訓練
模組
使用適用於端點的 Microsoft Defender 實作 Windows 安全性增強功能 - Training
使用適用於端點的 Microsoft Defender 實作 Windows 安全性增強功能
認證
Microsoft 365 Certified: Endpoint Administrator Associate - Certifications
使用現代化管理、共同管理方法和 Microsoft Intune 整合的基本元素,規劃並執行端點部署策略。
敵人通常會使用惡意網站、電子郵件或抽取式媒體來鎖定工作站,以嘗試擷取敏感性資訊。 強化工作站上的應用程式是降低此風險的重要部分。 由於其有效性,使用者應用程式強化是 ACSC 降低 網路安全性事件策略中的其中一個基本 8。
攻擊者經常嘗試利用舊版、不支援的應用程式中找到的弱點。 較新版本的Microsoft產品可大幅改善安全性功能,並提供更高的穩定性。 通常缺少可讓敵人輕鬆入侵舊版應用程式的改良安全性功能。 若要降低此風險,應使用最新支援的Microsoft產品版本。
為了方便參考,Intune 需要為相關聯的控件部署下列原則:
預設不會在 Windows 10 或 Windows 11 上安裝 Java。
ISM 控件 2024 年 9 月 | 風險降低 |
---|---|
1486 | 預設不會在 Windows 10 或 Windows 11 上安裝 Java。 |
部署 Microsoft Edge 的 Microsoft Edge 安全性基準和 ACSC 強化時,會設定在 Microsoft Edge 中停用公告的所有可用設定選項。
您可以使用第三方擴充功能Microsoft Edge、在閘道上進行網路篩選,或使用受保護的 DNS 服務來達成更多封鎖。 不過,實作這些專案不在本檔的範圍內。
ISM 控件 2024 年 9 月 | 風險降低 |
---|---|
1485 | 原則 [具有入侵廣告的網站廣告設定] 已設定為 [ 啟用]。 |
Internet Explorer 11 不在 Windows 11 上。
在 2022 年 6 月 15 日,Microsoft 已淘汰 Internet Explorer 11。 對於仍然需要 Internet Explorer 以提供舊版相容性的組織,Microsoft Edge 中的 Internet Explorer 模式 (IE 模式) 可提供順暢的單一瀏覽器體驗。 用戶可以從 Microsoft Edge 存取舊版應用程式,而不需要切換回 Internet Explorer 11。
在系統管理員設定 IE 模式之後,組織可以停用 Internet Explorer 11 作為獨立瀏覽器。 [開始] 功能表和任務列上的 Internet Explorer 11 圖示會移除。 嘗試啟動使用 Internet Explorer 11 的快捷方式或檔案關聯,或直接叫用 iexplore.exe 二進位檔時,會將使用者重新導向至 Microsoft Edge。
若要將 Internet Explorer 設定為直接在 Microsoft Edge 中開啟特定網站,請設定 IE 模式原則。 如需詳細資訊, 請參閱設定 IE 模式原則。
若要使用 Intune 來停用 Internet Explorer 11 作為 Windows 10 裝置的獨立瀏覽器:
此外,若要完全移除 Internet Explorer 11:
注意
此腳本也會停用 .NET Framework 3.5 (包括 .NET 2.0 和 3.0) 和 Windows PowerShell 2.0。
ISM 控件 2024 年 9 月 | 風險降低 |
---|---|
1666 | 「設定企業模式網站清單」原則是使用組織特定網站的清單來設定。 Internet Explorer 11 已由設定為 [啟用] 的原則 [停用 Internet Explorer 11 作為獨立瀏覽器] 移除,或使用腳本移除。 |
您可以透過透過 Intune 部署的「降低攻擊面」 (ASR) 端點安全策略,來封鎖Microsoft Office 建立子進程。
Microsoft已提供 GitHub 上 ACSC Windows 強化指引的 Intune 實作。本指南包含禁止Microsoft Office 建立子進程的 ASR 規則。
若要實作封鎖子進程的建立:
此 ASR 端點安全策略包含特定的 ASR 規則:封鎖所有 Office 應用程式 (D4F940AB-401B-4EFC-AADC-AD5F3C50688A) 建立子进程。
注意
藉由匯入此 ASR 規則配置檔, Microsoft會封鎖 Office 建立可執行文件內容 (3B576869-A4EC-4529-8536-B80A7769E899) ,並將程式代碼插入其他程式 (75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84) 。
注意
此受攻擊面縮小 (ASR) 原則會設定 ACSC 在稽核模式中建議的每個 ASR 規則。 在強制執行之前,應該先針對任何環境中的相容性問題測試 ASR 規則。
ISM 控件 2024 年 9 月 | 風險降低 |
---|---|
1667 | 已啟用 ASR 規則「禁止所有 Office 應用程式建立子進程」。 |
透過透過 Intune 部署的「降低攻擊面」 (ASR) 端點安全策略,即可透過 3B576869-A4EC-4529-8536-B80A7769E899) (封鎖 Microsoft Office 建立子進程。
ISM 控件 2024 年 9 月 | 風險降低 |
---|---|
1668 | 已啟用 ASR 規則「封鎖 Office 應用程式建立可執行內容」。 |
您可以透過透過 Intune 部署的 ASR) 端點安全策略 (ASR) 端點安全策略來完成封鎖 Microsoft Office 建立子進程 (75668C1F-4CF0-BB93-3ECF5CB7CC84) 。
ISM 控件 2024 年 9 月 | 風險降低 |
---|---|
1669 | ASR 規則「禁止 Office 應用程式將程式代碼插入其他進程」已啟用。 |
部署 OfficeMacroHardening-PreventActivationofOLE.ps1PowerShell 腳本,以匯入在 Excel、PowerPoint 和 Word 中封鎖 OLE 套件啟用的登錄機碼。
若要實作 OLE 套件啟用的防護:
注意
此 PowerShell 腳本特別適用於 Office 2016 和更新版本。 這裡提供防止啟用 OLE for Office 2013 的腳稿: OfficeMacroHardening-PreventActivationofOLE-Office2013.ps1。
腳本未簽署。 如果您需要文本簽署,請檢閱下列檔以簽署腳本,以便在您的 Windows 裝置上執行: 簽署腳本的方法 ,並將 [強制執行腳本簽章] 檢查 變更為:是
ISM 控件 2024 年 9 月 | 風險降低 |
---|---|
1542 | 已透過腳本防止啟用 OLE 套件。 |
Microsoft Edge 會設定為 Windows 10 和 Windows 11 上的預設 PDF 查看器。 您可以使用 ACSC 或供應商強化網頁瀏覽器指引所包含的原則,進一步強化 PDF 檢視。
或者,如果您的組織使用 Adobe Reader 作為預設 PDF 軟體,請使用下列步驟,設定適當的「降低攻擊面」規則來封鎖 Adobe Reader 建立子進程:
ISM 控件 2024 年 9 月 | 風險降低 |
---|---|
1670 | 已啟用 ASR 規則「封鎖 Adobe 讀取器建立子進程」。 |
Microsoft Edge 預設會安裝在 Windows 10 和 Windows 11 上,並且是建議的網頁瀏覽器。 Microsoft Edge 是預設瀏覽器和 PDF 查看器,除非另有設定。
Microsoft和 ACSC 已提供指引和特定原則來強化Microsoft Edge。 這兩組指引應該同時部署。
若要實作安全性基準:
若要實作強化指引:
注意
Microsoft也發行了 Intune 原則,這些原則已整合在一起,以協助組織遵守澳大利亞網路安全中心 (ACSC) Windows 10 強化指導方針。 MICROSOFT Edge 的 ACSC 建議強化原則也包含在這些原則中。
ISM 控件 2024 年 9 月 | 風險降低 |
---|---|
1412, 1860 | - 部署 Microsoft Edge 安全性基準 - 部署 ACSC Microsoft Edge 強化指引。 |
Microsoft Apps 企業版已強化為從 ACSC 強化 Microsoft 365、Office 2021、Office 2019 和 Office 2016 的建議設定,作為基本 8 設定 Microsoft Office 巨集設定要件的一部分。
ISM 控件 2024 年 9 月 | 風險降低 |
---|---|
1859 | 部署 ACSC Office 強化指導方針。 |
透過 Intune 部署本檔中提供的原則時,會強制執行原則包含的設定,且標準使用者無法變更這些設定。
ISM 控件 2024 年 9 月 | 風險降低 |
---|---|
1585 | 透過 Intune 部署本檔中提供的原則時,會強制執行原則包含的設定,且標準使用者無法變更這些設定。 |
部署 UserApplicationHardening-RemoveFeatures.ps1 PowerShell 腳本會關閉 .NET Framework 3.5 (如果已安裝,則包含 .NET 2.0 和 3.0) 功能。
ISM 控件 2024 年 9 月 | 風險降低 |
---|---|
ISM-1655 | .NET Framework 3.5 (包含 .NET 2.0 和 3.0) 已停用或移除。 |
部署 UserApplicationHardening-RemoveFeatures.ps1 PowerShell 腳本會在安裝時關閉 Windows PowerShell 2.0 功能。
ISM 控件 2024 年 9 月 | 風險降低 |
---|---|
1612 | Windows PowerShell 2.0 會使用提供的腳本停用或移除。 |
限制語言模式會啟用為 Essential Eight 應用程控風險降低策略檔的一部分。
適用於端點的 Microsoft Defender (MDE) 可用來從可用於偵測網路安全性事件的端點取得和保留記錄。
在進階搜捕 適用於端點的 Microsoft Defender,可以原生方式稽核腳本執行。 適用於端點的 Microsoft Defender 進階搜捕功能會記錄多個應用程控事件,包括事件標識碼 8029,這些事件會報告強制在限制語言模式上執行的封鎖腳本或腳本。
或者,WDAC 事件的事件轉送可用來在第三方監視解決方案中監視它們。
參考:
瞭解 Windows) (應用程控事件識別碼 - Windows 安全性 | 使用 Windows) 進階搜捕 (查詢應用程控事件 - Windows 安全性
Intune 可用來將裝置順暢地上線到 MDE。
如同封鎖的 PowerShell 腳本執行,當裝置註冊到適用於端點的 Defender 時,會收集作為入侵指示之前置工具的命令行處理建立事件。 您可以在適用於端點的 Defender 入口網站中,於 [時間軸] 下的裝置頁面上檢視事件。
若要將上線端點實作到 MDE:
一旦裝置上線至 MDE,就會擷取 PowerShell 執行以供檢閱,並可視需要採取動作。 如需詳細資訊,請參閱在 適用於端點的 Microsoft Defender 中的裝置上採取回應動作。
ISM 控件 2024 年 9 月 | 風險降低 |
---|---|
1664, 1665, 1405 | 當裝置註冊到適用於端點的Defender時,適用於端點的Defender會擷取應用程控事件標識碼。 |
1899 | 當裝置註冊到適用於端點的Defender時,適用於端點的Defender會擷取作為入侵指示前置體的命令行程式建立事件。 |
訓練
模組
使用適用於端點的 Microsoft Defender 實作 Windows 安全性增強功能 - Training
使用適用於端點的 Microsoft Defender 實作 Windows 安全性增強功能
認證
Microsoft 365 Certified: Endpoint Administrator Associate - Certifications
使用現代化管理、共同管理方法和 Microsoft Intune 整合的基本元素,規劃並執行端點部署策略。
文件
Essential Eight 設定Microsoft Office 巨集設定 - Essential Eight
瞭解如何實作 ACSC Essential Eight 設定Microsoft Office 巨集設定成熟度模型。
Essential Eight 應用程控 - Essential Eight
瞭解如何實作 ACSC Essential Eight 應用程控成熟度模型。
基本八個修補程式應用程式 - Essential Eight
瞭解如何實作 ACSC Essential Eight 修補程式應用程式成熟度模型。