Essential Eight 使用者應用程式強化
敵人通常會使用惡意網站、電子郵件或抽取式媒體來鎖定工作站,以嘗試擷取敏感性資訊。 強化工作站上的應用程式是降低此風險的重要部分。 由於其有效性,使用者應用程式強化是 ACSC 降低 網路安全性事件策略中的其中一個基本 8。
攻擊者經常嘗試利用舊版、不支援的應用程式中找到的弱點。 較新版本的Microsoft產品可大幅改善安全性功能,並提供更高的穩定性。 通常缺少可讓敵人輕鬆入侵舊版應用程式的改良安全性功能。 若要降低此風險,應使用最新支援的Microsoft產品版本。
資源和參考
為了方便參考,Intune 需要為相關聯的控件部署下列原則:
- OfficeMacroHardening-PreventActivationofOLE.ps1
- 此 PowerShell 腳本可用來符合下列控件:
- UserApplicationHardening-RemoveFeatures.ps1
- 此 PowerShell 腳本可用來符合下列控件:
- Internet Explorer 已停用或移除。
- .NET Framework 3.5 (包含 .NET 2.0 和 3.0) 已停用或移除。
- Windows PowerShell 2.0 已停用或移除。
- 此 PowerShell 腳本可用來符合下列控件:
- ACSC Microsoft Edge 強化指導方針
- 此 Intune 裝置元件設定檔可用來符合下列控制項:
- 網頁瀏覽器不會處理來自因特網的 Web 公告。
- 已實作網頁瀏覽器的 ACSC 或廠商強化指引。
- 此 Intune 裝置元件設定檔可用來符合下列控制項:
- ACSC Windows 強化指導方針 – 受攻擊面縮小規則
- 此 Intune 端點安全性受攻擊面縮小規則設定檔可用來符合下列控制項:
- Microsoft Office 會遭到封鎖,無法建立子進程。
- Microsoft會封鎖 Office 建立可執行文件內容。
- Microsoft Office 會遭到封鎖,無法將程式代碼插入其他進程。
- 此 Intune 端點安全性受攻擊面縮小規則設定檔可用來符合下列控制項:
網頁瀏覽器不會從因特網處理Java
預設不會在 Windows 10 或 Windows 11 上安裝 Java。
| ISM 控件 2024 年 6 月 | 風險降低 |
|---|---|
| 1486 | 預設不會在 Windows 10 或 Windows 11 上安裝 Java。 |
網頁瀏覽器不會處理來自因特網的 Web 公告
部署 Microsoft Edge 的 Microsoft Edge 安全性基準和 ACSC 強化時,會設定在 Microsoft Edge 中停用公告的所有可用設定選項。
您可以使用第三方擴充功能Microsoft Edge、在閘道上進行網路篩選,或使用受保護的 DNS 服務來達成更多封鎖。 不過,實作這些專案不在本檔的範圍內。
| ISM 控件 2024 年 6 月 | 風險降低 |
|---|---|
| 1485 | 原則 [具有入侵廣告的網站廣告設定] 已設定為 [ 啟用]。 |
Internet Explorer 11 已停用或移除
Internet Explorer 11 不存在於 Windows 11 上。
在 2022 年 6 月 15 日,Microsoft 已淘汰 Internet Explorer 11。 對於仍然需要 Internet Explorer 以提供舊版相容性的組織,Microsoft Edge 中的 Internet Explorer 模式 (IE 模式) 可提供順暢的單一瀏覽器體驗。 用戶可以從 Microsoft Edge 存取舊版應用程式,而不需要切換回 Internet Explorer 11。
在系統管理員設定 IE 模式之後,組織可以停用 Internet Explorer 11 作為獨立瀏覽器。 [開始] 功能表和任務列上的 Internet Explorer 11 圖示會移除。 嘗試啟動使用 Internet Explorer 11 的快捷方式或檔案關聯,或直接叫用 iexplore.exe 二進位檔時,會將使用者重新導向至 Microsoft Edge。
若要將 Internet Explorer 設定為直接在 Microsoft Edge 中開啟特定網站,請設定 IE 模式原則。 如需詳細資訊, 請參閱設定 IE 模式原則。
停用 Internet Explorer 11 的實作詳細數據
若要使用 Intune 停用 Internet Explorer 11 作為 Windows 10 裝置的獨立瀏覽器:
- 建立新的 [設定目錄] 原則。
- 依類別流覽並搜尋: 停用 Internet Explorer 11 作為獨立瀏覽器 (使用者) 。
- 移至 *系統管理範本\Windows 元件\Internet Explorer,然後選取設定: 停用 Internet Explorer 11 作為獨立瀏覽器 (使用者) 。
- 啟用 [ 停用 Internet Explorer 11 作為獨立瀏覽器 (使用者) 設定。
- 將原則部署至一組裝置或使用者。
此外,若要完全移除 Internet Explorer 11:
- 使用下列選項,將 UserApplicationHardening-RemoveFeatures.ps1新增為 PowerShell 腳稿:
- 使用登入的認證執行此腳本: 否
- 強制執行腳本簽章檢查: 否
- 在 64 位 PowerShell 主機中執行腳本: 否
- 將腳本指派給部署群組。
注意事項
此腳本也會停用 .NET Framework 3.5 (包括 .NET 2.0 和 3.0) 和 Windows PowerShell 2.0。
| ISM 控件 2024 年 6 月 | 風險降低 |
|---|---|
| 1666 | 「設定企業模式網站清單」原則是使用組織特定網站的清單來設定。 Internet Explorer 11 已由設定為 [啟用] 的原則 [停用 Internet Explorer 11 作為獨立瀏覽器] 移除,或使用腳本移除。 |
Microsoft Office 遭到封鎖而無法建立子進程
您可以透過透過 Intune 部署的受攻擊面縮小 (ASR) 端點安全策略,來封鎖Microsoft Office 建立子進程。
Microsoft已在 GitHub 上提供 ACSC Windows 強化指引的 Intune 實作。本指南包含禁止Microsoft Office 建立子進程的 ASR 規則 。
封鎖子進程建立的實作詳細數據
若要實作封鎖子進程的建立:
- 流覽至 [圖形總管] 並進行驗證。
- 使用受攻擊面縮小原則端點的 Beta 架構建立 POST 要求:https://graph.microsoft.com/beta/deviceManagement/templates/0e237410-1367-4844-bd7f-15fb0f08943b/createInstance。
- 複製 ACSC Windows 強化 Guidelines-Attack Surface Reduction 原則中的 JSON,並將它貼到要求本文中。
- (選擇性) 視需要修改 名稱 值。
此 ASR 端點安全策略包含特定的 ASR 規則:封鎖所有 Office 應用程式 (D4F940AB-401B-4EFC-AADC-AD5F3C50688A) 建立子进程。
注意事項
藉由匯入此 ASR 規則配置檔, Microsoft會封鎖 Office 建立可執行文件內容 (3B576869-A4EC-4529-8536-B80A7769E899) ,並將程式代碼插入其他程式 (75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84) 。
注意事項
此受攻擊面縮小 (ASR) 原則會設定 ACSC 在稽核模式中建議的每個 ASR 規則。 在強制執行之前,應該先針對任何環境中的相容性問題測試 ASR 規則。
| ISM 控件 2024 年 6 月 | 風險降低 |
|---|---|
| 1667 | 已啟用 ASR 規則「禁止所有 Office 應用程式建立子進程」。 |
Microsoft Office 無法建立可執行文件內容
透過透過 Intune 部署的 ASR) 端點安全策略 (ASR,可以完成封鎖 Microsoft Office 建立子進程 (3B576869-A4EC-4529-8536-B80A7769E899) 。
| ISM 控件 2024 年 6 月 | 風險降低 |
|---|---|
| 1668 | 已啟用 ASR 規則「封鎖 Office 應用程式建立可執行內容」。 |
Microsoft Office 遭到封鎖,無法將程式代碼插入其他進程
您可以透過透過 Intune 部署 Microsoft的 ASR) 端點安全策略, (75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84) ) (封鎖 Office 建立子進程。
| ISM 控件 2024 年 6 月 | 風險降低 |
|---|---|
| 1669 | ASR 規則「禁止 Office 應用程式將程式代碼插入其他進程」已啟用。 |
Microsoft Office 設定為防止啟用 OLE 套件
部署 OfficeMacroHardening-PreventActivationofOLE.ps1PowerShell 腳本,以匯入封鎖在 Excel、PowerPoint 和 Word 中啟用 OLE 套件的登錄機碼。
防止啟用 OLE 套件的實作詳細數據
若要實作 OLE 套件啟用的防護:
- 使用 下 列選項將OfficeMacroHardening-PreventActivationofOLE.ps1新增為 PowerShell 命令稿:
- 使用登入的認證執行此腳本: 是
- 強制執行腳本簽章檢查: 否
- 在 64 位 PowerShell 主機中執行腳本: 否
- 將腳本指派給部署群組。
注意事項
此 PowerShell 腳本特別適用於 Office 2016 和更新版本。 這裡提供防止啟用 OLE for Office 2013 的腳稿: OfficeMacroHardening-PreventActivationofOLE-Office2013.ps1。
腳本未簽署。 如果您需要文本簽署,請檢閱下列檔以簽署腳本,以便在您的 Windows 裝置上執行: 簽署腳本的方法 ,並將 [強制執行腳本簽章] 檢查 變更為:是
| ISM 控件 2024 年 6 月 | 風險降低 |
|---|---|
| 1542 | 已透過腳本防止啟用 OLE 套件。 |
PDF 軟體遭到封鎖,無法建立子進程
Microsoft Edge 設定為 Windows 10 和 Windows 11 上的預設 PDF 查看器。 您可以使用 ACSC 或供應商強化網頁瀏覽器指引所包含的原則,進一步強化 PDF 檢視。
或者,如果您的組織使用 Adobe Reader 作為預設 PDF 軟體,請使用下列步驟,設定適當的「降低攻擊面」規則來封鎖 Adobe Reader 建立子進程:
- 在 Intune 中,流覽至 [端點安全>性攻擊面縮小]。
- 建立 (或修改) 新的受攻擊面縮小端點安全策略。
- 將 [封鎖 Adobe 讀取器 ] 設定為 [ 啟用] 以建立子進程。
- 將受攻擊面縮小規則原則指派給群組。
| ISM 控件 2024 年 6 月 | 風險降低 |
|---|---|
| 1670 | 已啟用 ASR 規則「封鎖 Adobe 讀取器建立子進程」。 |
強化網頁瀏覽器、Microsoft Office 和 PDF 軟體的指導方針
具有 Microsoft Edge 的網頁瀏覽器和 PDF 軟體
Microsoft Edge 預設會安裝在 Windows 10 和 Windows 11 上,並且是建議的網頁瀏覽器。 Microsoft Edge 是預設瀏覽器和 PDF 查看器,除非另有設定。
Microsoft和 ACSC 已提供指引和特定原則來強化Microsoft Edge。 這兩組指引應該同時部署。
使用 Microsoft Edge 安全性基準的實作詳細數據
若要實作安全性基準:
- 流覽至 Edge 基準 Microsoft 端點安全>性>基準。
- 選取 [建立 設定檔],以建立新的 Microsoft Edge 基準] 。
- 檢閱設定,並將安全性基準指派給群組。
Microsoft Edge 強化指引的實作詳細數據
若要實作強化指引:
- 將 ACSC Microsoft Edge 強化指導方針原則 儲存至本機裝置。
- 流覽至 Microsoft Intune 控制台。
- 匯入原則,位於 [裝置 > ] [Windows > 組態配置檔] 下的 > [建立 > 匯入原則]
- 將原則命名為 ,選取 [瀏覽原則檔案] 底下的檔案,然後從步驟 1 瀏覽至儲存的原則。
- 選取 [儲存]。
注意事項
Microsoft也發行了 整合的 Intune 原則,以協助組織遵守澳大利亞網路安全中心 (ACSC) Windows 10 強化指導方針。 MICROSOFT Edge 的 ACSC 建議強化原則也包含在這些原則中。
| ISM 控件 2024 年 6 月 | 風險降低 |
|---|---|
| 1412, 1860 | - 部署 Microsoft Edge 安全性基準 - 部署 ACSC Microsoft Edge 強化指引。 |
Microsoft Office:Microsoft Apps for Enterprise
Microsoft應用程式企業版已強化為 從 ACSC 強化Microsoft 365、Office 2021、Office 2019 和 Office 2016 的建議設定,作為基本 8 設定 Microsoft Office 宏設定要件的一部分。
| ISM 控件 2024 年 6 月 | 風險降低 |
|---|---|
| 1859 | 部署 ACSC Office 強化指導方針。 |
用戶無法變更網頁瀏覽器、Microsoft Office 和 PDF 軟體安全性設定
透過 Intune 部署本檔中提供的原則時,會強制執行原則包含的設定,且標準使用者無法變更這些設定。
| ISM 控件 2024 年 6 月 | 風險降低 |
|---|---|
| 1585 | 透過 Intune 部署本檔中提供的原則時,會強制執行原則包含的設定,且標準使用者無法變更這些設定。 |
.NET Framework 3.5 (包含 .NET 2.0 和 3.0) 已停用或移除
部署 UserApplicationHardening-RemoveFeatures.ps1 PowerShell 腳本會關閉 .NET Framework 3.5 (如果已安裝,則包含 .NET 2.0 和 3.0) 功能。
| ISM 控件 2024 年 6 月 | 風險降低 |
|---|---|
| ISM-1655 | .NET Framework 3.5 (包含 .NET 2.0 和 3.0) 已停用或移除。 |
Windows PowerShell 2.0 已停用或已移除
如果已安裝 ,部署UserApplicationHardening-RemoveFeatures.ps1 PowerShell 腳本會關閉 Windows PowerShell 2.0 功能。
| ISM 控件 2024 年 6 月 | 風險降低 |
|---|---|
| 1612 | 使用提供的腳本停用或移除 Windows PowerShell 2.0。 |
PowerShell 已設定為使用限制語言模式
限制語言模式會啟用為 Essential Eight 應用程控風險降低策略檔的一部分。
封鎖的PowerShell腳本執行會集中記錄並保護,以防止未經授權的修改和刪除、監視是否有入侵徵兆,並在偵測到網路安全性事件時採取動作
Microsoft適用於端點的 Defender (MDE) 可用來從可用於偵測網路安全性事件的端點取得和保留記錄。
腳本執行可以在適用於端點的 Defender 進階搜捕Microsoft原生稽核。 Microsoft適用於端點的 Defender 進階搜捕功能會記錄多個應用程控事件,包括事件標識碼 8029,這些事件會報告強制在限制語言模式上執行的封鎖腳本或腳本。
或者,WDAC 事件的事件轉送可用來在第三方監視解決方案中監視它們。
參考:
瞭解 Windows) (應用程控事件識別碼 - Windows 安全性 | 使用 Windows) 進階搜捕 (查詢應用程控事件 - Windows 安全性
Intune 可用來將裝置順暢地上線到 MDE。
集中記錄命令行進程建立事件
如同封鎖的 PowerShell 腳本執行,當裝置註冊到適用於端點的 Defender 時,會收集作為入侵指示之前置工具的命令行處理建立事件。 您可以在適用於端點的 Defender 入口網站中,於 [時間軸] 下的裝置頁面上檢視事件。
將端點上線至適用於端點的 Microsoft Defender 的實作詳細數據
若要在 MDE 中實作上線端點:
- 使用執行 Windows 10 或更新版本的適用於端點的 > Defender Microsoft (傳統型裝置) 類型建立新的 Windows 組態設定檔。
- 將 [加速遙測報告頻率 ] 設定為 [ 啟用]。
- 將原則指派給部署群組。
一旦裝置上線至 MDE,就會擷取 PowerShell 執行以供檢閱,並可視需要採取動作。 如需詳細資訊,請參閱在 適用於端點的 Microsoft Defender 中對裝置採取回應動作。
| ISM 控件 2024 年 6 月 | 風險降低 |
|---|---|
| 1664, 1665, 1405 | 當裝置註冊到適用於端點的Defender時,適用於端點的Defender會擷取應用程控事件標識碼。 |
| 1899 | 當裝置註冊到適用於端點的Defender時,適用於端點的Defender會擷取作為入侵指示前置體的命令行程式建立事件。 |
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應