在商務用 Microsoft Defender 中啟用受攻擊面縮小規則
您的受攻擊面是組織網路和裝置容易遭受網路威脅和攻擊的所有位置和方式。 不安全的裝置、不受限制地存取公司裝置上的任何URL,以及允許任何類型的應用程式或腳本在公司裝置上執行,都是受攻擊面的範例。 它們讓您的公司容易遭受網路攻擊。
為了協助保護您的網路和裝置,Microsoft商務用Defender包含數個受攻擊面縮小功能,包括受攻擊面縮小規則。 本文說明如何設定受攻擊面縮小規則,並說明受攻擊面縮小功能。
有許多可用的受攻擊面縮小規則。 您不需要一次全部設定。 此外,您可以在稽核模式中設定一些規則,以查看它們如何為您的組織運作,並將其變更為稍後在封鎖模式中運作。 也就是說,建議您儘快啟用下列標準保護規則:
這些規則有助於保護您的網路和裝置,但不應該造成用戶中斷。 使用 Intune 來設定受攻擊面縮小規則。
在 Microsoft Intune 系統管理中心,移至 [端點安全>性攻擊面縮小]。
選擇 [建立原則 ] 以建立新原則。
- 針對 [平臺],選擇 [Windows 10]、[Windows 11] 和 [Windows Server]。
- 針對 [配置檔],選取 [ 受攻擊面縮小規則],然後選擇 [ 建立]。
設定您的原則,如下所示:
指定名稱和描述,然後選擇 [ 下一步]。
針對至少下列三個規則,將每個規則設定為 [封鎖]:
-
封鎖從 Windows 本機安全性授權子系統竊取認證
-
透過 WMI 事件訂閱封鎖持續性
-
封鎖濫用惡意探索易受攻擊的已簽署驅動程式
接著選擇 [下一步]。
在 [ 範圍卷標] 步驟中 ,選擇 [ 下一步]。
在 [ 指派] 步驟中,選擇要接收規則的使用者或裝置,然後選擇 [ 下一步]。 (建議您選取 [新增所有裝置]。)
在 [ 檢閱 + 建立] 步驟中檢閱資訊,然後選擇 [ 建立]。
提示
如果您想要的話,您可以先在稽核模式中設定受攻擊面縮小規則,以在實際封鎖檔案或進程之前查看偵測。 如需有關受攻擊面縮小規則的詳細資訊,請參閱 受攻擊面縮小規則部署概觀。
商務用Defender包含攻擊面縮小報告,其中顯示受攻擊面縮小規則如何為您運作。
在 Microsoft Defender 入口網站的瀏覽窗格中,選擇 [ 報告]。
在 [端點] 下,選擇 [受攻擊面縮小規則]。 報表隨即開啟,並包含三個索引標籤:
-
偵測,您可以在其中檢視因受攻擊面縮小規則而發生的偵測
-
設定,您可以在其中檢視標準保護規則或其他受攻擊面縮小規則的數據
-
新增排除專案,您可以在其中新增要從受攻擊面縮小規則中排除的專案, (謹慎使用排除專案;每個排除項目都會降低您的安全性保護)
若要深入瞭解受攻擊面縮小規則,請參閱下列文章:
商務用Defender提供受攻擊面縮小規則。 下表摘要說明商務用Defender中的受攻擊面縮小功能。 請注意,新一代保護和 Web 內容篩選等其他功能如何與受攻擊面縮小功能搭配運作。