Essential Eight 使用者應用程式強化

敵人通常會使用惡意網站、電子郵件或抽取式媒體來鎖定工作站,以嘗試擷取敏感性資訊。 強化工作站上的應用程式是降低此風險的重要部分。 由於其有效性,使用者應用程式強化是 ACSC 降低 網路安全性事件策略中的其中一個基本 8。

攻擊者經常嘗試利用舊版、不支援的應用程式中找到的弱點。 較新版本的 Microsoft 產品可大幅改善安全性功能,並提供更高的穩定性。 通常缺少可讓敵人輕鬆入侵舊版應用程式的改良安全性功能。 若要降低此風險,應使用最新支援的 Microsoft 產品版本。

資源和參考

為了方便參考,Intune 需要為相關聯的控件部署下列原則:

網頁瀏覽器不會從因特網處理Java

預設不會在 Windows 10 或 Windows 11 上安裝 Java。

ISM 控件 2024 年 3 月 風險降低
1486 預設不會在 Windows 10 或 Windows 11 上安裝 Java。

網頁瀏覽器不會處理來自因特網的 Web 公告

部署 Microsoft Edge 的 Microsoft Edge 安全性基準和適用於 Microsoft Edge 的 ACSC 強化時,會設定在 Microsoft Edge 中停用公告的所有可用設定選項。

您可以使用 Microsoft Edge 的第三方擴充功能、在閘道上進行網路篩選,或使用受保護的 DNS 服務來達成更多封鎖。 不過,實作這些專案不在本檔的範圍內。

ISM 控件 2024 年 3 月 風險降低
1485 原則 [具有入侵廣告的網站廣告設定] 已設定為 [ 啟用]

Internet Explorer 11 已停用或移除

Internet Explorer 11 不在 Windows 11 上。

在 2022 年 6 月 15 日,Microsoft 已淘汰 Internet Explorer 11。 對於仍然需要 Internet Explorer 以提供舊版相容性的組織,Microsoft Edge 中的 Internet Explorer 模式 (IE 模式) 提供順暢的單一瀏覽器體驗。 用戶可以從 Microsoft Edge 存取舊版應用程式,而不需要切換回 Internet Explorer 11。

在系統管理員設定 IE 模式之後,組織可以停用 Internet Explorer 11 作為獨立瀏覽器。 [開始] 功能表和任務列上的 Internet Explorer 11 圖示會移除。 嘗試啟動使用 Internet Explorer 11 的快捷方式或檔案關聯,或直接叫用 iexplore.exe 二進制檔時,使用者會重新導向至 Microsoft Edge。

若要設定 Internet Explorer 直接在 Microsoft Edge 中針對特定網站開啟,請設定 IE 模式原則。 如需詳細資訊, 請參閱設定 IE 模式原則

停用 Internet Explorer 11 的實作詳細數據

若要使用 Intune 來停用 Internet Explorer 11 作為 Windows 10 裝置的獨立瀏覽器:

  1. 建立新的 [設定目錄] 原則。
  2. 依類別流覽並搜尋: 停用 Internet Explorer 11 作為獨立瀏覽器 (使用者)
  3. 移至 *系統管理範本\Windows 元件\Internet Explorer,然後選取設定: 停用 Internet Explorer 11 作為獨立瀏覽器 (使用者)
  4. 啟用 [ 停用 Internet Explorer 11 作為獨立瀏覽器 (使用者) 設定。
  5. 將原則部署至一組裝置或使用者。

此外,若要完全移除 Internet Explorer 11:

  1. 使用下列選項,將 UserApplicationHardening-RemoveFeatures.ps1新增為 PowerShell 腳稿:
  • 使用登入的認證執行此腳本:
  • 強制執行腳本簽章檢查:
  • 在 64 位 PowerShell 主機中執行腳本:
  1. 將腳本指派給部署群組。
ISM 控件 2024 年 3 月 風險降低
1666 設定企業模式網站清單」原則是使用組織特定網站的清單來設定。 Internet Explorer 11 已由設定為 [用] 的原則 [停用 Internet Explorer 11 作為獨立瀏覽器] 移除,或使用腳本移除。

Microsoft Office 遭到封鎖,無法建立子進程

透過透過 Intune 部署的「降低攻擊面」 (ASR) 端點安全策略,即可完成封鎖 Microsoft Office 建立子進程。

Microsoft 已提供 GitHub 上 ACSC Windows 強化指導方針的 Intune 實作。本指引包含禁止 Microsoft Office 建立子進程的 ASR 規則

封鎖子進程建立的實作詳細數據

若要實作封鎖子進程的建立:

  1. 流覽至 [圖形總管] 並進行驗證。
  2. 使用受攻擊面縮小原則端點的 Beta 架構建立 POST 要求:https://graph.microsoft.com/beta/deviceManagement/templates/0e237410-1367-4844-bd7f-15fb0f08943b/createInstance
  3. 複製 ACSC Windows 強化 Guidelines-Attack Surface Reduction 原則中的 JSON,並將它貼到要求本文中。
  4. (選擇性) 視需要修改 名稱 值。

此 ASR 端點安全策略包含特定的 ASR 規則:封鎖所有 Office 應用程式 (D4F940AB-401B-4EFC-AADC-AD5F3C50688A) 建立子进程。

注意事項

藉由匯入此 ASR 規則配置檔,Microsoft Office 會遭到封鎖,無法 (3B576869-A4EC-4529-8536-B80A7769E899) 建立可执行内容,並將程式代碼插入其他程式 (75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84) 。

注意事項

此受攻擊面縮小 (ASR) 原則會設定 ACSC 在稽核模式中建議的每個 ASR 規則。 在強制執行之前,應該先針對任何環境中的相容性問題測試 ASR 規則

ISM 控件 2024 年 3 月 風險降低
1667 已啟用 ASR 規則「禁止所有 Office 應用程式建立子進程」。

Microsoft Office 遭到封鎖,無法建立可執行內容

透過透過 Intune 部署的「降低攻擊面」 (ASR) 端點安全策略,可以完成封鎖 Microsoft Office 建立子進程 (3B576869-A4EC-4529-8536-B80A7769E899) 。

ISM 控件 2024 年 3 月 風險降低
1668 已啟用 ASR 規則「封鎖 Office 應用程式建立可執行內容」。

Microsoft Office 遭到封鎖,無法將程式代碼插入其他進程

透過透過 Intune 部署的 ASR) 端點安全策略 (ASR) 端點安全策略,可以完成封鎖 Microsoft Office 建立子進程 (75668C1F-4CF0-BB93-3ECF5CB7CC84) 。

ISM 控件 2024 年 3 月 風險降低
1669 ASR 規則「禁止 Office 應用程式將程式代碼插入其他進程」已啟用。

Microsoft Office 已設定為防止啟用 OLE 套件

部署 OfficeMacroHardening-PreventActivationofOLE.ps1PowerShell 腳本,以匯入在 Excel、PowerPoint 和 Word 中封鎖 OLE 套件啟用的登錄機碼。

防止啟用 OLE 套件的實作詳細數據

若要實作 OLE 套件啟用的防護:

  1. 使用 列選項將OfficeMacroHardening-PreventActivationofOLE.ps1新增為 PowerShell 命令稿:
  • 使用登入的認證執行此腳本:
  • 強制執行腳本簽章檢查:
  • 在 64 位 PowerShell 主機中執行腳本:
  1. 將腳本指派給部署群組。

注意事項

此 PowerShell 腳本特別適用於 Office 2016 和更新版本。 這裡提供防止啟用 OLE for Office 2013 的腳稿: OfficeMacroHardening-PreventActivationofOLE-Office2013.ps1

腳本未簽署。 如果您需要文本簽署,請檢閱下列檔以簽署腳本,以便在您的 Windows 裝置上執行: 簽署腳本的方法 ,並將 [強制執行腳本簽章] 檢查 變更為:是

ISM 控件 2024 年 3 月 風險降低
1542 已透過腳本防止啟用 OLE 套件。

PDF 軟體遭到封鎖,無法建立子進程

Microsoft Edge 已設定為 Windows 10 和 Windows 11 上的預設 PDF 查看器。 您可以使用 ACSC 或供應商強化網頁瀏覽器指引所包含的原則,進一步強化 PDF 檢視。

或者,如果您的組織使用 Adobe Reader 作為預設 PDF 軟體,請使用下列步驟,設定適當的「降低攻擊面」規則來封鎖 Adobe Reader 建立子進程:

  1. 在 Intune 中,流覽至 [端點安全>性攻擊面縮小]
  2. 建立 (或修改) 新的受攻擊面縮小端點安全策略。
  3. [封鎖 Adobe 讀取器 ] 設定為 [ 啟用] 以建立子進程。
  4. 將受攻擊面縮小規則原則指派給群組。
ISM 控件 2024 年 3 月 風險降低
1670 已啟用 ASR 規則「封鎖 Adobe 讀取器建立子進程」。

強化網頁瀏覽器、Microsoft Office 和 PDF 軟體的指引

使用 Microsoft Edge 的網頁瀏覽器和 PDF 軟體

Microsoft Edge 預設會安裝在 Windows 10 和 Windows 11 上,並且是建議的網頁瀏覽器。 除非另有設定,否則 Microsoft Edge 是預設瀏覽器和 PDF 查看器。

Microsoft 和 ACSC 已提供指引和特定原則來強化 Microsoft Edge。 這兩組指引應該同時部署。

使用 Microsoft Edge 安全性基準的實作詳細數據

若要實作安全性基準:

  1. 流覽至 [端點安全>性基準][>Microsoft Edge 基準]
  2. 選取 [建立 配置檔],以建立新的 Microsoft Edge 基準。
  3. 檢閱設定,並將安全性基準指派給群組。

Microsoft Edge 強化指引的實作詳細數據

若要實作強化指引:

  1. ACSC Microsoft Edge 強化指導方針原則 儲存至本機裝置。
  2. 流覽至 Microsoft Intune 主控台。
  3. 匯入原則,位於 [裝置 > ] [Windows > 組態配置檔] 下的 > [建立 > 匯入原則]
  4. 將原則命名為 ,選取 [瀏覽原則檔案] 底下的檔案,然後從步驟 1 瀏覽至儲存的原則。
  5. 選取 [儲存]。

注意事項

Microsoft 也發行了 Intune 原則,這些原則已組合在一起,以協助組織遵守澳大利亞網路安全中心 (ACSC) Windows 10 強化指導方針。 這些原則中也包含適用於 Microsoft Edge 的 ACSC 建議強化原則。

ISM 控件 2024 年 3 月 風險降低
1412, 1860 - 部署 Microsoft Edge 安全性基準
- 部署 ACSC Microsoft Edge 強化指引。

Microsoft Office:Microsoft Apps 企業版

Microsoft Apps 企業版已強化為從 ACSC 強化 Microsoft 365、Office 2021、Office 2019 和 Office 2016 的建議設定,作為基本 8 設定 Microsoft Office 宏設定要件的一部分。

ISM 控件 2024 年 3 月 風險降低
1859 部署 ACSC Office 強化指導方針。

用戶無法變更網頁瀏覽器、Microsoft Office 和 PDF 軟體安全性設定

透過 Intune 部署本檔中提供的原則時,會強制執行原則包含的設定,且標準使用者無法變更這些設定。

ISM 控件 2024 年 3 月 風險降低
1585 透過 Intune 部署本檔中提供的原則時,會強制執行原則包含的設定,且標準使用者無法變更這些設定。

.NET Framework 3.5 (包含 .NET 2.0 和 3.0) 已停用或移除

部署 UserApplicationHardening-RemoveFeatures.ps1 PowerShell 腳本會關閉 .NET Framework 3.5 (如果已安裝,則包含 .NET 2.0 和 3.0) 功能。

ISM 控件 2024 年 3 月 風險降低
ISM-1655 .NET Framework 3.5 (包含 .NET 2.0 和 3.0) 已停用或移除。

Windows PowerShell 2.0 已停用或已移除

部署 UserApplicationHardening-RemoveFeatures.ps1 PowerShell 腳本會在安裝時關閉 Windows PowerShell 2.0 功能。

ISM 控件 2024 年 3 月 風險降低
1612 Windows PowerShell 2.0 會使用提供的腳本停用或移除。

PowerShell 已設定為使用限制語言模式

限制語言模式會啟用為 Essential Eight 應用程控風險降低策略檔的一部分。

封鎖的PowerShell腳本執行會集中記錄並保護,以防止未經授權的修改和刪除、監視是否有入侵徵兆,並在偵測到網路安全性事件時採取動作

適用於端點的 Microsoft Defender (MDE) 可用來從可用於偵測網路安全性事件的端點取得和保留記錄。

腳本執行可以在進階搜捕 適用於端點的 Microsoft Defender 原生稽核。 適用於端點的 Microsoft Defender 進階搜捕功能會記錄多個應用程控事件,包括事件標識碼 8029,這些事件會報告強制在限制語言模式上執行的封鎖腳本或腳本。

或者,WDAC 事件的事件轉送可用來在第三方監視解決方案中監視它們。

參考:

瞭解 Windows) (應用程控事件識別碼 - Windows 安全性 | 使用 Windows) 進階搜捕 (查詢應用程控事件 - Windows 安全性

Intune 可用來將裝置順暢地上線到 MDE。

集中記錄命令行進程建立事件

如同封鎖的 PowerShell 腳本執行,當裝置註冊到適用於端點的 Defender 時,會收集作為入侵指示之前置工具的命令行處理建立事件。 您可以在適用於端點的 Defender 入口網站中,於 [時間軸] 下的裝置頁面上檢視事件。

將端點上線至 適用於端點的 Microsoft Defender 的實作詳細數據

若要在 MDE 中實作上線端點:

  1. 建立具有樣本>類型的新 Windows 組態設定檔 適用於端點的 Microsoft Defender (執行 Windows 10 或更新版本的傳統型裝置)
  2. [加速遙測報告頻率 ] 設定為 [ 啟用]
  3. 將原則指派給部署群組。

一旦裝置上線至 MDE,就會擷取 PowerShell 執行以供檢閱,並可視需要採取動作。 如需詳細資訊,請參閱在 適用於端點的 Microsoft Defender 中的裝置上採取回應動作

ISM 控件 2024 年 3 月 風險降低
1664, 1665, 1405 當裝置註冊到適用於端點的Defender時,適用於端點的Defender會擷取應用程控事件標識碼。
1899 當裝置註冊到適用於端點的Defender時,適用於端點的Defender會擷取作為入侵指示前置體的命令行程式建立事件。