在商務用 Microsoft Defender 中啟用受攻擊面縮小規則

您的受攻擊面是組織網路和裝置容易遭受網路威脅和攻擊的所有位置和方式。 不安全的裝置、不受限制地存取公司裝置上的任何URL,以及允許任何類型的應用程式或腳本在公司裝置上執行,都是受攻擊面的範例。 它們讓您的公司容易遭受網路攻擊。

為了協助保護您的網路和裝置,Microsoft商務用Defender包含數個受攻擊面縮小功能,包括受攻擊面縮小規則。 本文說明如何設定受攻擊面縮小規則,並說明受攻擊面縮小功能。

標準保護 ASR 規則

有許多可用的受攻擊面縮小規則。 您不需要一次全部設定。 此外,您可以在稽核模式中設定一些規則,以查看它們如何為您的組織運作,並將其變更為稍後在封鎖模式中運作。 也就是說,建議您儘快啟用下列標準保護規則:

這些規則有助於保護您的網路和裝置,但不應該造成用戶中斷。 使用 Intune 來設定受攻擊面縮小規則。

使用 Intune 設定 ASR 規則

  1. Microsoft Intune 系統管理中心,移至 [端點安全>性攻擊面縮小]

  2. 選擇 [建立原則 ] 以建立新原則。

    • 針對 [平臺],選擇 [Windows 10]、[Windows 11] 和 [Windows Server]
    • 針對 [配置檔],選取 [ 受攻擊面縮小規則],然後選擇 [ 建立]
  3. 設定您的原則,如下所示:

    1. 指定名稱和描述,然後選擇 [ 下一步]

    2. 針對至少下列三個規則,將每個規則設定為 [封鎖]

      • 封鎖從 Windows 本機安全性授權子系統竊取認證
      • 透過 WMI 事件訂閱封鎖持續性
      • 封鎖濫用惡意探索易受攻擊的已簽署驅動程式

      接著選擇 [下一步]

    3. 在 [ 範圍卷標] 步驟中 ,選擇 [ 下一步]

    4. 在 [ 指派] 步驟中,選擇要接收規則的使用者或裝置,然後選擇 [ 下一步]。 (建議您選取 [新增所有裝置]。)

    5. 在 [ 檢閱 + 建立] 步驟中檢閱資訊,然後選擇 [ 建立]

提示

如果您想要的話,您可以先在稽核模式中設定受攻擊面縮小規則,以在實際封鎖檔案或進程之前查看偵測。 如需有關受攻擊面縮小規則的詳細資訊,請參閱 受攻擊面縮小規則部署概觀

檢視受攻擊面縮小報告

商務用Defender包含攻擊面縮小報告,其中顯示受攻擊面縮小規則如何為您運作。

  1. Microsoft Defender 入口網站的瀏覽窗格中,選擇 [ 報告]

  2. [端點] 下,選擇 [受攻擊面縮小規則]。 報表隨即開啟,並包含三個索引標籤:

    • 偵測,您可以在其中檢視因受攻擊面縮小規則而發生的偵測
    • 設定,您可以在其中檢視標準保護規則或其他受攻擊面縮小規則的數據
    • 新增排除專案,您可以在其中新增要從受攻擊面縮小規則中排除的專案, (謹慎使用排除專案;每個排除項目都會降低您的安全性保護)

若要深入瞭解受攻擊面縮小規則,請參閱下列文章:

商務用Defender中的受攻擊面縮小功能

商務用Defender提供受攻擊面縮小規則。 下表摘要說明商務用Defender中的受攻擊面縮小功能。 請注意,新一代保護和 Web 內容篩選等其他功能如何與受攻擊面縮小功能搭配運作。

功能 如何設定
受攻擊面縮小規則
防止通常與惡意活動相關聯的特定動作在 Windows 裝置上執行。
在本文) (一節啟用您的標準保護受攻擊面縮小規則
受控資料夾存取權
受控資料夾存取只允許受信任的應用程式存取 Windows 裝置上受保護的資料夾。 將這項功能視為勒索軟體防護功能。
在 Microsoft 商務用 Defender 中設定受控資料夾存取原則
網路保護
網路保護可防止人員透過其 Windows 和 Mac 裝置上的應用程式存取危險的網域。 網路保護也是 Microsoft Defender 企業版中 Web 內容篩選的重要元件。
當裝置上線至商務用Defender時,預設已啟用網路保護,並套用 適用於商務用Defender的新一代保護 原則。 您的預設原則已設定為使用建議的安全性設定。
Web 保護
Web 保護會與網頁瀏覽器整合,並使用網路保護來防範 Web 威脅和垃圾內容。 Web 保護包括 Web 內容篩選和 Web 威脅報告。
在 Microsoft 商務用 Defender 中設定 Web 內容篩選
防火牆保護
防火牆保護會決定允許哪些網路流量流入或流出您組織的裝置。
當裝置上線至商務用Defender時,預設已啟用防火牆保護,並套用 商務用Defender中的防火牆 原則。

後續步驟