實作受攻擊面縮小規則

  • 發行項

適用於:

實作受攻擊面縮小規則會將第一個測試通道移到啟用的功能狀態。

實作受攻擊面縮小規則的程式

步驟 1:將攻擊面縮小規則從稽核轉換為封鎖

  1. 在稽核模式中決定所有排除項目之後,請從觸發事件最少的規則開始,開始將某些受攻擊面縮小規則設定為「封鎖」模式。 請參閱 啟用受攻擊面縮小規則
  2. 檢閱 Microsoft Defender 入口網站中的報告頁面;請參閱 適用於端點的 Microsoft Defender 中的威脅防護報告。 也請檢閱來自風雲人物的意見反應。
  3. 依判斷需要縮小排除項目搜尋範圍或建立新的排除項目。
  4. 將有問題的規則切換回稽核。

注意事項

對於有問題的規則 (建立太多雜音的規則), 建立排除項目比關閉規則或切換回稽核更好。 您必須判斷何者最適合您的環境。

提示

可用時, 請利用規則中的警告模式設定來限制中斷。 在警告模式中啟用受攻擊面縮小規則,可讓您擷取觸發的事件並檢視其潛在的中斷,而不會實際封鎖使用者存取。 深入瞭解: 使用者警告模式

警告模式如何運作?

警告模式實際上是封鎖指令,但可讓用戶選擇「解除封鎖」指定流程或應用程式的後續執行。 每個裝置、使用者、檔案和進程組合上的警告模式會解除封鎖。 警告模式資訊儲存在本地, 持續時間為 24 小時。

步驟 2: 將部署擴充為通道 n + 1

當您確信已正確設定通道 1 的受攻擊面縮小規則時,您可以將部署的範圍擴大為下一個通道, (環 n + 1) 。

每個後續通道的部署程式步驟 1 – 3 基本上都相同:

  1. 稽核中的測試規則
  2. 在 Microsoft Defender 入口網站中檢閱受攻擊面縮小觸發的稽核事件
  3. 建立排除項目
  4. 檢閱: 在必要時縮小搜尋範圍、新增或移除排除項目
  5. 將規則設定為 「封鎖」
  6. 檢閱 Microsoft Defender 入口網站中的報告頁面。
  7. 建立排除項目。
  8. 停用有問題的規則, 或將它們切換回稽核。

自訂受攻擊面縮小規則

當您繼續擴充受攻擊面縮小規則部署時,您可能會發現自定義您已啟用的受攻擊面縮小規則是必要或有説明的。

排除檔案和資料夾

您可以選擇將檔案和資料夾排除,避免遭到受攻擊面縮小規則的評估。 排除時,即使受攻擊面縮小規則偵測到檔案包含惡意行為,也不會封鎖檔案執行。

例如,請考慮勒索軟體規則:

勒索軟體規則旨在協助企業客戶降低勒索軟體攻擊的風險,同時確保業務持續性。 根據預設,勒索軟體規則會過於謹慎也不會冒險錯判,並防護抵禦尚未獲得足夠信譽和信任的檔案。 若要重新強調,勒索軟體規則只會根據數百萬名客戶的使用計量,在尚未獲得足夠正面評價和普遍性的檔案上觸發。 通常,封鎖項目會遭到自行解決,因為每個檔案的「信譽和信任」值都會隨著非問題性使用量增加而遞增升級。

如果無法及時自行解決區塊,客戶可以自行 承擔風險 ,利用自助式機制或入侵指標 (IOC) 型「允許清單」功能來解除封鎖檔案本身。

警告

排除或解除封鎖檔案/資料夾可能會允許不安全的檔案執行並讓您的裝置受到感染。 排除檔案或資料夾可能會嚴重降低受攻擊面縮小規則所提供的保護。 系統會允許已遭規則封鎖的檔案執行,且不會記錄任何報告或事件。

排除可以套用至允許排除的所有規則,或使用 個別規則排除範圍套用至特定規則。 您可以為資源指定個別檔案、資料夾路徑或完整網域名稱。

只有在排除的應用程式或服務啟動時,才能使用排除項目。 例如,如果您為已執行的更新服務新增排除範圍,更新服務會繼續觸發事件,直到服務停止並重新啟動為止。

受攻擊面縮小可支援環境變數和萬用字元。 如需使用萬用字元的資訊,請參閱 在檔案名稱和資料夾路徑或副檔名排除項目清單中使用萬用字元。 如果您在偵測您認為不應該偵測到的檔案時遇到規則問題,請 使用稽核模式來測試規則

如需每個規則的詳細資訊,請參閱 受攻擊面縮小規則參考 文章。

使用 [群組原則] 排除檔案和資料夾

  1. 在您的群組原則管理電腦,開啟 群組原則管理主控台。 以滑鼠右鍵按下您要設定的 群組原則 物件,然後選取 [編輯]

  2. [群組原則管理編輯器] 中,移至 [電腦設定] 然後選取 [系統管理範本]

  3. 將樹狀結構展開至 Windows 元件>Microsoft Defender 防病毒軟體>Microsoft Defender 惡意探索防護>攻擊面縮小

  4. 按兩下 從受攻擊面縮小規則排除檔案和路徑 設定並將選項設定為 [已啟用]。 選取 [顯示] 並在 [值名稱] 欄位輸入每個檔案或資料夾。 針對每個項目,在 [值] 欄位中輸入 0

警告

請勿使用引號,因為它們在 [值名稱] 欄位或 [值] 欄位是不受支援的。

使用 PowerShell 以排除檔案和資料夾

  1. 在 [開始] 功能表中輸入 powershell,以滑鼠右鍵按一下 Windows PowerShell 並選取 [以系統管理員身分執行]

  2. 輸入下列 Cmdlet:

    Add-MpPreference -AttackSurfaceReductionOnlyExclusions "<fully qualified path or resource>"

    繼續使用 Add-MpPreference -AttackSurfaceReductionOnlyExclusions 以新增更多資料夾至清單。

    重要事項

    使用 Add-MpPreference 以附加或新增應用程式至清單。 使用 Set-MpPreference Cmdlet 則會覆寫現有的清單。

使用 MDM CSP 以排除檔案和資料夾

使用 ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions 設定服務提供者 (CSP) 以新增排除項目。

自訂通知

您可以針對規則何時遭到觸發以及何時封鎖應用程式或檔案來自訂通知。 請參閱 Windows 安全性文章。

此部署集合中的其他文章

受攻擊面縮小規則部署概觀

規劃受攻擊面縮小規則部署

測試受攻擊面縮小規則

讓受攻擊面縮小規則運作

受攻擊面縮小規則參考

另請參閱

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:適用於端點的 Microsoft Defender 技術社群。