на правила за намаляване на повърхността на атаката (ASR) в Windows Те са се превърнали в един от крайъгълните камъни на съвременната сигурност в корпоративни среди. Те са част от Microsoft Defender Antivirus и Microsoft Defender for Endpoint. Тяхната цел е да елиминират всички онези точки, където обикновено се прониква злонамерен софтуер: необичайни скриптове, подозрителни макроси, неизвестни изпълними файлове, злоупотреба със системни инструменти и др. Когато са правилно конфигурирани, те правят мрежата ви много по-трудна за компрометиране.
Въпреки това, да се приложат правилно правилата на ASR Не става въпрос просто за активиране на всичко в режим „Блокиране“ и приключване на деня. Има предварителни изисквания, различни методи за внедряване (Intune, GPO, MDM, PowerShell, Configuration Manager), режими на работа (одит, предупреждение, блокиране) и голям брой правила с GUID и много специфични поведения. Обясняваме всичко по-долу.
Какво е ASR в Windows и защо трябва да го използвате?
Когато говорим за това повърхност за атака в Windows Имаме предвид всички точки, където атакуващият би могъл да изпълни код или да постигне постоянство: макроси на Office, изтеглени изпълними файлове, скриптове, драйвери, системни инструменти и много други. Правилата за намаляване на повърхността на атаката Microsoft Defender Те са насочени точно към тези вектори на злоупотреба, ограничавайки рисковото поведение, без да разчитат единствено на класически антивирус, базиран на сигнатури.
Правилата на ASR се фокусират върху типични модели на поведение на злонамерен софтуер. Някои примери включват: стартиране на подозрителни фонови процеси от Office, изпълнение на обфускирани скриптове, стартиране на изпълними файлове, изтеглени чрез JavaScript/VBScript, или злонамерено използване на уязвими подписани драйвери. Някои легитимни приложения може да правят нещо подобно, но идеята е, че тези случаи трябва да са малцинство и могат да се управляват с добре дефинирани изключения.
Използването на ASR означава, че вашата организация Това предлага по-малко възможности на нападателите да разчитате на инструменти, които вече съществуват на вашите компютри (PowerShell, WMI, PsExec, Office и др.).
Важно е да се гарантира това Антивирусната програма на Microsoft Defender е в активен режимНяма смисъл да го държите в пасивен режим или деактивиран, ако искате да се възползвате от правилата за ASR. Той трябва да е основният антивирус на системата. Освен това, защитата в реално време трябва да е активирана на всички устройства.
Друг критичен аспект е Защита, базирана в облака или Защита от облачна доставка). Няколко правила изискват облакът да определи дали даден файл е често срещан, надежден или подобен на ransomware. Без свързаност с облачните услуги на Defender ще загубите голяма част от потенциала на ASR, особено за правила като изпълними файлове, базирани на разпространение или разширена защита от ransomware. За да се поддържа тази възможност, е важно да се прегледа сигурност в Windows 11 и свързани актуализации.
Режими на работа на правилата на ASR
Всяко правило за намаляване на повърхността на атаката е конфигурирано с специфичен режим или състояние. Това определя поведението му на устройството. Тези състояния са ключови за проектирането на стратегия за внедряване, без да се нарушава работата на бизнес приложенията.
Кодовете, приемани от Microsoft Defender за правилата на ASR, са следните: 0 за деактивирано/неконфигурирано1 за режим на блокиране, 2 за режим на одит и 6 за режим на предупреждение. Същите тези стойности се използват в GPO, MDM, Configuration Manager и Defender CSP, така че е важно да сте запознати с тях.
- Modo Блок (0). Това е методът, който всъщност предотвратява действието на компютъра. Когато правило за блокиране открие поведение, което съответства на неговия модел (например Word се опитва да стартира PowerShell), то спира операцията и може да покаже известие на потребителя в зависимост от конфигурацията. Това е режимът, който искате да използвате, след като сте тествали щателно правилото във вашата среда.
- Режим на одит (2). Това е най-добрият ви съюзник за тестване: не блокира поведение, но регистрира събития, които ви позволяват да видите какво би било спряно, ако правилото беше в режим на блокиране. Тази информация се показва в инструмента за преглед на събития, в Defender for Endpoint и в разширени заявки (например чрез филтриране на DeviceEvents по ActionType, който започва с „Asr“). Оттам вие решавате кои приложения трябва да изключите.
- Modo Предупреждение (6). Предлага междинен режим на работа. Правилото блокира съдържанието, но показва диалогов прозорец на потребителя, указващ, че е потенциално опасно, което му позволява да го деблокира за 24 часа. След това време блокирането се активира отново.
Видове ASR правила и препоръчителна класификация
Microsoft групира правилата за намаляване на повърхността на атаката в две основни категории: стандартни правила за защита, които се препоръчва да бъдат активирани почти винаги, и от друга страна, другите правила, които обикновено изискват по-внимателен цикъл на тестване (планиране > одит > блокиране/предупреждение).
Стандартните правила за защита включват, наред с други неща, следното: Блокирайте злоупотребата с уязвими, експлоатирани подписани драйвериТези мерки предотвратяват кражбата на идентификационни данни от LSASS и блокират запазването им чрез абонаменти за WMI събития. Те обикновено имат слабо въздействие върху крайния потребител, което ги прави добри кандидати за ранно активиране, поне в режим на одит.
Останалите правила на ASR обхващат поведения като вторични процеси от Office, изпълнение на обфускирани скриптове, използване на отдалечени инструменти като PsExec и WMI за създаване на процеси, неподписани процеси от USB, създаване на WebShell на сървъри, извиквания към Win32 API от макроси на Office или дори допълнителна защита срещу ransomware чрез клиентски и облачни евристики.
Всяко правило има уникален GUID който служи като идентификатор в GPO, Intune (персонализирани OMA-URI профили), MDM и PowerShell.
Някои правила имат важни особености: Не всички спазват глобалните изключения на Microsoft Defender Antivirus или Defender за индикатори за компрометиране на крайни точки (IOC), а в някои случаи те поддържат само изключения за всяко правило. Освен това, някои правила може да не са видими в интерфейса на Intune за нови профили, но все още може да са активни и конфигурируеми чрез CSP, Add-MpPreference или предварително създадени шаблони.
Методи за активиране и конфигуриране на ASR в Windows
Едно от големите предимства на правилата за ASR е, че те могат да бъдат конфигуриране чрез множество методи за администриранеТова му позволява да се адаптира както към малки бизнеси без Intune, така и към големи организации с MDM и Configuration Manager, като същевременно се поддържа... здрава мрежова инфраструктура.
Препоръчителният подход за съвременните бизнес среди е използването Intune или Microsoft Configuration Managerзащото позволяват централизирано и последователно администриране, разрешавайки конфликти между GPO и скриптове за стартиране. Те обаче могат да се управляват и с помощта на традиционни групови правила, CSP MDM или директно с PowerShell на конкретни машини.
В Intune предпочитаният маршрут е Политика за сигурност на точката на свързване За намаляване на площта, изложена на атаки. Друга алтернатива в Intune е използването конфигурационни профили за устройства за защита на крайни точкиАко се нуждаете от още по-фин контрол, можете да използвате Персонализиран профил в Intune, използващ OMA-URI.
В общи MDM сценарии, които не са базирани на Intune, се използва и следното: Защитник на CSP с пътищата AttackSurfaceReductionRules за състояния и AttackSurfaceReductionOnlyExclusions за глобални изключения. С Microsoft Configuration Manager можете да създадете Политика за защита от експлойти Под възела „Защита на крайни точки“. Като изберете „Намаляване на повърхността на атаката“, вие избирате кои правила ще се изпълняват в режим на блокиране или одит.
Накрая, трябва да се спомене, че PowerShell предлага директен механизъм за активиране, деактивиране или одит на специфични правила.
Глобални и изключвания на правила в ASR
Критичен елемент за предотвратяване на разрушаването на вашата среда е управлението на изключения на файлове и папки които не искате правилата на ASR да оценяват. Ако даден ресурс е изключен, дори ако злонамерено поведение бъде открито съгласно правило, изпълнението му няма да бъде предотвратено.
В Intune има два основни подхода:
- Глобални изключения само за намаляване на повърхността на атаката (AttackSurfaceReductionOnlyExclusions), които се прилагат за всички ASR правила, предназначени за устройство, когато има поне една политика, която ги конфигурира. Те са полезни за силно контролирани маршрути.
- Изключения по правилокъдето всяка конфигурация на правило, зададена на стойност, различна от „Не е конфигурирано“, предлага възможността за дефиниране на собствени изключени маршрути.
Важно е да се отбележи, че не всички правила поддържат изключения на файлове и папки, а някои също не спазват изключенията на Microsoft Defender Antivirus или Defender for Endpoint IOC. В тези случаи, ако дадено правило е особено проблематично, Стратегията ще бъде да се прецизира чрез одит и, ако няма начин да се живее с него, да се деактивира. или в режим на предупреждение, в зависимост от риска, който сте готови да поемете.
В допълнение към Intune и CSP, изключенията могат да се управляват от GPO (използвайки специфичната политика за изключване на маршрути за ASR) или от PowerShell с AttackSurfaceReductionOnlyExclusions. Като общо правило, Колкото по-детайлно и по-близо до правилото е обхватът на изключението, по-добре за цялостната ви сигурност.
Комбинация от директиви и разрешаване на конфликти
В среди с множество източници на конфигурация (Intune, Configuration Manager, GPO, CSP) е обичайно да възникнат следните проблеми: конфликти между политиките за намаляване на повърхността на атакатаMicrosoft въведе поведение на сливане, за да опрости този сценарий на управлявани устройства.
Идеята е, че за конкретно устройство, Конструира се надмножество от ASR конфигурация Въз основа на приложимите политики, неконфликтиращи опции се комбинират, докато конфликтиращите настройки се изключват от комбинираната политика и следователно не се прилагат. Това поведение засяга политиките, произтичащи от профили за конфигурация на устройства, политики за сигурност на крайните точки и базови линии за сигурност, свързани със Defender.
Нещо подобно се случва с управление на устройства и USB идентификаториСписъците с устройства, разрешени или блокирани от идентификатори, класове или екземпляри, се комбинират в един списък по тип конфигурация, елиминирайки дубликатите. Ако едно и също устройство се появява както в списъците с разрешени, така и в списъците с блокирани, практическият резултат в крайната точка е, че се прилага по-рестриктивната опция (блокиране), дори ако комбинацията от правила не обединява директно двата списъка.
В случай на едновременно съществуване на GPO и MDM, документацията посочва, че когато има директен конфликт за една и съща конфигурация, Груповата директива е с приоритет Що се отнася до MDM, това изисква тясна координация между екипите по сигурност и системите, за да се избегнат припокривания и изненади в производството.
Предварителна оценка: режим на одит, предупреждение и препоръки
Най-безопасният начин да въведете ASR във вашата организация е да следвате процес на прогресивна оценкаMicrosoft препоръчва да започнете с изпълнение на всички възможни правила в режим на одит. Това ви позволява да наблюдавате реалното въздействие върху вашата среда, преди да преминете към блокиране или предупреждение.
От управлението на уязвимостите в Microsoft Defender можете да отворите препоръка за безопасност, свързана с всяко правило и прегледайте очакваното въздействие върху потребителите. Вижте какъв процент от устройствата биха били засегнати, ако активирате това правило в блоков режим. Този анализ ви дава насоки за реда на приоритизиране и кои правила може да причинят най-много шум.
С събраните данни от одита (независимо дали от портала на Defender XDR, разширеното търсене или самия инструмент за преглед на събития), можете идентифициране на приложения за бизнес направления които задействат ASR събития и решават дали те трябва да бъдат изключени по маршрут, дали е уместно да се третират като конкретно изключение или дали е по-добре да не се активира това конкретно правило в определени групи устройства.
Режимът на предупреждение е особено полезен за организации, които искат да повишат сигурността, без да блокират напълно потребителите. Потребителят получава известие, когато дадено правило блокира нещо, с възможност за временно деблокиране. Това поведение позволява измерете колко пъти се използва отключването. След това, с тази информация, коригирайте изключенията, обучението на потребителите или окончателните правила.
Мониторинг на събития и предупреждения за ASR
След като правилата за ASR са въведени, трябва видимост за случващото сеКакво се блокира, какво се проверява, колко предупреждения се генерират и на кои устройства. Defender for Endpoint и Windows предлага няколко начина за това.
На ниво портал, Microsoft Defender XDR ви позволява да се консултирате предупреждения, известия и събития, свързани с ASRМного правила генерират системни известия, когато работят в режим на блокиране. Някои комбинации от правила и състояния могат да задействат известия, които се появяват в конзолата, особено когато нивото на блокиране в облака е зададено на Високо или Високо+.
Разширеното търсене в Defender (Kusto Query Language) е друг ключов инструмент, Например, филтриране на DeviceEvents с ActionType, който започва с „Asr“ Можете да получите ясна представа за всички задействани правила, на кои устройства и в какъв режим. По този начин се откриват модели на злоупотреба, многократни опити или потенциални неправилни конфигурации.
Ако нямате разширени лицензи, винаги можете да прибегнете до Windows Event ViewerMicrosoft предоставя XML шаблони (като cfa-events.xml), които ви позволяват да създавате персонализирани изгледи за събития и правила за намаляване на повърхността на атаката. Типичните събития включват 5007 (промени в конфигурацията), 1121 (събитие, задействано в режим на заключване) и 1122 (събитие, задействано в режим на одит).
Имайте предвид, че Defender for Endpoint е този, който генерира полето за версията на двигателя което изглежда е свързано с тези събития за намаляване на повърхността на атаката, а не със самата операционна система. Това засилва необходимостта от добре поддържана интеграция със Defender.
С всичко гореизброено, правилата за намаляване на повърхността на атаката в Windows се превръщат в много мощен инструмент за ограничаване на полето на зловредния софтуер. Ако комбинирате добър дизайн на политикитеС поетапно внедряване в режим на одит и предупреждение, прецизни изключения и правилно наблюдение от Defender for Endpoint или Event Viewer, можете значително да защитите вашите Windows системи. И всичко това без нужда от решения от трети страни.