Configureren van Aanvallen Vermindering in Windows 10

0
162

Aanvallen Reductie is een nieuwe beveiligingsfunctie in Windows Defender Exploiteren Wacht op Windows 10 die Microsoft introduceerde in het Najaar Makers Update.

Aanvallen Vermindering kan voorkomen dat gemeenschappelijke acties van de schadelijke software die wordt uitgevoerd op Windows-10 apparaten die de functie is ingeschakeld.

De functie is op regels gebaseerd en gericht zijn op acties en gedrag dat is meestal van malware. U kunt in de regels voor het blokkeren van de uitvoering van obfuscated scripts, uitvoerbare inhoud in e-mail cliënten, of op Kantoor van de paaitijd onderliggende processen.

Aanvallen Reductie is alleen beschikbaar als u de real-time protection inschakelen in Windows Defender Antivirus.

Aanvallen Vermindering van regels

De volgende regels zijn beschikbaar in het Windows-10 Vallen Makers Update:

  1. Blokkeren uitvoering van (potentieel) obfuscated scripts (5BEB7EFE-FD9A-4556-801D-275E5FFC04CC
    )
  2. Blok executable content in e-mail-clients en web-mail (BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550)
  3. Blok Office apps van de paaitijd onderliggende processen (D4F940AB-401B-4EFC-AADC-AD5F3C50688A)
  4. Blok Office-toepassingen, van het creëren van uitvoerbare bestanden (3B576869-A4EC-4529-8536-B80A7769E899)
  5. Blok Office-toepassingen bij het injecteren van gegevens in andere processen (75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84)
  6. Blok Win32 invoer van Macro ‘ s in Office (92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B)
  7. Belemmeren JavaScript en VBScript starten van uitvoerbare bestanden (D3E037E1-3EB8-44C8-A917-57927947596D)

Het Configureren Van Aanvallen Vermindering

De Aanvallen Vermindering bescherming kan worden geconfigureerd op drie verschillende manieren:

  1. Met Behulp Van Groepsbeleid.
  2. Met Behulp Van PowerShell.
  3. Met behulp van MDM CSP.

Configureren van regels met beleid

attack surface reduction policy

U moet de lancering van de groepsbeleid-editor aan de slag te gaan. Merk op dat de groepsbeleid-editor is niet beschikbaar zijn op de Home-edities van Windows 10.

Huis kunnen de gebruikers controleren van het Beleid en welke brengt het beleid bewerken op de Windows-editie 10.

  1. Tik op de Windows-toets, typ gpedit.msc en druk op de Enter-toets voor het starten van de editor voor groepsbeleid in Windows 10.
  2. Ga naar Computer Configuration – > Administrative Templates > Windows-onderdelen > Windows Defender Antivirus > Windows Defender Exploiteren Guard > Aanvallen Vermindering
  3. Dubbelklik op het beleid “Configureren van Aanvallen vermindering van regels”.
  4. Stel het beleid ingeschakeld.
  5. Het instellen van het beleid is ingeschakeld, activeert het “show” – knop. Klik op tonen om het laden van de “inhoud weergeven” venster.

Toon de inhoud van een tabel die accepteert een Aanval Oppervlak Vermindering van de regel per rij. Waarde naam is de ID die wordt vermeld onder bovenstaande regels in de beugels.

Waarde accepteert de volgende input:

  • 0 = uitgeschakeld. De regel is niet actief.
  • 1 = ingeschakeld. De regel is actief en blok-modus is geactiveerd.
  • 2 = in de controlemodus. Evenementen zal worden opgenomen, maar de werkelijke regel wordt niet toegepast.

Het configureren van de regels met behulp van PowerShell

U mag gebruik maken van PowerShell regels kan configureren.

  1. Tik op de Windows-toets, typ PowerShell, houd de Shift-toets en de Ctrl-toets ingedrukt en plaats de PowerShell-item met een klik.

Gebruik de volgende opdracht om een blokkerende modus regel:

Set-MpPreference -AttackSurfaceReductionRules_Ids <regel-ID> -AttackSurfaceReductionRules_Actions Ingeschakeld

Gebruik de volgende opdracht om een controle modus regel:

Lees ook: Windows-10 Menu Start StartIsBack++ 2.0 uitgebracht

Set-MpPreference -AttackSurfaceReductionRules_Ids <regel-ID> -AttackSurfaceReductionRules_Actions AuditMode

Gebruik het volgende commando om een regel te maken om mensen met een handicap:

Set-MpPreference -AttackSurfaceReductionRules_Ids <regel-ID> -AttackSurfaceReductionRules_Actions Uitgeschakeld

U kunt het combineren van meerdere regels in één opdracht door het scheiden van elke regel met een komma, en door de staten afzonderlijk voor elke regel. Voorbeeld:

Set-MpPreference -AttackSurfaceReductionRules_Ids <regel-ID>, <regel-ID 2>, <regel-ID 3> -AttackSurfaceReductionRules_Actions Uitgeschakeld Ingeschakeld Ingeschakeld

Opmerking: u kunt gebruik maken van Set-MpPreference of Add-MpPreference. De opdracht Set zal altijd overschrijven van de bestaande set van regels, terwijl de Add commando voegt zonder het overschrijven van bestaande regels.

U kunt de set van regels voor het gebruik van de Get-MpPreference opdracht.

Aanvallen Vermindering Evenementen

attack surface reduction events

Log inzendingen worden gemaakt wanneer u veranderen de regels, en wanneer gebeurtenissen brand regels in de controlemodus of in blok-modus.

  1. Download de Exploit Guard Evaluatie-Pakket van Microsoft.
  2. Pak de inhoud van het archief naar het lokale systeem zodat asr-events.xml is bereikbaar op het systeem.
  3. Tik op de Windows-toets, typ logboeken en selecteert u het item uit de lijst van suggesties voor het laden van de Event Viewer interface.
  4. Selecteer Actie > Importeren van aangepaste weergave wanneer de interface open.
  5. Selecteer de asr-events.xml bestand dat u hebt uitgepakt eerder.
  6. Selecteer ok als het “importeren van aangepaste view-bestand” geopend. U kunt een beschrijving toevoegen als u wilt.

De nieuwe weergave wordt vermeld onder ‘ Aangepaste Weergaven daarna wordt de volgende evenementen:

  • Gebeurtenis-ID 1121 — blokkeren mode evenementen
  • Gebeurtenis-ID 1122 — audit mode evenementen
  • Gebeurtenis-ID 5007 — het wijzigen van de instellingen van evenementen.

Uitsluiten van bestanden en mappen

attack surface reduction exclusion

Kunt u uitsluiten van bestanden of mappen, zodat het uitgesloten items worden niet geëvalueerd door de Aanval Oppervlak Vermindering van regels.

  • Groep Beleid: Ga naar Computer configuration – > Administrative templates > Windows-onderdelen > Windows Defender Antivirus > Windows Defender Exploiteren Guard > Aanvallen reductie > Uitsluiten van bestanden en paden van Aanvallen vermindering van Regels. Stel het beleid is ingeschakeld, klikt u op de knop weergeven en toevoegen van bestanden of mappen (folder path of bron, bijvoorbeeld c:Windows in de naam van de waarde, en 0 in het veld met de waarde van elke kolom.
  • PowerShell: Gebruik de opdracht Add-MpPreference -AttackSurfaceReductionOnlyExclusions “<volledig pad of resource – >” bestanden toevoegen of mappen aan de lijst met uitsluitingen.

Microsoft-Bronnen

Check out de volgende bronnen op de Microsoft-website voor meer informatie over Aanvallen Vermindering:

  • Inschakelen van Aanvallen vermindering
  • Aanpassen van Aanvallen vermindering
  • Verminderen aanval oppervlakken met Windows Defender Exploiteren Guard
  • Windows Defender Exploiteren Guard
  • Set-MpPreference documentatie
  • Add-MpPreference documentatie
  • Get-MpPreference documentatie