国产成人毛片毛片久久网_国产午夜激无码av毛片不_国产乱对白精彩在线播放_av资源站中文字幕_亚洲男人的天堂网站_国产成 人 综合 亚洲网_中国国产激情一区_少妇一级淫片免费放_亚洲一本大道av久在线播放_免费观看美女裸体网站

減少攻擊面規(guī)則有助于防止惡意軟件經(jīng)常用惡意代碼感染計算機的行為。您可以為運行Windows 10版本1709和1803或更高版本，Windows Server版本1803（半年通道）或更高版本或Windows Server 2019的計算機設(shè)置減少攻擊面的規(guī)則。

要使用減少攻擊面規(guī)則的整個功能集，您需要Windows 10企業(yè)版許可證。使用Windows E5許可證，您可以獲得高級管理功能，包括Microsoft Defender Advanced Threat Protection中可用的監(jiān)視，分析和工作流，以及Microsoft 365安全中心中的報告和配置功能。E3許可證不提供這些高級功能，但是您可以使用事件查看器查看減少攻擊面的規(guī)則事件。

減少攻擊面的規(guī)則針對惡意軟件和惡意應(yīng)用通常用來感染計算機的行為，包括：

Office應(yīng)用程序或Web郵件中嘗試下載或運行文件的可執(zhí)行文件和腳本

模糊或其他可疑腳本

應(yīng)用在正常的日常工作中通常不會啟動的行為

如果啟用了減少攻擊面的規(guī)則，則可以使用審核模式來評估它如何影響您的組織。最好先在審核模式下運行所有規(guī)則，以便您了解它們對業(yè)務(wù)線應(yīng)用程序的影響。許多業(yè)務(wù)線應(yīng)用程序在編寫時就只考慮了有限的安全性，它們可能執(zhí)行類似于惡意軟件的任務(wù)。通過監(jiān)視審核數(shù)據(jù)并添加必要應(yīng)用程序的排除項，您可以部署減少攻擊面的規(guī)則而不會影響生產(chǎn)力。

觸發(fā)的規(guī)則會在設(shè)備上顯示通知。您可以使用公司詳細信息和聯(lián)系信息來自定義通知。該通知還會顯示在Microsoft Defender安全中心和Microsoft 365安全中心中。

有關(guān)配置攻擊面減少規(guī)則的信息，請參閱啟用攻擊面減少規(guī)則。

在Microsoft Defender安全中心中查看減少攻擊面的事件

Microsoft Defender ATP作為警報調(diào)查方案的一部分，提供了有關(guān)事件和阻止的詳細報告。

您可以通過使用高級搜索來查詢Microsoft Defender ATP數(shù)據(jù)。如果使用審核模式，則可以使用高級搜索來了解減少攻擊面的規(guī)則如何影響您的環(huán)境。

這是一個示例查詢：

庫斯托

復(fù)制

DeviceEvents

| where ActionType startswith 'Asr'

在Windows Event Viewer中查看減少攻擊面的事件

您可以查看Windows事件日志，以查看減少攻擊面規(guī)則時創(chuàng)建的事件：

下載評估包，并將文件cfa-events.xml解壓縮到計算機上易于訪問的位置。

在“開始”菜單中鍵入“ 事件查看器 ”以打開Windows事件查看器。

單擊導(dǎo)入自定義視圖...在左側(cè)面板上，下操作。

從文件提取位置選擇文件cfa-events.xml�；蛘撸�直接復(fù)制XML。

單擊確定。

這將創(chuàng)建一個自定義視圖，該視圖進行過濾以僅顯示以下與受控文件夾訪問相關(guān)的事件：

表格1

活動編號描述

5007設(shè)置更改時的事件

1121規(guī)則以阻止模式觸發(fā)時的事件

1122在審核模式下觸發(fā)規(guī)則時的事件

事件日志中的減少攻擊面事件的“引擎版本”是由Microsoft Defender ATP而不是操作系統(tǒng)生成的。Microsoft Defender ATP與Windows 10集成在一起，因此此功能在所有安裝了Windows 10的計算機上均可使用。

減少攻擊面的規(guī)則

以下各節(jié)介紹了15種減少攻擊面的規(guī)則。下表顯示了它們的相應(yīng)GUID，如果您通過組策略或PowerShell配置規(guī)則，則可以使用它們。如果使用Microsoft Endpoint Configuration Manager或Microsoft Intune，則不需要GUID：

表2

規(guī)則名稱圖形用戶界面文件和文件夾排除

阻止來自電子郵件客戶端和Webmail的可執(zhí)行內(nèi)容BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550支持的

阻止所有Office應(yīng)用程序創(chuàng)建子進程D4F940AB-401B-4EFC-AADC-AD5F3C50688A支持的

阻止Office應(yīng)用程序創(chuàng)建可執(zhí)行內(nèi)容3B576869-A4EC-4529-8536-B80A7769E899支持的

阻止Office應(yīng)用程序?qū)⒋�碼注入其他進程75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84支持的

阻止java script或VBScript啟動下載的可執(zhí)行內(nèi)容D3E037E1-3EB8-44C8-A917-57927947596D不支持

阻止執(zhí)行可能被混淆的腳本5BEB7EFE-FD9A-4556-801D-275E5FFC04CC支持的

阻止來自O(shè)ffice宏的Win32 API調(diào)用92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B支持的

阻止可執(zhí)行文件運行，除非它們符合普遍性，年齡或受信任的列表條件01443614-cd74-433a-b99e-2ecdc07bfc25支持的

使用高級防御勒索軟件c1db55ab-c21a-4637-bb3f-a12568109d35支持的

阻止從Windows本地安全授權(quán)子系統(tǒng)（lsass.exe）竊取憑據(jù)9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2支持的

阻止源自PSExec和WMI命令的流程創(chuàng)建d1e49aac-8f56-4280-b9ba-993a6d77406c不支持

阻止從USB運行的不受信任和未簽名的進程b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4支持的

阻止Office通信應(yīng)用程序創(chuàng)建子進程26190899-1602-49e8-8b27-eb1d0a1ce869支持的

阻止Adobe Reader創(chuàng)建子進程7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c支持的

通過WMI事件訂閱阻止持久性e6db77e5-3df2-4cf1-b95a-636979351e5b不支持

每個規(guī)則描述均指示該規(guī)則適用于哪些應(yīng)用程序或文件類型。通常，Office應(yīng)用程序的規(guī)則僅適用于Word，Excel，PowerPoint和OneNote，或者適用于Outlook。除非另有說明，否則減少攻擊面的規(guī)則不適用于任何其他Office應(yīng)用程序。

阻止來自電子郵件客戶端和Webmail的可執(zhí)行內(nèi)容

此規(guī)則阻止以下文件類型從Microsoft Outlook或Outlook.com中的電子郵件以及其他流行的Webmail提供程序啟動：

可執(zhí)行文件（例如.exe，.dll或.scr）

腳本文件（例如PowerShell .ps，VisualBasic .vbs或java script .js文件）

在以下情況中引入了此規(guī)則：Windows 10 1709，Windows Server 1809，Windows Server 2019，Microsoft Endpoint Configuration Manager CB 1710

Intune名稱：從電子郵件（Webmail /郵件客戶端）中刪除的可執(zhí)行內(nèi)容（exe，dll，ps，js，vbs等）的執(zhí)行（無例外）

Microsoft Endpoint Configuration Manager名稱：阻止來自電子郵件客戶端和Webmail的可執(zhí)行內(nèi)容

向?qū)В築E9BA2D9-53EA-4CDC-84E5-9B1EEEE46550

阻止所有Office應(yīng)用程序創(chuàng)建子進程

此規(guī)則阻止Office應(yīng)用創(chuàng)建子進程。這包括Word，Excel，PowerPoint，OneNote和Access。

這是一種典型的惡意軟件行為，尤其是使用VBA宏并利用代碼下載并嘗試運行其他有效負載的濫用Office作為向量的惡意軟件。某些合法的業(yè)務(wù)應(yīng)用程序也可能會使用類似的行為，包括生成命令提示符或使用PowerShell配置注冊表設(shè)置。

在以下情況中引入了此規(guī)則：Windows 10 1709，Windows Server 1809，Windows Server 2019，Configuration Manager CB 1710

Intune名稱：Office應(yīng)用程序啟動子進程

配置管理器名稱：阻止Office應(yīng)用程序創(chuàng)建子進程

GUID：D4F940AB-401B-4EFC-AADC-AD5F3C50688A

阻止Office應(yīng)用程序創(chuàng)建可執(zhí)行內(nèi)容

此規(guī)則通過阻止將惡意代碼寫入磁盤來防止Office應(yīng)用程序（包括Word，Excel和PowerPoint）創(chuàng)建潛在的惡意可執(zhí)行內(nèi)容。

濫用Office作為媒介的惡意軟件可能會嘗試脫離Office并將惡意組件保存到磁盤。這些惡意組件將在計算機重新啟動后幸存下來并保留在系統(tǒng)上。因此，該規(guī)則防御了常見的持久性技術(shù)。

該規(guī)則引入于：Windows 10 1709，Windows Server 1809，Windows Server 2019，SCCM CB 1710

Intune名稱：Office應(yīng)用程序/宏創(chuàng)建可執(zhí)行內(nèi)容

SCCM名稱：阻止Office應(yīng)用程序創(chuàng)建可執(zhí)行內(nèi)容

GUID：3B576869-A4EC-4529-8536-B80A7769E899

阻止Office應(yīng)用程序?qū)⒋�碼注入其他進程

攻擊者可能試圖使用Office應(yīng)用程序通過代碼注入將惡意代碼遷移到其他進程，因此代碼可能偽裝成干凈的進程。此規(guī)則阻止將代碼從Office應(yīng)用程序注入嘗試到其他進程。使用代碼注入沒有已知的合法商業(yè)目的。

此規(guī)則適用于Word，Excel和PowerPoint。

在以下情況中引入了此規(guī)則：Windows 10 1709，Windows Server 1809，Windows Server 2019，Configuration Manager CB 1710

Intune名稱：Office應(yīng)用程序?qū)⒋�碼注入其他進程（無例外）

配置管理器名稱：阻止Office應(yīng)用程序?qū)⒋�碼注入其他進程

GUID：75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84

阻止java script或VBScript啟動下載的可執(zhí)行內(nèi)容

惡意軟件通常使用java script和VBScript腳本啟動其他惡意應(yīng)用程序。

用java script或VBS編寫的惡意軟件通常充當下載程序，以從Internet提取并啟動其他本機有效負載。此規(guī)則可防止腳本啟動下載的內(nèi)容，從而有助于防止惡意使用腳本來傳播惡意軟件并感染計算機。這不是常見的業(yè)務(wù)用途，但是業(yè)務(wù)應(yīng)用程序有時會使用腳本來下載和啟動安裝程序。

重要

文件和文件夾排除不適用于此減少攻擊面的規(guī)則。

在以下情況中引入了此規(guī)則：Windows 10 1709，Windows Server 1809，Windows Server 2019，Configuration Manager CB 1710

Intune名稱：執(zhí)行從Internet下載的有效負載的js / vbs（無例外）

配置管理器名稱：阻止java script或VBScript啟動下載的可執(zhí)行內(nèi)容

GUID：D3E037E1-3EB8-44C8-A917-57927947596D

阻止執(zhí)行可能被混淆的腳本

腳本混淆是惡意軟件作者和合法應(yīng)用程序用來隱藏知識產(chǎn)權(quán)或減少腳本加載時間的常用技術(shù)。此規(guī)則檢測混淆腳本中的可疑屬性。

在以下情況中引入了此規(guī)則：Windows 10 1709，Windows Server 1809，Windows Server 2019，Configuration Manager CB 1710

Intune名稱：混淆的js / vbs / ps /宏代碼

配置管理器名稱：阻止執(zhí)行可能被混淆的腳本。

GUID：5BEB7EFE-FD9A-4556-801D-275E5FFC04CC

阻止來自O(shè)ffice宏的Win32 API調(diào)用

Office VBA提供了使用Win32 API調(diào)用的功能，惡意代碼可能會濫用這些調(diào)用。大多數(shù)組織不使用此功能，但仍可能依賴使用其他宏功能。此規(guī)則使您可以防止在VBA宏中使用Win32 API，從而減少了攻擊面。

在以下情況中引入了此規(guī)則：Windows 10 1709，Windows Server 1809，Windows Server 2019，Configuration Manager CB 1710

Intune名稱：Win32從Office宏代碼導(dǎo)入

配置管理器名稱：阻止來自O(shè)ffice宏的Win32 API調(diào)用

GUID：92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B

阻止可執(zhí)行文件運行，除非它們符合普遍性，年齡或受信任的列表條件

該規(guī)則阻止以下文件類型的啟動，除非它們符合流行程度或年齡標準，或者位于受信任列表或排除列表中：

可執(zhí)行文件（例如.exe，.dll或.scr）

注意

您必須啟用云交付保護才能使用此規(guī)則。

重要

除非具有GUID 01443614-cd74-433a-b99e-2ecdc07bfc25 的普遍性，年齡或受信任列表條件，否則禁止運行可執(zhí)行文件規(guī)則由Microsoft擁有，并且未由管理員指定。它使用云提供的保護來定期更新其可信列表。

您可以指定單個文件或文件夾（使用文件夾路徑或完全限定的資源名稱），但不能指定適用于哪些規(guī)則或排除項。

在以下情況中引入了此規(guī)則：Windows 10 1803，Windows Server 1809，Windows Server 2019，Configuration Manager CB 1802

Intune名稱：不符合普遍性，年齡或受信任列表條件的可執(zhí)行文件。

配置管理器名稱：阻止可執(zhí)行文件運行，除非它們符合普遍性，期限或受信任的列表條件

GUID：01443614-cd74-433a-b99e-2ecdc07bfc25

使用高級防御勒索軟件

該規(guī)則為抵御勒索軟件提供了額外的保護。它掃描進入系統(tǒng)的可執(zhí)行文件，以確定它們是否可信。如果文件與勒索軟件極為相似，則此規(guī)則將阻止它們運行，除非它們位于受信任的列表或排除列表中。

注意

您必須啟用云交付保護才能使用此規(guī)則。

在以下情況中引入了此規(guī)則：Windows 10 1803，Windows Server 1809，Windows Server 2019，Configuration Manager CB 1802

Intune名稱：高級勒索軟件防護

配置管理器名稱：使用高級防御勒索軟件

GUID：c1db55ab-c21a-4637-bb3f-a12568109d35

阻止從Windows本地安全授權(quán)子系統(tǒng)（lsass.exe）竊取憑據(jù)

本地安全機構(gòu)子系統(tǒng)服務(wù)（LSASS）對登錄Windows計算機的用戶進行身份驗證。Windows 10中的Microsoft Defender憑據(jù)保護通常會阻止嘗試從LSASS中提取憑據(jù)。但是，由于自定義智能卡驅(qū)動程序或加載到本地安全機構(gòu)（LSA）的其他程序的兼容性問題，某些組織無法在所有計算機上啟用Credential Guard。在這種情況下，攻擊者可以使用Mimikatz之類的工具從LSASS抓取明文密碼和NTLM哈希。該規(guī)則通過鎖定LSASS來幫助減輕這種風(fēng)險。

注意

在某些應(yīng)用中，代碼枚舉了所有正在運行的進程，并嘗試以詳盡的權(quán)限打開它們。該規(guī)則拒絕應(yīng)用程序的進程打開操作，并將詳細信息記錄到安全事件日志中。這個規(guī)則會產(chǎn)生很多噪音。如果您的應(yīng)用程序枚舉了LSASS，則需要將其添加到排除列表中。就其本身而言，此事件日志條目不一定表示惡意威脅。

在以下情況中引入了此規(guī)則：Windows 10 1803，Windows Server 1809，Windows Server 2019，Configuration Manager CB 1802

Intune名稱：標記從Windows本地安全機構(gòu)子系統(tǒng)竊取的憑據(jù)

配置管理器名稱：阻止從Windows本地安全授權(quán)子系統(tǒng)竊取憑據(jù)

GUID：9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2

阻止源自PSExec和WMI命令的流程創(chuàng)建

該規(guī)則阻止運行通過PsExec和WMI命令的進程，以防止執(zhí)行可能傳播惡意軟件攻擊的遠程代碼。

重要

文件和文件夾排除不適用于此攻擊面減少規(guī)則。

警告

僅在使用Intune或其他MDM解決方案管理設(shè)備時，才使用此規(guī)則。此規(guī)則與通過Microsoft Endpoint Configuration Manager進行的管理不兼容，因為此規(guī)則會阻止Configuration Manager客戶端正常使用的WMI命令。

在以下情況中引入了此規(guī)則：Windows 10 1803，Windows Server 1809，Windows Server 2019

Intune名稱：通過PSExec和WMI命令創(chuàng)建進程

配置管理器名稱：不適用

GUID：d1e49aac-8f56-4280-b9ba-993a6d77406c

阻止從USB運行的不受信任和未簽名的進程

使用此規(guī)則，管理員可以阻止未簽名或不受信任的可執(zhí)行文件從USB可移動驅(qū)動器（包括SD卡）運行。被阻止的文件類型包括：

可執(zhí)行文件（例如.exe，.dll或.scr）

腳本文件（例如PowerShell .ps，VisualBasic .vbs或java script .js文件）

在以下情況中引入了此規(guī)則：Windows 10 1803，Windows Server 1809，Windows Server 2019，Configuration Manager CB 1802

Intune名稱：從USB運行的不受信任和未簽名的進程

配置管理器名稱：阻止從USB運行的不受信任和未簽名的進程

GUID：b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4

阻止Office通信應(yīng)用程序創(chuàng)建子進程

此規(guī)則可防止Outlook創(chuàng)建子進程。它可以抵御社會工程學(xué)攻擊，并防止漏洞利用代碼濫用Outlook中的漏洞。為實現(xiàn)此目的，該規(guī)則可防止啟動其他有效負載，同時仍允許合法的Outlook功能。它還可以防止Outlook規(guī)則和形式的攻擊，攻擊者可以在用戶的憑據(jù)被泄露時使用這些攻擊。

注意

此規(guī)則僅適用于Outlook和Outlook.com。

在以下情況中引入了此規(guī)則：Windows 10 1809，Windows Server 1809，Windows Server 2019

Intune名稱：從Office通信產(chǎn)品（測試版）創(chuàng)建流程

配置管理器名稱：尚不可用

GUID：26190899-1602-49e8-8b27-eb1d0a1ce869

阻止Adobe Reader創(chuàng)建子進程

通過社會工程或漏洞利用，惡意軟件可以下載并啟動其他有效負載，并脫離Adobe Reader。該規(guī)則通過阻止Adobe Reader創(chuàng)建其他進程來防止此類攻擊。

在以下情況中引入了此規(guī)則：Windows 10 1809，Windows Server 1809，Windows Server 2019

Intune名稱：從Adobe Reader（測試版）創(chuàng)建流程

配置管理器名稱：尚不可用

GUID：7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c

通過WMI事件訂閱阻止持久性

無文件威脅使用各種策略來保持隱藏狀態(tài)，以避免在文件系統(tǒng)中被看到，并獲得定期執(zhí)行控制。某些威脅可能會濫用WMI存儲庫和事件模型以使其保持隱藏狀態(tài)。使用此規(guī)則，管理員可以防止濫用WMI的威脅持續(xù)存在并隱藏在WMI存儲庫中。

引入了以下規(guī)則：Windows 10 1903，Windows Server 1903

Intune名稱：通過WMI事件訂閱阻止持久性

配置管理器名稱：尚不可用

GUID：e6db77e5-3df2-4cf1-b95a-636979351e5b