測試受攻擊面縮小規則

文章
04/28/2024

適用於：

測試適用於端點的 Microsoft Defender 受攻擊面縮小規則可協助您在啟用任何規則之前，判斷規則是否會妨礙企業營運。從小型的受控群組開始，您可以在展開整個組織的部署時，限制潛在的工作中斷情形。

在受攻擊面縮小規則部署指南的這一節中，您將瞭解如何：

使用 Microsoft Intune 設定規則
使用適用於端點的 Microsoft Defender 受攻擊面縮小規則報告
設定受攻擊面縮小規則排除專案
使用 PowerShell 啟用受攻擊面縮小規則
針對受攻擊面縮小規則事件使用事件檢視器

注意事項

開始測試受攻擊面縮小規則之前，建議您先停用先前設定為稽核的所有規則，或在適用時啟用 () 。如需使用受攻擊面縮小規則報告來停用受攻擊面縮小規則的相關信息，請參閱受攻擊面縮小規則報告。

使用環 1 開始部署受攻擊面縮小規則。

步驟 1：使用稽核測試受攻擊面縮小規則

開始測試階段，方法是開啟受攻擊面縮小規則，並將規則設定為 [稽核]，從響鈴 1 中的風雲人物使用者或裝置開始。一般來說, 建議您啟用所有規則 (在稽核中), 以便決定在測試階段觸發哪些規則。設定為 [稽核] 的規則通常不會影響套用規則的實體或實體的功能，但會產生用於評估的記錄事件;對用戶沒有任何影響。

使用 Intune 設定受攻擊面縮小規則

您可以使用 Microsoft Intune 端點安全性來設定自定義攻擊面縮小規則。

開啟 Microsoft Intune 系統管理中心。
請前往 [端點安全性]>受攻擊表面縮小。
選取 [建立原則]。
在 [平臺] 中，選取 [Windows 10]、[Windows 11] 和 [Windows Server]，然後在 [配置檔] 中選取 [受攻擊面縮小規則]。
選取 [建立]。
在 [基本資料] 索引標籤的 [建立設定檔] 窗格中, 在 [名稱] 新增您的規則名稱。在 [描述 ] 中，新增受攻擊面縮小規則原則的描述。
在 [組態設定] 索引標籤中, 在 [受攻擊面縮小規則] 下，將所有規則設定為 [稽核模式]。

注意事項

某些受攻擊面縮小規則模式清單中有變化; [已封鎖 ] 和 [ 已啟用 ] 提供相同的功能。
[選擇性]在 [範圍標籤] 窗格中, 您可以將標記資訊新增到特定裝置。您也可以使用角色型存取控制和範圍標籤, 以確保正確的系統管理員具有正確的 Intune 物件存取權和可見度。深入瞭解: 針對 Intune 中的分散式 IT 使用角色型存取控制 (RBAC) 和範圍標籤。
在 [工作] 窗格中, 您可以部署或「指派」設定檔給使用者或裝置群組。深入瞭解: Microsoft Intune 中指派裝置設定黨

注意事項

適用於端點的Defender方案1和方案2支援裝置群組建立。
在 [檢閱 + 建立] 窗格中檢查您的設定。按一下 [建立] 以套用規則。

受攻擊面縮小規則的新受攻擊面縮小原則會列在 端點安全性 |受攻擊面縮小。

步驟 2：瞭解 Microsoft Defender 入口網站中的受攻擊面縮小規則報告頁面

您可以在入口網站報告受攻擊面縮小規則 Microsoft Defender>> 頁面中找到受攻擊面縮小規則。此頁面有三個分頁:

偵測
組態
新增排除項目

偵測索引標籤

提供偵測到的稽核和封鎖事件的 30 天時間表。

[受攻擊面縮小規則] 窗格會根據每個規則提供偵測到的事件概觀。

注意事項

受攻擊面縮小規則報告有一些變化。 Microsoft 正在更新受攻擊面縮小規則報告的行為，以提供一致的體驗。

選 取 [檢視偵測] 以開啟 [ 偵測] 索引標籤 。

GroupBy 及 [篩選條件] 提供下列選項:

GroupBy 傳回下列群組的結果集:

無分組
已偵測的檔案
稽核或封鎖
規則
來源應用程式
裝置
User
Publisher

注意事項

依規則篩選時，報表下半部所列的個別偵測項目數目目前限制為 200 個規則。您可以使用 [匯出] 將完整的偵測清單儲存至 Excel。

[篩選 ] 會開啟 [規則篩選 ] 頁面，讓您只將結果的範圍設定為選取的受攻擊面縮小規則：

注意事項

如果您有 Microsoft 365 安全性 E5 或 A5、Windows E5 或 A5 授權，下列連結會開啟 [Microsoft Defender 365 報告>攻擊面縮小>偵測] 索引標籤。

設定索引標籤

清單每部計算機為基礎—攻擊面縮小規則的匯總狀態：關閉、稽核、封鎖。

在 [組態] 索引標籤上，您可以選取您要檢閱受攻擊面縮小規則的裝置，根據每個裝置檢查哪些受攻擊面縮小規則已啟用，以及在哪種模式中。

[開始使用] 鏈接會開啟 Microsoft Intune 系統管理中心，您可以在其中建立或修改受攻擊面縮小的端點保護原則：

在端點安全性|概觀, 選取 受攻擊面縮小規則:

端點安全性 | 受攻擊面縮小窗格開啟:

注意事項

如果您有 Microsoft Defender 365 E5 (或 Windows E5？) 授權，此連結將會開啟 [Microsoft Defender 365 報告>攻擊面縮小>設定] 索引標籤。

新增排除項目

此索引標籤提供一種方法, 可選取要排除的偵測到的實體 (例如誤判）。新增排除項目時, 報告會提供預期影響的摘要。

注意事項

Microsoft Defender 受攻擊面縮小規則接受防病毒軟體防病毒軟體排除專案。請參閱根據副檔名、名稱或位置設定及驗證排除。

注意事項

如果您有 Microsoft Defender 365 E5 (或 Windows E5？) 授權，此連結將會開啟 [Microsoft Defender 365 報告>攻擊面縮小>排除範圍] 索引標籤。

如需使用受攻擊面縮小規則報告的詳細資訊，請參閱受攻擊面縮小規則報告。

設定依規則排除的受攻擊面縮小

受攻擊面縮小規則現在提供設定規則特定排除的功能，稱為「依規則排除專案」。

注意事項

目前無法使用PowerShell或群組原則來設定個別規則排除專案。

若要設定特定規則排除專案：

開啟 Microsoft Intune 系統管理中心，然後流覽至 [首頁>端點安全>性受攻擊面縮小]。
如果尚未設定，請將您要設定排除項目的規則設定為 [稽核] 或 [ 封鎖]。
在 [僅限依規則排除的 ASR] 中，按下切換從 [ 未設定 ] 變更為 [已 設定]。
輸入您想要排除的檔案或應用程式名稱。
在 [Create 配置檔精靈] 底部，選取 [下一步]，並遵循精靈指示。

提示

使用排除專案清單旁的複選框，選取要刪除、排序、匯入或匯出的專案。

使用 PowerShell 作為替代方法，以啟用受攻擊面縮小規則

您可以使用 PowerShell 作為 Intune 的替代方案，在稽核模式中啟用受攻擊面縮小規則，以檢視在功能完全啟用時會遭到封鎖的應用程式記錄。您也可以了解規則在正常使用期間的觸發頻率。

若要在稽核模式中啟用受攻擊面縮小規則，請使用下列 PowerShell Cmdlet：

Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions AuditMode

<rule ID> 是受攻擊面縮小規則的 GUID 值。

若要在稽核模式中啟用新增的受攻擊面縮小規則，請使用下列 PowerShell Cmdlet：

(Get-MpPreference).AttackSurfaceReductionRules_Ids | Foreach {Add-MpPreference -AttackSurfaceReductionRules_Ids $_ -AttackSurfaceReductionRules_Actions AuditMode}

提示

如果您想要完整稽核受攻擊面縮小規則在貴組織中的運作方式，您必須使用管理工具以便將此項設定部署到您網路中的裝置。

您也可以使用群組原則、Intune 或行動裝置管理 (MDM) 設定服務提供者 (CSP) 來設定和部署設定。在主要的受攻擊面縮小規則文章中進行深入了解。

使用 Windows 事件檢視器檢閱作為 Microsoft Defender 入口網站中受攻擊面縮小規則報告頁面的替代方案

若要檢視已封鎖的應用程式，請開啟事件檢視器，並在 Microsoft-Windows-Windows Defender/Operational 記錄中篩選事件識別碼 1121。下表列出所有網路保護事件。

事件識別碼	描述
5007	變更設定時的事件
1121	在封鎖模式中引發受攻擊面縮小規則的事件
1122	在稽核模式中引發受攻擊面縮小規則的事件

此部署集合中的其他文章

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群：適用於端點的 Microsoft Defender 技術社群。

分享方式：

測試受攻擊面縮小規則