建立和部署惡意探索防護原則
適用於:Configuration Manager (目前的分支)
您可以設定及部署 Configuration Manager 原則,以管理 Windows Defender 惡意探索防護的所有四個元件。 這些元件包括:
- 受攻擊面縮小
- 受控資料夾存取權
- 入侵防護
- 網路保護
惡意探索防護原則部署的合規性數據可從 Configuration Manager 主控台內取得。
注意事項
Configuration Manager 預設不會啟用此選擇性功能。 您必須先啟用此功能,才能使用它。 如需詳細資訊,請 參閱從更新啟用選擇性功能。
必要條件
受控裝置必須 Windows 10 1709 或更新版本執行;Windows Server 組建的最小版本是 1809 版或更新版本,直到僅限 Server 2019 為止。 根據設定的元件和規則,也必須滿足下列需求:
| 惡意探索防護元件 | 其他必要條件 |
|---|---|
| 受攻擊面縮小 | 裝置必須啟用 適用於端點的 Microsoft Defender 一律開啟保護。 |
| 受控資料夾存取權 | 裝置必須啟用 適用於端點的 Microsoft Defender 一律開啟保護。 |
| 入侵防護 | 無 |
| 網路保護 | 裝置必須啟用 適用於端點的 Microsoft Defender 一律開啟保護。 |
建立惡意探索防護原則
在 Configuration Manager 控制台中,移至 [資產與合規性>Endpoint Protection],然後按兩下 [Windows Defender 惡意探索防護]。
在 [ 首頁] 索引標籤的 [ 建立] 群組中,按兩下 [ 建立惡意探索原則]。
在 [建立設定專案精靈] 的 [一般] 頁面上,指定組態專案的名稱和選擇性描述。
接下來,選取您想要使用此原則管理的惡意探索防護元件。 針對您選取的每個元件,您接著可以設定其他詳細數據。
完成精靈以建立原則,您稍後可以將其部署至裝置。
警告
在計算機之間傳輸時,用於惡意探索保護的 XML 檔案應該保持安全。 檔案應在匯入後刪除,或保留在安全的位置。
部署惡意探索防護原則
建立惡意探索防護原則之後,請使用 [部署惡意探索防護原則精靈] 來部署它們。 若要這樣做,請在 [資產與合規性>Endpoint Protection] 開啟 Configuration Manager 控制台,然後按兩下 [部署惡意探索防護原則]。
重要事項
部署「惡意探索防護」原則之後,例如「降低攻擊面」或「受控資料夾存取權」,如果您移除部署,「惡意探索防護」設定將不會從用戶端中移除。
Delete not supported 如果您移除客戶端的惡意探索防護部署,則會記錄在用戶端的ExploitGuardHandler.log中。
下列 PowerShell 腳本可在 SYSTEM 內容下執行,以移除這些設定:
$defenderObject = Get-WmiObject -Namespace "root/cimv2/mdm/dmmap" -Class "MDM_Policy_Config01_Defender02" -Filter "InstanceID='Defender' and ParentID='./Vendor/MSFT/Policy/Config'"
$defenderObject.AttackSurfaceReductionRules = $null
$defenderObject.AttackSurfaceReductionOnlyExclusions = $null
$defenderObject.EnableControlledFolderAccess = $null
$defenderObject.ControlledFolderAccessAllowedApplications = $null
$defenderObject.ControlledFolderAccessProtectedFolders = $null
$defenderObject.EnableNetworkProtection = $null
$defenderObject.Put()
$exploitGuardObject = Get-WmiObject -Namespace "root/cimv2/mdm/dmmap" -Class "MDM_Policy_Config01_ExploitGuard02" -Filter "InstanceID='ExploitGuard' and ParentID='./Vendor/MSFT/Policy/Config'"
$exploitGuardObject.ExploitProtectionSettings = $null
$exploitGuardObject.Put()
Windows Defender 惡意探索防護原則設定
受攻擊面縮小原則和選項
降低攻擊面可以使用智慧型規則來減少應用程式的攻擊面,這些規則會停止 Office、腳本和郵件型惡意代碼所使用的向量。 深入瞭解 受攻擊面縮小 和用於攻擊面的事件標識碼。
要從受攻擊面縮小規則排除的檔案和資料夾 - 按兩下 [設定 ] 並指定要排除的任何檔案或資料夾。
Email 威脅:
- 封鎖來自電子郵件用戶端和 Webmail 的可執行內容。
- 尚未設定
- 封鎖
- 稽核
- 封鎖來自電子郵件用戶端和 Webmail 的可執行內容。
Office 威脅:
- 封鎖 Office 應用程式建立子進程。
- 尚未設定
- 封鎖
- 稽核
- 封鎖 Office 應用程式建立可執行文件內容。
- 尚未設定
- 封鎖
- 稽核
- 封鎖 Office 應用程式將程式代碼插入其他進程。
- 尚未設定
- 封鎖
- 稽核
- 封鎖來自 Office 巨集的 Win32 API 呼叫。
- 尚未設定
- 封鎖
- 稽核
- 封鎖 Office 應用程式建立子進程。
編寫威脅文本:
- 封鎖 JavaScript 或 VBScript 啟動下載的可執行文件內容。
- 尚未設定
- 封鎖
- 稽核
- 封鎖可能模糊化腳本的執行。
- 未設定
- 封鎖
- 稽核
- 封鎖 JavaScript 或 VBScript 啟動下載的可執行文件內容。
勒索軟體威脅: (從 Configuration Manager 1802 版開始)
- 針對勒索軟體使用進階保護。
- 尚未設定
- 封鎖
- 稽核
- 針對勒索軟體使用進階保護。
操作系統威脅: (從 Configuration Manager 1802 版開始)
- 封鎖從 Windows 本地安全機構子系統竊取認證。
- 尚未設定
- 封鎖
- 稽核
- 封鎖可執行檔執行,除非它們符合普遍性、存留期或受信任的清單準則。
- 尚未設定
- 封鎖
- 稽核
- 封鎖從 Windows 本地安全機構子系統竊取認證。
外部裝置威脅: (從 Configuration Manager 1802 版開始)
- 封鎖從 USB 執行的不受信任和未簽署的進程。
- 尚未設定
- 封鎖
- 稽核
- 封鎖從 USB 執行的不受信任和未簽署的進程。
受控資料夾存取原則和選項
協助保護金鑰系統資料夾中的檔案,避免惡意和可疑應用程式所做的變更,包括檔案加密勒索軟體惡意代碼。 如需詳細資訊,請參閱 受控資料夾存取 權及其使用的事件標識碼。
-
設定受控資料夾存取權:
- 封鎖
- 從 Configuration Manager 1802 版開始,僅 (封鎖磁碟扇區)
- 只允許針對開機扇區啟用受控資料夾存取權,而且不會啟用特定資料夾或預設受保護資料夾的保護。
- 稽核
- 從 1802 Configuration Manager 版開始,僅稽核 (磁碟扇區)
- 只允許針對開機扇區啟用受控資料夾存取權,而且不會啟用特定資料夾或預設受保護資料夾的保護。
- 已停用
- 允許應用程式透過受控資料夾存取 權 -按兩下 [設定 ] 並指定應用程式。
- 其他受保護的資料夾 - 按兩下 [設定 ] 並指定其他受保護的資料夾。
惡意探索保護原則
將惡意探索風險降低技術套用至您組織所使用的操作系統程式和應用程式。 這些設定可以從 Windows 10 或更新版本裝置上的 Windows Defender 資訊安全中心應用程式導出。 如需詳細資訊,請參閱 惡意探索保護。
惡意探索保護 XML: -按兩下 [瀏覽 ] 並指定要匯入的 XML 檔案。
警告
在計算機之間傳輸時,用於惡意探索保護的 XML 檔案應該保持安全。 檔案應在匯入後刪除,或保留在安全的位置。
網路保護原則
協助將裝置上的攻擊面從因特網型攻擊降至最低。 此服務會限制對可能裝載網路釣魚詐騙、惡意探索和惡意內容的可疑網域的存取。 如需詳細資訊,請參閱 網路保護。
-
設定網路保護:
- 封鎖
- 稽核
- 已停用