攻擊面減少是 適用於端點的 Microsoft Defender 中的一組功能,能消除裝置與網路上的風險或不必要的行為,減少攻擊者入侵組織的機會。 攻擊面是組織最容易受到網路威脅的區域。 透過硬化這些表面,你可以從根本上防止攻擊發生。
這些功能能阻擋高風險的軟體行為,防止與惡意網站的連線,並保護資料免於未經授權的存取或外洩。 這些元素共同構成了分層防禦,補充了 Defender for Endpoint 中的偵測與回應功能。
受攻擊面縮小功能
Defender for Endpoint 的攻擊面減少包含以下功能:
攻擊面減少 (ASR) 規則限制了攻擊者利用的高風險軟體行為,例如啟動試圖下載檔案的可執行檔、執行混淆腳本,或執行應用程式日常工作中不會主動執行的動作。 欲了解更多資訊,請參閱 攻擊面減少 (ASR) 規則概述。
受控的資料夾存取 能保護有價值的資料免受惡意應用程式及勒索軟體等威脅。 它會根據已知且可信的應用程式清單進行檢查,並防止不受信任的應用程式修改受保護資料夾中的檔案。 欲了解更多資訊,請參閱 「保護具有受控資料夾存取權的重要資料夾」。
漏洞防護 會自動將漏洞緩解技術應用於作業系統的程序和應用程式。 它建立在 EMET) 強化緩解體驗工具包 (保護基礎上,並與 Defender for Endpoint 整合用於報告與警示。 欲了解更多資訊,請參閱 「保護裝置免於漏洞利用」。
網路保護 防止連線到惡意或可疑的網域及 IP 位址。 它擴展Microsoft Defender SmartScreen 保護,阻擋所有試圖連接低信譽來源的 HTTP (S) 外發流量。 欲了解更多資訊,請參閱 網路保護。
網路保護 能保護裝置免受網路威脅,並協助規範不受歡迎的內容。 網路防護包括網路威脅防護、網頁內容過濾及自訂指標。 欲了解更多資訊,請參閱 網路保護。
網頁內容過濾會根據網站內容類別追蹤並規範存取,讓您能封鎖違反合規規定或組織政策的類別。 欲了解更多資訊,請參閱網頁內容過濾。
裝置控制 決定使用者是否能在電腦上安裝及使用周邊裝置,如 USB 隨身碟、印表機和藍牙裝置。 裝置控制有助於防止資料遺失及可移除媒體帶來的惡意軟體。 欲了解更多資訊,請參閱 適用於端點的 Microsoft Defender 中的裝置控制。
網路防火牆報告與 Windows 防火牆整合,提供 Microsoft Defender 入口網站中防火牆事件的集中可視性。 欲了解更多資訊,請參閱 主機防火牆報告。
這些功能的可用性總結如下表:
| 功能 | Windows | macOS | Linux |
|---|---|---|---|
| ASR 規則 | Y | N | N |
| 受控資料夾存取權 | Y | N | N |
| 入侵防護 | Y | N | N |
| 網路保護 | Y | Y | Y* |
| Web 保護 | Y | Y | Y* |
| Web 內容篩選 | Y | Y | Y |
| 裝置控制 | Y | Y | N |
| 防火牆回報 | Y | N | N |
* 目前正處於預覽階段。
相關 Windows 安全特性
以下 Windows 安全功能補充了 Defender for Endpoint 的攻擊面減少,但配置與管理分別進行:
- Microsoft Defender 應用程式防護為 Microsoft Edge 提供硬體隔離,將不受信任的網站放入容器中,保護您的組織。 欲了解更多資訊,請參閱 Microsoft Defender 應用程式防護概述。
- Windows Defender 應用程式控制 (WDAC) 確保只有受信任的應用程式能在您的裝置上運行。 欲了解更多資訊,請參閱 Windows 應用程式控制。
- Windows 防火牆 控制裝置的進出網路流量。 欲了解更多資訊,請參閱 Windows 防火牆與進階安全性。
攻擊面縮減如何融入Defender for Endpoint
攻擊面減少補充了 Defender for Endpoint 其他能在威脅發生後偵測並回應的能力。 雖然新一代防護與端點偵測與回應著重於識別與修復活躍威脅,但攻擊面縮減則防止威脅站穩腳跟。
每種能力針對攻擊面的不同部分:
- 風險軟體行為:ASR 規則限制應用程式與腳本的行為,阻擋攻擊者常用的惡意軟體或竊取憑證的手法。
- 網路連線:網路保護與網路保護會在內容抵達裝置前阻擋已知惡意或不當網站的存取。
- 資料與檔案存取:受控的資料夾存取與裝置控制限制了哪些應用程式與硬體能存取或修改敏感檔案。
- 應用程式漏洞:利用防護會施加緩解措施,使攻擊者更難利用作業系統程序與應用程式中的漏洞。
稽核模式
稽核模式幫助你評估攻擊面減少功能對環境的影響,同時不影響生產力。 以下功能支援稽核模式:
在審核模式下,這些功能不會阻擋應用程式、腳本或連線。 相反地,Windows 事件日誌會記錄事件,彷彿這些功能仍在啟用中。 你可以查看事件日誌,並在 Microsoft Defender 入口網站使用進階搜尋功能,了解每個功能如何影響你的業務線應用程式。 欲了解更多關於 Windows 事件檢視器中資料的資訊,請參閱 Windows 事件檢視器中的攻擊面減少事件。
管理工具
你可以透過多種管理工具來設定攻擊面減少功能。 以下工具常被使用:
- Microsoft Intune
- Microsoft Configuration Manager
- 群組原則
- Powershell Cmdlet
選擇合適的工具取決於您組織的基礎設施與管理偏好。 如需詳細設定指引,請參閱攻擊 面減少能力 章節中連結的個別專題文章。