Konfigurera Attack Yta Minskning i Windows 10

0
287

Attacken Yta Minskning är en ny säkerhetsfunktion i Windows Defender Utnyttja Vakt på Windows-10 som Microsoft har gjort under Hösten Skaparna Uppdatering.

Attacken Yta Minskning kan förebygga vanliga åtgärder av skadliga program som körs på Windows-10 enheter som har funktionen aktiverad.

Funktionen är att se till att reglerna följs, och utformade för att rikta åtgärder och beteende som är typiskt för skadlig kod. Du kan aktivera regler för att blockera genomförandet av döljs av skript, körbara innehållet i e-postklienter, eller Office från lekande barn processer.

Attacken Yta Minskningen är endast tillgänglig om du aktivera realtidsskydd i Windows Defender Antivirusprogram.

Attacken Yta Minskning regler

Följande regler är tillgängliga i Windows-10 Faller Skaparna Uppdatering:

  1. Blockera genomförandet av (potentiellt) döljs av skript (5BEB7EFE-FD9A-4556-801D-275E5FFC04CC
    )
  2. Blockera körbara innehållet i e-postklienter och webbaserad e-post (BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550)
  3. Blockera Office-appar från lekande barn processer (D4F940AB-401B-4EFC-AADC-AD5F3C50688A)
  4. Blockera Office-program från att skapa körbara filer (3B576869-A4EC-4529-8536-B80A7769E899)
  5. Blockera Office-program från att injicera data till andra processer (75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84)
  6. Blockera Win32 import från Makro-kod i Office (92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B)
  7. Hindra JavaScript och VBScript för att starta körbara filer (D3E037E1-3EB8-44C8-A917-57927947596D)

Konfigurera Minska Attackytan

Attacken Yta Minskning skydd kan konfigureras på tre olika sätt:

  1. Med Hjälp Av Grupprincip.
  2. Med Hjälp Av PowerShell.
  3. Med hjälp av MDM CSP.

Konfigurera regler med hjälp av politik

attack surface reduction policy

Du behöver för att starta grupprinciper för att komma igång. Observera att principeditorn inte finns på Home-versionerna av Windows-10.

Hemanvändare kan kolla in Politik Plus som ger policy redigering till den utgåva av Windows-10.

  1. Tryck på Windows-tangenten, skriv gpedit.msc och tryck på Enter-tangenten för att starta grupprinciper i Windows 10.
  2. Bläddra till Computer Configuration – > Administrativa Mallar, Windows-komponenter > Windows Defender Antivirusprogram > Windows Defender Utnyttja Guard > Attacken Yta Minskning
  3. Dubbel-klicka på den politik “Konfigurera Attack yta minskning regler”.
  4. Den politiska aktiverad.
  5. Att fastställa policy för aktiverade aktiverar “visa” – knappen. Klicka på visa för att läsa det “visa innehåll” – fönstret.

Visa innehållet i en tabell som accepterar en Attack Yta Minskning regel per rad. Värde namn är det ID som visas under reglerna ovan inom parentes.

Värde accepterar följande input:

  • 0 = avstängd. Regeln är inte aktiv.
  • 1 = aktiverad. Regeln är aktiv, och block-läge är aktiverat.
  • 2 = granskningsläge. Händelser som kommer att registreras, men den aktuella regeln inte följs.

Konfigurera regler med hjälp av PowerShell

Du kan använda PowerShell för att konfigurera regler.

  1. Tryck på Windows-tangenten, skriv PowerShell, håll ner Shift-tangenten och Ctrl-tangenten och ladda PowerShell-post med ett klick.

Använd följande kommando för att lägga till en blockerande läge regeln:

Set-MpPreference -AttackSurfaceReductionRules_Ids <artikel-ID> -AttackSurfaceReductionRules_Actions Aktiverad

Använd följande kommando för att lägga till en revision läge regeln:

Läs också: Microsoft ger tredje part tillgång till Windows-10 Telemetri data

Set-MpPreference -AttackSurfaceReductionRules_Ids <artikel-ID> -AttackSurfaceReductionRules_Actions AuditMode

Använd följande kommando för att lägga till en regel till funktionshindrade:

Set-MpPreference -AttackSurfaceReductionRules_Ids <artikel-ID> -AttackSurfaceReductionRules_Actions Funktionshindrade

Du kan kombinera flera regler i ett enda kommando genom att separera varje regel med ett kommatecken, och genom att lista stater individuellt för varje regel. Exempel:

Set-MpPreference -AttackSurfaceReductionRules_Ids <regeln ID> <regeln ID 2>, <regel ID 3> -AttackSurfaceReductionRules_Actions Inaktiverat Aktiverat Aktiverat

Obs: du kan använda Set-MpPreference eller Lägga till MpPreference. Kommandot Set kommer alltid att skriva över den befintliga uppsättning regler, medan Add-kommandot lägger till det utan att skriva över befintliga regler.

Du kan visa en uppsättning regler med hjälp av Get-MpPreference kommando.

Attacken Yta Minskning Händelser

attack surface reduction events

Logga poster skapas när du ändrar regler, och när händelser som brand regler i granskningsläge eller i block läge.

  1. Ladda ner Utnyttja Vakt Utvärdering-Paketet från Microsoft.
  2. Extrahera innehållet i arkivet till det lokala systemet så att asr-events.xml är tillgänglig på systemet.
  3. Tryck på Windows-tangenten, skriv i loggboken och välj objektet från listan med förslag för att ladda loggboken gränssnitt.
  4. Välj Åtgärder > Importera anpassade vyn när gränssnittet är öppen.
  5. Välj asr-events.xml filen som du extraherade tidigare.
  6. Välj ok när du är på “importera anpassade visa arkiv” öppnas. Du kan lägga till en beskrivning om du vill.

Den nya vyn visas under Anpassade Vyer efteråt som visar följande händelser:

  • Händelse-ID 1121 — blockering mode evenemang
  • Händelse-ID 1122 — audit mode evenemang
  • Händelse-ID 5007 — ändra inställningar händelser.

Undanta filer och mappar

attack surface reduction exclusion

Du kan exkludera filer eller mappar så att de uteslutna poster som inte utvärderas av Attacken Yta Minskning regler.

  • Koncernens Policy: Gå till Datorns konfiguration > Administrativa mallar, Windows-komponenter > Windows Defender Antivirusprogram > Windows Defender Utnyttja Guard > Attacken yta minskning > Utesluta filer och banor från Attacken yta minskning Regler. Den politiska aktiverat, klicka på visa-knappen och lägg till filer eller mappar (sökväg eller en resurs, t ex c:Windows i värdet och 0 i fältet värde för varje kolumn.
  • PowerShell: Använd kommandot Add-MpPreference -AttackSurfaceReductionOnlyExclusions “<fullständig sökväg eller resurs – >” för att lägga till filer eller mappar i undantagslistan.

Microsoft Resurser

Kolla in följande resurser på Microsofts webbplats för ytterligare information om Attacken Yta Minskning:

  • Aktivera minska attackytan
  • Anpassa minska attackytan
  • Minska attack ytor med Windows Defender Utnyttja Guard
  • Windows Defender Utnyttja Guard
  • Set-MpPreference dokumentation
  • Lägg till-MpPreference dokumentation
  • Få-MpPreference dokumentation