受攻擊面是您的組織容易受到網絡威脅和攻擊的所有地方。 適用於端點的 Defender 包含數個功能,可協助減少您的受攻擊面。 觀看下列影片,以深入瞭解受攻擊面縮小。
必要條件
支援的作業系統
- Windows
設定受攻擊面縮小功能
若要在您的環境中設定受攻擊面減少,請遵循下列步驟:
啟用應用程式控制。
檢閱 Windows 中的基底原則。 請參閱 範例基本原則。
啟用 裝置控制。
啟用 Web 保護。
設定網路防火牆。
取得 具有進階安全性的 Windows 防火牆概觀。
使用 Windows 防火牆設計指南 來決定您要如何設計防火牆原則。
使用 Windows 防火牆部署指南 ,以進階安全性設定貴組織的防火牆。
提示
在大部分情況下,當您設定受攻擊面縮小功能時,您可以從數種方法中進行選擇:
- Microsoft Intune
- Microsoft Configuration Manager
- 群組原則
- Powershell Cmdlet
測試適用於端點的 Microsoft Defender 中的受攻擊面減少
身為組織安全性小組的一部分,您可以將受攻擊面縮小功能設定為在稽核模式中執行,以查看其運作方式。 您可以在稽核模式中啟用下列受攻擊面減少安全性功能:
- 受攻擊面縮小規則
- 入侵防護
- 網路保護
- 受控資料夾存取權
- 裝置控制
稽核模式可讓您查看啟用此功能時會 發生的情況記錄 。
您可以在測試功能運作方式時啟用稽核模式。 僅針對測試啟用稽核模式,有助於防止稽核模式影響您的企業營運應用程式。 您還可以了解在一定時間段內發生了多少次可疑的文件修改嘗試。
這些功能不會阻止或阻止修改應用程序、腳本或文件。 不過,Windows 事件記錄檔會記錄事件,就像功能已完全啟用一樣。 使用稽核模式時,您可以檢閱事件記錄檔,以查看啟用該功能後會產生什麼影響。
若要尋找稽核項目,請移至 應用程式和服務>Microsoft>Windows>Defender>作業。
使用適用於端點的 Defender 來取得每個事件的更多詳細數據。 這些詳細數據對於調查受攻擊面縮小規則特別有幫助。 使用適用於端點的 Defender 主控台可讓您 在警示時間表和調查案例中調查問題。
您可以使用 群組原則、PowerShell 和設定服務提供者 (CSP) 啟用稽核模式。
| 稽核選項 | 如何啟用稽核模式 | 如何檢視活動 |
|---|---|---|
| 稽核適用於所有事件 | 啟用受控資料夾存取權 | 受控資料夾存取事件 |
| 稽核適用於個別規則 | 步驟 1:使用稽核模式測試受攻擊面縮小規則 | 步驟 2:瞭解 [受攻擊面縮小規則] 報告頁面 |
| 稽核適用於所有事件 | 啟用網路保護 | 網路保護事件 |
| 稽核適用於個別風險降低 | 啟用入侵防護 | 惡意探索保護事件 |
例如,您可以在稽核模式中測試受攻擊面縮小規則,再在封鎖模式中啟用它們。 受攻擊面減少規則已預先定義,以強化常見的已知受攻擊面。 您可以使用數種方法來實作受攻擊面縮小規則。 下列受攻擊面縮小規則部署文章中記載了慣用的方法:
檢視受攻擊面縮小事件
檢閱事件檢視器中的受攻擊面縮小事件,以監視哪些規則或設定正在運作。 您還可以確定是否有任何設置太“嘈雜”或影響您的日常工作流程。
當您評估功能時,檢閱事件會很方便。 您可以啟用功能或設定的稽核模式,然後檢閱如果完全啟用它們會發生什麼情況。
本節列出所有事件、其相關聯的功能或設定,並說明如何建立自訂檢視以篩選特定事件。
如果您有 E5 訂用帳戶,並使用適用於端點的 適用於端點的 Microsoft Defender,請取得事件、封鎖和警告的詳細報告,作為 Windows 安全性的一部分。
使用自定義檢視來檢閱受攻擊面縮小功能
在 Windows 事件檢視器中建立自訂檢視,以只查看特定功能和設定的事件。 最簡單的方法是將自訂視圖匯入為 XML 檔案。 您可以直接從此頁面複製 XML。
您也可以手動導覽至與功能相對應的事件區域。
匯入現有的 XML 自訂檢視
建立空白的 .txt 檔案,並將您要使用的自訂檢視的 XML 複製到 .txt 檔案中。 針對您要使用的每個自訂檢視執行此動作。 重新命名檔案,如下所示 (確保您將類型從 .txt 變更為 .xml) :
- 受控資料夾存取事件自訂檢視: cfa-events.xml
- 惡意探索保護事件自訂檢視: ep-events.xml
- 受攻擊面減少事件自訂檢視: asr-events.xml
- 網路/保護事件自訂檢視: np-events.xml
在 [開始] 功能表中鍵入 [事件檢視器],然後開啟 [事件檢視器]。
選取 動作>匯入自訂檢視...
導覽至您擷取所需自訂檢視的 XML 檔案的位置,然後選取它。
選取 [開啟]。
它會建立自訂檢視,以篩選以僅顯示與該功能相關的事件。
直接複製 XML
在「開始」功能表中鍵入事件檢視器,然後開啟 Windows 事件檢視器。
在左側面板的 [動作] 底下,選取 [建立自訂檢視...]
移至 XML 索引標籤,然後選取 手動編輯查詢。 您會看到警告,指出如果您使用 XML 選項,則無法使用 [篩選器] 索引標籤來編輯查詢。 選取 [是]。
將您要從中篩選事件的功能的 XML 程式碼貼到 XML 區段中。
選取 [確定]。 指定篩選器的名稱。 此動作會建立自訂檢視,以篩選為僅顯示與該功能相關的事件。
受攻擊面縮小規則事件的 XML
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select>
</Query>
</QueryList>
受控資料夾存取事件的 XML
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
</Query>
</QueryList>
惡意探索保護事件的 XML
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Security-Mitigations/KernelMode">
<Select Path="Microsoft-Windows-Security-Mitigations/KernelMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Concurrency">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Contention">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Messages">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Operational">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Power">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Render">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Tracing">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/UIPI">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Security-Mitigations/UserMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
</Query>
</QueryList>
網路保護事件的 XML
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
</Query>
</QueryList>
受攻擊面減少事件清單
所有受攻擊面減少事件都位於 [應用程式和服務記錄] > Microsoft > Windows 底下,然後是下表所列的資料夾或提供者。
您可以在 Windows 事件檢視器中存取這些事件:
開啟 [開始] 功能表並輸入 [事件檢視器],然後選取 [事件檢視器] 結果。
展開 [應用程式和服務記錄] > [Microsoft > Windows ],然後移至下表中 [提供者/來源 ] 底下列出的資料夾。
按兩下子項目以查看事件。 捲動瀏覽事件以找到您要尋找的事件。
| 功能 | 提供者/來源 | 事件識別碼 | 描述 |
|---|---|---|---|
| 入侵防護 | Security-Mitigations (核心模式/使用者模式) | 1 | ACG 稽核 |
| 入侵防護 | Security-Mitigations (核心模式/使用者模式) | 2 | ACG 強制執行 |
| 入侵防護 | Security-Mitigations (核心模式/使用者模式) | 3 | 不允許子處理序稽核 |
| 入侵防護 | Security-Mitigations (核心模式/使用者模式) | 4 | 不允許子處理序封鎖 |
| 入侵防護 | Security-Mitigations (核心模式/使用者模式) | 5 | 封鎖低完整性映像稽核 |
| 入侵防護 | Security-Mitigations (核心模式/使用者模式) | 6 | 封鎖低完整性映像封鎖 |
| 入侵防護 | Security-Mitigations (核心模式/使用者模式) | 7 | 封鎖遠端映像稽核 |
| 入侵防護 | Security-Mitigations (核心模式/使用者模式) | 8 | 封鎖遠端映像封鎖 |
| 入侵防護 | Security-Mitigations (核心模式/使用者模式) | 9 | 停用 win32k 系統呼叫稽核 |
| 入侵防護 | Security-Mitigations (核心模式/使用者模式) | 10 | 停用 win32k 系統呼叫封鎖 |
| 入侵防護 | Security-Mitigations (核心模式/使用者模式) | 11 | 程式碼完整性防護稽核 |
| 入侵防護 | Security-Mitigations (核心模式/使用者模式) | 12 | 程式碼完整性防護封鎖 |
| 入侵防護 | Security-Mitigations (核心模式/使用者模式) | 13 | EAF 稽核 |
| 入侵防護 | Security-Mitigations (核心模式/使用者模式) | 14 | EAF 強制執行 |
| 入侵防護 | Security-Mitigations (核心模式/使用者模式) | 15 | EAF+ 稽核 |
| 入侵防護 | Security-Mitigations (核心模式/使用者模式) | 16 | EAF+ 強制執行 |
| 入侵防護 | Security-Mitigations (核心模式/使用者模式) | 17 | IAF 稽核 |
| 入侵防護 | Security-Mitigations (核心模式/使用者模式) | 18 | IAF 強制執行 |
| 入侵防護 | Security-Mitigations (核心模式/使用者模式) | 19 | ROP StackPivot 稽核 |
| 入侵防護 | Security-Mitigations (核心模式/使用者模式) | 20 | ROP StackPivot 強制執行 |
| 入侵防護 | Security-Mitigations (核心模式/使用者模式) | 21 | ROP CallerCheck 稽核 |
| 入侵防護 | Security-Mitigations (核心模式/使用者模式) | 22 | ROP CallerCheck 強制執行 |
| 入侵防護 | Security-Mitigations (核心模式/使用者模式) | 23 | ROP SimExec 稽核 |
| 入侵防護 | Security-Mitigations (核心模式/使用者模式) | 24 | ROP SimExec 強制執行 |
| 入侵防護 | WER-Diagnostics | 5 | CFG 封鎖 |
| 入侵防護 | Win32K (操作) | 260 | 不信任的字型 |
| 網路保護 | Windows Defender (操作) | 5007 | 變更設定時的事件 |
| 網路保護 | Windows Defender (操作) | 1125 | 網路保護在稽核模式中引發時發生的事件 |
| 網路保護 | Windows Defender (操作) | 1126 | 網路保護在封鎖模式下觸發時發生的事件 |
| 受控資料夾存取權 | Windows Defender (操作) | 5007 | 變更設定時的事件 |
| 受控資料夾存取權 | Windows Defender (操作) | 1124 | 已稽核的受控資料夾存取事件 |
| 受控資料夾存取權 | Windows Defender (操作) | 1123 | 封鎖的受控資料夾存取事件 |
| 受控資料夾存取權 | Windows Defender (操作) | 1127 | 封鎖:受控資料夾存取磁區寫入封鎖事件 |
| 受控資料夾存取權 | Windows Defender (操作) | 1128 | 已稽核受控資料夾存取磁區寫入封鎖事件 |
| 受攻擊面縮小 | Windows Defender (操作) | 5007 | 變更設定時的事件 |
| 受攻擊面縮小 | Windows Defender (操作) | 1122 | 規則在稽核模式中觸發時發生的事件 |
| 受攻擊面縮小 | Windows Defender (操作) | 1121 | 規則在區塊模式中觸發時發生的事件 |
注意事項
從使用者的觀點來看,受攻擊面縮小警告模式通知會做為受攻擊面縮小規則的 Windows 快顯通知。
在減少受攻擊面中,網路保護僅提供稽核和封鎖模式。
深入瞭解受攻擊面減少的資源
如影片中所述,適用於端點的 Defender 包含數個受攻擊面縮小功能。 使用下列資源來深入瞭解:
| 文章 | 描述 |
|---|---|
| 應用程式控制 | 使用應用程式控制,讓您的應用程式必須獲得信任才能執行。 |
| 受攻擊面縮小規則參考 | 提供每個受攻擊面縮小規則的詳細數據。 |
| 受攻擊面縮小規則部署指南 | 提供部署受攻擊面縮小規則的概觀資訊和必要條件,接著是測試 (稽核模式) 的逐步指引,以啟用 (封鎖模式) 和監視。 |
| 受控資料夾存取權 | 協助防止惡意或可疑應用程式 (包括檔案加密勒索軟體惡意軟體) 變更關鍵系統資料夾中的檔案 (需要Microsoft Defender防毒) 。 |
| 裝置控制 | 透過監視和控制組織中裝置 (例如抽取式儲存體和 USB 隨身碟) 上使用的媒體來防止資料遺失。 |
| 入侵防護 | 協助保護貴組織使用的作業系統和應用程式免遭惡意探索。 惡意探索保護也適用於協力廠商防毒軟體解決方案。 |
| 硬體隔離 | 在系統啟動和執行時保護和維護系統的完整性。 透過本機和遠端證明驗證系統完整性。 使用 Microsoft Edge 的容器隔離來協助防範惡意網站。 |
| 網路保護 | 延伸對組織裝置上網路流量和連線的保護。 (需要 Microsoft Defender 防毒軟體)。 |
| 測試受攻擊面縮小規則 | 提供使用稽核模式來測試受攻擊面縮減規則的步驟。 |
| Web 保護 | Web 保護可讓您保護裝置免受 Web 威脅,並協助您管理不需要的內容。 |
提示
想要深入了解? 在我們的技術社區中與Microsoft安全社區Engage:適用於端點的 Microsoft Defender技術社區。