsoft Defender for Business 中启用攻击面减少规则
攻击面是组织网络和设备容易受到网络威胁和攻击的所有地点和方式。 不安全的设备、对公司设备上任何 URL 的无限制访问,以及允许在公司设备上运行任何类型的应用或脚本都是攻击面的示例。 它们使你的公司容易受到网络攻击。
为了帮助保护网络和设备,Microsoft Defender for Business 包括多个攻击面减少功能,包括攻击面减少规则。 本文介绍如何设置攻击面减少规则,并介绍攻击面减少功能。
标准保护 ASR 规则
有许多可用的攻击面减少规则。 不必一次性设置它们。 此外,你可以在审核模式下设置一些规则,只是为了了解它们如何为组织工作,并将它们更改为稍后在阻止模式下工作。 也就是说,我们建议尽快启用以下标准保护规则:
这些规则有助于保护网络和设备,但不应对用户造成干扰。 使用 Intune 设置攻击面减少规则。
使用 Intune 设置 ASR 规则
在 Microsoft Intune 管理中心,转到 “终结点安全>攻击面减少”。
选择 “创建策略 ”以创建新策略。
- 对于 “平台”,请选择 “Windows 10”、“Windows 11”和“Windows Server”。
- 对于“配置文件”,选择“ 攻击面减少规则”,然后选择“ 创建”。
按如下所示设置策略:
指定名称和说明,然后选择“ 下一步”。
对于至少以下三个规则,请将每个规则设置为 “阻止”:
- 阻止从 Windows 本地安全机构子系统窃取凭据
- 通过 WMI 事件订阅阻止持久性
- 阻止滥用被利用的易受攻击的已签名驱动程序
然后选择“下一步”。
在 “作用域标记 ”步骤中,选择“ 下一步”。
在 “分配” 步骤中,选择要接收规则的用户或设备,然后选择“ 下一步”。 (建议选择 “添加所有设备”。)
在 “查看 + 创建 ”步骤中,查看信息,然后选择“ 创建”。
提示
如果需要,可以先在审核模式下设置攻击面减少规则,在文件或进程实际被阻止之前查看检测。 有关攻击面减少规则的更多详细信息,请参阅 攻击面减少规则部署概述。
查看攻击面减少报告
Defender for Business 包含攻击面减少报告,其中显示了攻击面减少规则如何为你工作。
在 Microsoft Defender 门户中的导航窗格中,选择“ 报表”。
在 “终结点”下,选择“ 攻击面减少规则”。 报表随即打开,其中包含三个选项卡:
- 检测,可在其中查看由于攻击面减少规则而发生的检测
- 配置,可在其中查看标准保护规则或其他攻击面减少规则的数据
- 添加排除项,可在其中添加要从攻击面减少规则中排除的项目 (谨慎使用排除项;每个排除都会降低安全保护级别)
若要详细了解攻击面减少规则,请参阅以下文章:
Defender for Business 中的攻击面减少功能
Defender for Business 中提供了攻击面减少规则。 下表汇总了 Defender for Business 中的攻击面减少功能。 请注意其他功能(如下一代保护和 Web 内容筛选)如何与攻击面减少功能协同工作。
| 功能 | 如何设置 |
|---|---|
|
攻击面减少规则 防止通常与恶意活动关联的特定操作在 Windows 设备上运行。 |
在本文) 部分 (启用标准防护攻击面减少规则。 |
|
受控文件夹访问 受控文件夹访问权限仅允许受信任的应用访问 Windows 设备上的受保护文件夹。 可将此功能视为勒索软件缓解。 |
在 Microsoft Defender for Business 中设置受控文件夹访问策略。 |
|
网络保护 网络保护可防止用户通过其 Windows 和 Mac 设备上的应用程序访问危险域。 网络保护也是 Microsoft Defender for Business 中 Web 内容筛选的关键组件。 |
设备载入 Defender for Business 并应用 Defender for Business 中的下一代保护策略 时,默认情况下已启用网络保护。 默认策略配置为使用建议的安全设置。 |
|
Web 保护功能 Web 防护与 Web 浏览器集成,并与网络保护配合使用,以防范 Web 威胁和不需要的内容。 Web 保护包括 Web 内容筛选和 Web 威胁报告。 |
在 Microsoft Defender for Business 中设置 Web 内容筛选。 |
|
防火墙保护 防火墙保护确定允许哪些网络流量流入或流出组织的设备。 |
当设备载入 Defender for Business 并应用 Defender for Business 中的防火墙策略 时,防火墙保护默认已启用。 |