Suuren arvon resurssien vastaustoimintojen rajoittaminen (esikatselu)

Tässä artikkelissa on yleiskatsaus Microsoft Defender for Endpoint valikoivan vastauksen toiminnoista. Sen kohderyhmänä ovat suojauksen järjestelmänvalvojat ja IT-toimintoryhmät, jotka vastaavat Microsoft Defender for Endpoint hallinnasta ympäristöissä, jotka sisältävät tier-0-järjestelmiä ja arvokkaita resursseja (HVA), kuten toimialueen ohjauskoneita, ADFS-palvelimia ja muuta kriittistä infrastruktuuria.

Yleiskatsaus

Valikoivat vastaustoiminnot on Microsoft Defender for Endpoint toiminto, jonka avulla organisaatiot voivat räätälöidä suuren vaikutuksen suojaustoimintoja perehdyttämisen aikana. Se tarjoaa tarkan hallinnan siitä, miten vastaustoimia sovelletaan tason 0 järjestelmissä ja muissa arvokkaissa resursseissa, mikä auttaa säilyttämään toiminnan vakauden ja tarjoamaan vahvan suojan.

Tausta

Microsoft Defender for Endpoint käyttöönotto korkean arvon resursseissa (HVA), kuten toimialueen ohjauskoneissa, ADFS-palvelimissa ja muissa tason 0 järjestelmissä, edellyttää harkittua lähestymistapaa vahvan suojauksen tasapainottamiseksi operatiivisen vakauden kanssa. Käytettävissä olevien tehokkaiden vastausominaisuuksien vuoksi organisaatiot pyrkivät usein hallitsemaan sitä, miten näitä toimintoja käytetään luottamuksellisissa ympäristöissä.

Monet organisaatiot, erityisesti ne organisaatiot, joilla on tiukat etuoikeutetut käyttöoikeuksien hallintakäytännöt, haluavat myös rajoittaa pilvessä aloitettuja hallintatoimia tason 0 järjestelmissä, jotta ne vastaavat suojaus- ja yhteensopivuusvaatimuksiaan.

Valikoivat vastaustoiminnot -ominaisuus vastaa näihin tarpeisiin tarjoamalla hallitumman ja joustavamman lähestymistavan. Sen avulla organisaatiot voivat määrittää tarkasti, mitkä vastaustoiminnot sallitaan kriittisissä resursseista, mikä auttaa ylläpitämään operatiivista jatkuvuutta ja hyötymään samalla Defenderin suojauksesta.

Miten ominaisuus toimii?

Ensin ominaisuuden on oltava käytössä vuokraajassa. Katso Ota käyttöön valikoivat vastaustoiminnot.

Kun ominaisuus on otettu käyttöön, luoT Defenderin käyttöönottotyökalun (DDT) avulla perehdytyspaketin rajoitetuilla suojaustoimintojen asetuksilla. Kun määrität pakettia, valitset joko täydet toiminnot (oletus perehdytystila, jossa kaikki vastaustoiminnot sallitaan perehdytetyssä laitteessa) ja rajoitetut toiminnot (joissa suuren vaikutuksen vastaustoimintoja ei sallita). Jos valitset rajoitetut toiminnot, voit määrittää, mitkä toiminnot sallitaan laitteessa, kun se on otettu käyttöön.

Seuraavassa taulukossa kuvataan suuren vaikutuksen vastaustoiminnot, jotka voit sallia tai estää.

Valmiudet Kuvaus Huomautuksia
Perusvastaus Suorita virustentorjuntatarkistus, kerää tiedosto ja kerää tutkimuspaketti. Kerää tiedosto -toiminto viittaa tiedoston noutamiseen portaalin Tiedosto-sivulta, ei GetFile Live Response -komennon.
Lisävastaus Eristä laite, rajoita sovelluksen suorittamista ja pyydä korjausta. Pyynnön korjaamisen avulla suojauksen järjestelmänvalvojat voivat aloittaa korjaustoimia tietyn laitteen tunnistettujen heikkouksien korjaamiseksi.
Reaaliaikainen vastaus Sallii reaaliaikaisen vastausistunnon etälaitteeseen.
Laitteen suojaus Mahdollistaa automaattisen tutkinnan ja reagoinnin (AIR) laitteessa. Tämä koskee sekä automaattisesti käynnistettävää ILMA-ilmaa että manuaalisesti käynnistettyä AIR-mittaria.

Lisätietoja tällaisen paketin määrittämisestä on kohdassa Perehdyttämispaketin luominen rajoitetuilla suojaustoiminnoilla .

Huomautus

Rajoitetussa tilassa käyttöönotetut laitteet eivät tue live-vastauskomentosarjan suorittamista. Toiminto on poistettu käytöstä, vaikka reaaliaikainen vastaus olisi käytössä. Rajoitettu tila ei vaikuta tunnistukseen, hälytyksiin tai anturin peittoon. Kaikki ilmoitukset, aikajanat ja uhkien tunnistaminen toimivat edelleen odotetulla tavalla.

Edellytykset ja tuetut käyttöjärjestelmät

  • Rajoitettua tilaa tuetaan seuraavissa Windows-asiakastyöasemissa ja Windows Server käyttöjärjestelmissä, joiden käyttöjärjestelmä on Sense 10.8798 tai uudempi.

    Käyttöjärjestelmä Pakollinen KT
    Windows Server 2025, kaikki versiot KB5063878
    Windows Server 2022 KB5063880
    Windows Server 2019 KB5063877
    Windows 10 22H2 KB5062649
    Windows 11 23H2 KB5062663
    Windows 11 24H2 KB5062660
    Windows 11 25H2 Kaikki

  • Jos haluat käyttää rajoitettua tilaa, ominaisuusvalitsin Salli rajoitetut suojaustoiminnot perehdyttämisen aikana on otettava käyttöön. Katso Ota käyttöön valikoivan vastauksen toiminnot -ominaisuus.

Ota valikoivat vastaustoiminnot käyttöön

Jos haluat käyttää valikoivan vastauksen toimintoja, ota ominaisuus käyttöön Microsoft Defender portaalissa:

  1. Kirjaudu sisään Microsoft Defender portaaliin.
  2. Siirry kohtaan Asetukset>PäätepisteetLisäominaisuudet>.
  3. Ota käyttöön Salli rajoitetut suojaustoiminnot käyttöönoton aikana.

Näyttökuva Lisäominaisuudet-sivulta, jossa näkyy Salli rajoitetut toiminnot käyttöönoton aikana.

Kun se on otettu käyttöön, rajoitettu tila -vaihtoehto on käytettävissä, kun luot Defenderin käyttöönottopaketteja Windowsille Defenderin käyttöönottotyökalun (DDT) kautta. Voit sitten luoda käyttöönottopaketteja, jotka määrittävät, mitkä suojaustoiminnot sallitaan perehdyttävissä laitteissa. Katso lisätietoja artikkelista Perehdytyspaketin luominen rajoitetuilla suojaustoiminnoilla . Kun käyttöönottopaketti on luotu, käytä sitä laitteen käyttöönottoon.

Perehdytyspaketin luominen rajoitetuilla suojaustoimintojen asetuksilla

  1. Siirry Microsoft Defender portaalissa (security.microsoft.com)järjestelmäasetusten>>päätepisteet>perehdytykseen.

  2. Valitse avattavasta Vaihe 1 -valikosta Windows.

  3. Valitse Ota käyttöön lataamalla ja ottamalla käyttöön paketteja tai tiedostoja -kohdassa Onboard-painike .

    Näyttökuva, jossa näkyy lataa paketti -painike Microsoft Defender portaalissa.

  4. Näyttöön tulee Luo Defenderin käyttöönottotyökalu, jossa on käyttöoikeusavainsivu .

    Näyttökuva, joka näyttää, miten voit määrittää uuden käyttöönottopaketin.

    • Anna paketille nimi. Muista luoda nimi, joka on yksilöllinen ja kuvaava.

    • Määritä paketin vanhentumispäivämäärä. Voit määrittää vanhentumispäivämäärän mihin tahansa aikaan, joka voi olla enintään vuosi. Pakettien voimassaoloaika kannattaa tehdä mahdollisimman lyhyeksi luvattoman käyttöönottopaketin käytön riskin pienentämiseksi.

    • Valitse Rajoitettu.

      Näkyviin tulee luettelo suojaustoiminnoista, jotka vaikuttavat erittäin paljon. Valitse niiden toimintojen vieressä olevat ruudut, jotka haluat sallia perehdytetyssä laitteessa, ja poista niiden toimintojen vieressä olevien ruutujen valinta, jotka haluat estää.

      Näyttökuva, jossa näkyvät suojaustoimintojen tilan asetukset Microsoft Defender portaalissa.

      Huomautus

      Rajoitetussa tilassa käyttöönotetut laitteet eivät tue live-vastauskomentosarjojen suorittamista, vaikka live-vastaus olisi käytössä näissä asetuksissa. Tämä rajoitus pakotetaan käyttöön suunnittelussa sen varmistamiseksi, että komentosarjapohjaiset toiminnot pysyvät estettyinä säilyttäen luottamuksellisten resurssien korkeamman suojaustason.

      Rajoitettu tila, jossa kaikki vastaustoiminnot ovat sallittuja, ei vastaa kaikkia toimintoja. Kun otat käyttöön laitteen käyttämällä rajoitettua pakettia, komentosarjojen suorittaminen on suunniteltu pois käytöstä, kun taas täyden toimintopaketin käyttöönotto tarjoaa rajoittamattoman pääsyn kaikkiin tuettuihin vastaustoimintoihin ja -ominaisuuksiin.

    • Kun olet määrittänut paketin, valitse Luo.

  5. Kun paketti on valmis, näet sivun, jolla on paketin käyttöavain, ja latauspainikkeen, joka on seuraavan kuvan kaltainen.

    Näyttökuva, jossa näkyy käyttöönottotyökalupaketille luotu avain.

    Kopioi avain ja tallenna se, sillä sitä tarvitaan käyttöönottotyökalun kanssa.

    Kun olet kopioinut avaimen ja tallentanut sen, valitse Lataa käyttöönottotyökalu. Tämä lataa Defenderin käyttöönottotyökalun suoritettavan tiedoston.zip.

Laitteiden käyttöönotto rajoitetuilla vastaustoiminnoilla

Kun olet luonut ja ladannut käyttöönottopaketin, jossa on halutut rajoitetut suojaustoimintojen asetukset, ota laite käyttöön paketin avulla kohdassa Ota käyttöön Microsoft Defender for Endpoint Windows-laitteissa Defenderin käyttöönottotyökalun (esikatselu) avulla kuvatulla tavalla.

Käyttöönottolaitteiden suojaustoimintojen tilan tarkistaminen

Laitteiden suojaustoimintojen tila voidaan tunnistaa useilla eri tavoilla:

  • Defender-portaalin Laitevarasto-sivullasuojaustoiminnot-niminen ominaisuus ilmaisee kunkin laitteen perehdytystilan:

    • Jos laite on otettu käyttöön täydellä toiminnolla, arvo näkyy täydellisenä.
    • Jos laite on otettu käyttöön rajoitetuilla ominaisuuksilla, arvo näkyy rajoitettuna, mikä ilmaisee järjestelmänvalvojalle, että tällä laitteella on käytettävissä rajoitettu joukko etäsuojaustoimintoja.

    Tämä näkyvyys auttaa suojaustiimejä ymmärtämään nopeasti kunkin laitteen toiminnallisen laajuuden ja ryhtymään tarvittaessa asianmukaisiin toimiin.

    Näyttökuva Laitteen varasto -sivusta, joka näyttää suojaustoimintojen tilan.

  • Kun laite on rajoitetussa tilassa, laitteeseen lisätään automaattisesti tunniste Rajoitetut suojaustoiminnot , jotta suojaustiimit tunnistavat nopeasti resurssit, joiden toimintoja on rajoitettu. Näet tämän tunnisteen Laitteen sivulla. Laite-sivu sisältää myös suojaustoimintojen tilan, joka vastaa laitteelle määritettyjen etäsuojausominaisuuksien tasoa:

    • Täysi ilmaisee, että laite on otettu käyttöön käyttäen kaikkia Microsoft Defender for Endpoint ominaisuuksia. Kaikki etävastaustoiminnot ovat käytettävissä.
    • Restricted ilmaisee, että laite on otettu käyttöön rajoitetuilla vastaustoiminnoilla.

    Näyttökuva Laitteen sivusta, joka näyttää suojaustoimintojen tilan.

    Edellisessä kuvassa näet, että reaaliaikaisen vastauksen istuntojen aloittamista ei ole sallittu laitteessa.

    Jos haluat käyttää yksityiskohtaista luetteloa kaikista suojauksen ohjausobjekteista ja niiden nykyisestä tilasta (käytössä tai poistettu käytöstä) laitteessa, valitse Näytä suojaustoimintojen tiedot , jolloin laitteen suojaustoiminnot -ruutu tulee näkyviin.

    Näyttökuva Laitteen sivusta, joka näyttää suojaustoimintojen tiedot.

  • Voit myös käyttää Advanced Hunting -ominaisuutta RestrictedDeviceSecurityOperations tarkistaaksesi, mitä turvatoimia laitteessa on rajoitettu. Arvot edustavat tiettyjä rajoitettuja suojaustoimintoluokkia. Jos ominaisuuden RestrictedDeviceSecurityOperations arvo on esimerkiksi LiveResponse, vain Live Response -ominaisuus on kielletty laitteessa, kun taas kaikki muut toiminnot sallitaan.

    Näyttökuva Kehittyneen metsästyksen kyselystä, joka näyttää RestrictedDeviceSecurityOperations-ominaisuuden arvon.

  • Valikoiva vastaus estetään myös käytettäessä julkista ohjelmointirajapintaa. Jos yrität suorittaa rajoitetun toiminnon ohjelmointirajapinnan kautta, näyttöön tulee virhesanoma, joka ilmaisee, että toimintoa ei sallita laitteessa.

    Näyttökuva virheilmoituksesta yritettäessä tehdä rajoitettua vastaustoimintoa julkisen ohjelmointirajapinnan kautta.

Rajoitusasetusten muuttaminen

Kun laite on otettu käyttöön rajoitetuilla asetuksilla, sen suojaustoimintojen määrityksiä ei voi muuttaa tai muokata. Jos haluat päivittää laitteen vastausominaisuudet, sinun on poistettava laite käytöstä ja otettava se uudelleen käyttöön käyttämällä uutta käyttöönottopakettia, joka sisältää halutut asetukset. Laitetunnus pysyy samana, ja kaikki historialliset tiedot säilytetään.

Jos haluat rajoittaa vastaustoimintoja laitteessa, joka on jo otettu käyttöön Defender for Endpointissa täydessä tilassa, sinun on ensin poistettava laitteen käytöstä ja otettava se sitten uudelleen käyttöön käyttämällä perehdytyspakettia, joka on määritetty rajoitetuilla asetuksilla. Laitetunnus pysyy samana, ja kaikki historialliset tiedot säilytetään.

  • Last updated on