共用方式為

從非 Microsoft HIPS 移轉至受攻擊面縮小規則

  • 適用於: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

本文可協助您將常見規則對應至適用於適用於端點的 Microsoft Defender。

從非 Microsoft HIPS 產品移轉至受攻擊面縮小規則時的案例

封鎖建立特定檔案

  • 適用於 - 所有程序
  • 操作 - 文件創建
  • 檔案/資料夾、註冊表項/值、進程、服務範例 - *.zepto、*.odin、*.locky、*.jaff、*.lukitus、*.wnry、*.krab
  • 受攻擊面減少規則 - 受攻擊面減少規則會封鎖攻擊技術,而不是 IOC) (入侵指標。 阻止特定文件擴展名並不總是有用的,因為它不能防止設備受到損害。 它只會部分阻止攻擊,直到攻擊者為有效負載創建一種新型擴展。
  • 其他建議的功能- 強烈建議啟用 Microsoft Defender 防病毒軟體,以及雲端保護和行為分析。 建議您使用其他預防措施,例如受攻擊面縮小規則 使用勒索軟體的進階保護,以提供更高層級的勒索軟體攻擊保護。 此外,適用於端點的 Microsoft Defender 會監視其中許多登錄機碼,例如 ASEP 技術,這些技術會觸發特定警示。 使用的登錄機碼至少需要本機管理員或受信任的安裝程式許可權,可以修改。 建議使用具有最少系統管理帳戶或許可權的鎖定環境。 可以啟用其他系統設定,包括針對 不需要的角色停用 SeDebug ,這是我們更廣泛的安全性建議的一部分。

封鎖建立特定登錄機碼

  • 適用於 - 所有進程
  • 流程 - 不適用
  • 作業 - 登錄修改
  • 檔案/資料夾、登錄機碼/值、進程、服務的- 範例\Software,HKCU\Environment\UserInitMprLogonScript,HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Accessibility\ATs*\StartExe, HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*\Debugger, HKEY_CURRENT_USER\Software\Microsoft\HtmlHelp Author\location, HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit*\MonitorProcess
  • 受攻擊面減少規則 - 受攻擊面減少規則會封鎖攻擊技術,而不是 IOC) (入侵指標。 封鎖特定副檔名並不總是有用的,因為它不會防止裝置遭到入侵。 它只會部分阻止攻擊,直到攻擊者為有效負載創建一種新型擴展。
  • 其他建議的功能- 強烈建議啟用 Microsoft Defender 防病毒軟體,以及雲端保護和行為分析。 建議您使用額外的預防措施,例如受攻擊面縮小規則 使用勒索軟體的進階保護。 這提供了更高級別的保護,防止勒索軟件攻擊。 此外,適用於端點的 Microsoft Defender 會監視其中數個登錄機碼,例如 ASEP 技術,以觸發特定警示。 此外,使用的登錄機碼至少需要本機管理員或受信任的安裝程式權限,可以修改。 建議使用具有最少系統管理帳戶或許可權的鎖定環境。 可以啟用其他系統設定,包括針對 不需要的角色停用 SeDebug ,這是我們更廣泛的安全性建議的一部分。

阻止不受信任的程式從抽取式磁碟機執行

  • 適用於 - 來自 USB 的不受信任的程式
  • 流程- *
  • 操作-流程執行
  • * 文件/文件夾、註冊表項/值、進程、服務的示例:-
  • 受攻擊面縮小規則 - 受攻擊面縮小規則具有內建規則,可防止從卸除式磁碟驅動器啟動不受信任和未簽署的程式: 封鎖從 USB 執行的不受信任和未簽署的進程,GUID b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4
  • 其他推薦功能 - 請使用 適用於端點的 Microsoft Defender 探索 USB 設備和其他可移動媒體的更多控件:如何使用 適用於端點的 Microsoft Defender 控制 USB 設備和其他可移動媒體

阻止 Mshta 啟動某些子進程

  • 適用於 - Mshta
  • 流程 - mshta.exe
  • 操作-流程執行
  • 檔案/資料夾、登錄機碼/值、進程、服務 - powershell.exe、cmd.exe regsvr32.exe 的範例
  • 受攻擊面縮小規則 - 受攻擊面縮小規則不包含任何特定規則,以防止子進程 mshta.exe。 此控制項屬於惡意探索防護或 Windows Defender 應用程式控制項的職權範圍。
  • 其他建議的功能- 啟用 Windows Defender 應用程式控制以防止 mshta.exe 完全執行。 如果您的組織需要企業營運應用程式的 mshta.exe ,請設定特定的 Windows Defender 惡意探索保護規則,以防止 mshta.exe 啟動子程式。

阻止 Outlook 啟動子進程

  • 適用於- Outlook
  • 流程 - outlook.exe
  • 操作-流程執行
  • 檔案/資料夾、登錄機碼/值、進程、服務 - powershell.exe 的範例
  • 受攻擊面縮小規則- 受攻擊面縮小規則具有內建規則,可防止 Outlook、Skype 和 Teams) (Office 通訊應用程式啟動子進程: 封鎖 Office 通訊應用程式建立子進程,GUID 26190899-1602-49e8-8b27-eb1d0a1ce869
  • 其他建議的功能- 建議您啟用 PowerShell 限制語言模式,以將 PowerShell 的受攻擊面降到最低。

封鎖 Office 應用程式啟動子進程

  • 適用於- 辦公室
  • 流程 - winword.exe、powerpnt.exe、excel.exe
  • 操作-流程執行
  • 檔案/資料夾、登錄機碼/值、進程、服務 - powershell.exe、cmd.exe、wscript.exe、mshta.exe、EQNEDT32.EXE regsrv32.exe 範例
  • 受攻擊面縮小規則 - 受攻擊面縮小規則具有內建規則,可防止 Office 應用程式啟動子進程: 封鎖所有 Office 應用程式建立子進程,GUID d4f940ab-401b-4efc-aadc-ad5f3c50688a
  • 其他推薦功能 - 不適用

封鎖 Office 應用程式建立可執行檔內容

  • 適用於- 辦公室
  • 流程 - winword.exe、powerpnt.exe、excel.exe
  • 操作 - 文件創建
  • 檔案/資料夾、登錄機碼/值、進程、服務的範例 - C:\Users*\AppData**.exe、C:\ProgramData**.exe、C:\ProgramData**.com、C:\UsersAppData\Local\Temp**.com、C:\Users\Downloads**.exe、C:\Users*\AppData**.scf、C:\ProgramData**.scf、C:\Users\Public*.exe、C:\Users*\Desktop***.exe
  • 攻擊面減少規則 - 不適用。

阻止 Wscript 讀取某些類型的檔案

  • 適用於 - Wscript
  • 流程 - wscript.exe
  • 作業 - 檔案讀取
  • 檔案/資料夾、登錄機碼/值、進程、服務的範例 - C:\Users*\AppData**.js、C:\Users*\Downloads**.js
  • 受攻擊面縮小規則- 由於可靠性和效能問題,受攻擊面縮小規則無法防止特定進程讀取特定腳本檔案類型。 我們確實有規則來防止可能源自這些案例的攻擊媒介。 規則名稱是 [封鎖 JavaScript] 或 VBScript 啟動下載的可執行檔內容 (GUID d3e037e1-3eb8-44c8-a917-57927947596d) , 以及封鎖執行可能模糊化的指令碼 (GUID * 5beb7efe-fd9a-4556-801d-275e5ffc04cc*) 。
  • 其他建議的功能- 雖然有特定的受攻擊面縮小規則可減輕這些案例中的某些攻擊媒介,但請務必提及,AV 預設能夠透過反惡意程式碼掃描介面 (AMSI) ,即時檢查 PowerShell、Windows 腳本主機、JavaScript、VBScript 等 (腳本) 。 如需詳細資訊,請參閱這裡: AMSI (反惡意代碼掃描介面)

封鎖子進程的啟動

  • 適用於 - Adobe Acrobat
  • 流程 - AcroRd32.exe、Acrobat.exe
  • 操作-流程執行
  • 檔案/資料夾、登錄機碼/值、進程、服務 - cmd.exe、powershell.exe wscript.exe 的範例
  • 受攻擊面縮小規則 - 受攻擊面縮小規則允許封鎖 Adobe Reader 啟動子進程。 規則名稱是 [封鎖 Adobe Reader 建立子程式],GUID 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c
  • 其他推薦功能 - 不適用

封鎖下載或建立可執行內容

  • 適用於- CertUtil:封鎖下載或建立可執行檔
  • 流程 - certutil.exe
  • 操作 - 文件創建
  • 檔案/資料夾、登錄機碼/值、進程、服務的範例 - *.exe
  • 受攻擊面縮小規則- 受攻擊面縮小規則不支援這些案例,因為它們是 Microsoft Defender 防病毒軟體保護的一部分。
  • 其他建議的功能 - Microsoft Defender 防病毒軟體可防止 CertUtil 建立或下載可執行檔內容。

阻止進程停止關鍵系統元件

  • 適用於 - 所有進程
  • 流程- *
  • 作業-程序終止
  • 檔案/資料夾、登錄機碼/值、進程、服務 - MsSense.exe、MsMpEng.exe、NisSrv.exe、svchost.exe*、services.exe、csrss.exe、smss.exe、wininit.exe 等範例。
  • 受攻擊面縮小規則 - 受攻擊面縮小規則不支援這些案例,因為它們受到 Windows 內建安全性保護的保護。
  • 其他推薦功能 - ELAM (Early Launch AntiMalware) 、PPL (Protection Process Light) 、PPL AntiMalware Light 和 系統防護。

封鎖特定啟動程序嘗試

  • 適用於- 特定流程
  • 流程- 為您的流程命名
  • 操作-流程執行
  • 檔案/資料夾、登錄機碼/值、進程、服務 - tor.exe、bittorrent.exe、cmd.exe、powershell.exe 等的範例
  • 受攻擊面縮小規則- 整體而言,受攻擊面縮小規則並非設計為做為應用程式管理員。
  • 其他建議的功能 - 若要防止使用者啟動特定進程或程式,建議使用 Windows Defender 應用程式控制。 適用於端點的 Microsoft Defender檔案和憑證指標,可用於事件回應案例 (不應被視為應用程式控制機制) 。

封鎖對 Microsoft Defender 防病毒軟體設定的未經授權的變更

  • 適用於 - 所有進程
  • 流程- *
  • 作業 - 登錄修改
  • 檔案/資料夾、登錄機碼/值、進程、服務的範例 - HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\DisableAntiSpyware、HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Policy Manager\AllowRealTimeMonitoring 等等。
  • 受攻擊面縮小規則- 受攻擊面縮小規則不涵蓋這些案例,因為它們是適用於端點的 Microsoft Defender 內建保護的一部分。
  • 其他建議的功能 - 竄改保護 (選擇加入,從 Intune 管理) 防止未經授權變更 DisableAntiVirus、DisableAntiSpyware、DisableRealtimeMonitoring、DisableOnAccessProtection、DisableBehaviorMonitoring 和 DisableIOAVProtection 登錄機碼 (以及更多) 。

另請參閱

提示

想要深入了解? 在我們的技術社區中與Microsoft安全社區Engage:適用於端點的 Microsoft Defender技術社區

  • Last updated on