在 Microsoft Defender for Business 中启用攻击面减少规则
攻击面是组织网络和设备容易受到网络威胁和攻击的所有地点和方式。 不安全的设备、对公司设备上任何 URL 的无限制访问,以及允许在公司设备上运行任何类型的应用或脚本都是攻击面的示例。 它们使你的公司容易受到网络攻击。
为了帮助保护网络和设备,Microsoft Defender for Business 包括多个攻击面减少功能,包括攻击面减少规则。 本文介绍如何设置攻击面减少规则,并介绍攻击面减少功能。
有许多可用的攻击面减少规则。 不必一次性设置它们。 此外,你可以在审核模式下设置一些规则,只是为了了解它们如何为组织工作,并将它们更改为稍后在阻止模式下工作。 也就是说,我们建议尽快启用以下标准保护规则:
这些规则有助于保护网络和设备,但不应对用户造成干扰。 使用 Intune 设置攻击面减少规则。
在 Microsoft Intune 管理中心,转到 “终结点安全>攻击面减少”。
选择 “创建策略 ”以创建新策略。
- 对于 “平台”,请选择 “Windows 10”、“Windows 11”和“Windows Server”。
- 对于“配置文件”,选择“ 攻击面减少规则”,然后选择“ 创建”。
按如下所示设置策略:
指定名称和说明,然后选择“ 下一步”。
对于至少以下三个规则,请将每个规则设置为 “阻止”:
-
阻止从 Windows 本地安全机构子系统窃取凭据
-
通过 WMI 事件订阅阻止持久性
-
阻止滥用被利用的易受攻击的已签名驱动程序
然后选择“下一步”。
在 “作用域标记 ”步骤中,选择“ 下一步”。
在 “分配” 步骤中,选择要接收规则的用户或设备,然后选择“ 下一步”。 (建议选择 “添加所有设备”。)
在 “查看 + 创建 ”步骤中,查看信息,然后选择“ 创建”。
提示
如果需要,可以先在审核模式下设置攻击面减少规则,在文件或进程实际被阻止之前查看检测。 有关攻击面减少规则的更多详细信息,请参阅 攻击面减少规则部署概述。
Defender for Business 包含攻击面减少报告,其中显示了攻击面减少规则如何为你工作。
在 Microsoft Defender 门户中的导航窗格中,选择“ 报表”。
在 “终结点”下,选择“ 攻击面减少规则”。 报表随即打开,其中包含三个选项卡:
-
检测,可在其中查看由于攻击面减少规则而发生的检测
-
配置,可在其中查看标准保护规则或其他攻击面减少规则的数据
-
添加排除项,可在其中添加要从攻击面减少规则中排除的项目 (谨慎使用排除项;每个排除都会降低安全保护级别)
若要详细了解攻击面减少规则,请参阅以下文章:
Defender for Business 中的攻击面减少功能
Defender for Business 中提供了攻击面减少规则。 下表汇总了 Defender for Business 中的攻击面减少功能。 请注意其他功能(如下一代保护和 Web 内容筛选)如何与攻击面减少功能协同工作。