Konfigurere Angreb Overflade Reduktion i Windows 10

0
287

Angrebet Overflade Reduktion er en ny sikkerhedsfunktion i Windows Defender Udnytte Vagt på Windows-10, som Microsoft introducerede i Efteråret Skabere Opdatering.

Angrebet Overflade Reduktion kan forhindre handlinger, der er fælles for skadelig software, der kører på Windows-10 enheder, der har aktiveret funktionen.

Funktionen er regler baseret, og er designet til at målrette handlinger og adfærd, som er typisk for malware. Du kan sætte regler, der blokerer for udførelsen af uklar scripts, eksekverbart indhold i e-mail-klienter, eller på Kontoret fra gydning barn processer.

Angrebet Overflade Reduktion er kun tilgængelige, hvis du aktiverer fuldtidsbeskyttelse i Windows Defender Antivirus.

Angrebet Overflade Reduktion regler

Følgende regler er tilgængelige i Windows-10 Falder Skabere Opdatering:

  1. Blok udførelse af (potentielt) uklar scripts (5BEB7EFE-FD9A-4556-801D-275E5FFC04CC
    )
  2. Blokere eksekverbare indhold i e-mail-klienter og web mail (BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550)
  3. Blok Office apps fra gydning barn processer (D4F940AB-401B-4EFC-AADC-AD5F3C50688A)
  4. Blok Office-programmer fra oprettelse af eksekverbare filer (3B576869-A4EC-4529-8536-B80A7769E899)
  5. Blok Office-programmer fra intravenøs data i andre processer (75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84)
  6. Blok Win32 import fra Makro i Office (92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B)
  7. Hindre JavaScript og VBScript til at lancere eksekverbare filer (D3E037E1-3EB8-44C8-A917-57927947596D)

Konfiguration Af Angreb Overflade Reduktion

Angrebet Overflade Reduktion beskyttelse kan konfigureres på tre forskellige måder:

  1. Ved Hjælp Af Gruppepolitik.
  2. Ved Hjælp Af PowerShell.
  3. Ved hjælp af MDM CSP.

Konfiguration af regler ved hjælp af politikker

attack surface reduction policy

Du er nødt til at iværksætte til gruppepolitik til at komme i gang. Bemærk, at gruppepolitik ikke er tilgængelige på Home-udgaver af Windows 10.

Private brugere kan tjekke ud, Politik Plus, som bringer politik redigering til den udgave af Windows, 10.

  1. Tryk på Windows-tasten, type gpedit.msc, og tryk på Enter-tasten for at starte Group Policy editor på Windows 10.
  2. Naviger til Computerens Konfiguration > Administrative Skabeloner > Windows-komponenter > Windows Defender Antivirus – > Windows Defender Udnytte Guard > Angribe Overfladen Reduktion
  3. Dobbelt-klik på den politik, “Konfigurer Angreb overflade reduktion regler”.
  4. Sæt den politik, at den er aktiveret.
  5. Indstilling af politik til aktiveret, aktiveres “vis” – knap. Klik på vis for at indlæse “vis indhold” vinduet.

Vis indhold er en tabel, der accepterer et Angreb Overflade Reduktion regel i hver række. Værdien navn er ID, der er anført under regler ovenfor i parentes.

Værdi accepterer følgende input:

  • 0 = deaktiveret. Reglen er ikke aktiv.
  • 1 = aktiveret. Reglen er aktiv, og block mode er aktiveret.
  • 2 = revision mode. Hændelser vil blive registreret, men den faktiske regel håndhæves ikke.

Konfiguration af regler ved hjælp af PowerShell

Du kan bruge PowerShell til at konfigurere regler.

  1. Tryk på Windows-tasten, type PowerShell, skal du holde Shift-tast og Ctrl-tasten nede, og læg PowerShell indlæg med et klik.

Brug følgende kommando til at tilføje en blokering mode regel:

Set-MpPreference -AttackSurfaceReductionRules_Ids <reglen ID> -AttackSurfaceReductionRules_Actions Aktiveret

Brug følgende kommando til at tilføje en revision mode regel:

Læs også: Windows 10 Start-Menuen StartIsBack++ 2.0 frigivet

Set-MpPreference -AttackSurfaceReductionRules_Ids <reglen ID> -AttackSurfaceReductionRules_Actions AuditMode

Brug følgende kommando til at indstille en regel, at handicappede:

Set-MpPreference -AttackSurfaceReductionRules_Ids <reglen ID> -AttackSurfaceReductionRules_Actions Handicappede

Du kan kombinere flere regler på en enkelt kommando ved at adskille hver enkelt regel med et komma, og en liste over stater, der er individuelt for hver enkelt regel. Eksempel:

Set-MpPreference -AttackSurfaceReductionRules_Ids <reglen ID>, <regel-ID 2>, <reglen ID 3> -AttackSurfaceReductionRules_Actions Deaktiveret, Aktiveret, Aktiveret

Bemærk: du kan bruge Set-MpPreference eller Add-MpPreference. Kommandoen Set vil altid overskrive de eksisterende regler, mens kommandoen Add tilføjer, at det uden at overskrive eksisterende regler.

Du kan vise det sæt af regler, der benytter de Få-MpPreference kommando.

Angrebet Overflade Reduktion Begivenheder

attack surface reduction events

Log indgange er oprettet, når du laver om på reglerne, og når begivenheder ild regler i revisions-tilstand eller i block mode.

  1. Download Udnytte Vagt Evaluering-Pakken fra Microsoft.
  2. Udtrække indholdet af arkivet i det lokale system, så asr-events.xml er tilgængelig på systemet.
  3. Tryk på Windows-tasten, skrive logbog, og vælg det emne fra listen af forslag til at indlæse logbog interface.
  4. Vælg Handling > Import tilpasset visning, når interfacet er åben.
  5. Vælg asr-events.xml fil, som du udpakkede tidligere.
  6. Vælg ok, når “importerer brugerdefinerede vis fil” vindue åbnes. Du kan tilføje en beskrivelse, hvis du vil.

Den nye opfattelse er anført under Brugerdefinerede Visninger bagefter, der viser de følgende begivenheder:

  • Hændelses-ID 1121 — blokering mode events
  • Hændelses-ID 1122 — revision mode events
  • Hændelses-ID 5007 — ændring af indstillinger begivenheder.

Udeladelse af filer og mapper

attack surface reduction exclusion

Du kan udelade filer eller mapper, således at de udeladte elementer er ikke evalueret af Angreb Overflade Reduktion regler.

  • Group Policy: Gå til Computerens konfiguration > Administrative skabeloner > Windows-komponenter > Windows Defender Antivirus – > Windows Defender Udnytte Guard > Angribe overfladen reduktion > Udelad filer og stier fra Angrebet overflade reduktion Regler. Sæt den politik, at den er aktiveret, skal du klikke på knappen vis, og føj filer eller mapper (mappe sti eller en ressource, f.eks c:Windows i den værdi, navn, og 0 i feltet værdi af hver kolonne.
  • PowerShell: Brug kommandoen Add-MpPreference -AttackSurfaceReductionOnlyExclusions “<fuldt kvalificeret sti eller ressource>” for at tilføje filer eller mapper til de undtagelser liste.

Microsoft Ressourcer

Tjek følgende ressourcer på Microsoft ‘ s hjemmeside for yderligere oplysninger om Angrebet Overflade-Reduktion:

  • Aktiver Angreb overflade reduktion
  • Tilpas Angreb overflade reduktion
  • Reducere angreb overflader med Windows Defender Udnytte Vagt
  • Windows Defender Udnytte Vagt
  • Set-MpPreference dokumentation
  • Add-MpPreference dokumentation
  • Få-MpPreference dokumentation