Настройте уменьшение поверхности атаки в Windows 10

by Опубликовано

Снижение поверхности атаки — это новая функция безопасности Exploit Guard в Защитнике Windows в Windows 10, которую Microsoft представила в Fall Creators Update.

Уменьшение поверхности атаки может предотвратить стандартные действия вредоносного программного обеспечения, которое запускается на устройствах с Windows 10, на которых эта функция включена.

Эта функция основана на правилах и предназначена для действий и поведения, которые обычно связаны с вредоносным ПО. Вы можете включить правила, которые блокируют выполнение запутанных сценариев, исполняемого содержимого в почтовых клиентах или Office от порождения дочерних процессов.

Снижение поверхности атаки доступно только в том случае, если вы включили защиту в реальном времени в антивирусе Защитника Windows.

Правила уменьшения площади атаки

В Windows 10 Fall Creators Update доступны следующие правила:

  1. Блокировать выполнение (потенциально) обфусцированных сценариев (5BEB7EFE-FD9A-4556-801D-275EFFC04CC
    )
  2. Блокировать исполняемый контент в почтовых клиентах и ​​веб-почте (BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550)
  3. Запретить приложениям Office создавать дочерние процессы (D4F940AB-401B-4EFC-AADC-AD5F3C50688A)
  4. Запретить приложениям Office создавать исполняемые файлы (3B576869-A4EC-4529-8536-B80A7769E899)
  5. Запретить приложениям Office вводить данные в другие процессы (75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84)
  6. Блокировать импорт Win32 из кода макроса в Office (92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B)
  7. Препятствовать запуску исполняемых файлов JavaScript и VBScript (D3E037E1-3EB8-44C8-A917-57927947596D)

Настройка уменьшения поверхности атаки

Защита от снижения поверхности атаки может быть настроена тремя различными способами:

  1. Использование групповой политики.
  2. Используя PowerShell.
  3. Используя MDM CSP.

Настройка правил с помощью политик

политика уменьшения поверхности атаки

Для начала вам необходимо запустить редактор групповой политики. Обратите внимание, что редактор групповой политики недоступен в домашних выпусках Windows 10.

Домашние пользователи могут проверить Policy Plus что позволяет редактировать политику в редакции Windows 10.

  1. Нажмите на клавишу Windows, введите gpedit.msc и нажмите клавишу Enter, чтобы запустить редактор групповой политики в Windows 10.
  2. Перейдите в раздел Конфигурация компьютера> Административные шаблоны> Компоненты Windows> Антивирус Защитника Windows> Защита от эксплойтов в Защитнике Windows> Уменьшение поверхности атаки.
  3. Дважды щелкните политику «Настроить правила уменьшения поверхности атаки».
  4. Установите для политики значение включено.
  5. При включении политики активируется кнопка «показать». Щелкните «Показать», чтобы загрузить окно «Показать содержимое».

Показать содержимое — это таблица, которая принимает одно правило уменьшения поверхности атаки для каждой строки. Имя значения — это идентификатор, указанный в квадратных скобках в правилах выше.

Value принимает следующие данные:

  • 0 = отключено. Правило не активно.
  • 1 = включен. Правило активно, и активирован режим блокировки.
  • 2 = режим аудита. События будут записываться, но фактическое правило не применяется.

Настройка правил с помощью PowerShell

Вы можете использовать PowerShell для настройки правил.

  1. Нажмите на клавишу Windows, введите PowerShell, удерживайте нажатыми клавиши Shift и Ctrl и загрузите запись PowerShell одним щелчком мыши.

Используйте следующую команду, чтобы добавить правило режима блокировки:

Set-MpPreference -AttackSurfaceReductionRules_Ids -AttackSurfaceReductionRules_Actions Enabled

Используйте следующую команду, чтобы добавить правило режима аудита:

Set-MpPreference -AttackSurfaceReductionRules_Ids -AttackSurfaceReductionRules_Actions AuditMode

Используйте следующую команду, чтобы отключить правило:

Set-MpPreference -AttackSurfaceReductionRules_Ids -AttackSurfaceReductionRules_Actions Disabled

Вы можете объединить несколько правил в одной команде, разделив каждое правило запятой и перечислив состояния отдельно для каждого правила. Пример:

Set-MpPreference -AttackSurfaceReductionRules_Ids , , -AttackSurfaceReductionRules_Actions Disabled, Enabled, Enabled

Примечание: вы можете использовать Set-MpPreference или Add-MpPreference. Команда Set всегда перезаписывает существующий набор правил, в то время как команда Add добавляет к нему, не перезаписывая существующие правила.

Вы можете отобразить набор правил с помощью команды Get-MpPreference.

События уменьшения площади атаки

события уменьшения поверхности атаки

Записи журнала создаются всякий раз, когда вы меняете правила и когда события запускают правила в режиме аудита или в режиме блокировки.

  1. Загрузите оценочный пакет Exploit Guard от Microsoft.
  2. Извлеките содержимое архива в локальную систему, чтобы asr-events.xml был доступен в системе.
  3. Нажмите кнопку Windows, введите «Просмотр событий» и выберите элемент из списка предложений, чтобы загрузить интерфейс «Просмотр событий».
  4. Выберите «Действие»> «Импортировать пользовательское представление», когда интерфейс открыт.
  5. Выберите файл asr-events.xml, который вы извлекли ранее.
  6. Выберите ОК, когда откроется окно «Импортировать файл пользовательского представления». Вы можете добавить описание, если хотите.

После этого новое представление будет отображаться в разделе «Пользовательские представления», в котором отображаются следующие события:

  • Идентификатор события 1121 — события режима блокировки
  • Идентификатор события 1122 — события режима аудита
  • Event ID 5007 — изменение настроек событий.

Исключение файлов и папок

исключение уменьшения поверхности атаки

Вы можете исключить файлы или папки, чтобы исключенные элементы не оценивались правилами уменьшения поверхности атаки.

  • Групповая политика : Перейдите в раздел Конфигурация компьютера> Административные шаблоны> Компоненты Windows> Антивирус Защитника Windows> Защита от эксплойтов Защитника Windows> Уменьшение поверхности атаки> Исключить файлы и пути из правил уменьшения поверхности атаки. Установите для политики значение «Включено», нажмите кнопку «Показать» и добавьте файлы или папки (путь к папке или ресурс, например, c: \ Windows в имени значения и 0 в поле значения каждого столбца.
  • PowerShell : Используйте команду Add-MpPreference -AttackSurfaceReductionOnlyExclusions «», чтобы добавить файлы или папки в список исключений.

Ресурсы Microsoft

Ознакомьтесь со следующими ресурсами на веб-сайте Microsoft для получения дополнительной информации о сокращении поверхности атаки:

  • Включить уменьшение поверхности атаки
  • Настроить уменьшение поверхности атаки
  • Уменьшите количество атак с помощью Exploit Guard в Защитнике Windows
  • Exploit Guard в Защитнике Windows
  • Документация Set-MpPreference
  • Документация Add-MpPreference
  • Документация Get-MpPreference

Опубликовано admin

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *