Компонент «Сокращение возможных направлений атак» может блокировать типичные действия вредоносного ПО на устройствах Windows 10 на основе наборов правил, в частности предотвращать исполнение обфусцированных скриптов, исполняемого контента в почтовых клиентах или документах Office.
Для работы функции должна быть включена защита реального времени в приложении Безопасность Windows.
Правила защитного модуля «Сокращение возможных направлений атак»
Следующие правила доступны в Windows 10:
Имя правила | GUID |
---|---|
Блокировать исполняемый контент в почтовых клиентах и веб-почте | BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550 |
Блокировать все приложения Office от создания дочерних процессов | D4F940AB-401B-4EFC-AADC-AD5F3C50688A |
Блокировать приложения Office от создания исполняемого контента | 3B576869-A4EC-4529-8536-B80A7769E899 |
Блокировать приложения Office от внедрения кода в другие процессы | 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84 |
Блокировать JavaScript или VBScript от запуска из загруженного исполняемого контента | D3E037E1-3EB8-44C8-A917-57927947596D |
Блокировать выполнение потенциально непрозрачных скриптов | 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC |
Блокировать запросы API Win32 из макроса Office | 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B |
Блокировать исполняемые файлы от запуска, если они не соответствуют критериям распространенности, возраста или доверенного списка | 01443614-cd74-433a-b99e-2ecdc07bfc25 |
Использовать расширенную защиту от программ-шантажистов | c1db55ab-c21a-4637-bb3f-a12568109d35 |
Блокировать кражу учетных данных из локальной системы безопасности Windows (lsass.exe) | 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 |
Блокировать создания процессов, происходящих из команд PSExec и WMI | d1e49aac-8f56-4280-b9ba-993a6d77406c |
Блокировать ненадежные и неподписанные процессы, которые запускаются с USB | b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 |
Блокировать приложения Office для коммуникации от создания дочерних процессов | 26190899-1602-49e8-8b27-eb1d0a1ce869 |
Блокировать Adobe Reader от создания дочерних процессов | 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c |
Правила применяются к следующим приложениям Office:
- Microsoft Word
- Microsoft Excel
- Microsoft PowerPoint
- Microsoft OneNote
Правила не применяются к другим приложениям Office.
Настройка правил уменьшения уязвимой зоны
Функцию уменьшения числа возможных направлений атаки можно настроить тремя различными способами
- С помощью групповых политик.
- С помощью командной строки PowerShell.
- С помощью интерфейса MDM CSP.
Групповые политики
Вы можете настроить функцию «Сокращение возможных направлений атак» с помощью групповых политик.
Примечание: данный способ подходит для пользователей Windows 10 Pro. Пользователям Windows 10 Домашняя редактор групповых политик недоступен, но можно использовать сторонние решения.
- Нажмите клавишу Windows, введите gpedit.msc и выберите объект, предлагаемый службой поиска Windows.
- Перейдите в Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Антивирусная программа “Защитник Windows” > Exploit Guard в Защитнике Windows > Сокращение возможных направлений атак.
- Выберите политику Настроить правила сокращения возможных направлений атаки и щелкните по ней дважды.
- Выберите опцию “Включено” и нажмите кнопку “Показать...”, чтобы загрузить окно “Вывод содержания”.
Вывод содержания - таблица, которая принимает одно правило сокращения поверхности атаки для каждой строки. Имя значения - это идентификатор GUID, указанный в приведенной выше таблице. Возможны следующие параметры поля Значение:
- 0 = отключено. Правило будет неактивно.
- 1 = включено. Правило будет активно, блокировка будет выполняться.
- 2 = режим аудита. Каждое событие будет записано в журнал событий Windows, но правило не будет выполняться.
PowerShell
Для настройки правил можно использовать командную строку PowerShell.
- Нажмите клавишу Windows, введите PowerShell и удерживая клавиши Ctrl + Shift выберите объект PowerShell, предлагаемый службой поиска Windows. В результате будет запущена командная строка PowerShell с правами администратора.
- Чтобы изменить статус функции, запустите команду:
Set-MpPreference -EnableControlledFolderAccess Enabled
Используйте следующую команду для добавления правила режима блокировки:
Set-MpPreference -AttackSurfaceReductionRules_Ids rule_ID -AttackSurfaceReductionRules_Actions Enabled
Включить функцию в режиме аудита можно с помощью следующей команды:
Set-MpPreference -AttackSurfaceReductionRules_Ids rule_ID -AttackSurfaceReductionRules_Actions AuditMode
Чтобы установить статус правила “отключено” используйте команду:
Set-MpPreference -AttackSurfaceReductionRules_Ids rule_ID -AttackSurfaceReductionRules_Actions Disabled
Вы можете комбинировать несколько правил в одной команде, разделяя каждое правило запятой и перечисляя состояния отдельно для каждого правила:
Set-MpPreference -AttackSurfaceReductionRules_Ids rule_ID1, rule_ID2, rule_ID3 -AttackSurfaceReductionRules_Actions Disabled, Enabled, Enabled
Примечание: Вы можете использовать
Set-MpPreference
илиAdd-MpPreference
. Команда Set всегда будет перезаписывать существующий набор правил, а командаAdd
добавляет новые правила, не перезаписывая существующие правила.
Вы можете отобразить набор правил с помощью команды Get-MpPreference
.
События функции «Сокращение возможных направлений атак»
Система Windows создает записи в журнале событий при изменении настроек, а также при срабатывании событий в режимах блокировки и аудита.
- Загрузите Exploit Guard Evaluation Package с сайта Microsoft и извлеките его на локальную систему.
- Нажмите на клавишу Windows, введите Просмотр событий и выберите одноименный объект, предлагаемый службой поиска Windows.
- Выберите Действие > Импорт настраиваемого представления.
- Выберите извлеченный файл asr-events.xml, чтобы добавить его как пользовательское представление.
- Нажмите ОК на следующем экране. При желании можно добавить описание.
В пользовательском представлении отображаются следующие события:
- Event 1121 - события режима блокировки
- Event 1122 - события режима аудита
- Event 5007 - изменение настроек.
Исключение файлов и папок
В случае необходимости пользователь может добавить файлы и папки в исключения чтобы наборы правил функции «Сокращение возможных направлений атак» для них не применялись.
Групповые политики: Перейдите в Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Антивирусная программа “Защитник Windows” > Exploit Guard в Защитнике Windows > Сокращение возможных направлений атак.
Выберите политику “Исключить файлы и пути из правил сокращения возможных направлений атаки” и щелкните по ней дважды. Выберите опцию “Включено” и нажмите кнопку “Показать...”, чтобы загрузить окно “Вывод содержания”. Добавляйте пути файлов или источников в столбец “Имя значения” (например, c:\Windows) и значение “0” в столбец “Значения”.
PowerShell: используйте команду Add-MpPreference -AttackSurfaceReductionOnlyExclusions "<полный путь или ресурс>"
, чтобы добавить файлы или папки в список исключений.
Полезные ссылки
- Включение уменьшения уязвимой зоны
- Настройка правил уменьшения уязвимой зоны
- Уменьшение уязвимой зоны помощью правил уменьшения уязвимой зоны
- Exploit Guard в Защитнике Windows
- Документация Set-MpPreference
- Документация Add-MpPreference
- Документация Get-MpPreference
Последние статьи #Windows
• Обновление KB5046733 (Build 22635.4580) для Windows 11, версия 23H2 (Beta)
• Обновление KB5048780 (Build 26120.2510) для Windows 11, версия 24H2 (Dev): Функции Recall доступны для Copilot+ ПК на базе Intel и AMD
• Новая уязвимость нулевого дня в Windows, включая Windows 11 24H2, раскрывает учетные данные NTLM. Доступен неофициальный патч от 0patch
• «Вторник Патчей», 10 декабря 2024: Eжемесячные обновления безопасности для Windows 11 и Windows 10
• Microsoft выпускает предварительную версию Copilot Vision
• Microsoft подробнее рассказала про функцию «Устранение неполадок с помощью Центра обновления Windows» для Windows 11