Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье представлен обзор возможности селективных действий реагирования в Microsoft Defender для конечной точки. Ее целевая аудитория — администраторы безопасности и ит-специалисты, отвечающие за управление Microsoft Defender для конечной точки в средах, включающих системы уровня 0 и высокоценные ресурсы (HVA), такие как контроллеры домена, серверы ADFS и другая критически важная инфраструктура.
Обзор
Selective Response Actions — это возможность Microsoft Defender для конечной точки, которая позволяет организациям настраивать выполнение критически важных операций безопасности в процессе подключения. Он обеспечивает точный контроль над тем, как действия реагирования применяются к системам уровня 0 и другим высокоценным ресурсам, помогая поддерживать операционную стабильность при обеспечении надежной защиты.
Общие сведения
Развертывание Microsoft Defender для конечной точки на высокоценных ресурсах (HVA), таких как контроллеры домена, серверы ADFS и другие системы уровня 0, требует продуманного подхода, чтобы сбалансировать надежную защиту и стабильность работы. Учитывая широкие возможности реагирования, организации часто стремятся к большему контролю над тем, как эти действия применяются в конфиденциальных средах.
Многие организации, особенно со строгими политиками управления привилегированным доступом, также предпочитают ограничивать инициируемые облаком административные действия в системах уровня 0 в соответствии с их требованиями к безопасности и соответствию.
Возможность селективного реагирования позволяет удовлетворить эти потребности, предоставляя более контролируемый и гибкий подход. Это позволяет организациям точно определять, какие действия реагирования разрешены для критически важных ресурсов, обеспечивая непрерывность работы, сохраняя при этом преимущества защиты Defender.
Как работает эта функция?
Сначала эту функцию необходимо включить для арендатора. См . раздел Включение селективных действий реагирования.
После включения этой функции используйте средство развертывания Defender (DDT) для создания пакета подключения с ограниченными параметрами операций безопасности. При настройке пакета вы выбираете между полной функциональностью (режим подключения по умолчанию, где на подключенном устройстве разрешены все действия ответа) и ограниченной функциональностью (когда действия с высоким уровнем влияния могут быть запрещены). Если выбрана ограниченная функциональность, можно указать, какие действия разрешены на устройстве после подключения.
В следующей таблице описаны критически важные действия реагирования, которые можно разрешить или запретить.
| Возможность | Описание | Примечания |
|---|---|---|
| Базовый ответ | Запустите антивирусную проверку, соберите файл и соберите пакет исследования. | Возможность Сбор файла означает получение файла со страницы Файл на портале, а не команду GetFile, доступную в разделе Live Response. |
| Расширенный ответ | Изолируйте устройство, ограничьте выполнение приложений и запросите исправление. | Запрос на исправление позволяет администраторам безопасности инициировать действия по исправлению обнаруженных уязвимостей на определенном устройстве. |
| Реагирование в реальном времени | Разрешает сеансы оперативного реагирования для удаленного устройства. | |
| Защита устройств | Позволяет выполнять автоматическое исследование и реагирование (AIR) на устройстве. | Это относится как к автоматической активации AIR, так и к инициируемой вручную. |
Дополнительные сведения о настройке такого пакета см. в статье Создание пакета подключения с ограниченными параметрами операций безопасности .
Примечание.
Устройства, подключенные в ограниченном режиме, не поддерживают выполнение скрипта динамического отклика. Это отключено по умолчанию, даже если включен динамический ответ. Ограниченный режим не влияет на обнаружение, оповещение или охват датчиком. Все оповещения, временные диаграммы и обнаружение угроз продолжают работать должным образом.
Предварительные требования и поддерживаемые операционные системы
Ограниченный режим поддерживается на следующих клиентских рабочих станциях Windows и Windows Server операционных системах под управлением Sense версии 10.8798 или более поздней.
Операционная система Обязательный кб Windows Server 2025, все выпуски KB5063878 Windows Server 2022 KB5063880 Windows Server 2019 KB5063877 Windows 10 22H2 KB5062649 Windows 11 23H2 KB5062663 Windows 11 24H2 KB5062660 Windows 11 25H2 Все Чтобы использовать ограниченный режим, необходимо включить переключатель функции Разрешить ограниченные операции безопасности во время подключения . См . раздел Включение функции выборочных действий ответа.
Включение функции выборочных действий реагирования
Чтобы использовать возможность выборочных действий реагирования, включите эту функцию на портале Microsoft Defender:
- Войдите на портал Microsoft Defender.
- Перейдите в Настройки>Конечные точки>Расширенные функции.
- Включите параметр Разрешить ограниченные операции безопасности во время подключения.
После включения параметр ограниченного режима становится доступен при создании пакетов развертывания Defender для Windows с помощью средства развертывания Defender (DDT). Затем можно создать пакеты развертывания, определяющие, какие операции безопасности разрешены на подключаемых устройствах. Дополнительные сведения см. в статье Создание пакета подключения с ограниченными параметрами операций безопасности . После создания пакета развертывания используйте его для подключения устройства.
Создайте пакет подключения с ограниченными настройками операций безопасности
На портале Microsoft Defender (security.microsoft.com) перейдите в Система>Параметры>Конечные точки>Подключение.
В раскрывающемся меню Шаг 1 выберите Windows.
В разделе Развертывание путем скачивания и применения пакетов или файлов нажмите кнопку Подключить .
Появится страница Средство создания пакета развертывания Defender с ключом доступа.
Укажите имя пакета. Обязательно создайте уникальное и описательное имя.
Задайте дату окончания срока действия пакета. Вы можете задать дату окончания срока действия в любое время до года. Рекомендуется сделать срок действия пакетов максимально коротким, чтобы снизить риск несанкционированного использования пакета развертывания.
Выберите Ограниченный.
Появится список операций безопасности с высоким уровнем воздействия. Установите флажки рядом с операциями, которые нужно разрешить на подключенном устройстве, и снимите флажки рядом с операциями, которые вы хотите запретить.
Примечание.
Устройства, подключенные в ограниченном режиме, не поддерживают выполнение сценариев динамического ответа, даже если в этих параметрах включен динамический ответ . Это ограничение применяется по умолчанию, чтобы обеспечить блокировку действий на основе скриптов, обеспечивая более высокий уровень защиты конфиденциальных ресурсов.
Ограниченный режим со всеми разрешенными действиями ответа не эквивалентен полной функциональности. При подключении устройства с помощью ограниченного пакета выполнение скриптов отключается по умолчанию, тогда как подключение с полным пакетом функций обеспечивает неограниченный доступ ко всем поддерживаемым действиям и возможностям реагирования.
Завершив настройку пакета, выберите Создать.
Когда пакет будет готов, вы увидите страницу с ключом доступа к пакету и кнопкой скачивания, как показано на следующем рисунке.
Скопируйте ключ и сохраните его, так как он потребуется в средстве развертывания.
Скопив ключ и сохранив его, выберите Скачать средство развертывания. При этом загружается .zip файл исполняемого файла средства развертывания Defender.
Подключить устройство с ограниченными действиями реагирования
После создания и загрузки пакета развертывания с нужными параметрами ограниченных операций безопасности используйте пакет для подключения устройства, как описано в разделе Развертывание Microsoft Defender для конечной точки на устройствах Windows с помощью средства развертывания Defender (предварительная версия).
Как проверить состояние операций безопасности подключенных устройств
Состояние операций безопасности устройств можно определить несколькими способами:
На странице Инвентаризация устройств на портале Defender свойство с именем Операции безопасности указывает режим подключения каждого устройства:
- Если устройство подключено с полной функциональностью, значение будет отображаться как Полное.
- Если устройство подключено с ограниченными возможностями, значение будет отображаться как Ограниченное, указывающее администратору, что на этом устройстве есть ограниченный набор удаленных операций безопасности.
Такая наглядность помогает командам безопасности быстро понять область эксплуатации каждого устройства и при необходимости принять соответствующие меры.
Если устройство находится в режиме ограниченного доступа, на устройство автоматически добавляется тег с меткой "Ограниченные операции безопасности ", чтобы помочь группам безопасности быстро определить ресурсы с ограниченными возможностями. Этот тег отображается на странице Устройство. На странице Устройство также содержится состояние операций безопасности, отражающее уровень возможностей удаленной безопасности, настроенных для устройства:
- Полная интеграция означает, что устройство интегрировано со всем набором возможностей Microsoft Defender для конечных точек. Доступны все действия удаленного реагирования.
- Ограниченный означает, что устройство подключено с ограниченным набором доступных действий реагирования.
На предыдущем изображении видно, что запуск сеансов динамического ответа запрещен на устройстве.
Чтобы получить доступ к подробному списку всех элементов управления безопасностью и их текущего состояния (включено или отключено) на устройстве, выберите Просмотреть сведения об операциях безопасности , чтобы открыть панель Операции безопасности устройства .
Вы также можете использовать свойство
RestrictedDeviceSecurityOperationsв Advanced Hunting, чтобы проверить, какие операции безопасности ограничены на устройстве. Значения представляют конкретные категории операций безопасности, для которых действуют ограничения. Например, если свойство имеет значениеRestrictedDeviceSecurityOperationsLiveResponse, это означает, что на устройстве запрещена только функция Live Response, в то время как все остальные операции разрешены.Выборочный ответ также блокируется при использовании общедоступного API. При попытке выполнить ограниченное действие через API появляется сообщение об ошибке, указывающее, что операция не разрешена на устройстве.
Изменение параметров ограничений
После подключения устройства с ограниченными параметрами его конфигурацию операций безопасности нельзя изменить или изменить. Чтобы обновить возможности реагирования устройства, необходимо отключить устройство и повторно подключить его с помощью нового пакета развертывания с нужными параметрами. Идентификатор устройства остается прежним, и все исторические данные сохраняются.
Если вы хотите ограничить действия ответа на устройстве, которое уже подключено к Defender для конечной точки в полном режиме, сначала необходимо отключить устройство, а затем повторно подключить его с помощью пакета подключения, настроенного с ограниченными параметрами. Идентификатор устройства остается прежним, и все исторические данные сохраняются.