從非 Microsoft HIPS 移轉至受攻擊面縮小規則
適用於:
本文可協助您將通用規則對應至 適用於端點的 Microsoft Defender。
從非 Microsoft HIPS 產品移轉至受攻擊面縮小規則的案例
封鎖建立特定檔案
- 適用於所有進程
- 作業 - 檔案建立
- 檔案/資料夾、登錄機碼/值、進程、服務- *.zepto、*.odin、*.locky、*.jaff、*.lukitus、*.wnry、*.krab 的範例
- 受攻擊面縮小規則 - 受攻擊面縮小規則會封鎖攻擊技術,而不是IOC) (入侵指標。 封鎖特定的擴展名不一定很有用,因為它不會防止裝置遭到入侵。 它只會部分阻擋攻擊,直到攻擊者為承載建立新類型的擴充功能為止。
- 其他建議的功能 - 強烈建議啟用 Microsoft Defender 防病毒軟體,以及雲端保護和行為分析。 建議您使用其他防護功能,例如受攻擊面縮小規則 使用勒索軟體的進階防護,以提供更高層級的保護來抵禦勒索軟體攻擊。 此外,適用於端點的 Microsoft Defender 會監視其中許多登錄機碼,例如觸發特定警示的 ASEP 技術。 所使用的登錄機碼至少需要本機 管理員 或受信任的安裝程序許可權才能修改。 建議您使用具有最低系統管理帳戶或許可權的鎖定環境。 您可以啟用其他系統設定,包括針對屬於我們更廣泛安全性建議的 非必要角色停用 SeDebug 。
封鎖建立特定登錄機碼
- 適用於所有進程
- 進程 - N/A
- 作業 - 登錄修改
- 檔案/資料夾、登錄機碼/值、進程、服務- 的範例\Software,HKCU\Environment\UserInitMprLogonScript,HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Accessibility\ATs*\StartExe, HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*\Debugger, HKEY_CURRENT_USER\Software\Microsoft\HtmlHelp Author\location, HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit*\MonitorProcess
- 受攻擊面縮小規則 - 受攻擊面縮小規則會封鎖攻擊技術,而不是IOC) (入侵指標。 封鎖特定的擴展名不一定很有用,因為它不會防止裝置遭到入侵。 它只會部分阻擋攻擊,直到攻擊者為承載建立新類型的擴充功能為止。
- 其他建議的功能 - 強烈建議啟用 Microsoft Defender 防病毒軟體,以及雲端保護和行為分析。 建議您使用額外的防護功能,例如受攻擊面縮小規則 使用進階防護來防範勒索軟體。 這可提供更高層級的保護,以防範勒索軟體攻擊。 此外,適用於端點的 Microsoft Defender 監視數個登錄機碼,例如觸發特定警示的 ASEP 技術。 此外,所使用的登錄機碼至少需要本機 管理員 或受信任的安裝程序許可權才能修改。 建議您使用具有最低系統管理帳戶或許可權的鎖定環境。 您可以啟用其他系統設定,包括針對屬於我們更廣泛安全性建議的 非必要角色停用 SeDebug 。
禁止不受信任的程式從卸載式磁碟驅動器執行
- 適用於來自USB的不受信任程式
- 行程 - *
- 作業 - 進程執行
- * 檔案/資料夾、登錄機碼/值、進程、服務的範例:-
- 受攻擊面縮小規則 - 受攻擊面縮小規則具有內建規則,可防止從抽取式磁碟驅動器啟動不受信任和未簽署的程式: 封鎖從 USB 執行的不受信任和未簽署的程式,GUID b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4。
- 其他建議的功能 - 請使用 適用於端點的 Microsoft Defender:如何使用 適用於端點的 Microsoft Defender 控制 USB 裝置和其他卸載式媒體,探索更多 USB 裝置和其他抽取式媒體的控件。
封鎖 Mshta 啟動特定子進程
- 適用於 - Mshta
- 進程 - mshta.exe
- 作業 - 進程執行
- 檔案/資料夾、登錄機碼/值、進程、服務-powershell.exe、cmd.exe、regsvr32.exe
- 受攻擊面縮小規則 - 受攻擊面縮小規則不包含任何特定規則,以防止子進程 mshta.exe。 此控件位於惡意探索保護或 Windows Defender 應用程控的許可權內。
- 其他建議的功能- 啟用 Windows Defender 應用程控以防止 mshta.exe 完全執行。 如果您的組織需要企業營運應用程式的mshta.exe,請設定特定的 Windows Defender 惡意探索保護規則,以防止 mshta.exe 啟動子程式。
封鎖 Outlook 啟動子進程
- 適用於 - Outlook
- 進程 - outlook.exe
- 作業 - 進程執行
- 檔案/資料夾、登錄機碼/值、進程、服務的範例- powershell.exe
- 受攻擊面縮小規則 - 受攻擊面縮小規則具有內建規則,可防止 Outlook、Skype 和 Teams) (Office 通訊應用程式啟動子進程: 封鎖 Office 通訊應用程式建立子進程,GUID 26190899-1602-49e8-8b27-eb1d0a1ce869。
- 其他建議的功能 - 建議您啟用PowerShell限制語言模式,以將來自PowerShell的攻擊面降到最低。
封鎖 Office Apps 啟動子進程
- 適用於 - Office
- 進程 - winword.exe、powerpnt.exe、excel.exe
- 作業 - 進程執行
- 檔案/資料夾、登錄機碼/值、進程、服務 powershell.exe、cmd.exe、wscript.exe、mshta.exe、EQNEDT32.EXE、regsrv32.exe
- 受攻擊面縮小規則 - 受攻擊面縮小規則具有內建規則,可防止 Office 應用程式啟動子進程: 封鎖所有 Office 應用程式建立子進程,GUID d4f940ab-401b-4efc-aadc-ad5f3c50688a。
- 其他建議的功能 - N/A
封鎖 Office Apps 建立可執行文件內容
- 適用於 - Office
- 進程 - winword.exe、powerpnt.exe、excel.exe
- 作業 - 檔案建立
- 檔案/資料夾、登錄機碼/值、進程、服務的範例- C:\Users*\AppData**.exe、 C:\ProgramData**.exe、C:\ProgramData**.com、C:\UsersAppData\Local\Temp**.com、C:\Users\Downloads**.exe、C:\Users*\AppData**.scf、C:\ProgramData**.scf、C:\Users\Public*.exe、C:\Users*\Desktop\.exe
- 受攻擊面縮小規則 - N/A。
禁止 Wscript 讀取特定類型的檔案
- 適用於 - Wscript
- 進程 - wscript.exe
- Operation- 讀取檔案
- 檔案/資料夾、登錄機碼/值、進程、服務的範例- C:\Users*\AppData**.js、C:\Users*\Downloads**.js
- 受攻擊面縮小規則 - 由於可靠性和效能問題,受攻擊面縮小規則無法防止特定程式讀取特定的腳本文件類型。 我們有規則可防止可能源自這些案例的攻擊媒介。 規則名稱為 Block JavaScript 或 VBScript,無法啟動下載的可執行文件內容 (GUID d3e037e1-3eb8-44c8-a917-57927947596d () 和 封鎖執行可能模糊化的腳本 (GUID * 5beb7efe-fd9a-4556-801d-275e5ffc04cc*) 。
- 其他建議的功能- 雖然有特定的攻擊面縮小規則可降低這些案例中的特定攻擊媒介,但請務必注意,AV 默認能夠透過反惡意代碼掃描介面 (AMSI) ,實時檢查 (PowerShell、Windows 腳本主機、JavaScript、VBScript 等) 的腳本。 如需詳細資訊,請參閱這裡: 反惡意代碼掃描介面 (AMSI) 。
封鎖啟動子進程
- 適用於 - Adobe Acrobat
- 進程 - AcroRd32.exe、Acrobat.exe
- 作業 - 進程執行
- 檔案/資料夾、登錄機碼/值、進程、服務-cmd.exe、powershell.exe、wscript.exe
- 受攻擊面縮小規則 - 受攻擊面縮小規則允許封鎖 Adobe Reader 啟動子進程。 規則名稱為 Block Adobe Reader,無法建立子進程 GUID 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c。
- 其他建議的功能 - N/A
封鎖下載或建立可執行文件內容
- 適用於 - CertUtil:封鎖下載或建立可執行檔
- 進程 - certutil.exe
- 作業 - 檔案建立
- 檔案/資料夾、登錄機碼/值、進程、服務的範例 - *.exe
- 受攻擊面縮小規則 - 受攻擊面縮小規則不支持這些案例,因為它們是 Microsoft Defender 防病毒軟體保護的一部分。
- 其他建議的功能- Microsoft Defender 防病毒軟體可防止 CertUtil 建立或下載可執行文件內容。
封鎖進程停止重要的系統元件
- 適用於所有進程
- 行程 - *
- 作業 - 行程終止
- 檔案/資料夾、登錄機碼/值、進程、服務- MsSense.exe、MsMpEng.exe、NisSrv.exe、svchost.exe*、services.exe、csrss.exe、smss.exe、wininit.exe 等範例。
- 受攻擊面縮小規則 - 受攻擊面縮小規則不支持這些案例,因為它們受到 Windows 內建安全性保護的保護。
- 其他建議的功能: ELAM (早期啟動 AntiMalware) 、PPL (保護程式 Light) 、PPL AntiMalware Light 和 系統防護。
封鎖特定啟動進程嘗試
- 適用於特定進程
- 過程- 將您的進程命名為
- 作業 - 進程執行
- 檔案/資料夾、登錄機碼/值、進程、服務- tor.exe、bittorrent.exe、cmd.exe、powershell.exe 等範例
- 受攻擊面縮小規則 - 整體而言,受攻擊面縮小規則並非設計成以應用程式管理員的身分運作。
- 其他建議的功能 - 若要防止用戶啟動特定進程或程式,建議您使用 Windows Defender 應用程控。 適用於端點的 Microsoft Defender 檔案和憑證指標, 可用於事件回應案例 (不應該被視為應用程控機制) 。
封鎖對防病毒軟體設定 Microsoft Defender 未經授權的變更
- 適用於所有進程
- 行程 - *
- 作業 - 登錄修改
- 檔案/資料夾、登錄機碼/值、進程、服務- HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\DisableAntiSpyware、HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Policy Manager\AllowRealTimeMonitoring 等範例。
- 受攻擊面縮小規則 - 受攻擊面縮小規則不會涵蓋這些案例,因為它們是 適用於端點的 Microsoft Defender 內建保護的一部分。
- 其他建議的功能- 竄改保護 (選擇加入、從 Intune) 管理,防止未經授權變更 DisableAntiVirus、DisableAntiSpyware、DisableRealtimeMonitoring、DisableOnAccessProtection、DisableBehaviorMonitoring 和 DisableIOAVProtection 登錄機碼 (等) 。
另請參閱
提示
想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:適用於端點的 Microsoft Defender 技術社群。