Microsoft Defender for Endpoint中的攻击面减少功能

攻击面减少是Microsoft Defender for Endpoint中的一组功能，可消除设备和网络上的风险或不必要的行为，减少攻击者入侵组织的机会。 攻击面是组织易受网络威胁攻击的所有位置。 通过强化这些表面，可以首先防止攻击的发生。

这些功能可阻止有风险的软件行为，防止连接到恶意站点，并防止数据遭到未经授权的访问或外泄。 它们共同构成了分层防御，补充 Defender for Endpoint 中的检测和响应功能。

攻击面减少功能

Defender for Endpoint 中的攻击面减少包括以下功能：

• 攻击面减少 (ASR) 规则 限制攻击者利用的风险软件行为，例如启动尝试下载文件的可执行文件、运行模糊脚本或执行应用在日常工作中通常不会启动的操作。 有关详细信息，请参阅 攻击面减少 (ASR) 规则概述。

• 受控的文件夹访问权限 可保护有价值的数据免受恶意应用和勒索软件等威胁的影响。 它根据已知受信任的应用列表检查应用，并防止不受信任的应用修改受保护文件夹中的文件。 有关详细信息，请参阅 使用受控文件夹访问权限保护重要文件夹。

• Exploit Protection 自动将攻击缓解技术应用于操作系统进程和应用。 它基于 EMET) 增强缓解体验工具包中提供的保护 (，并与 Defender for Endpoint 集成，用于报告和警报。 有关详细信息，请参阅 保护设备免受攻击。

• 网络保护 可防止连接到恶意或可疑的域和 IP 地址。 它扩展了Microsoft Defender SmartScreen 保护，以阻止尝试连接到低信誉源的所有出站 HTTP (S) 流量。 有关详细信息，请参阅 网络保护。

• Web 保护 可保护设备免受 Web 威胁，并帮助调节不需要的内容。 Web 防护包括 Web 威胁防护、Web 内容筛选和自定义指示器。 有关详细信息，请参阅 Web 保护。

• Web 内容筛选 根据网站的内容类别跟踪和规范对网站的访问，从而允许阻止违反合规性法规或组织策略的类别。 有关详细信息，请参阅 Web 内容筛选。

• 设备控制 确定用户是否可以在其计算机上安装和使用外围设备，例如 U 盘、打印机和蓝牙设备。 设备控制有助于防止数据丢失和恶意软件从可移动媒体中获取。 有关详细信息，请参阅 Microsoft Defender for Endpoint 中的设备控制。

• 网络防火墙报告与 Windows 防火墙集成，以集中查看Microsoft Defender门户中的防火墙事件。 有关详细信息，请参阅 主机防火墙报告。

下表总结了这些功能的可用性：

功能	Windows	macOS	Linux
ASR 规则	Y	N	N
文件夹限制访问	Y	N	N
漏洞保护	Y	N	N
网络保护	Y	Y	Y*
Web 保护	Y	Y	Y*
Web 内容筛选	Y	Y	Y
设备控制	Y	Y	N
防火墙报告	Y	N	N

^* 目前为预览版。

相关的 Windows 安全功能

以下 Windows 安全功能补充了 Defender for Endpoint 中的攻击面减少功能，但单独配置和管理：

• Microsoft Defender 应用程序防护为 Microsoft Edge 提供基于硬件的隔离，在容器中打开不受信任的站点以保护组织。 有关详细信息，请参阅Microsoft Defender 应用程序防护概述。
• Windows Defender 应用程序控制 (WDAC) 可确保只有受信任的应用程序在你的设备上运行。 有关详细信息，请参阅 适用于 Windows 的应用程序控制。
• Windows 防火墙 控制设备上的入站和出站网络流量。 有关详细信息，请参阅 具有高级安全性的 Windows 防火墙。

攻击面减少如何适合 Defender for Endpoint

攻击面减少是对其他 Defender for Endpoint 功能的补充，这些功能在威胁发生后检测和响应威胁。 虽然下一代保护和终结点检测和响应侧重于识别和修正活动威胁，但攻击面减少可以防止威胁获得立足点。

每个功能可解决攻击面的不同部分：

• 有风险的软件行为：ASR 规则限制应用程序和脚本的行为方式，从而阻止攻击者用来传递恶意软件或窃取凭据的常见技术。
• 网络连接：网络保护和 Web 保护阻止在内容到达设备之前访问已知恶意或不适当的站点。
• 数据和文件访问：受控的文件夹访问和设备控制限制哪些应用程序和硬件可以访问或修改敏感文件。
• 应用程序漏洞：攻击防护应用缓解措施，使攻击者更难利用操作系统进程和应用程序中的漏洞。

审核模式

审核模式可帮助你评估攻击面减少功能对环境的影响，而不会影响工作效率。 以下功能支持审核模式：

• 攻击面减少 (ASR) 规则和排除项
• 受控文件夹访问
• 漏洞保护
• 网络保护

在审核模式下，功能不会阻止应用、脚本或连接。 相反，Windows 事件日志会记录事件，就像功能处于活动状态一样。 可以在Microsoft Defender门户中查看事件日志并使用高级搜寻，以了解每项功能对业务线应用程序的影响。 有关 Windows 事件查看器中的数据的详细信息，请参阅查看 Windows 事件查看器中的攻击面减少事件。

管理工具

可以使用多种管理工具配置攻击面减少功能。 通常使用以下工具：

• Microsoft Intune
• Microsoft Configuration Manager
• 组策略
• PowerShell cmdlet

正确的工具取决于组织的基础结构和管理首选项。 有关详细的配置指南，请参阅 攻击面减少功能 部分链接的各个功能文章。

相关内容

• ASR) 规则概述 (攻击面减少
• 攻击面减少 (ASR) 规则部署指南
• Windows 事件查看器中的攻击面减少事件
• 使用受控文件夹访问保护文重要件夹
• 保护设备免遭攻击
• 网络保护
• Web 保护功能
• Microsoft Defender for Endpoint中的设备控制