MS Defender for Endpoint 的Windows 安全性增強功能

Microsoft Defender for Endpoint提供了各種工具，可透過減少攻擊面來消除風險，而不會影響使用者的工作效率。

攻擊面減少(Attack Surface Reduction)是一種強化，這種強化是可能被攻擊的威脅。在執行告警調查時，應該了解電腦上攻擊面減少產生的事件，這可能會提供取證證據。

以下項目是攻擊面減少的組件清單：

• Attack surface reduction rules
  透過有助於阻止惡意軟體的智慧規則減少應用程式中的漏洞（攻擊面）。 （需要 Microsoft Defender 防毒軟體）。
• Hardware-based isolation
  在系統啟動和運作時保護和維護系統的完整性。透過本地和遠端證明驗證系統完整性。使用 Microsoft Edge 的容器隔離來協助防範惡意網站。
• Application control
  使用應用程式控制，以便應用程式必須取得信任才能運作。
• Exploit protection
  協助保護組織所使用的作業系統和應用程式免遭利用。漏洞利用防護還可以與第三方防毒解決方案搭配使用。
• Network protection
  將保護擴展到組織設備上的網路流量和連接。 （需要 Microsoft Defender 防毒軟體）
• Web protection
  保護裝置免受網路威脅並幫助組織監管不需要的內容。
• Controlled folder access
  協助防止惡意或可疑應用程式（包括檔案加密勒索軟體惡意軟體）更改關鍵系統資料夾中的檔案（需要 Microsoft Defender 防毒軟體）
• Device control
  透過監控和控制組織中裝置（例如可移動儲存和 USB 磁碟機）上使用的媒體來防止資料遺失。

啟用attack surface reduction rules

攻擊面包括攻擊者可能危害組織的設備或網路的所有位置。減少攻擊面意味著保護組織的設備和網絡，從而減少攻擊者執行攻擊的方式。

攻擊面減少規則針對的是攻擊者經常使用的某些軟體行為。此類行為包括：

• 啟動嘗試下載或運行檔案的可執行檔和腳本
• 運行混淆的(obfuscated)或其他可疑的腳本
• 執行應用程式在正常日常作業中通常不會啟動的行為

此類軟體行為有時會出現在合法應用程式中；然而，這些行為通常被認為是有風險的，因為它們通常被惡意軟體給使用。"減少攻擊面"的規則可以限制危險行為並幫助確保組織安全。

每個攻擊面減少規則包含以下四種設定之一：

• Not configured：停用攻擊面減少規則
• Block：啟用攻擊面減少規則
• Audit：評估攻擊面減少規則（如果啟用）將如何影響組織
• Warm：啟用攻擊面減少規則，但允許End user bypass這一個block

Attack surface reduction rules

攻擊面減少規則目前支援以下規則:

• 封鎖來自email client和webmail的可執行內容
• 封鎖所有 Office 應用程式建立子進程(child processes)
• 封鎖Office 應用程式建立執行內容
• 封鎖Office 應用程式將代碼注入其他processes
• 封鎖 JavaScript 或 VBScript 啟動下載的可執行內容
• 封鎖執行可能被混淆的腳本
• 封鎖來自 Office 巨集的 Win32 API 呼叫
• 使用進階防護來防禦勒索軟體
• 封鎖從 Windows 本機安全性授權子系統 (lsass.exe) 竊取憑證
• 封鎖源自 PSExec 和 WMI 命令的process creations
• 封鎖從 USB 運行的不受信任和未簽署的進程
• 封鎖可執行檔案運行，除非它們符合相關度、age或受信任清單標準
• 封鎖Office 通訊應用程式建立子進程
• 封鎖Adob​​e Reader 建立子進程
• 透過 WMI 事件訂閱封鎖persistence

Exclude files and folders from attack surface reduction rules

我們可以將檔案和資料夾排除在大多數攻擊面減少規則的評估之外。這意味著即使攻擊面減少規則確定檔案或資料夾包含惡意行為，它也不會阻止該檔案運行，這也意味著潛在的不安全文件可能會被允許運行並感染設備。

透過允許指定的 Defender for Endpoint 檔案和憑證指示器(certificate indicators)，我們可以根據憑證和檔案雜湊排除攻擊面減少規則的觸發。

我們可以指定單一檔案或資料夾（使用資料夾路徑或完全限定的資源名稱），但無法指定排除項目適用於哪些規則。只有當排除的應用程式或服務啟動時才套用排除。例如，如果為已執行的更新服務新增排除項，則更新服務將繼續觸發事件，直到該服務停止並重新啟動。

Audit mode for evaluation

使用稽核模式來評估攻擊面減少規則在啟用後將如何影響組織。最好先在稽核模式下執行所有規則，以便我們可以了解它們對業務線應用程式的影響。許多業務線應用程式在編寫大都不太關心安全性問題，並且它們可能以類似於惡意軟體的方式運行。透過監控稽核資料並新增必要應用程式的排除項，我們可以部署攻擊面減少規則，而不會影響工作效率。

每當規則被觸發時，設備上就會顯示一則通知。我們可以使用公司詳細資訊和聯絡資訊自訂通知。該通知也會顯示在 Microsoft Defender 網站中。

配置attack surface reduction rules

規則支援以下Windows 版本：

• Windows 10 Pro, version 1709 or later
• Windows 10 Enterprise, version 1709 or later
• Windows Server, version 1803 (Semi-Annual Channel) or later
• Windows Server 2019
• Windows Server 2016
• Windows Server 2012 R2
• Windows Server 2022

啟用規則可以用以下方式:

• Microsoft Intune
• Mobile Device Management (MDM)
• Microsoft Endpoint Configuration Manager
• Group Policy
• PowerShell

建議使用企業級管理，例如 Intune 或 Microsoft Endpoint Configuration Manager。企業級管理將在啟動時處裡任何衝突的群組原則或 PowerShell 設定。

Intune

Device Configuration Profiles:

1. 選擇Device configuration > Profiles。選擇現有的端點保護設定檔或建立新的端點保護設定檔。若要建立新的設定檔，選擇Create profile並輸入該設定檔的資訊。對於設定檔類型，選擇 Endpoint protection。如果選擇了現有設定檔案，請選擇“Properties”，然後選擇“Settings”。
2. 在“ Endpoint protection”窗格中，選擇“Windows Defender Exploit Guard”，然後選擇“Attack Surface Reduction”。為每個規則選擇所需的設定。
3. 在攻擊面減少例外下，輸入單一檔案和資料夾。也可以選擇匯入來匯入 CSV 文件，其中包含要從攻擊面減少規則中排除的文件和資料夾。 CSV 檔案中的每一行的格式應如下所示：
   C:\folder, %ProgramFiles%\folder\file, C:\path
4. 在三個配置窗格中選擇「OK」。然後，如果要建立新的端點保護設定檔，請選擇「Create」；如果要編輯現有端點保護設定檔，請選擇「儲存」。

Endpoint security policy:

1. 選擇Endpoint Security > Attack surface reduction。選擇現有規則或建立新規則。若要建立新的設定，請選擇“Create Policy”並輸入該設定檔的資訊。對於設定檔類型，選擇攻擊面減少規則。如果選擇了現有設定檔，選擇“Properties”，然後選擇“Settings”。
2. 在Configuration settings視窗中，選擇Attack Surface Reduction，然後為每個規則選擇所需的設定。
3. 在List of additional folders that need to be protected、List of apps that have access to protected folders與 Exclude files and paths from attack surface reduction rules​​，輸入各個檔案和資料夾。也可以選擇匯入來匯入 CSV 文件，其中包含要從攻擊面減少規則中排除的文件和資料夾。 CSV 檔案中的每一行的格式應如下所示：
   C:\folder, %ProgramFiles%\folder\file, C:\path
4. 在三個配置窗格中選擇“下一步”，然後選擇“建立”（如果要建立新政策）或“儲存”（如果要編輯現有政策）

Mobile device management

若要管理行動裝置管理中的攻擊面減少規則：

• 使用 ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules 設定服務提供者 (CSP) 單獨啟用並設定每個規則的模式。
• 遵循使用 GUID 值的攻擊面減少規則中的行動裝置管理參考。
• OMA-URI 路徑：./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules
• Value：75668C1F-73B5–4CF0-BB93–3ECF5CB7CC84=2|3B576869-A4EC-4529–8536-B80A7769E899=1|D4F940AB-401B-4Ef320001C423(D23203202020 4C8-A917–57927947596D=1| 5BEB7EFE-FD9A-4556–801D-275E5FFC04CC=0|BE9BA2D9–53EA-4CDC-84E5–9B1EEEE46550=1
• 若要啟用、停用或在稽核模式下啟用的Value為：
  Disable = 0
  Block (enable attack surface reduction rule) = 1
  Audit = 2
• Use the ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions configuration service provider (CSP) to add exclusions.

Microsoft Endpoint Configuration Manager

若要在 Microsoft Endpoint Configuration Manager 中管理攻擊面減少規則，執行下列操作：

1. 在 Microsoft 端點設定管理員中，前往Assets and Compliance > Endpoint Protection > Windows Defender Exploit Guard。
2. 選擇Home > Create Exploit Guard Policy。
3. 輸入名稱和描述，選擇Attack Surface Reduction，然後選擇下一步。
4. 選擇哪些規則將阻止或審核操作，然後選擇下一步。
5. 檢查設定並選擇“下一步”以建立政策。
6. 建立政策後，選擇「關閉」。

Group policy

PS:如果使用 Intune、Configuration Manager 或其他企業級管理平台管理電腦和設備，管理軟體將在啟動時覆寫任何衝突的群組原則設定。

要管理群組原則中的攻擊面減少規則：

1. 在群組原則管理電腦上，開啟群組原則管理控制台，右鍵點選要設定的群組原則對象，然後選擇編輯。
2. 在群組原則管理編輯器中，前往電腦配置並選擇管理範本。
3. 將樹狀展開到 Windows components > Microsoft Defender Antivirus > Windows Defender Exploit Guard > Attack surface reduction。
4. 選擇Configure Attack surface reduction rules並選擇Enabled。然後，可以在選項部分中設定每個規則的單獨狀態。
5. 選擇顯示…，然後在值名稱列中輸入規則 ID，並在Value name column中輸入選擇的狀態，如下所示：
   Disable = 0 Block (enable attack surface reduction rule) = 1 Audit = 2
6. 若要將檔案和資料夾從攻擊面減少規則中排除，請選擇「Exclude files and paths from Attack surface reduction rules」設置，並將該選項設為「Enabled」。選擇顯示並在Value name column中輸入每個檔案或資料夾。在每個項目的 Value column中輸入 0。

PowerShell

若要使用 PowerShell 管理攻擊面減少規則：

1. Type PowerShell in the Start menu, right-click Windows PowerShell, and select Run as administrator.
2. Enter the following cmdlet:

Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Enabled

3. To enable attack surface reduction rules in audit mode, use the following cmdlet:

Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions AuditMode

4. To turn off attack surface reduction rules, use the following cmdlet:

Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Disabled

5. You must specify the state individually for each rule, but you can combine rules and states in a comma-separated list.

6. In the following example, the first two rules will be enabled, the third rule will be disabled, and the fourth rule will be enabled in audit mode:

Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID 1>,<rule ID 2>,<rule ID 3>,<rule ID 4> -AttackSurfaceReductionRules_Actions Enabled, Enabled, Disabled, AuditMode

7. You can also use the Add-MpPreference PowerShell verb to add new rules to the existing list.

8. Set-MpPreference will always overwrite the existing set of rules. If you want to add to the existing set, you should use Add-MpPreference instead. You can obtain a list of rules and their current state by using Get-MpPreference

9. To exclude files and folders from attack surface reduction rules, use the following cmdlet:

Add-MpPreference -AttackSurfaceReductionOnlyExclusions "<fully qualified path or resource>"

10. Continue to use Add-MpPreference -AttackSurfaceReductionOnlyExclusions to add more files and folders to the list.

PS: Use Add-MpPreference to append or add apps to the list. Using the Set-MpPreference cmdlet will overwrite the existing list