Hyökkäyspinnan pienentämissääntöjen käyttöönotto

  • 17 minuuttia

Hyökkäyspintasi sisältää kaikki paikat, joissa hyökkääjä voi vaarantaa organisaatiosi laitteet tai verkot. Hyökkäyspinnan pienentäminen tarkoittaa organisaatiosi laitteiden ja verkon suojaamista, jolloin hyökkääjillä on vähemmän hyökkäystapoja.

Hyökkäyspinnan vähentämissäännöt kohdistuvat tiettyihin ohjelmistokäyttäytymisiin, joita hyökkääjät usein käyttävät väärin. Tällaisia toimintamalleja ovat esimerkiksi seuraavat:

  • Käynnistetään suoritettavat tiedostot ja komentosarjat, jotka yrittävät ladata tai suorittaa tiedostoja

  • Suoritetaan hämärtymättömiä tai muuten epäilyttäviä komentosarjoja

  • Niiden käyttäytyminen, joita sovellukset eivät yleensä aloita normaalin päivittäisen työn aikana.

Tällaisia ohjelmistotoimintaa nähdään joskus laillisissa sovelluksissa; Näitä toimintamalleja pidetään kuitenkin usein riskialttiina, koska haittaohjelmat käyttävät niitä usein väärin. Hyökkäyspinnan pienentämissäännöt voivat rajoittaa riskialttiita toimintamalleja ja auttaa pitämään organisaatiosi turvassa.

Kukin Attack Surface Reduction -sääntö sisältää yhden neljästä asetuksista:

  • Ei määritetty: Poista hyökkäyspinnan pienentämissääntö käytöstä

  • Lohko: Ota Attack Surface Reduction -sääntö käyttöön

  • Valvonta: Arvioi, miten hyökkäyspinnan pienentämissääntö vaikuttaisi organisaatioosi, jos se on käytössä

  • Varoita: Ota Attack Surface Reduction -sääntö käyttöön, mutta salli käyttäjän ohittaa lohko

Hyökkäyspinta-alan rajoittamissäännöt

Attack Surface Reduction -säännöt tukevat tällä hetkellä seuraavia sääntöjä:

  • Estä suoritettava sisältö sähköpostiasiakkaasta ja webmailista
  • Estä aliprosessien luominen kaikilta Office-sovelluksilta
  • Estä Office-sovelluksia luomasta suoritettavaa sisältöä
  • Estä Office-sovelluksia lisäämästä koodia muihin prosesseihin
  • Estä JavaScriptia tai VBScriptia käynnistämästä ladattua suoritettavaa sisältöä
  • Estä mahdollisesti hämärtyneiden komentosarjojen suorittaminen
  • Estä Win32-ohjelmointirajapinnan kutsut Office-makrosta
  • Lisäsuojauksen käyttö kiristysohjelmia vastaan
  • Estä tunnistetietojen varastaminen Windowsin paikallisen suojausviranomaisen alijärjestelmästä (lsass.exe)
  • Estä prosessin luonti, joka on peräisin PSExec- ja WMI-komennoista
  • Estä luottamattomat ja allekirjoittamattomat prosessit, jotka suoritetaan USB:stä
  • Estä suoritettavien tiedostojen suorittaminen, elleivät ne täytä levinneisyyttä, ikää tai luotettuja luetteloehtoja
  • Estä Officen viestintäsovelluksia luomasta aliprosesseja
  • Estä Adobe Readeria luomasta aliprosesseja
  • Estä pysyvyys WMI-tapahtumatilauksen kautta

Jätä pois tiedostoja ja kansioita hyökkäysalueen vähentämissäännöistä

Useimmat hyökkäyspinnan pienentämissäännöt eivät voi arvioida tiedostoja ja kansioita. Tämä tarkoittaa sitä, että vaikka hyökkäysalueen pienentämissääntö määrittäisi, että tiedosto tai kansio sisältäisi haitallisen käyttäytymisen, se ei estä tiedoston suorittamista. Tämä tarkoittaa myös sitä, että mahdollisesti vaarallisia tiedostoja saa suorittaa laitteissasi ja tarttua niihin.

Suljet pois hyökkäyksen pinnan vähentämissääntöjä käynnistymästä varmenteen ja tiedostosyötteiden perusteella sallimalla määritetyn Defender for Endpoint -tiedoston ja varmenne-ilmaisimien käytön.

Voit määrittää yksittäisiä tiedostoja tai kansioita (käyttämällä kansiopolkuja tai täydellisiä resurssien nimiä), mutta et voi määrittää, mitä sääntöjä poissulkemiset koskevat. Poikkeusta sovelletaan vain, kun pois jätetty sovellus tai palvelu käynnistyy. Jos esimerkiksi lisäät poissulkemisen jo käynnissä olevalle päivityspalvelulle, päivityspalvelu käynnistää tapahtumia jatkossakin, kunnes palvelu pysäytetään ja käynnistetään uudelleen.

Arvioinnin valvontatila

Valvontatilan avulla voit arvioida, miten hyökkäyksen pinnan vähentämissäännöt vaikuttaisivat organisaatioosi, jos ne otetaan käyttöön. Suosittelemme, että suoritat ensin kaikki valvontatilan säännöt, jotta ymmärrät niiden vaikutuksen toimialakohtaisiin sovelluksiin. Monet liiketoiminta-aluesovellukset kirjoitetaan rajoitetuin suojaussyistä, ja ne saattavat suorittaa haittaohjelmia muistuttavilla tavoilla tehtäviä. Valvomalla valvontatietoja ja lisäämällä poikkeuksia tarvittaviin sovelluksiin voit ottaa käyttöön hyökkäyksen pinnan vähentämissääntöjä vaikuttamatta tuottavuuteen.

Ilmoitukset, kun sääntö käynnistetään

Aina, kun sääntö käynnistetään, laitteessa näytetään ilmoitus. Voit mukauttaa ilmoitusta yrityksesi tiedoilla ja yhteystietoilla. Ilmoitus näkyy myös Microsoft Defender -portaalissa.

Hyökkäyspinnan vähentämissääntöjen määrittäminen

Voit määrittää nämä säännöt laitteille, joissa on käytössä jokin seuraavista Windowsin versioista ja versioista:

  • Windows 10 Pro, versio 1709 tai uudempi
  • Windows 10 Enterprise, versio 1709 tai uudempi
  • Windows Server, versio 1803 (Semi-Annual Channel) tai uudempi versio
  • Windows Server 2019
  • Windows Server 2016
  • Windows Server 2012 R2
  • Windows Server 2022

Voit ottaa hyökkäyspinnan pienentämissäännöt käyttöön käyttämällä mitä tahansa seuraavista menetelmistä:

  • Microsoft Intune
  • Mobiililaitteiden hallinta (MDM)
  • Microsoft Endpoint Configuration Manager
  • Ryhmäkäytäntö
  • PowerShell

Yritystason hallintaa, kuten Intunea tai Microsoft Endpoint Configuration Manageria, suositellaan. Yritystason hallinta korvaa kaikki ristiriitaiset ryhmäkäytäntö- tai PowerShell-asetukset käynnistyksen yhteydessä.

Intune

Laitteen määritysprofiilit:

  1. Valitse Laitemääritysprofiilit>. Valitse aiemmin luotu päätepisteen suojausprofiili tai luo uusi. Jos haluat luoda uuden, valitse Luo profiili ja anna tiedot tälle profiilille. Valitse Profiilityyppi-kohdassa Päätepistesuojaus. Jos olet valinnut aiemmin luodun profiilin, valitse Ominaisuudet ja valitse sitten Asetukset.

  2. Valitse Päätepistesuojaus-ruudussa Windows Defender Exploit Guard ja valitse sitten Attack Surface Reduction. Valitse haluamasi asetus jokaiselle säännölle.

  3. Kirjoita Attack Surface Reduction -poikkeuksien kohtaan yksittäiset tiedostot ja kansiot. Voit myös valita Tuo tuodaksesi CSV-tiedoston, joka sisältää tiedostoja ja kansioita, jotka jätetään pois hyökkäyksen pinnan vähentämissäännöistä. CSV-tiedoston kunkin rivin tulee olla muotoiltu seuraavasti:

    C:\kansio, %ProgramFiles%\kansio\tiedosto, C:\polku

  4. Valitse kolmesta määritysruudusta OK. Valitse sitten Luo, jos olet luomassa uutta päätepisteen suojaustiedostoa, tai Tallenna, jos olet muokkaamassa aiemmin luotua tiedostoa.

Päätepisteen suojauskäytäntö:

  1. Valitse Endpoint Security > Attack -pinnan pienentäminen. Valitse aiemmin luotu sääntö tai luo uusi. Jos haluat luoda uuden, valitse Luo käytäntö ja anna tiedot tälle profiilille. Valitse Profiilityyppi-kohdassa Hyökkäyksen pinnan vähentämissäännöt. Jos olet valinnut aiemmin luodun profiilin, valitse Ominaisuudet ja valitse sitten Asetukset.

  2. Valitse Määritysasetukset-ruudussa Attack Surface Reduction ja valitse sitten haluamasi asetus kullekin säännölle.

  3. Anna suojattavat lisäkansiot luettelosta luettelo sovelluksista, joilla on suojattujen kansioiden käyttöoikeus, ja Sulje tiedostot ja polut pois hyökkäyspinnan vähentämissäännöistä ja kirjoita yksittäisiä tiedostoja ja kansioita. Voit myös valita Tuo tuodaksesi CSV-tiedoston, joka sisältää tiedostoja ja kansioita, jotka jätetään pois hyökkäyksen pinnan vähentämissäännöistä. CSV-tiedoston kunkin rivin tulee olla muotoiltu seuraavasti:

    C:\kansio, %ProgramFiles%\kansio\tiedosto, C:\polku

  4. Valitse kolme määritysruutua seuraava ja valitse sitten Luo , jos olet luomassa uutta käytäntöä, tai Tallenna , jos muokkaat aiemmin luotua käytäntöä.

Mobiililaitteiden hallinta

Hyökkäyksen pinnan vähentämissääntöjen hallinta mobiililaitteiden hallinnassa:

  • Käytä ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules-määrityspalvelua (CSP), niin voit erikseen ottaa käyttöön ja määrittää tilan jokaiselle säännölle.

  • Noudata mobiililaitteiden hallintaohjeita kohdassa Hyökkäyksen pinnan pienentämisen säännöt GUID-arvojen käyttämiseksi.

  • OMA-URI polku: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules

  • Arvo: 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84=2|3B576869-A4EC-4529-8536-B80A7769E899=1|D4F940AB-401B-4EfC-AADC-AD5F3C50688A=2|D3E037E1-3EB8-44C8-A917-57927947596D=1|5BEB7EFE-FD9A-4556-801D-275E5FFC04CC=0|BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550=1

  • Valvontatilassa käyttöön otettavat, poistettavat tai käyttöön otettavat arvot ovat seuraavat:

    • Poista käytöstä = 0

    • Lohko (ota käyttöön hyökkäyksen pinnan pienentämissääntö) = 1

    • Valvonta = 2

  • Lisää poikkeuksia käyttämällä ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions-määrityspalvelua (CSP).

Esimerkki:

  • OMA-URI polku: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions

  • Arvo: c:\path|e:\path|c:\wlisted.exe

Microsoft Endpoint Configuration Manager

Hyökkäyksen pinnan pienentämissääntöjen hallinta Microsoft Endpoint Configuration Managerissa:

  1. Siirry Microsoft Endpoint Configuration Managerissa kohtaan Assets and Compliance > Endpoint Protection > Windows Defender Exploit Guard.

  2. Valitse Koti > Luo hyökkäyssuojakäytäntö.

  3. Kirjoita nimi ja kuvaus, valitse Attack Surface Reduction ja valitse Seuraava.

  4. Valitse, mitkä säännöt estävät tai valvovat toimintoja, ja valitse Seuraava.

  5. Tarkista asetukset ja luo käytäntö valitsemalla Seuraava .

  6. Kun käytäntö on luotu, valitse Sulje.

Ryhmäkäytäntö

Hyökkäyksen pinnan vähentämissääntöjen hallinta ryhmäkäytännössä:

Varoitus

Jos hallitset tietokoneita ja laitteita Intunen, Configuration Managerin tai muun yritystason hallintaympäristön avulla, hallintaohjelmisto korvaa ristiriitaiset ryhmäkäytäntöasetukset käynnistyksen yhteydessä.

  1. Avaa ryhmäkäytännön hallintatietokoneessa ryhmäkäytäntöjen hallintakonsoli, napsauta hiiren kakkospainikkeella ryhmäkäytäntöobjektia, jonka haluat määrittää, ja valitse Muokkaa.

  2. Siirry ryhmäkäytännön hallintaeditorissa kohtaan Tietokoneen määritykset ja valitse Hallintamallit.

  3. Laajenna puu Windows-komponentteihin > Microsoft Defender Virustorjunta > Windows Defender Exploit Guard > Hyökkäys pinnan pienentäminen.

  4. Valitse Määritä Hyökkäyspinnan pienentämissäännöt ja valitse Käytössä. Voit sitten määrittää kunkin säännön yksittäisen tilan Asetukset-osassa.

  5. Valitse Näytä... anna säännön tunnus Arvonimi-sarakkeeseen ja valitsemasi tila Arvo-sarakkeeseen seuraavasti:

    Disable = 0 block (ota käyttöön hyökkäyksen pinnan pienentämissääntö) = 1 Valvonta = 2

  6. Jos haluat jättää tiedostoja ja kansioita pois hyökkäysalueen vähentämissäännöistä, valitse Sulje tiedostot ja polut hyökkäysalueen pienentämissääntöjen asetuksesta ja määritä asetukseksi Käytössä. Valitse Näytä ja kirjoita jokainen Tiedosto tai kansio Arvonimi-sarakkeeseen. Kirjoita 0 kunkin kohteen Value-sarakkeeseen.

PowerShell

Hyökkäyksen pinnan vähentämissääntöjen hallinta PowerShellillä:

Varoitus

Jos hallitset tietokoneita ja laitteita Intunen, Configuration Managerin tai muun yritystason hallintaympäristön avulla, hallintaohjelmisto korvaa kaikki ristiriitaiset PowerShell-asetukset käynnistyksen yhteydessä. Jos haluat antaa käyttäjien määrittää arvon PowerShellin avulla, käytä hallintaympäristön säännön "Käyttäjän määrittämä" -vaihtoehtoa.

  1. Kirjoita PowerShell Käynnistä-valikossa, napsauta hiiren kakkospainikkeella Windows PowerShelliä ja valitse Suorita järjestelmänvalvojana.

  2. Kirjoita seuraava cmdlet-komento:

    Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Enabled

  3. Käytä seuraavaa cmdlet-komentoa, jotta voit ottaa hyökkäyspinnan vähentämissäännöt käyttöön valvontatilassa:

    Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions AuditMode

  4. Poista hyökkäyspinnan vähentämissäännöt käytöstä seuraavalla cmdlet-komennolla:

    Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Disabled

  5. Sinun on määritettävä osavaltio erikseen kullekin säännölle, mutta voit yhdistää säännöt ja osavaltiot pilkuin eroteltuun luetteloon.

  6. Seuraavassa esimerkissä otetaan käyttöön kaksi ensimmäistä sääntöä, kolmas sääntö poistetaan käytöstä ja neljäs sääntö otetaan käyttöön valvontatilassa:

    Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID 1>,<rule ID 2>,<rule ID 3>,<rule ID 4> -AttackSurfaceReductionRules_Actions Enabled, Enabled, Disabled, AuditMode

  7. Voit myös lisätä uusia sääntöjä olemassa olevaan luetteloon Add-MpPreference PowerShell-verbillä.

  8. Set-MpPreference korvaa aina olemassa olevan sääntöjoukon. Jos haluat lisätä olemassa olevaan joukkoon, käytä sen sijaan Add-MpPreference. Saat luettelon säännöistä ja niiden nykyisestä tilasta käyttämällä Get-MpPreference-ohjetta.

  9. Jos haluat jättää tiedostoja ja kansioita pois hyökkäysalueen vähentämissäännöistä, käytä seuraavaa cmdlet-komentoa:

    Add-MpPreference -AttackSurfaceReductionOnlyExclusions "<fully qualified path or resource>"

  10. Lisää tiedostoja ja kansioita luetteloon Add-MpPreference -AttackSurfaceReductionOnlyExclusions avulla.

Tärkeää

Add-MpPreference avulla voit liittää tai lisätä sovelluksia luetteloon. Jos käytät Set-MpPreference cmdlet-komentoa, olemassa oleva luettelo korvataan.

Luettelo hyökkäysalueen pienentämistapahtumista

Kaikki hyökkäyspinnan vähentämistapahtumat > sijaitsevat Windows-tapahtumien katseluohjelmassa kohdassa Sovellukset ja palvelulokit Microsoft > Windows.