減少受攻擊面的常見問題集 (常見問題集)

受攻擊面縮小最初是 Windows 10 版本 1709 中作為 Microsoft Defender 防病毒軟體重大更新引進的惡意探索防護功能套件的功能。 Microsoft Defender 防病毒軟件是 Windows 的本機反惡意軟件組件。 不過，完整的受攻擊面減少功能集僅適用於 Windows 企業授權。 另請注意，某些 Microsoft Defender 防病毒軟體排除專案適用於受攻擊面縮小規則排除專案。 請參閱 受攻擊面縮小規則參考 - Microsoft Defender 防病毒軟體排除專案和受攻擊面縮小規則。

只有在您擁有 Windows 10 或 Windows 11 的企業授權時，才支援完整的受攻擊面減少規則和功能集。 有限數量的規則可能在沒有企業授權的情況下運作。 如果您有 Microsoft 365 商務版，請將 Microsoft Defender 防病毒軟體設定為您的主要安全性解決方案，並透過 PowerShell 啟用規則。 官方不支援在沒有企業授權的情況下使用受攻擊面縮小，而且您將無法使用受攻擊面縮小的完整功能。

若要深入瞭解 Windows 授權，請參閱 Windows 10 授權並取得 Windows 10 的大量授權指南。

是。 Windows 企業版 E3 和更新版本支援受攻擊面縮小。

E3 支援的所有規則也受 E5 支援。

E5 新增了與適用於端點的 Defender 的更大整合。 使用 E5，您可以即時檢視警示、微調規則排除、設定受攻擊面縮小規則，以及檢視事件報告清單。

受攻擊面縮小目前支援下列所有規則。

為了協助您找出最適合您環境的專案，建議您在 稽核模式中啟用受攻擊面縮小規則。 使用此方法，您可以判斷對組織可能產生的影響。 例如，您的企業營運應用程式。

針對受攻擊面減少規則，如果您新增一個排除項目，則會影響每個受攻擊面減少規則。

受攻擊面減少規則排除專案支援萬用字元、路徑和環境變數。 如需如何在受攻擊面縮小規則中使用萬用字元的詳細資訊，請參閱 根據 副檔名和資料夾位置設定和驗證排除專案。

請注意下列有關受攻擊面減少規則排除 (專案，包括萬用字元和環境。變數) ：

• 大部分的受攻擊面減少規則排除項目都獨立於 Microsoft Defender 防病毒軟體排除項目。 不過，Microsoft Defender 防病毒軟體排除專案確實適用於某些受攻擊面縮小規則。 請參閱 受攻擊面縮小規則參考 - Microsoft Defender 防病毒軟體排除專案和受攻擊面縮小規則。
• 萬用字元無法用來定義磁碟機代號。
• 如果您想要排除路徑中的多個資料夾，請使用 多個實例 來 \*\ 指出多個巢狀資料夾， (例如 c:\Folder\*\*\Test)
• Microsoft 端點Configuration Manager支援萬用字元 (* 或？) 。
• 如果您想要排除包含隨機字元的檔案 (自動檔案產生) ，您可以使用「？」符號 (例如) C:\Folder\fileversion?.docx
• 群組原則中的受攻擊面減少排除不支援引號， (引擎原生會處理長路徑、空格等，因此不需要) 使用引號。
• 受攻擊面減少規則會在 NT AUTHORITY\SYSTEM 帳戶下執行，因此環境變數僅限於計算機變數。

不同的受攻擊面減少規則有不同的保護流程。 請務必考慮您設定的受攻擊面縮小規則會針對哪些內容進行防護，以及實際執行流程如何進行。

範例： 封鎖從 Windows 本機安全性授權單位子系統竊取認證 直接從本機安全性授權單位子系統讀取 LSASS) 進程 (可能會造成安全性風險，因為它可能會公開公司認證。

此規則可防止不受信任的進程直接存取 LSASS 記憶體。 每當進程嘗試使用 OpenProcess () 函式來存取 LSASS 時，存取權限為 PROCESS_VM_READ，規則會特別封鎖該存取權限。

查看上面的示例，如果您確實必須為訪問權限被阻止的進程創建例外，則添加文件名和完整路徑將排除它，使其不被阻止，並在允許訪問 LSASS 進程內存之後。 值 0 表示受攻擊面縮小規則會忽略此檔案/進程，而且不會封鎖/稽核它。

如需設定每個規則排除專案的相關資訊，請參閱 測試受攻擊面縮小規則。

建議您啟用每個可能的規則。 不過，在某些情況下，您不應該啟用規則。 例如，如果您使用 Microsoft[端點Configuration Manager (] 或 System Center Configuration Manager - SCCM) 來管理端點，我們不建議啟用 [封鎖源自 PSExec 和 WMI 命令的程式建立] 規則。

我們強烈建議您閱讀每個規則特定的資訊和/或警告，這些資訊和/或警告可在我們的 公開檔中找到。 跨越多個保護支柱，例如 Office、憑證、腳本、電子郵件等。Windows 1709 和更新版本都支援所有受攻擊面減少規則，但透過 WMI 事件訂用帳戶封鎖持續性除外：

• 封鎖濫用惡意探索易受攻擊的已簽署驅動程式
• 封鎖來自電子郵件用戶端和 Web 郵件的可執行內容
• 封鎖所有 Office 應用程式使其無法建立子程序
• 封鎖 Office 應用程式使其無法建立可執行的內容
• 封鎖 Office 應用程式使其無法將程式碼插入其他程序
• 封鎖 JavaScript 或 VBScript 使其無法啟動下載的可執行內容
• 封鎖可能經過模糊化的指令碼的執行
• 封鎖來自 Office 巨集的 Win32 API 呼叫
• 對惡意勒索軟體使用進階保護
• 封鎖從 Windows 本機安全性授權單位子系統竊取認證 (lsass.exe)
• 封鎖源自 PSExec 與 WMI 命令的程序建立
• 封鎖從 USB 執行的未受信任與未簽署程序
• 封鎖可執行檔執行，除非它們符合流行度、存留期或信任清單準則
• 封鎖 Office 通訊應用程式建立子程式
• 封鎖 Adobe Reader 使其無法建立子程序
• 透過 WMI 事件訂閱封鎖持續性

攻擊表面縮小規則的預設狀態「封鎖從 Windows 本機資訊碼機構子系統竊取認證 (lsass.exe) 」會從 [未設定 ] 變更為 [已設定 ]，並將預設模式設定為 [封鎖]。 所有其他受攻擊面減少規則都會保持預設狀態： 未設定。 規則中已納入其他篩選邏輯，以減少使用者通知。 客戶可以將規則設定為 稽核、 警告 或 停用 模式，這些模式會覆寫預設模式。 不論規則是在預設模式中進行，還是手動啟用封鎖模式，此規則的功能都相同。

在短暫的時間內，在稽核模式中執行受攻擊面縮小規則，以啟用受攻擊面減少規則之前，先測試受攻擊面減少規則如何影響您的組織。 當您在稽核模式中執行規則時，您可以識別任何可能被錯誤封鎖的企業營運應用程式，並將其從受攻擊面縮小中排除。

較大的組織應該考慮在「環」中推出受攻擊面減少規則，方法是在越來越廣泛的裝置子集中稽核和啟用規則。 您可以使用 Intune 或群組原則管理工具，將組織的裝置排列成通道。

將規則保持在稽核模式約 30 天，以取得規則在整個組織上線後如何運作的良好基準。 在稽核期間，您可以識別任何可能被規則封鎖的企業營運應用程式，並將規則設定為排除它們。

在大部分情況下，從 適用於端點的 Defender 所建議的基準建議開始，比嘗試從另一個安全性解決方案匯入規則更容易且更好。 然後，使用稽核模式、監控和分析等工具來設定您的新解決方案，以符合您的獨特需求。

大部分受攻擊面減少規則的預設設定，結合適用於端點的 Defender 的即時保護，可防範大量惡意探索和弱點。

在適用於端點的 Defender 中，您可以使用自定義指標更新防禦，以允許和封鎖特定軟體行為。 受攻擊面縮小也允許以檔案和資料夾排除的形式自訂規則。 一般而言，最好稽核規則的時間，並為任何可能遭到封鎖的企業營運應用程式設定排除專案。

是。 如需從受攻擊面縮小規則中排除檔案或資料夾的詳細資訊，請參閱 從 受攻擊面縮小規則中排除檔案和資料夾 ，如需在排除的檔案路徑中使用系統變數和萬用字元的詳細資訊，請參閱根據副檔名和資料夾位置設定和驗證排除專案。

這取決於規則。 大部分的受攻擊面縮小規則涵蓋 Microsoft Office 產品和服務的行為，例如 Word、Excel、PowerPoint 和 OneNote 或 Outlook。 某些受攻擊面縮小規則，例如 封鎖執行可能模糊化的腳本，在範圍上更一般。

受攻擊面縮小會使用 Microsoft Defender 防病毒軟體來封鎖應用程式。 目前無法設定受攻擊面縮小，以使用其他安全性解決方案進行封鎖。

每當受攻擊面縮小規則在本機觸發通知時，事件的報告也會傳送至適用於端點的 Defender 入口網站。 如果您在尋找事件時遇到問題，可以使用搜尋框篩選事件時間表。 您也可以從適用於雲端的 Defender 工作列中的 [設定管理] 圖示流覽 [移至受攻擊面管理] 來檢視受攻擊面減少事件。 [受攻擊面管理] 頁面包含報告偵測的索引標籤，其中包含回報給適用於端點的 Defender 的受攻擊面縮小規則事件的完整清單。

嘗試直接從 Windows 10 或 Windows 11 開啟索引選項。

1. 選取 Windows 工作列上的 搜尋 圖示。

2. 在搜尋方塊中輸入索引選項。

不能。 此規則所使用的準則是由 Microsoft 雲端保護所維護，以讓受信任的清單持續保持最新狀態，並使用從世界各地收集的資料。 本機系統管理員沒有寫入許可權來變更此資料。 如果您想要設定此規則以針對您的企業量身打造，您可以將某些應用程式新增至排除清單，以防止觸發規則。

此規則依賴於每個應用程式具有已知聲譽，以流行率、年齡或包含在受信任應用程式清單中來衡量。 規則封鎖或允許應用程式的決定最終取決於 Microsoft 雲端保護對這些準則的評估。

通常，雲端保護可以判斷應用程式的新版本與舊版足夠相似，因此不需要詳細重新評估。 但是，切換版本後，應用程式可能需要一些時間才能建立聲譽，尤其是在重大更新之後。 同時，您可以將應用程式新增至排除清單，以防止此規則封鎖重要應用程式。 如果您經常更新和使用新版本的應用程式，您可以選擇改為在稽核模式下執行此規則。

此規則所產生的通知不一定表示惡意活動;然而，此規則對於阻止惡意活動仍然有用，因為惡意軟體通常針對 lsass.exe 來非法存取帳戶。 lsass.exe 程序會在使用者登入後將使用者認證儲存在記憶體中。 Windows 會使用這些認證來驗證使用者並套用本機安全性原則。

因為一般一天中的許多合法進程都會要求 lsass.exe 提供認證，所以此規則可能特別嘈雜。 如果已知的合法應用程式導致此規則產生過多的通知，您可以將其新增至排除清單。 相較於此規則，大部分其他受攻擊面減少規則會產生相對較少數目的通知，因為呼叫 lsass.exe 是許多應用程式正常運作的典型方式。

如果您也啟用了 LSA 保護 ，則啟用此規則不會提供額外的保護。 規則和 LSA 保護的運作方式大致相同，因此同時執行兩者會是多餘的。 不過，有時您可能無法啟用 LSA 保護。 在這些情況下，您可以啟用此規則，以針對以 lsass.exe 為目標的惡意軟體提供對等的保護。

• 受攻擊面縮小概觀
• 評估受攻擊面縮小規則
• 受攻擊面縮小規則部署步驟 3：實作受攻擊面縮小規則
• 啟用受攻擊面縮小規則
• Microsoft Defender 防病毒軟體與其他防毒軟體/反惡意軟體的相容性