Konfigurere Angripe Overflaten Reduksjon i Windows-10

0
195

Angripe Overflaten Reduksjon er en ny sikkerhetsfunksjon i Windows Defender Utnytte Vakt på Windows-10 som Microsoft lanserte i Høst Skaperne Oppdatering.

Angripe Overflaten Reduksjon kan forhindre at vanlige handlinger av skadelig programvare som kjører på Windows-10 enheter som har den funksjonen er aktivert.

Funksjonen er regler som er basert, og er utformet for å målrette handlinger og atferd som er typisk for malware. Du kan aktivere regler som hindrer gjennomføring av forvirrende skript, kjørbart innhold i e-postklienter, eller Office fra gyting barn prosesser.

Angripe Overflaten Reduksjon er bare tilgjengelig hvis du aktiverer beskyttelsen i sanntid på Windows Defender Antivirus.

Angripe Overflaten Reduksjon regler

Følgende regler er tilgjengelig i Windows-10 Falle Skaperne Oppdatering:

  1. Blokkerer kjøring av (potensielt) maskeres skript (5BEB7EFE-FD9A-4556-801D-275E5FFC04CC
    )
  2. Blokkere kjørbare innhold i e-postklienter og web mail (BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550)
  3. Blokk Office-programmer fra gyting barn prosesser (D4F940AB-401B-4EFC-AADC-AD5F3C50688A)
  4. Blokk Office-programmer fra å lage kjørbare filer (3B576869-A4EC-4529-8536-B80A7769E899)
  5. Blokk Office-programmer fra å injisere data til andre prosesser (75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84)
  6. Blokk Win32 import fra Makro-kode i Office (92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B)
  7. Hindre JavaScript og VBScript å starte kjørbare filer (D3E037E1-3EB8-44C8-A917-57927947596D)

Konfigurere Angripe Overflaten Reduksjon

Angrepet Overflate Reduksjon beskyttelse kan være konfigurert på tre ulike måter:

  1. Ved Hjelp Av Gruppepolicy.
  2. Ved Hjelp Av PowerShell.
  3. Ved hjelp av MDM CSP.

Konfigurere regler med retningslinjer

attack surface reduction policy

Du trenger for å starte i redigeringsprogrammet for gruppepolicy for å komme i gang. Merk at dette redigeringsprogrammet er ikke tilgjengelig på Home-versjoner av Windows-10.

Hjemmebrukere kan sjekke ut Policy Plus som bringer politikk redigerer for Windows-utgaven 10.

  1. Trykk på Windows-tasten, skriv gpedit.msc og trykk på Enter-tasten for å starte i redigeringsprogrammet for gruppepolicy for Windows 10.
  2. Naviger til Computer Configuration – > Administrative Maler > Windows-komponenter > Windows Defender Antivirus – > Windows Defender Utnytte Vakt > Angripe Overflaten Reduksjon
  3. Dobbeltklikk på politikken “Konfigurere Angripe overflaten reduksjon regler”.
  4. Sette politikken til aktivert.
  5. Innstillingen politikken til enabled (aktivert) aktiverer “vis” – knappen. Klikk på vis for å laste den “vis innhold” – vinduet.

Vise innholdet i en tabell som aksepterer ett Angrep Overflate Reduksjon regelen per rad. Verdi navnet er den ID som er oppført under reglene ovenfor i parentes.

Verdien aksepterer følgende innspill:

  • 0 = deaktivert. Regelen er ikke aktiv.
  • 1 = aktivert. Regelen er aktiv, og blokk-modus er aktivert.
  • 2 = overvåkingsmodus. Hendelser som skal registreres, men selve regelen er ikke håndheves.

Konfigurere regler for bruk av PowerShell

Du kan bruke PowerShell til å konfigurere regler.

  1. Trykk på Windows-tasten, skriv PowerShell, holder du nede Skift-tast, og Ctrl-tasten nede, og legg PowerShell oppføringen med et klikk.

Bruk følgende kommando for å legge til en blokkering modus regel:

Set-MpPreference -AttackSurfaceReductionRules_Ids <regel ID> -AttackSurfaceReductionRules_Actions Aktivert

Bruk følgende kommando for å legge til en revisjon modus regel:

Les også: Windows 10 Skaperne Oppdatering: nye muligheter for å utsette oppdateringer

Set-MpPreference -AttackSurfaceReductionRules_Ids <regel ID> -AttackSurfaceReductionRules_Actions AuditMode

Bruk følgende kommando for å angi en regel for funksjonshemmede:

Set-MpPreference -AttackSurfaceReductionRules_Ids <regel ID> -AttackSurfaceReductionRules_Actions Funksjonshemmede

Du kan kombinere flere regler i en enkelt kommando ved å skille alle regel med et komma, og ved å liste stater individuelt for hver regel. Eksempel:

Set-MpPreference -AttackSurfaceReductionRules_Ids <regel-ID-en>, <regel ID 2>, <regel ID 3> -AttackSurfaceReductionRules_Actions Deaktivert Aktivert, Aktivert

Merk: du kan bruke Set-MpPreference eller Add-MpPreference. Set-kommandoen vil alltid overskrive den eksisterende sett med regler mens du kommandoen Add legger til det uten å overskrive eksisterende regler.

Du kan vise et sett av regler ved hjelp av Get-MpPreference kommando.

Angripe Overflaten Reduksjon Arrangementer

attack surface reduction events

Oppføringer som er opprettet når du endrer reglene, og når hendelser brann reglene i overvåkingsmodus eller i blokk-modus.

  1. Last ned Utnytte Vakt Evaluering-Pakken fra Microsoft.
  2. Pakk ut innholdet i arkivet til det lokale systemet, slik at asr-events.xml er tilgjengelig på systemet.
  3. Trykk på Windows-tasten, type Event Viewer og velg elementet fra listen over forslag for å laste Event Viewer-grensesnitt.
  4. Velg Handling > Importer tilpasset visning når grensesnittet er åpne.
  5. Velg asr-events.xml filen som du pakket ut tidligere.
  6. Velg ok når “importere egendefinerte view file” – vinduet åpnes. Du kan legge til en beskrivelse om du vil.

Den nye visningen er oppført under Egendefinerte Visninger etterpå som viser følgende hendelser:

  • Hendelses-ID 1121 — blokkere modus arrangementer
  • Hendelses-ID 1122 — audit-modus arrangementer
  • Hendelses-ID 5007 — endre innstillinger hendelser.

Å utelate filer og mapper

attack surface reduction exclusion

Du kan ekskludere filer eller mapper slik at de ekskluderte elementer er ikke evaluert ved å Angripe Overflaten Reduksjon regler.

  • Group Policy: Gå til Computer configuration – > Administrative maler > Windows-komponenter > Windows Defender Antivirus – > Windows Defender Utnytte Vakt > Angripe overflaten reduksjon > Utelat filer og baner fra Angripe overflaten reduksjon Regler. Sette politikken til aktivert, klikk på vis-knappen, og legg til filer eller mapper (bane eller ressurs, f.eks. c:Windows i verdi-navn, og 0 i verdi-feltet i hver kolonne.
  • PowerShell: Bruk kommandoen Add-MpPreference -AttackSurfaceReductionOnlyExclusions “<fullt kvalifisert bane eller ressurs – >” for å legge til filer eller mapper i ekskluderingslisten.

Microsoft Ressurser

Sjekk ut følgende ressurser på Microsofts webområde for mer informasjon om å Angripe Overflaten Reduksjon:

  • Aktiver Angripe overflaten reduksjon
  • Tilpasse Angripe overflaten reduksjon
  • Redusere angrep overflater med Windows Defender Utnytte Vakt
  • Windows Defender Utnytte Vakt
  • Set-MpPreference dokumentasjon
  • Add-MpPreference dokumentasjon
  • Få-MpPreference dokumentasjon