Intune中攻击面缩减规则概述
在本指南中,我们将学习Intune中的攻击面减少规则。使用Intune,您可以为您的组织创建和配置ASR规则。让我们研究一下攻击面减少规则是什么,以及ASR可配置规则列表。
在Intune (MEM)中创建的攻击面减少规则适用于用于端点计划2的Microsoft Defender、Microsoft 365 Defender和Microsoft Defender Antivirus。你可以用Microsoft Intune创建许多ASR规则的例子,我将在本指南中分享一份ASR规则列表。
Microsoft建议您在启用Intune ASR规则之前,先在审计模式下运行ASR规则一段时间,以测试Intune ASR规则将如何影响您的组织。当您在审计模式下运行规则时,您可以识别任何规则业务线应用程序可能会被错误地阻止,并将它们排除在ASR之外。从一个小型的受控团队开始,以限制潜在的工作中断,然后您可以在整个组织中扩展部署。
攻击面减少是一个复杂的主题,需要考虑许多方面。为了方便起见,我将列出一些Intune中用于开始使用攻击面减少规则的资源。
- 理解并使用攻击面减少功能
- 攻击面减少规则概述
- 规划ASR (attack surface reduction)规则部署
- 测试攻击面减少(ASR)规则
- 启用ASR (attack surface reduction)规则
- 实施攻击面减少(ASR)规则
什么是攻击面?
攻击面是您的组织容易受到网络威胁和攻击的所有地方。端点防御者包括许多功能,以帮助减少你的攻击面。
您的公司暴露于网络威胁和攻击的所有点都被称为攻击面。端点防御者的各种功能可以帮助你减少攻击面。
ASR功能配置方法
当您配置攻击面减少能力时,您可以从以下几种方法中选择:
- Microsoft端点管理器(包括Microsoft Intune和配置管理器)
- 组策略
- PowerShell cmdlets
Intune中的攻击面减少规则是什么?
减少攻击面措施主要针对恶意软件和恶意软件通常采取的感染计算机的行动,例如:在华体会体育系列办公应用程序或者试图下载或运行文件的web邮件。另一个例子是可疑的脚本行为,应用程序在正常的日常工作中通常不会启动这些行为。
对于Intune, ASR规则针对某些软件行为,例如:华体会体育系列
- 启动试图下载或运行文件的可执行文件和脚本
- 运行模糊的或可疑的脚本
- 应用程序在日常工作中通常不会发生的行为
通过减少不同的攻击面,您可以在第一时间帮助防止攻击发生。来看看详细的指南如何使用攻击面减少能力.
操作系统对ASR规则的要求
您可以为运行以下版本和版本Windows的设备设置攻击面减少规则:
- Windows 10 Pro, 1709或更高版本
- Windows 10企业版,1709或更高版本
- Windows Server,版本1803(半年通道)或更高版本
- Windows Server 2022
- Windows Server 2019
- Windows Server 2016
- Windows Server 2012 R2
ASR的发牌要求
要使用攻击面缩减规则的整个特征集,您需要:
- Microsoft Defender Antivirus作为主要反病毒(实时保护)
- 欢迎您~云交付保护(某些规则要求)
- Windows 10企业版E5或E3 License
攻击面减少规则部署阶段
与任何可能影响业务线的新的大规模实现一样,以有条不紊的方式计划和实现它非常重要。由于ASR规则在阻止恶意软件方面非常出色,因此需要仔细规划和设置它们,以确保它们最适合客户的独特工作流。要使ASR规则在您的环境中工作,您需要仔细计划、测试、实现和运行它们。
的四个部署阶段攻击面减少规则.
- 第一阶段: ASR规则计划
- 第二阶段:测试ASR (attack surface reduction)规则
- 第三阶段:实现或启用ASR (attack surface reduction)规则
- 第四阶段:报告并排除端点ASR规则的Microsoft Defender
Intune中攻击面减少规则列表
使用Intune,您可以配置以下内容攻击面缩减(ASR)规则并将其部署到您的端点。下表列出了所有Intune ASR规则,描述和GUID,您可以为您的端点配置。
输入ASR规则名称 | ASR规则说明 | 规则GUID |
---|---|---|
阻止滥用利用脆弱的签名驱动程序 | 该规则防止应用程序将易受攻击的签名驱动程序写入磁盘。具有足够特权的本地应用程序可以利用易受攻击的签名驱动程序来访问内核,最终导致系统受损。 | 56 a863a9 - 875 - e - 4185 - 98 a7 - b882c64b5ce5 |
阻止adobereader创建子进程 | 此规则通过阻止adobereader创建进程来防止攻击。 | 7674年ba52-37eb-4a4f-a9a1-f0f9a1619a2c |
阻止所有Office应用程序创建子进程 | 该规则阻止Office应用程序创建子进程。办公软件包括Word、Excel、PowerPoint、OneNote和Access。 | d4f940ab - 401 b - 4 - efc - aadc ad5f3c50688a |
阻止从Windows本地安全授权子系统窃取凭证(lsass.exe) | 这个ASR规则通过锁定本地安全授权子系统服务(LSASS)来帮助防止凭证窃取。LSASS对在Windows计算机上登录的用户进行身份验证。Windows中的Microsoft Defender Credential Guard通常会阻止从LSASS提取凭据的尝试。 | 9 e6c4e1f - 7 d60 - 472 f - ba1a a39ef669e4b2 |
阻止来自电子邮件客户端和网络邮件的可执行内容 | 此规则阻止以下文件类型从Microsoft Outlook应用程序或Outlook.com和其他流行的网络邮件提供商中打开的电子邮件启动 | be9ba2d9 - 53 - ea - 4 -疾病预防控制中心- 84 e5 b1eeee46550——9 |
阻止可执行文件运行,除非它们满足流行度、年龄或可信列表标准 | 此ASR规则阻止启动.exe、.dll或.scr等可执行文件。因此,启动不受信任或未知的可执行文件可能是有风险的,因为最初可能不清楚这些文件是否是恶意的。 | 01443614 - cd74 - 433 a - b99e - 2 - ecdc07bfc25 |
阻塞可能被混淆的脚本的执行 | 该规则检测模糊脚本中的可疑属性。恶意软件的作者和合法软件的开发人员经常使用混淆脚本来隐藏知识产权或加速脚本的加载。华体会体育系列为了使恶意代码更难以理解,并防止安全工具和人员仔细检查,恶意软件开发人员还采用了混淆处理。 | 5 beb7efe - fd9a - 4556 - 801 d - 275 e5ffc04cc |
阻止JavaScript或VBScript启动下载的可执行内容 | 这个ASR规则可以防止脚本启动潜在的恶意下载内容。用JavaScript或VBScript编写的恶意软件通常充当下载程序,从互联网上获取和启动其他恶意软件。 | d3e037e1 - 3 - eb8 - 44 - c8 - a917 - 57927947596 d |
阻止Office应用程序创建可执行内容 | 该规则通过阻止恶意代码写入磁盘,防止包括Word、Excel和PowerPoint在内的Office应用程序创建潜在的恶意可执行内容。 | 3 b576869 b80a7769e899——a4ec - 4529 - 8536 |
阻止Office应用程序向其他进程注入代码 | 该规则阻止从Office应用程序向其他进程注入代码。攻击者可能试图使用Office应用程序通过代码注入将恶意代码迁移到其他进程中,因此代码可以伪装成一个干净的进程。 | 75668 c1f - 73 - b5 - 4 - cf0 bb93 - 3 - ecf5cb7cc84 |
阻止Office通信应用程序创建子进程 | 该规则阻止Outlook创建子进程,同时仍然允许合法的Outlook函数。 | 26190899 - 1602 - 49 - e8 - 8 - b27 eb1d0a1ce869 |
通过WMI事件订阅块持久性 *不支持文件和文件夹排除。 |
该规则防止恶意软件滥用WMI来获得设备上的持久性。 | e6db77e5 - 3 - 4 df2 - - cf1 b95a e5b——636979351 |
阻塞来自PSExec和WMI命令的进程创建 | 这个ASR规则阻止通过PsExec和WMI创建的进程运行。PsExec和WMI都可以远程执行代码。存在恶意软件滥用PsExec和WMI功能用于命令和控制目的的风险,或者在整个组织的网络中传播感染。 | d1e49aac - 8之作- 4280 b9ba - 993 a6d77406c |
阻止从USB运行的不受信任和未签名的进程 | 使用此规则,管理员可以防止未签名或不受信任的可执行文件从USB可移动驱动器(包括SD卡)运行。阻塞的文件类型包括可执行文件(如.exe、.dll或.scr) | b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 |
阻止来自Office宏的Win32 API调用 | 该规则阻止VBA宏调用Win32 api。 | 92 e97fa1 - 2 - edf - 4476 bdd6 dd0b4dddc7b——9 |
使用高级防护来抵御勒索软件 | 该规则提供了抵御勒索软件的额外保护层。它使用客户端和云启发式来确定文件是否类似于勒索软欢迎您~件。 | c1db55ab - c21a - 4637 bb3f a12568109d35 |
在Intune中创建攻击面减少规则
在Intune中创建新的ASR规则的过程包括以下步骤:
- 登录到Microsoft端点管理器管理中心.
- 选择终端安全然后选择攻击面减少.
- 现在单击Create Policy按钮创建一个ASR规则。
在创建配置文件窗口中,您可以选择两个平台。
- Windows 10及以上版本
- Windows 10及以上版本(ConfigMgr)
选择平台为Windows 10及以上版本.
对于概要文件,选择攻面缩减规则并点击创建.
通过MEM | Intune配置ASR规则
您可以使用Microsoft Endpoint Manager (MEM | Intune) Endpoint Security按以下步骤配置自定义ASR规则。
1.在Create Profile页面上,单击Basics选项卡,并为将要配置的Attack Surface Reduction规则输入Profile名称和描述。点击下一个.
2.在配置设置选项卡,您将找到可以配置的ASR规则列表。每个ASR规则有4种模式,你可以选择:
- 未配置或禁用: ASR规则未启用或已禁用的状态。这个状态的代码= 0。
- 块: ASR规则使能的状态。这个状态的代码是1。
- 审计:评估ASR规则在启用(设置为阻止或警告)时对组织或环境的影响的状态。这种状态的代码是2。
- 警告: ASR规则被启用,并向终端用户发出通知,但允许终端用户绕过该阻塞的状态。这种状态的代码是6。
在配置设置选项卡,在攻击面减少规则,设置所有规则为审计模式.当您最初在Intune中配置新的ASR规则时,建议您使用Audit模式对其进行测试。在启用任何规则之前,测试攻击面减少(ASR)规则可以帮助您确定规则是否会阻碍业务线操作。
在接下来的步骤中,选择范围标记在这里您可以将标签信息添加到特定的设备。在作业Tab,你可以部署或"分配将配置文件发送给用户或设备组。中查看您的设置回顾+创建窗格。点击创建应用规则。
最后,ASR规则的新攻击面减少策略列在端点安全|攻击面减少.您可以选择ASR规则,并根据需要进行任何修改。
测试并排除攻击面减少规则的故障
在使用Intune完全部署了攻击面减少(ASR)规则之后,必须有适当的流程来监视、排除故障并响应与ASR相关的活动。
ADR规则和报告细节的分析方法有两种:
- 了解Microsoft 365 Defender门户中的攻击面减少规则报告页面:如果您订阅了E5并使用Microsoft Defender for Endpoint,则可以获得包含ASR规则事件、块和警告的详细报告。
- 使用Windows事件查看器:要审查将被阻止的应用程序,启动事件查看器和过滤器事件ID 1121在Microsoft-Windows-Windows Defender/操作日志.下表列出了可用于ASR故障排除的所有网络保护事件。
标识符 | 描述 |
---|---|
5007 | 当设置更改时,发生事件 |
1121 | 攻击面减少规则以阻塞模式触发时发生的事件 |
1122 | 当攻击面缩减规则在审计模式下触发时发生的事件 |
我似乎遇到了一个问题,我的ASR政策适用于我的客户。我在SCCM中的部署中看到了遵从性策略,但我的所有设备都被标记为不遵从CCMSS_M365A_Settings_DetectionExitCode = 0警告。
什么好主意吗?