Поделиться через

Включение правил сокращения направлений атак в Microsoft Defender для бизнеса

Ваши атаки — это все места и способы уязвимости сети и устройств вашей организации к киберугрозам и атакам. Незащищенные устройства, неограниченный доступ к любому URL-адресу на устройстве компании и разрешение любого типа приложения или скрипта для запуска на корпоративных устройствах — все это примеры направлений атак. Они делают вашу компанию уязвимой для кибератак.

Для защиты сети и устройств Microsoft Defender для бизнеса включает несколько возможностей сокращения направлений атак, включая правила сокращения направлений атак. В этой статье описано, как настроить правила сокращения направлений атак, а также описаны возможности сокращения направлений атак.

правила asr защиты Standard

Существует множество правил сокращения направлений атак. Вам не нужно настраивать их все сразу. Кроме того, вы можете настроить некоторые правила в режиме аудита, чтобы увидеть, как они работают в вашей организации, и изменить их для работы в режиме блокировки позже. При этом мы рекомендуем как можно скорее включить следующие стандартные правила защиты:

Эти правила помогают защитить сеть и устройства, но не должны вызывать нарушения работы пользователей. Используйте Intune для настройки правил сокращения направлений атак.

Настройка правил ASR с помощью Intune

  1. В Центре администрирования Microsoft Intune перейдите кразделу Сокращение зоны атакс безопасностью> конечных точек.

  2. Выберите Создать политику , чтобы создать новую политику.

    • В поле Платформа выберите Windows 10, Windows 11 и Windows Server.
    • В поле Профиль выберите Правила сокращения направлений атаки, а затем нажмите кнопку Создать.

  3. Настройте политику следующим образом:

    1. Укажите имя и описание, а затем нажмите кнопку Далее.

    2. По крайней мере для следующих трех правил присвойте каждому из них значение Блокировать:

      • Блокировка кражи учетных данных из подсистемы локального центра безопасности Windows
      • Блокировка сохраняемости с помощью подписки на события WMI
      • Блокировать злоупотребление эксплуатируемыми уязвимыми подписанными драйверами

      Затем нажмите кнопку Далее.

    3. На шаге Теги области нажмите кнопку Далее.

    4. На шаге Назначения выберите пользователей или устройства для получения правил, а затем нажмите кнопку Далее. (Рекомендуется выбрать Добавить все устройства.)

    5. На шаге Проверка и создание просмотрите сведения и нажмите кнопку Создать.

Совет

При желании можно сначала настроить правила сокращения направлений атак в режиме аудита, чтобы увидеть обнаружения до фактической блокировки файлов или процессов. Дополнительные сведения о правилах сокращения направлений атак см. в статье Общие сведения о развертывании правил сокращения направлений атак.

Просмотр отчета о сокращении направлений атак

Defender для бизнеса включает отчет о сокращении направлений атак, в которых показано, как работают правила сокращения направлений атак.

  1. На портале Microsoft Defender в области навигации выберите Отчеты.

  2. В разделе Конечные точки выберите Правила сокращения направлений атак. Откроется отчет, содержащий три вкладки:

    • Обнаружения, в которых можно просматривать обнаружения, произошедшие в результате правил сокращения направлений атак.
    • Конфигурация, в которой можно просматривать данные для стандартных правил защиты или других правил сокращения направлений атак.
    • Добавление исключений, в которых можно добавлять элементы, которые будут исключены из правил сокращения направлений атак (используйте исключения экономно; каждое исключение снижает уровень защиты)

Дополнительные сведения о правилах сокращения направлений атак см. в следующих статьях:

Возможности сокращения направлений атак в Defender для бизнеса

Правила сокращения направлений атак доступны в Defender для бизнеса. В следующей таблице перечислены возможности сокращения направлений атак в Defender для бизнеса. Обратите внимание, что другие возможности, такие как защита нового поколения и фильтрация веб-содержимого, работают вместе с возможностями сокращения направлений атак.

Возможность Настройка
Правила сокращения направлений атак
Запрет выполнения на устройствах Windows определенных действий, которые обычно связаны с вредоносными действиями.		 Включите стандартные правила сокращения направлений атак защиты (раздел этой статьи).
Контролируемый доступ к папкам
Управляемый доступ к папкам позволяет только доверенным приложениям получать доступ к защищенным папкам на устройствах Windows. Эту возможность можно рассматривать как защиту от программ-шантажистов.		 Настройте политику управляемого доступа к папкам в Microsoft Defender для бизнеса.
Защита сети
Защита сети предотвращает доступ пользователей к опасным доменам с помощью приложений на устройствах Windows и Mac. Защита сети также является ключевым компонентом фильтрации веб-содержимого в Microsoft Defender для бизнеса.		 Защита сети уже включена по умолчанию, когда устройства подключены к Defender для бизнеса и применяются политики защиты следующего поколения в Defender для бизнеса. Политики по умолчанию настроены для использования рекомендуемых параметров безопасности.
Веб-защита
Веб-защита интегрируется с веб-браузерами и работает с защитой сети для защиты от веб-угроз и нежелательного содержимого. Веб-защита включает фильтрацию веб-содержимого и отчеты о веб-угрозах.		 Настройте фильтрацию веб-содержимого в Microsoft Defender для бизнеса.
Защита брандмауэра
Защита брандмауэра определяет, какой сетевой трафик может поступать на устройства вашей организации или с нее.		 Защита брандмауэра уже включена по умолчанию, когда устройства подключены к Defender для бизнеса и применяются политики брандмауэра в Defender для бизнеса.

Дальнейшие действия