Как настроить функцию «Сокращение возможных направлений атак» в Windows 10

2018-10-17 | Автор | комментарии
Сокращение возможных направлений атак (правила уменьшения уязвимой зоны) - новая функция безопасности Exploit Guard Защитника Windows, которая доступна в Windows 10 версия 1809, 1803 и 1709

Как настроить функцию «Сокращение возможных направлений атак» в Windows 10

Компонент «Сокращение возможных направлений атак» может блокировать типичные действия вредоносного ПО на устройствах Windows 10 на основе наборов правил, в частности предотвращать исполнение обфусцированных скриптов, исполняемого контента в почтовых клиентах или документах Office.

Для работы функции должна быть включена защита реального времени в приложении Безопасность Windows.

Правила защитного модуля «Сокращение возможных направлений атак»

Следующие правила доступны в Windows 10:

Имя правила GUID
Блокировать исполняемый контент в почтовых клиентах и веб-почте BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550
Блокировать все приложения Office от создания дочерних процессов D4F940AB-401B-4EFC-AADC-AD5F3C50688A
Блокировать приложения Office от создания исполняемого контента 3B576869-A4EC-4529-8536-B80A7769E899
Блокировать приложения Office от внедрения кода в другие процессы 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84
Блокировать JavaScript или VBScript от запуска из загруженного исполняемого контента D3E037E1-3EB8-44C8-A917-57927947596D
Блокировать выполнение потенциально непрозрачных скриптов 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC
Блокировать запросы API Win32 из макроса Office 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B
Блокировать исполняемые файлы от запуска, если они не соответствуют критериям распространенности, возраста или доверенного списка 01443614-cd74-433a-b99e-2ecdc07bfc25
Использовать расширенную защиту от программ-шантажистов c1db55ab-c21a-4637-bb3f-a12568109d35
Блокировать кражу учетных данных из локальной системы безопасности Windows (lsass.exe) 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2
Блокировать создания процессов, происходящих из команд PSExec и WMI d1e49aac-8f56-4280-b9ba-993a6d77406c
Блокировать ненадежные и неподписанные процессы, которые запускаются с USB b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4
Блокировать приложения Office для коммуникации от создания дочерних процессов 26190899-1602-49e8-8b27-eb1d0a1ce869
Блокировать Adobe Reader от создания дочерних процессов 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c

Правила применяются к следующим приложениям Office:

  • Microsoft Word
  • Microsoft Excel
  • Microsoft PowerPoint
  • Microsoft OneNote

Правила не применяются к другим приложениям Office.

Настройка правил уменьшения уязвимой зоны

Функцию уменьшения числа возможных направлений атаки можно настроить тремя различными способами

  1. С помощью групповых политик.
  2. С помощью командной строки PowerShell.
  3. С помощью интерфейса MDM CSP.

Групповые политики

Вы можете настроить функцию «Сокращение возможных направлений атак» с помощью групповых политик.

Примечание: данный способ подходит для пользователей Windows 10 Pro. Пользователям Windows 10 Домашняя редактор групповых политик недоступен, но можно использовать сторонние решения.

  1. Нажмите клавишу Windows, введите gpedit.msc и выберите объект, предлагаемый службой поиска Windows.
  2. Перейдите в Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Антивирусная программа “Защитник Windows” > Exploit Guard в Защитнике Windows > Сокращение возможных направлений атак.
  3. Выберите политику Настроить правила сокращения возможных направлений атаки и щелкните по ней дважды.
  4. Выберите опцию “Включено” и нажмите кнопку “Показать...”, чтобы загрузить окно “Вывод содержания”.

Сокращение возможных направлений атак в Windows 10 - Групповые политики

Вывод содержания - таблица, которая принимает одно правило сокращения поверхности атаки для каждой строки. Имя значения - это идентификатор GUID, указанный в приведенной выше таблице. Возможны следующие параметры поля Значение:

  • 0 = отключено. Правило будет неактивно.
  • 1 = включено. Правило будет активно, блокировка будет выполняться.
  • 2 = режим аудита. Каждое событие будет записано в журнал событий Windows, но правило не будет выполняться.

PowerShell

Для настройки правил можно использовать командную строку PowerShell.

  1. Нажмите клавишу Windows, введите PowerShell и удерживая клавиши Ctrl + Shift выберите объект PowerShell, предлагаемый службой поиска Windows. В результате будет запущена командная строка PowerShell с правами администратора.
  2. Чтобы изменить статус функции, запустите команду:
Set-MpPreference -EnableControlledFolderAccess Enabled

Используйте следующую команду для добавления правила режима блокировки:

Set-MpPreference -AttackSurfaceReductionRules_Ids rule_ID -AttackSurfaceReductionRules_Actions Enabled

Включить функцию в режиме аудита можно с помощью следующей команды:

Set-MpPreference -AttackSurfaceReductionRules_Ids rule_ID -AttackSurfaceReductionRules_Actions AuditMode

Чтобы установить статус правила “отключено” используйте команду:

Set-MpPreference -AttackSurfaceReductionRules_Ids rule_ID -AttackSurfaceReductionRules_Actions Disabled

Вы можете комбинировать несколько правил в одной команде, разделяя каждое правило запятой и перечисляя состояния отдельно для каждого правила:

Set-MpPreference -AttackSurfaceReductionRules_Ids rule_ID1, rule_ID2, rule_ID3 -AttackSurfaceReductionRules_Actions Disabled, Enabled, Enabled

Примечание: Вы можете использовать Set-MpPreference или Add-MpPreference. Команда Set всегда будет перезаписывать существующий набор правил, а команда Add добавляет новые правила, не перезаписывая существующие правила.

Вы можете отобразить набор правил с помощью команды Get-MpPreference.

События функции «Сокращение возможных направлений атак»

Система Windows создает записи в журнале событий при изменении настроек, а также при срабатывании событий в режимах блокировки и аудита.

  1. Загрузите Exploit Guard Evaluation Package с сайта Microsoft и извлеките его на локальную систему.
  2. Нажмите на клавишу Windows, введите Просмотр событий и выберите одноименный объект, предлагаемый службой поиска Windows.
  3. Выберите Действие > Импорт настраиваемого представления.
  4. Выберите извлеченный файл asr-events.xml, чтобы добавить его как пользовательское представление.
  5. Нажмите ОК на следующем экране. При желании можно добавить описание.

В пользовательском представлении отображаются следующие события:

  • Event 1121 - события режима блокировки
  • Event 1122 - события режима аудита
  • Event 5007 - изменение настроек.

Исключение файлов и папок

В случае необходимости пользователь может добавить файлы и папки в исключения чтобы наборы правил функции «Сокращение возможных направлений атак» для них не применялись.

Групповые политики: Перейдите в Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Антивирусная программа “Защитник Windows” > Exploit Guard в Защитнике Windows > Сокращение возможных направлений атак.

Выберите политику “Исключить файлы и пути из правил сокращения возможных направлений атаки” и щелкните по ней дважды. Выберите опцию “Включено” и нажмите кнопку “Показать...”, чтобы загрузить окно “Вывод содержания”. Добавляйте пути файлов или источников в столбец “Имя значения” (например, c:\Windows) и значение “0” в столбец “Значения”.

PowerShell: используйте команду Add-MpPreference -AttackSurfaceReductionOnlyExclusions "<полный путь или ресурс>", чтобы добавить файлы или папки в список исключений.

Полезные ссылки

Нашли опечатку? Выделите и нажмите Ctrl+Enter

Комментарии и отзывы

Добавляя комментарий, ознакомьтесь с Правилами сообщества