Udostępnij przez

Włączanie reguł zmniejszania obszaru ataków

  • Dotyczy: Microsoft Defender for Endpoint Plan 1 and Plan 2, Microsoft Defender XDR, Microsoft Defender Antivirus

Reguły zmniejszania obszaru podatnego na ataki pomagają zapobiegać działaniom, które złośliwe oprogramowanie często nadużywa w celu naruszenia zabezpieczeń urządzeń i sieci. W tym artykule opisano sposób włączania i konfigurowania reguł zmniejszania obszaru ataków za pośrednictwem:

Wymagania wstępne

Aby korzystać z całego zestawu funkcji reguł zmniejszania obszaru podatnego na ataki, należy spełnić następujące wymagania:

  • Microsoft Defender program antywirusowy musi być ustawiony jako podstawowy program antywirusowy. Nie może być uruchomiona w trybie pasywnym ani być wyłączona.

  • Ochrona w czasie rzeczywistym musi być włączona.

  • Usługa Cloud-Delivery Protection musi być włączona (niektóre reguły wymagają usługi Cloud Protection).

  • Musisz mieć łączność sieciową usługi Cloud Protection

  • Zalecane: Microsoft 365 E5

    Mimo że reguły zmniejszania obszaru ataków nie wymagają licencji Microsoft 365 E5, zaleca się używanie reguł zmniejszania obszaru ataków z licencją Microsoft 365 E5 (lub podobną jednostką SKU licencjonowania), aby korzystać z zaawansowanych możliwości zarządzania, w tym monitorowania, analizy i przepływów pracy dostępnych w usłudze Defender for Endpoint, a także możliwości raportowania i konfiguracji w usłudze Microsoft Defender XDR portalu. Chociaż te zaawansowane możliwości nie są dostępne z licencją E3, z licencją E3 można nadal używać Podgląd zdarzeń do przeglądania zdarzeń reguł zmniejszania obszaru ataków.

    Jeśli masz inną licencję, taką jak Windows Professional lub Microsoft 365 E3, która nie obejmuje zaawansowanych funkcji monitorowania i raportowania, możesz opracować własne narzędzia do monitorowania i raportowania oprócz zdarzeń generowanych w każdym punkcie końcowym podczas wyzwalania reguł zmniejszania obszaru ataków (na przykład przekazywanie zdarzeń).

    Aby dowiedzieć się więcej na temat licencjonowania systemu Windows, zobacz licencjonowanie Windows 10 i uzyskaj przewodnik licencjonowania zbiorowego dla Windows 10.

Obsługiwane systemy operacyjne

Możesz ustawić reguły zmniejszania obszaru podatnego na ataki dla urządzeń, na których działa dowolna z następujących wersji i wersji systemu Windows:

Uwaga

Niektóre reguły zmniejszania obszaru podatnego na ataki są wymuszane tylko wtedy, gdy pliki wykonywalne pakietu Office są instalowane w katalogu %ProgramFiles% zdefiniowanym przez system lub %ProgramFiles(x86)% (w większości systemów %ProgramFiles% wskazuje C:\Program Files). Jeśli pakiet Office jest zainstalowany w ścieżce niestandardowej poza jednym z tych katalogów zdefiniowanych przez system, te reguły nie będą stosowane. Reguły, których dotyczy problem, to:

  • Blokuj aplikacjom komunikacyjnym pakietu Office możliwość tworzenia procesów podrzędnych (26190899-1602-49e8-8b27-eb1d0a1ce869)
  • Zablokuj wszystkim aplikacjom pakietu Office tworzenie procesów podrzędnych (D4F940AB-401B-4EFC-AADC-AD5F3C50688A)
  • Zablokuj aplikacjom pakietu Office wstrzykiwanie kodu do innych procesów (75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84)

Włączanie reguł zmniejszania obszaru ataków

Każda reguła zmniejszania obszaru ataków zawiera jedno z czterech ustawień:

  • Nie skonfigurowano lub wyłączono: wyłącz regułę zmniejszania obszaru ataków
  • Blokuj: Włącz regułę zmniejszania obszaru ataków
  • Inspekcja: oceń, jak reguła zmniejszania obszaru ataków wpłynie na organizację, jeśli zostanie włączona
  • Ostrzeżenie: Włącz regułę zmniejszania obszaru ataków, ale zezwalaj użytkownikowi końcowemu na obejście bloku

Reguły zmniejszania obszaru ataków można włączyć przy użyciu dowolnej z następujących metod:

Zalecane jest zarządzanie na poziomie przedsiębiorstwa, takie jak Intune lub Microsoft Configuration Manager. Zarządzanie na poziomie przedsiębiorstwa zastępuje wszystkie powodujące konflikt zasady grupy lub ustawienia programu PowerShell podczas uruchamiania.

Wykluczanie plików i folderów z reguł zmniejszania obszaru ataków

Można wykluczyć pliki i foldery z oceny przez większość reguł zmniejszania obszaru ataków. Oznacza to, że nawet jeśli reguła zmniejszania obszaru ataków określa, że plik lub folder zawiera złośliwe zachowanie, nie blokuje uruchamiania pliku.

Ważna

Wykluczenie plików lub folderów może znacznie zmniejszyć ochronę zapewnianą przez reguły zmniejszania obszaru podatnego na ataki. Wykluczone pliki mogą być uruchamiane i nie są rejestrowane żadne raporty ani zdarzenia. Jeśli reguły zmniejszania obszaru ataków wykrywają pliki, które uważasz, że nie powinny zostać wykryte, najpierw należy użyć trybu inspekcji, aby przetestować regułę. Wykluczenie jest stosowane tylko wtedy, gdy zostanie uruchomiona wykluczona aplikacja lub usługa. Jeśli na przykład dodasz wykluczenie dla usługi aktualizacji, która jest już uruchomiona, usługa aktualizacji będzie wyzwalać zdarzenia do momentu zatrzymania i ponownego uruchomienia usługi.

Podczas dodawania wykluczeń należy pamiętać o następujących kwestiach:

Jak są obsługiwane konflikty zasad

Jeśli zasady powodujące konflikt są stosowane za pośrednictwem zarządzania urządzeniami przenośnymi i zasadami grupy, pierwszeństwo ma ustawienie zastosowane z zasady grupy.

Reguły zmniejszania obszaru ataków dla urządzeń zarządzanych obsługują zachowanie scalania ustawień z różnych zasad w celu utworzenia nadzbioru zasad dla każdego urządzenia. Scalane są tylko ustawienia, które nie są w konflikcie, natomiast konflikty zasad nie są dodawane do nadzbioru reguł. Wcześniej, jeśli dwie zasady zawierały konflikty dla jednego ustawienia, obie zasady były oflagowane jako będące w konflikcie i nie wdrożono żadnych ustawień z żadnego z profilów.

Zachowanie scalania reguł zmniejszania obszaru podatnego na ataki działa w następujący sposób:

  • Reguły zmniejszania obszaru podatnego na ataki z następujących profilów są oceniane dla każdego urządzenia, do którego mają zastosowanie reguły:

  • Ustawienia, które nie mają konfliktów, są dodawane do nadzbioru zasad dla urządzenia.

  • Jeśli co najmniej dwie zasady mają ustawienia powodujące konflikt, ustawienia powodujące konflikt nie są dodawane do połączonych zasad, a ustawienia, które nie powodują konfliktu, są dodawane do zasad nadzbioru, które mają zastosowanie do urządzenia.

  • Tylko konfiguracje ustawień powodujących konflikt są wstrzymywane.

Metody konfiguracji

Ta sekcja zawiera szczegółowe informacje o konfiguracji następujących metod konfiguracji:

Poniższe procedury włączania reguł zmniejszania obszaru podatnego na ataki zawierają instrukcje dotyczące wykluczania plików i folderów.

Intune

Ważna

Jeśli używasz Intune na Windows Server 2012 R2 i Windows Server 2016 z nowoczesnym ujednoliconym rozwiązaniem, musisz ustawić następujące reguły zmniejszania obszaru ataków, Not Configured ponieważ nie są one obsługiwane w tych wersjach systemu operacyjnego. W przeciwnym razie zasady zawierające dowolne z tych reguł, których dotyczy Windows Server 2012 R2 lub Windows Server 2016, nie będą stosowane:

Zasady zabezpieczeń punktu końcowego (preferowane)

  1. Wybierz pozycjęRedukcja obszaru ataków zabezpieczeń >punktu końcowego. Wybierz istniejącą regułę zmniejszania obszaru podatnego na ataki lub utwórz nową. Aby utworzyć nowy, wybierz pozycję Utwórz zasady i wprowadź informacje dotyczące tego profilu. W polu Typ profilu wybierz pozycję Reguły zmniejszania obszaru ataków. Jeśli wybrano istniejący profil, wybierz pozycję Właściwości , a następnie wybierz pozycję Ustawienia.

  2. W okienku Ustawienia konfiguracji wybierz pozycję Zmniejszanie obszaru podatnego na ataki , a następnie wybierz odpowiednie ustawienie dla każdej reguły zmniejszania obszaru ataków.

  3. W obszarze Lista dodatkowych folderów, które muszą być chronione, lista aplikacji, które mają dostęp do folderów chronionych, oraz Wyklucz pliki i ścieżki z reguł zmniejszania obszaru ataków wprowadź poszczególne pliki i foldery.

    Możesz również wybrać pozycję Importuj , aby zaimportować plik CSV zawierający pliki i foldery do wykluczenia z reguł zmniejszania obszaru ataków. Każdy wiersz w pliku CSV powinien być sformatowany w następujący sposób:

    C:\folder, %ProgramFiles%\folder\file, C:\path

  4. Wybierz pozycję Dalej w trzech okienkach konfiguracji, a następnie wybierz pozycję Utwórz , jeśli tworzysz nowe zasady, lub Zapisz , jeśli edytujesz istniejące zasady.

Uwaga

W najnowszym interfejsie Intune profile konfiguracji znajdują się w obszarze Profile konfiguracji urządzeń>.
Wcześniejsze wersje Intune pokazywały to w obszarze Profile konfiguracji > urządzenia.
Jeśli nie widzisz opcji "Profil konfiguracji" zgodnie ze starszymi instrukcjami, wyszukaj pozycję Profile konfiguracji w menu Urządzenia.

Profile konfiguracji urządzeń (alternatywa 1)

  1. Wybierz pozycję Profile konfiguracji> urządzenia. Wybierz istniejący profil ochrony punktu końcowego lub utwórz nowy. Aby utworzyć nowy, wybierz pozycję Utwórz profil i wprowadź informacje dotyczące tego profilu. W polu Typ profilu wybierz pozycję Ochrona punktu końcowego. Jeśli wybrano istniejący profil, wybierz pozycję Właściwości , a następnie wybierz pozycję Ustawienia.

  2. W okienku Ochrona punktu końcowego wybierz pozycję Windows Defender Exploit Guard, a następnie wybierz pozycję Zmniejszanie obszaru podatnego na ataki. Wybierz odpowiednie ustawienie dla każdej reguły zmniejszania obszaru ataków.

  3. W obszarze Wyjątki zmniejszania obszaru podatnego na ataki wprowadź poszczególne pliki i foldery. Możesz również wybrać pozycję Importuj , aby zaimportować plik CSV zawierający pliki i foldery do wykluczenia z reguł zmniejszania obszaru ataków. Każdy wiersz w pliku CSV powinien być sformatowany w następujący sposób:

    C:\folder, %ProgramFiles%\folder\file, C:\path

  4. Wybierz przycisk OK w trzech okienkach konfiguracji. Następnie wybierz pozycję Utwórz , jeśli tworzysz nowy plik ochrony punktu końcowego, lub zapisz , jeśli edytujesz istniejący plik.

Profil niestandardowy w Intune (alternatywa 2)

Możesz użyć Microsoft Intune OMA-URI, aby skonfigurować niestandardowe reguły zmniejszania obszaru podatnego na ataki. W poniższej procedurze użyto reguły Blokuj wykorzystywanie wykorzystywanych, narażonych na zagrożenia podpisanych sterowników .

  1. Otwórz centrum administracyjne Microsoft Intune. W menu Narzędzia główne kliknij pozycję Urządzenia, wybierz pozycję Profile konfiguracji, a następnie kliknij pozycję Utwórz profil.

    Strona Tworzenie profilu w portalu centrum administracyjnego Microsoft Intune.

  2. W obszarze Tworzenie profilu na następujących dwóch listach rozwijanych wybierz następujące pozycje:

    • W obszarze Platforma wybierz pozycję Windows 10 i nowsze.
    • W obszarze Typ profilu wybierz pozycję Szablony.
    • Jeśli reguły zmniejszania obszaru ataków są już ustawione za pomocą zabezpieczeń punktu końcowego, w polu Typ profilu wybierz pozycję Katalog ustawień.

  3. Wybierz pozycję Niestandardowe, a następnie wybierz pozycję Utwórz.

    Atrybuty profilu reguły w portalu centrum administracyjnego Microsoft Intune.

  4. Zostanie otwarte narzędzie Szablon niestandardowy w kroku 1 Podstawy. W obszarze 1 Podstawy w polu Nazwa wpisz nazwę szablonu, a w polu Opis możesz wpisać opis (opcjonalnie).

    Podstawowe atrybuty w portalu centrum administracyjnego Microsoft Intune

  5. Kliknij Dalej. Zostanie otwarty krok 2. Ustawienia konfiguracji . W obszarze Ustawienia OMA-URI kliknij pozycję Dodaj. Zostaną wyświetlone dwie opcje: Dodaj i eksportuj.

    Zrzut ekranu przedstawiający ustawienia konfiguracji w portalu centrum administracyjnego Microsoft Intune.

  6. Kliknij ponownie pozycję Dodaj . Zostanie otwarte okno Dodawanie ustawień OMA-URI wiersza . W obszarze Dodaj wiersz wypełnij następujące informacje:

    1. W polu Nazwa wpisz nazwę reguły.

    2. W polu Opis wpisz krótki opis.

    3. W polu OMA-URI wpisz lub wklej określony link OMA-URI dla dodawanej reguły. Zapoznaj się z sekcją MDM w tym artykule, aby uzyskać identyfikator OMA-URI, aby użyć tej przykładowej reguły. Aby uzyskać identyfikatory GUID reguły zmniejszania obszaru podatnego na ataki, zobacz Opisy reguł.

    4. W obszarze Typ danych wybierz pozycję Ciąg.

    5. W polu Wartość wpisz lub wklej wartość identyfikatora GUID, \= znak i wartość State bez spacji (GUID=StateValue):

      • 0: Wyłącz (Wyłącz regułę zmniejszania obszaru ataków)
      • 1: Blokuj (Włącz regułę zmniejszania obszaru ataków)
      • 2: Inspekcja (oceń wpływ reguły zmniejszania obszaru ataków na organizację, jeśli zostanie włączona)
      • 6: Ostrzegaj (Włącz regułę zmniejszania obszaru ataków, ale zezwala użytkownikowi końcowemu na obejście bloku)

      Konfiguracja identyfikatora URI OMA w portalu centrum administracyjnego Microsoft Intune.

  7. Wybierz Zapisz. Dodaj zamknięcie wiersza . W obszarze Niestandardowe wybierz pozycję Dalej. W kroku 3 Tagi zakresu tagi zakresu są opcjonalne. Wykonaj jeden z następujących kroków:

    • Wybierz pozycję Wybierz tagi zakresu, wybierz tag zakresu (opcjonalnie), a następnie wybierz pozycję Dalej.
    • Możesz też wybrać pozycję Dalej

  8. W kroku 4 Przypisania w obszarze Dołączone grupy dla grup, które mają być stosowane przez tę regułę, wybierz jedną z następujących opcji:

    • Dodawanie grup
    • Dodawanie wszystkich użytkowników
    • Dodawanie wszystkich urządzeń

    Przypisania w portalu centrum administracyjnego Microsoft Intune

  9. W obszarze Wykluczone grupy wybierz wszystkie grupy, które chcesz wykluczyć z tej reguły, a następnie wybierz pozycję Dalej.

  10. W kroku 5 Reguły stosowania dla następujących ustawień wykonaj następujące czynności:

  11. W obszarze Reguła wybierz pozycję Przypisz profil, jeśli lub Nie przypisuj profilu, jeśli.

  12. W obszarze Właściwość wybierz właściwość, do której ma zostać zastosowana ta reguła.

  13. W polu Wartość wprowadź odpowiednią wartość lub zakres wartości.

    Reguły stosowania w portalu centrum administracyjnego Microsoft Intune.

  14. Wybierz pozycję Dalej. W kroku 6 Przejrzyj i utwórz przejrzyj wybrane i wprowadzone ustawienia oraz informacje, a następnie wybierz pozycję Utwórz.

    Zrzut ekranu przedstawiający opcję Przeglądanie i tworzenie w portalu centrum administracyjnego Microsoft Intune.

Reguły są aktywne i działają w ciągu kilku minut.

Uwaga

Jeśli chodzi o obsługę konfliktów, jeśli przypiszesz urządzeniu dwie różne zasady zmniejszania obszaru ataków, mogą wystąpić potencjalne konflikty zasad, w zależności od tego, czy reguły mają przypisane różne stany, czy istnieje zarządzanie konfliktami i czy wynik jest błędem. Reguły niekonflikujące nie powodują błędu i takie reguły są stosowane poprawnie. Zostanie zastosowana pierwsza reguła, a kolejne reguły niekonflikujące zostaną scalone z zasadami.

MDM

Użyj dostawcy ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules configuration service provider (CSP), aby indywidualnie włączyć i ustawić tryb dla każdej reguły.

Poniżej przedstawiono przykład do celów referencyjnych z użyciem wartości GUID dla odwołania do reguł zmniejszania obszaru podatnego na ataki.

OMA-URI path: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules

Value: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84=2|3b576869-a4ec-4529-8536-b80a7769e899=1|d4f940ab-401b-4efc-aadc-ad5f3c50688a=2|d3e037e1-3eb8-44c8-a917-57927947596d=1|5beb7efe-fd9a-4556-801d-275e5ffc04cc=0|be9ba2d9-53ea-4cdc-84e5-9b1eeee46550=1

Wartości, które należy włączyć (blokuj), wyłączyć, ostrzec lub włączyć w trybie inspekcji, to:

  • 0: Wyłącz (Wyłącz regułę zmniejszania obszaru ataków)
  • 1: Blokuj (włącz regułę zmniejszania obszaru ataków)
  • 2: Inspekcja (oceń wpływ reguły zmniejszania obszaru ataków na organizację, jeśli zostanie włączona)
  • 6: Ostrzegaj (Włącz regułę zmniejszania obszaru ataków, ale zezwalaj użytkownikowi końcowemu na obejście bloku). Tryb ostrzegania jest dostępny dla większości reguł zmniejszania obszaru ataków.

Aby dodać wykluczenia, użyj dostawcy usługi konfiguracji ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions .

Przykład:

OMA-URI path: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions

Value: c:\path|e:\path|c:\Exclusions.exe

Uwaga

Pamiętaj, aby wprowadzić wartości OMA-URI bez spacji.

Microsoft Configuration Manager

  1. W Microsoft Configuration Manager przejdź do obszaru Zasoby i zgodność>Endpoint Protection>Windows Defender Exploit Guard.

  2. Wybierz pozycję Strona główna>Utwórz zasady funkcji Exploit Guard.

  3. Wprowadź nazwę i opis, wybierz pozycję Zmniejszanie obszaru podatnego na ataki, a następnie wybierz pozycję Dalej.

  4. Wybierz reguły, które będą blokować lub przeprowadzać inspekcję akcji, a następnie wybierz pozycję Dalej.

  5. Przejrzyj ustawienia i wybierz pozycję Dalej , aby utworzyć zasady.

  6. Po utworzeniu zasad wybierz pozycję Zamknij.

Ostrzeżenie

Istnieje znany problem z zastosowaniem redukcji obszaru ataków w wersjach systemu operacyjnego serwera, który jest oznaczony jako zgodny bez rzeczywistego wymuszania. Obecnie nie ma zdefiniowanej daty wydania, kiedy zostanie to naprawione.

Ważna

Jeśli używasz opcji "Wyłącz scalanie administratora" ustawionej true na na urządzeniach i używasz dowolnego z następujących narzędzi/metod, dodawanie reguł asr dla wykluczeń reguł lub lokalnych wykluczeń reguł usługi ASR nie ma zastosowania.

  • Zarządzanie ustawieniami zabezpieczeń punktu końcowego w usłudze Defender (wyłącz scalanie Administracja lokalnej)
  • Intune (Wyłącz lokalne scalanie Administracja)
  • Dostawca CSP usługi Defender (DisableLocalAdminMerge)
  • zasady grupy (Konfigurowanie zachowania scalania administratora lokalnego dla list) Aby zmodyfikować to zachowanie, należy zmienić wartość "Wyłącz scalanie administratora" na false.

Zasady grupy

Ostrzeżenie

Jeśli zarządzasz komputerami i urządzeniami przy użyciu Intune, Configuration Manager lub innej platformy zarządzania na poziomie przedsiębiorstwa, oprogramowanie do zarządzania zastępuje wszelkie powodujące konflikt ustawienia zasad grupy podczas uruchamiania.

  1. Na komputerze zarządzania zasady grupy otwórz konsolę zarządzania zasady grupy, kliknij prawym przyciskiem myszy obiekt zasady grupy, który chcesz skonfigurować, i wybierz pozycję Edytuj.

  2. W Edytorze zarządzania zasadami grupy przejdź do obszaru Konfiguracja komputera i wybierz pozycję Szablony administracyjne.

  3. Rozwiń drzewo do składników> systemu Windows Microsoft Defender Antivirus> Microsoft DefenderZmniejszanie obszaru atakówfunkcji Exploit Guard>.

  4. Wybierz pozycję Konfiguruj reguły zmniejszania obszaru podatnego na ataki i wybierz pozycję Włączone. Następnie możesz ustawić indywidualny stan dla każdej reguły w sekcji opcje. Wybierz pozycję Pokaż... i wprowadź identyfikator reguły w kolumnie Nazwa wartości i wybrany stan w kolumnie Value w następujący sposób:

    • 0: Wyłącz (Wyłącz regułę zmniejszania obszaru ataków)
    • 1: Blokuj (włącz regułę zmniejszania obszaru ataków)
    • 2: Inspekcja (oceń wpływ reguły zmniejszania obszaru ataków na organizację, jeśli zostanie włączona)
    • 6: Ostrzegaj (Włącz regułę zmniejszania obszaru ataków, ale zezwalaj użytkownikowi końcowemu na obejście bloku)

    reguły zmniejszania obszaru ataków w zasady grupy

  5. Aby wykluczyć pliki i foldery z reguł zmniejszania obszaru podatnego na ataki, wybierz ustawienie Wyklucz pliki i ścieżki z reguł zmniejszania obszaru ataków i ustaw opcję Włączone. Wybierz pozycję Pokaż i wprowadź każdy plik lub folder w kolumnie Nazwa wartości . Wprowadź wartość 0 w kolumnie Wartość dla każdego elementu.

    Ostrzeżenie

    Nie używaj cudzysłowów, ponieważ nie są one obsługiwane w kolumnie Nazwa wartości ani w kolumnie Wartość . Identyfikator reguły nie powinien mieć żadnych spacji wiodących ani końcowych.

Uwaga

Firma Microsoft zmienił nazwę systemu Windows Program antywirusowy Defender na program antywirusowy Microsoft Defender, począwszy od Windows 10 wersji 20H1. zasady grupy ścieżki we wcześniejszych wersjach systemu Windows mogą nadal odwoływać się do systemu Windows Program antywirusowy Defender, podczas gdy nowsze kompilacje pokazują program antywirusowy Microsoft Defender. Obie nazwy odwołują się do tej samej lokalizacji zasad.

PowerShell

Ostrzeżenie

Jeśli zarządzasz komputerami i urządzeniami przy użyciu Intune, Configuration Manager lub innej platformy zarządzania na poziomie przedsiębiorstwa, oprogramowanie do zarządzania zastępuje wszelkie sprzeczne ustawienia programu PowerShell podczas uruchamiania.

  1. Wpisz PowerShell w menu Start, kliknij prawym przyciskiem myszy Windows PowerShell i wybierz polecenie Uruchom jako administrator.

  2. Wpisz jedno z następujących poleceń cmdlet. Aby uzyskać więcej informacji, takich jak identyfikator reguły, zapoznaj się z dokumentacją reguł zmniejszania obszaru podatnego na ataki.

    Zadanie Polecenie cmdlet programu PowerShell
    Włączanie reguł zmniejszania obszaru ataków Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Enabled
    Włączanie reguł zmniejszania obszaru ataków w trybie inspekcji Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions AuditMode
    Włączanie reguł zmniejszania obszaru ataków w trybie ostrzeżenia Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Warn
    Włączanie zmniejszania obszaru ataków Blokuj nadużywanie wykorzystywanych, narażonych na zagrożenia podpisanych sterowników Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Enabled
    Wyłączanie reguł zmniejszania obszaru ataków Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Disabled

    Ważna

    Należy określić stan indywidualnie dla każdej reguły, ale można łączyć reguły i stany na liście rozdzielonej przecinkami.

    W poniższym przykładzie są włączone dwie pierwsze reguły, trzecia reguła jest wyłączona, a czwarta jest włączona w trybie inspekcji: Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID 1>,<rule ID 2>,<rule ID 3>,<rule ID 4> -AttackSurfaceReductionRules_Actions Enabled, Enabled, Disabled, AuditMode

    Możesz również użyć czasownika Add-MpPreference programu PowerShell, aby dodać nowe reguły do istniejącej listy.

    Ostrzeżenie

    Set-MpPreference zastępuje istniejący zestaw reguł. Jeśli chcesz dodać do istniejącego zestawu, użyj zamiast tego.Add-MpPreference Listę reguł i ich bieżącego stanu można uzyskać za pomocą polecenia Get-MpPreference.

  3. Aby wykluczyć pliki i foldery z reguł zmniejszania obszaru ataków, użyj następującego polecenia cmdlet:

    Add-MpPreference -AttackSurfaceReductionOnlyExclusions "<fully qualified path or resource>"

    Nadal używaj polecenia Add-MpPreference -AttackSurfaceReductionOnlyExclusions , aby dodać więcej plików i folderów do listy.

    Ważna

    Służy Add-MpPreference do dołączania lub dodawania aplikacji do listy. Set-MpPreference Użycie polecenia cmdlet spowoduje zastąpienie istniejącej listy.

Zawartość pokrewna

Porada

Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Ochrona punktu końcowego w usłudze Microsoft Defender.

  • Last updated on