從非 Microsoft HIPS 移轉至受攻擊面縮小規則

適用於：

• 適用於端點的 Microsoft Defender 方案 1
• 適用於端點的 Microsoft Defender 方案 2

本文可協助您將通用規則對應至 適用於端點的 Microsoft Defender。

從非 Microsoft HIPS 產品移轉至受攻擊面縮小規則的案例

封鎖建立特定檔案

• 適用於所有進程
• 作業 - 檔案建立
• 檔案/資料夾、登錄機碼/值、進程、服務- *.zepto、*.odin、*.locky、*.jaff、*.lukitus、*.wnry、*.krab 的範例
• 受攻擊面縮小規則 - 受攻擊面縮小規則會封鎖攻擊技術，而不是IOC) (入侵指標。 封鎖特定的擴展名不一定很有用，因為它不會防止裝置遭到入侵。 它只會部分阻擋攻擊，直到攻擊者為承載建立新類型的擴充功能為止。
• 其他建議的功能 - 強烈建議啟用 Microsoft Defender 防病毒軟體，以及雲端保護和行為分析。 建議您使用其他防護功能，例如受攻擊面縮小規則 使用勒索軟體的進階防護，以提供更高層級的保護來抵禦勒索軟體攻擊。 此外，適用於端點的 Microsoft Defender 會監視其中許多登錄機碼，例如觸發特定警示的 ASEP 技術。 所使用的登錄機碼至少需要本機 管理員 或受信任的安裝程序許可權才能修改。 建議您使用具有最低系統管理帳戶或許可權的鎖定環境。 您可以啟用其他系統設定，包括針對屬於我們更廣泛安全性建議的 非必要角色停用 SeDebug 。

封鎖建立特定登錄機碼

• 適用於所有進程
• 進程 - N/A
• 作業 - 登錄修改
• 檔案/資料夾、登錄機碼/值、進程、服務- 的範例\Software，HKCU\Environment\UserInitMprLogonScript，HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Accessibility\ATs*\StartExe， HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*\Debugger， HKEY_CURRENT_USER\Software\Microsoft\HtmlHelp Author\location， HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit*\MonitorProcess
• 受攻擊面縮小規則 - 受攻擊面縮小規則會封鎖攻擊技術，而不是IOC) (入侵指標。 封鎖特定的擴展名不一定很有用，因為它不會防止裝置遭到入侵。 它只會部分阻擋攻擊，直到攻擊者為承載建立新類型的擴充功能為止。
• 其他建議的功能 - 強烈建議啟用 Microsoft Defender 防病毒軟體，以及雲端保護和行為分析。 建議您使用額外的防護功能，例如受攻擊面縮小規則 使用進階防護來防範勒索軟體。 這可提供更高層級的保護，以防範勒索軟體攻擊。 此外，適用於端點的 Microsoft Defender 監視數個登錄機碼，例如觸發特定警示的 ASEP 技術。 此外，所使用的登錄機碼至少需要本機 管理員 或受信任的安裝程序許可權才能修改。 建議您使用具有最低系統管理帳戶或許可權的鎖定環境。 您可以啟用其他系統設定，包括針對屬於我們更廣泛安全性建議的 非必要角色停用 SeDebug 。

禁止不受信任的程式從卸載式磁碟驅動器執行

• 適用於來自USB的不受信任程式
• 行程 - *
• 作業 - 進程執行
• * 檔案/資料夾、登錄機碼/值、進程、服務的範例：-
• 受攻擊面縮小規則 - 受攻擊面縮小規則具有內建規則，可防止從抽取式磁碟驅動器啟動不受信任和未簽署的程式： 封鎖從 USB 執行的不受信任和未簽署的程式，GUID b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4。
• 其他建議的功能 - 請使用 適用於端點的 Microsoft Defender：如何使用 適用於端點的 Microsoft Defender 控制 USB 裝置和其他卸載式媒體，探索更多 USB 裝置和其他抽取式媒體的控件。

封鎖 Mshta 啟動特定子進程

• 適用於 - Mshta
• 進程 - mshta.exe
• 作業 - 進程執行
• 檔案/資料夾、登錄機碼/值、進程、服務-powershell.exe、cmd.exe、regsvr32.exe
• 受攻擊面縮小規則 - 受攻擊面縮小規則不包含任何特定規則，以防止子進程 mshta.exe。 此控件位於惡意探索保護或 Windows Defender 應用程控的許可權內。
• 其他建議的功能- 啟用 Windows Defender 應用程控以防止 mshta.exe 完全執行。 如果您的組織需要企業營運應用程式的mshta.exe，請設定特定的 Windows Defender 惡意探索保護規則，以防止 mshta.exe 啟動子程式。

封鎖 Outlook 啟動子進程

• 適用於 - Outlook
• 進程 - outlook.exe
• 作業 - 進程執行
• 檔案/資料夾、登錄機碼/值、進程、服務的範例- powershell.exe
• 受攻擊面縮小規則 - 受攻擊面縮小規則具有內建規則，可防止 Outlook、Skype 和 Teams) (Office 通訊應用程式啟動子進程： 封鎖 Office 通訊應用程式建立子進程，GUID 26190899-1602-49e8-8b27-eb1d0a1ce869。
• 其他建議的功能 - 建議您啟用PowerShell限制語言模式，以將來自PowerShell的攻擊面降到最低。

封鎖 Office Apps 啟動子進程

• 適用於 - Office
• 進程 - winword.exe、powerpnt.exe、excel.exe
• 作業 - 進程執行
• 檔案/資料夾、登錄機碼/值、進程、服務 powershell.exe、cmd.exe、wscript.exe、mshta.exe、EQNEDT32.EXE、regsrv32.exe
• 受攻擊面縮小規則 - 受攻擊面縮小規則具有內建規則，可防止 Office 應用程式啟動子進程： 封鎖所有 Office 應用程式建立子進程，GUID d4f940ab-401b-4efc-aadc-ad5f3c50688a。
• 其他建議的功能 - N/A

封鎖 Office Apps 建立可執行文件內容

• 適用於 - Office
• 進程 - winword.exe、powerpnt.exe、excel.exe
• 作業 - 檔案建立
• 檔案/資料夾、登錄機碼/值、進程、服務的範例- C：\Users*\AppData**.exe、 C：\ProgramData**.exe、C：\ProgramData**.com、C：\UsersAppData\Local\Temp**.com、C：\Users\Downloads**.exe、C：\Users*\AppData**.scf、C：\ProgramData**.scf、C：\Users\Public*.exe、C：\Users*\Desktop\.exe
• 受攻擊面縮小規則 - N/A。

禁止 Wscript 讀取特定類型的檔案

• 適用於 - Wscript
• 進程 - wscript.exe
• Operation- 讀取檔案
• 檔案/資料夾、登錄機碼/值、進程、服務的範例- C：\Users*\AppData**.js、C：\Users*\Downloads**.js
• 受攻擊面縮小規則 - 由於可靠性和效能問題，受攻擊面縮小規則無法防止特定程式讀取特定的腳本文件類型。 我們有規則可防止可能源自這些案例的攻擊媒介。 規則名稱為 Block JavaScript 或 VBScript，無法啟動下載的可執行文件內容 (GUID d3e037e1-3eb8-44c8-a917-57927947596d () 和 封鎖執行可能模糊化的腳本 (GUID * 5beb7efe-fd9a-4556-801d-275e5ffc04cc*) 。
• 其他建議的功能- 雖然有特定的攻擊面縮小規則可降低這些案例中的特定攻擊媒介，但請務必注意，AV 默認能夠透過反惡意代碼掃描介面 (AMSI) ，實時檢查 (PowerShell、Windows 腳本主機、JavaScript、VBScript 等) 的腳本。 如需詳細資訊，請參閱這裡： 反惡意代碼掃描介面 (AMSI) 。

封鎖啟動子進程

• 適用於 - Adobe Acrobat
• 進程 - AcroRd32.exe、Acrobat.exe
• 作業 - 進程執行
• 檔案/資料夾、登錄機碼/值、進程、服務-cmd.exe、powershell.exe、wscript.exe
• 受攻擊面縮小規則 - 受攻擊面縮小規則允許封鎖 Adobe Reader 啟動子進程。 規則名稱為 Block Adobe Reader，無法建立子進程 GUID 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c。
• 其他建議的功能 - N/A

封鎖下載或建立可執行文件內容

• 適用於 - CertUtil：封鎖下載或建立可執行檔
• 進程 - certutil.exe
• 作業 - 檔案建立
• 檔案/資料夾、登錄機碼/值、進程、服務的範例 - *.exe
• 受攻擊面縮小規則 - 受攻擊面縮小規則不支持這些案例，因為它們是 Microsoft Defender 防病毒軟體保護的一部分。
• 其他建議的功能- Microsoft Defender 防病毒軟體可防止 CertUtil 建立或下載可執行文件內容。

封鎖進程停止重要的系統元件

• 適用於所有進程
• 行程 - *
• 作業 - 行程終止
• 檔案/資料夾、登錄機碼/值、進程、服務- MsSense.exe、MsMpEng.exe、NisSrv.exe、svchost.exe*、services.exe、csrss.exe、smss.exe、wininit.exe 等範例。
• 受攻擊面縮小規則 - 受攻擊面縮小規則不支持這些案例，因為它們受到 Windows 內建安全性保護的保護。
• 其他建議的功能： ELAM (早期啟動 AntiMalware) 、PPL (保護程式 Light) 、PPL AntiMalware Light 和 系統防護。

封鎖特定啟動進程嘗試

• 適用於特定進程
• 過程- 將您的進程命名為
• 作業 - 進程執行
• 檔案/資料夾、登錄機碼/值、進程、服務- tor.exe、bittorrent.exe、cmd.exe、powershell.exe 等範例
• 受攻擊面縮小規則 - 整體而言，受攻擊面縮小規則並非設計成以應用程式管理員的身分運作。
• 其他建議的功能 - 若要防止用戶啟動特定進程或程式，建議您使用 Windows Defender 應用程控。 適用於端點的 Microsoft Defender 檔案和憑證指標， 可用於事件回應案例 (不應該被視為應用程控機制) 。

封鎖對防病毒軟體設定 Microsoft Defender 未經授權的變更

• 適用於所有進程
• 行程 - *
• 作業 - 登錄修改
• 檔案/資料夾、登錄機碼/值、進程、服務- HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\DisableAntiSpyware、HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Policy Manager\AllowRealTimeMonitoring 等範例。
• 受攻擊面縮小規則 - 受攻擊面縮小規則不會涵蓋這些案例，因為它們是 適用於端點的 Microsoft Defender 內建保護的一部分。
• 其他建議的功能- 竄改保護 (選擇加入、從 Intune) 管理，防止未經授權變更 DisableAntiVirus、DisableAntiSpyware、DisableRealtimeMonitoring、DisableOnAccessProtection、DisableBehaviorMonitoring 和 DisableIOAVProtection 登錄機碼 (等) 。

另請參閱

• 受攻擊面縮小常見問題集
• 啟用受攻擊面縮小規則
• 評估受攻擊面縮小規則

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群：適用於端點的 Microsoft Defender 技術社群。