提示
作為本文的配套,請參閱我們的 安全分析器設置指南 ,檢視最佳實務並學習加強防禦、提升合規性,並自信地駕馭資安環境。 若想根據您的環境打造客製化體驗,您可以在 Microsoft 365 系統管理中心取得 Security Analyzer 自動設定指南。
攻擊面減少規則的重要性
您組織的攻擊面涵蓋了所有攻擊者可能入侵裝置或網路的地點。 減少攻擊面意味著保護組織的裝置和網路,這讓攻擊者執行攻擊的方式變得更少。 在 適用於端點的 Microsoft Defender 中設定攻擊面縮小規則會有幫助!
攻擊面減少規則針對特定軟體行為,例如:
- 啟動嘗試下載或執行檔案的可執行檔和指令碼
- 執行模糊化或其他可疑的指令碼
- 執行一些應用程式在日常工作中通常不會主動觸發的行為
這類軟體行為有時會出現在合法的應用程式中。 然而,這些行為常被視為風險較高,因為攻擊者常透過惡意軟體濫用。 攻擊面減少規則能限制軟體風險行為,並有助於維護組織安全。
關於如何管理攻擊面減少規則的順序性、端到端流程,請參見:
必要條件
支援的作業系統
- Windows
部署前評估規則
你可以透過在 Microsoft Defender 弱點管理中開啟該規則的安全建議,評估攻擊面減少規則可能對網路的影響。
在推薦細節欄目中,檢查使用者影響,以判斷有多少比例的裝置能接受新政策,啟用該規則在封鎖模式下,且不會對生產力造成負面影響。
請參閱「啟用攻擊面減少規則」條目中 的需求 部分,了解支援作業系統及其他需求資訊。
評估的稽核模式
稽核模式
使用 稽核模式 評估若啟用攻擊面縮減規則,會如何影響你的組織。 先以稽核模式執行所有規則,這樣你才能了解它們如何影響業務線應用程式。 許多業務線應用程式在撰寫時安全顧慮有限,且執行任務的方式可能看起來類似惡意軟體。
排除項目
透過監控稽核資料並為必要應用程式 加入排除 條款,你可以部署攻擊面減少規則,同時不降低生產力。
依規則排除
關於如何設定每規則排除的資訊,請參閱 「配置每規則排除攻擊面減少」。
使用者警告模式
每當攻擊面縮小規則阻擋內容時,使用者會看到一個對話框,表示該內容已被封鎖。 對話框也提供使用者解除封鎖內容的選項。 使用者可以重新嘗試動作,操作完成。 當使用者解除封鎖內容時,該內容會保持未封鎖狀態 24 小時,之後封鎖會恢復。
警告模式幫助組織制定攻擊面減少規則,同時不阻礙使用者存取執行任務所需的內容。
警告模式運作的要求
在執行以下 Windows 版本的裝置上支援警告模式:
- Windows 10 版本 1809 或更新版本
- Windows 11
- Windows Server,版本 1809 或更新版本
Microsoft Defender 防毒軟體必須以即時保護模式在主動模式下運行。
同時,請確保已安裝 Microsoft Defender 防毒軟體及防惡意軟體更新。
- 最低平台發布要求:
4.18.2008.9 - 最低引擎釋放要求:
1.1.17400.5
欲了解更多資訊及獲取更新,請參閱 Microsoft Defender 反惡意軟體平台更新。
不支援警告模式的情況
在 Microsoft Intune 設定攻擊面減少規則時,警告模式不支援。 (如果你使用 群組原則 來設定攻擊面縮小規則,則支援警告模式。) 在 Microsoft Intune 設定時不支援警告模式的三條規則如下:
-
封鎖 JavaScript 或 VBScript 啟動下載的可執行檔 內容 (GUID
d3e037e1-3eb8-44c8-a917-57927947596d) - 透過 WMI 事件訂閱 GUID
e6db77e5-3df2-4cf1-b95a-636979351e5b(來實現區塊持久化) -
使用先進的勒索軟體防護 措施 (GUID
c1db55ab-c21a-4637-bb3f-a12568109d35)
另外,舊版 Windows 裝置不支援警告模式。 在這些情況下,設定為警告模式的攻擊面減少規則會以區塊模式執行。
通知與警示
每當攻擊面減少規則被觸發時,裝置上會顯示通知。 您可以使用公司詳細資料和連絡資訊自訂通知。
此外,當觸發某些攻擊面減少規則時,會產生警示。
通知及產生的任何警示都可以在 Microsoft Defender 入口網站中查看。
關於通知與警示功能的具體細節,請參閱:《攻擊面減少規則參考》一文中的「依規則警示與通知細節」。
進階狩獵與攻擊面縮小事件
你可以使用進階狩獵來查看攻擊面減少事件。 為了簡化輸入資料量,每小時僅可查看獨特的程序,並具備進階搜尋功能。 攻擊面減少事件的時間是該事件在一小時內首次出現的時間。
例如,假設在下午2點時分,10台裝置發生攻擊面減少事件。 假設第一個事件發生在2:15,最後一個發生在2:45。 進階狩獵時,你會看到一個事件的實例 (,儘管實際上發生在 10 台裝置上,時間戳) 2:15。
欲了解更多關於進階狩獵的資訊,請參閱 「主動獵殺威脅」與先進狩獵。
Windows 版本間攻擊面減少功能
你可以為運行以下任一版本 Windows 的裝置設定攻擊面減少規則:
Windows 10 專業版,版本為 1709 或更新版本
Windows 10 企業版,版本為 1709 或更新版本
Windows 11 專業版,版本為 21H2 或更新版本
Windows 11 企業版,版本為 21H2 或更新版本
Windows Server 2025
Azure Stack HCI OS,版本 23H2 及以後版本
注意事項
Windows Server 2016 與 Windows Server 2012 R2 必須依照 Onboard Windows Server 2012 R2 及 Windows Server 2016 中的指令進行上線適用於端點的 Microsoft Defender 才能讓此功能正常運作。
雖然攻擊面減少規則不要求 Windows E5 授權,但如果你有 Windows E5,就能獲得進階管理功能。 進階功能僅在 Windows E5 中提供,包括:S
- Defender for Endpoint 提供的監控、分析與工作流程
- Microsoft Defender 全面偵測回應的回報與設定功能。
這些進階功能在 Windows Professional 或 Windows E3 授權下無法使用。 不過,如果你有這些授權,可以使用事件檢視器和 Microsoft Defender 防毒日誌來檢視你的攻擊面減少規則事件。
檢視 Microsoft Defender 入口網站中的攻擊面減少事件
Defender for Endpoint 提供事件與區塊的詳細報告,作為警示調查情境的一部分。
你可以在 Microsoft Defender 全面偵測回應中,透過進階搜尋查詢 Defender for Endpoint 的資料。
以下為範例查詢:
DeviceEvents
| where ActionType startswith 'Asr'
檢視 Windows 事件檢視器中的攻擊面縮減事件
您可以查看 Windows 事件日誌,查看由攻擊面減少規則產生的事件:
下載評估套件,並將檔案 cfa-events.xml 解壓到裝置上易於存取的位置。
在開始選單輸入「事件檢視器」以開啟 Windows 事件檢視器。
在 動作中,選擇 匯入自訂視圖...。
選擇 cfa-events.xml 解壓時的檔案。 或者,直接 複製 XML 檔案。
選取 [確定]。
你可以建立自訂檢視,過濾事件只顯示以下事件,這些事件都與受控資料夾存取有關:
事件識別碼 描述 5007 變更設定時的事件 1121 在區塊模式下規則觸發的事件 1122 審核模式下規則觸發事件
Defender for Endpoint 會產生事件日誌中列出的「引擎版本」,用於減少攻擊面。 作業系統不會產生這個版本。 Defender for Endpoint 與 Windows 10 及 Windows 11 整合,因此此功能適用於所有安裝 Windows 10 或 Windows 11 的裝置。
另請參閱
- 攻擊面減少規則部署概述
- 規劃攻擊面縮減規則部署
- 測試攻擊面縮減規則
- 啟用受攻擊面縮小規則
- 實務化攻擊面減少規則
- 攻擊面減少規則報告
- 適用於端點的 Microsoft Defender 與 Microsoft Defender 防毒軟體的排除事項
提示
如果您在尋找其他平台適用的防毒軟體相關資訊,請參閱:
提示
想要深入了解? Engage 與 Microsoft Security 社群互動,加入我們的技術社群:適用於端點的 Microsoft Defender Defender 技術社群。