共用方式為

實作受攻擊面縮小規則

  • 適用於: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

當您實作受攻擊面縮小規則時,請將第一個測試通道移至已啟用的功能狀態。

實作受攻擊面縮小規則的程式

步驟 1:將受攻擊面減少規則從稽核轉換成封鎖

  1. 在稽核模式中判斷所有排除專案之後,請開始將一些受攻擊面縮小規則設定為「封鎖」模式,從觸發事件最少的規則開始。 請參閱 啟用受攻擊面縮小規則

  2. 檢閱Microsoft Defender入口網站中的報告頁面;請參閱 適用於端點的 Microsoft Defender 中的威脅防護報告。 還要查看支持者的反饋。

  3. 依判斷需要縮小排除項目搜尋範圍或建立新的排除項目。

  4. 將有問題的規則切換回稽核。

    注意事項

    對於有問題的規則 (產生過多雜訊) 的規則,最好建立排除項目,而不是關閉規則或切換回稽核。 您必須確定什麼最適合您的環境。

提示

可用時, 請利用規則中的警告模式設定來限制中斷。 在警告模式中啟用受攻擊面縮小規則可讓您擷取觸發的事件並檢視其潛在的中斷,而不會實際封鎖使用者存取。 深入瞭解: 使用者警告模式

警告模式如何運作?

警告模式實際上是封鎖指令,但使用者可以選擇「解除封鎖」指定流程或應用程式的後續執行。 警告模式會解除封鎖每個裝置、使用者、檔案和進程組合。 警告模式資訊儲存在本地, 持續時間為 24 小時。

步驟 2: 將部署擴充為通道 n + 1

當您確信已正確設定通道 1 的受攻擊面縮小規則時,您可以將部署範圍擴大至下一個通道 (通道 n + 1) 。

在下列部署程式中,每個後續通道的步驟 1 – 3 基本上相同:

  1. 在稽核模式下測試規則。

  2. 檢閱 Microsoft Defender 入口網站中受攻擊面減少觸發的稽核事件。

  3. 建立排除項目。

  4. 檢閱,然後視需要精簡、新增或移除排除項目。

  5. 將規則設定為「封鎖」模式。

  6. 檢閱 Microsoft Defender 入口網站中的報告頁面。

  7. 建立排除項目。

  8. 停用有問題的規則, 或將它們切換回稽核。

自訂受攻擊面縮小規則

當您繼續擴充受攻擊面減少規則部署時,您可能會發現自定義已啟用的受攻擊面減少規則是必要或有益的。

排除檔案和資料夾

您可以選擇將檔案和資料夾排除,避免遭到受攻擊面縮小規則的評估。 排除時,即使受攻擊面縮小規則偵測到檔案包含惡意行為,也不會封鎖檔案執行。

例如,請考慮勒索軟體規則:

勒索軟體規則旨在協助企業客戶降低勒索軟體攻擊的風險,同時確保業務持續性。 根據預設,勒索軟體規則會過於謹慎也不會冒險錯判,並防護抵禦尚未獲得足夠信譽和信任的檔案。 再次強調的是,勒索軟體規則僅針對尚未獲得足夠正面聲譽和流行率的檔案觸發,這是根據我們數百萬客戶的使用指標。 通常,區塊是自行解析的,因為每個檔案的「信譽和信任」值會隨著無問題使用量的增加而逐步升級。

如果封鎖無法及時自行解決,客戶可以自行 承擔風險 ,利用自助服務機制或入侵指標 (IOC) 型「允許清單」功能自行解除封鎖檔案。

警告

排除或解除封鎖檔案/資料夾可能會允許不安全的檔案執行並讓您的裝置受到感染。 排除檔案或資料夾可能會嚴重降低受攻擊面縮小規則所提供的保護。 允許執行規則封鎖的檔案,而且不會記錄任何報告或事件。

排除項目可以套用至允許排除項目的所有規則,或使用 每個規則排除項目套用至特定規則。 您可以為資源指定個別檔案、資料夾路徑或完整網域名稱。

只有在排除的應用程式或服務啟動時,才能使用排除項目。 例如,如果您為已執行的更新服務新增排除項目,則更新服務會繼續觸發事件,直到服務停止並重新啟動為止。

受攻擊面縮小可支援環境變數和萬用字元。 如需使用萬用字元的資訊,請參閱 在檔案名稱和資料夾路徑或副檔名排除項目清單中使用萬用字元。 如果您在偵測您認為不應該偵測的檔案時遇到規則問題,請 使用稽核模式來測試規則

如需每個規則的詳細資訊,請參閱 受攻擊面減少規則參考 文章。

使用 [群組原則] 排除檔案和資料夾

  1. 在您的群組原則管理電腦,開啟 群組原則管理主控台。 以滑鼠右鍵按一下您要設定的群組原則物件,然後選取 [編輯]。

  2. [群組原則管理編輯器] 中,移至 [電腦設定] 然後選取 [系統管理範本]

  3. 將樹狀結構展開至 Windows 元件>Microsoft Defender 防病毒軟體>Microsoft Defender Exploit Guard> 受攻擊面縮小

  4. 按兩下 從受攻擊面縮小規則排除檔案和路徑 設定並將選項設定為 [已啟用]。 選取 [顯示] 並在 [值名稱] 欄位輸入每個檔案或資料夾。 針對每個項目,在 [值] 欄位中輸入 0

警告

請勿使用引號,因為 [值名稱 ] 資料行或 [值 ] 資料行都不支援引號。

使用 PowerShell 以排除檔案和資料夾

  1. 在 [開始] 功能表中輸入 powershell,以滑鼠右鍵按一下 Windows PowerShell,然後選取 [以系統管理員身分執行]。

  2. 輸入下列 Cmdlet:

    Add-MpPreference -AttackSurfaceReductionOnlyExclusions "<fully qualified path or resource>"

    繼續使用 Add-MpPreference -AttackSurfaceReductionOnlyExclusions 以新增更多資料夾至清單。

    重要事項

    使用 Add-MpPreference 以附加或新增應用程式至清單。 使用 Cmdlet 會 Set-MpPreference 覆寫現有的清單。

使用 MDM CSP 以排除檔案和資料夾

使用 ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions 設定服務提供者 (CSP) 以新增排除項目。

自訂通知

您可以針對規則何時遭到觸發以及何時封鎖應用程式或檔案來自訂通知。 請參閱 Windows 安全性文章。

受攻擊面縮小規則部署概觀

規劃受攻擊面縮小規則部署

測試受攻擊面縮小規則

操作受攻擊面減少規則

受攻擊面縮小規則參考

另請參閱

提示

想要深入了解? 在我們的技術社區中與Microsoft安全社區Engage:適用於端點的 Microsoft Defender技術社區

  • Last updated on