ASR pravila u Windowsu 11: Konfigurišite i optimizujte sigurnost

U današnjem svetu, gde Kompjuterske prijetnje se razvijaju vrtoglavom brzinom, zaštita naših uređaja robusnim sistemima postala je glavni prioritet. U tom kontekstu, ASR pravila (Pravila za smanjenje površine napada) en Windows 11 su se pojavile kao jedna od najefikasnijih strategija za zaštitu računara i mreža od zlonamjernog softvera i napada usmjerenih na uobičajene ranjivosti. Bez obzira da li radite u IT sektoru ili želite poboljšati sigurnost svojih ličnih ili poslovnih uređaja, Detaljno poznavanje ovih pravila i njihova primjena mogu napraviti razliku u borbi protiv mogućih napada..

Detaljno ćemo pogledati šta su ASR pravila, kako ih konfigurirati s različitih platformi (Intune, Configuration Manager, Group Policy i PowerShell), njihove prednosti, ograničenja i najbolje prakse. Također ćete naučiti savjete za podešavanje i rješavanje problema koji će vam pomoći da iz njih izvučete maksimum, minimizirajući utjecaj na kritične aplikacije i pojednostavljujući svakodnevne operacije bilo kojeg IT odjela.

Šta su ASR pravila u Windowsu 11 i zašto su toliko važna?

u Pravila za smanjenje površine napada (Pravila za smanjenje površine napada) su skup sigurnosnih propisa integriranih u Microsoft Defender i upravljivo iz Intune ili druge alate upravljanja. Njegov glavni cilj je Izbjegavajte ponašanja i radnje koje zlonamjerni softver često koristi za ugrožavanje računara i mrežaGovorimo o blokiranju sumnjivih skripti, zaustavljanju pokretanja potencijalno opasnih datoteka, kontroli korištenja makroa u Office aplikacijama i ograničavanju pokušaja krađe vjerodajnica.

Ova pravila ne samo da štite pristup uobičajenim ranjivostima, već i pomažu u smanjenju rizika od naprednih napada, ransomwarea i drugih sofisticiranih prijetnji.Najbolji dio je što su visoko prilagodljivi, omogućavajući fleksibilne konfiguracije koje odgovaraju svakom okruženju, od velikih preduzeća do pojedinačnih korisnika.

U Windowsu 11, ASR zaštita je dostigla nove visine u granularnosti i upravljivosti, označavajući kvantni skok u odnosu na prethodne verzije i postajući bitan dio svake sigurnosne strategije. cybersecurity moderno.

Licenciranje i zahtjevi u sistemu Windows 11

Prije nego što se upustimo u konfiguraciju i implementaciju ASR pravila, potrebno je razumjeti ključne aspekte o licence i preduslovi. ASR pravila su dostupna za računare sa operativnim sistemima Windows 10 i Windows 11, iako se puni paket pravila može koristiti samo na poslovnim izdanjima (npr. E3 ili E5).Ako imate dozvolu Microsoft 365 E5, imat ćete pristup naprednim mogućnostima praćenja i analitike iz Defendera za krajnje točke ili portala Microsoft Defender XDR.

Međutim, čak i sa licencama za Windows Professional ili Microsoft 365 E3, ASR možete koristiti na ograničen način.Pravila se mogu pregledati putem Preglednika događaja i mogu se razviti vlastiti sistemi za praćenje. Važno je imati Microsoft Defender Antivirus kao primarno i aktivno rješenje, budući da se ASR pravila oslanjaju na svoj analitički mehanizam za procjenu sumnjivog ponašanja i njegovo blokiranje.

Metode konfiguracije: Intune, Configuration Manager, GPO i PowerShell

Jedna od prednosti ASR pravila leži u njihovoj svestranost u upravljanju i implementaciji politikaPostoji nekoliko ruta i alata, svaki prilagođen različitim okruženjima i potrebama:

• IntuneIdealno za kompanije koje upravljaju flotom uređaja putem oblaka. Omogućava vam centralno konfigurisanje i dodjeljivanje ASR politika, praćenje njihove efikasnosti i primjenu prilagođavanja ili izuzeća kada je to potrebno.
• Upravitelj konfiguracije (SCCM)Napredno, tradicionalno rješenje za velike organizacije. Omogućava vam kreiranje detaljnih politika i njihovu primjenu čak i u mješovitim ili nepovezanim okruženjima.
• Objekti grupnih politika (GPO)Idealno za okruženja s Active Directoryjem, omogućava vam definiranje pravila na nivou domene, organizacijske jedinice ili određenog računara.
• PowerShellFleksibilna opcija koja vam omogućava konfigurisanje, reviziju, pa čak i otklanjanje grešaka u ASR pravilima iz komandne linije. naredbe, idealno za automatizaciju ili napredno skriptiranje.

Svaka metoda ima svoje prednosti i aspekte, ali sve Omogućava vam da definišete status svakog ASR pravila između: Blokada, Kontrola, Upozorenje ili OnemogućenoOvo pruža apsolutnu kontrolu nad sigurnosnim ponašanjem na osnovu potreba i rizika svake organizacije.

Konfigurisanje ASR pravila pomoću Intune-a

Intune je postao vodeće rješenje za moderno upravljanje uređajima u preduzećima, posebno u Windows 11 okruženjima.Konfigurisanje ASR pravila putem ove platforme pruža centralizirano, skalabilno i jednostavno iskustvo za praćenje.

Za početak, pristupite meniju Endpoint Security u Intuneu i odaberite Smanjenje površine izložene napadimaMožete kreirati novu politiku ili urediti postojeću. Provjerite jeste li odabrali ispravnu platformu (Windows) i profil (ASR pravila).

Zatim možete odabrati pravila koja želite primijeniti:

• Blokiraj izvršavanje potencijalno obfusiranih skripti
• Spriječite Office aplikacije da kreiraju podređene procese (djeca)
• Sprečite korištenje Office makroa za upućivanje Win32 API poziva
• Blokiraj izvršavanje datoteke od e-pošte, webmailovi i uređaji USB koji nisu pouzdani
• Spriječite krađu akreditiva i napade na LSASS
• Kontrolirajte upotrebu JavaScripta ili VBScripta u preuzetom sadržaju
• Zaustavite zloupotrebu ranjivih potpisanih vozača

Svako pravilo možete prilagoditi na režim Blokiraj (aktivno), Revizija (samo bilježi događaje), Upozori (omogućava korisniku da zaobiđe blokiranje) ili Onemogućeno.Nakon što je politika konfigurirana, ona se dodjeljuje relevantnim grupama uređaja.

Osim toga, Intune omogućava Isključite datoteke, putanje ili aplikacije koje mogu biti oštećene lažnim alarmima, dodajući još više fleksibilnosti.

Konfiguracija iz Microsoft Configuration Managera (SCCM)

Druga široko korištena alternativa je konfiguracijski menadžer, posebno u kompanijama koje se još uvijek odlučuju za lokalno ili hibridno upravljanje. Proces se sastoji od pristupa Imovina i usklađenost → Zaštita krajnjih tačaka → Windows Defender Zaštita od iskorištavanja i kreirajte politiku zaštite od iskorištavanja.

Unutar čarobnjaka, ASR pravila koja će se aktivirati se odabiru, bilo u režimu Blokiranje ili revizijaNakon završetka, politika se distribuira na osnovu grupa ili kolekcija uređaja definiranih u vašem poslovnom okruženju.

Provjeravajte često rezanje i izvještaje koje generira SCCM kako bi se osiguralo da se pravila ispravno primjenjuju i da nisu u sukobu s drugim sigurnosnim profilima.

Grupna politika: Upravljanje ASR-om putem GPO-a

u Grupne politike Oni ostaju preferirana ruta u okruženjima s infrastrukturom Active Directoryja. Opći postupak je:

• Otvorite konzolu za upravljanje grupnim politikama (GPMC)
• Uredite (ili kreirajte) novi GPO i idite do njega Konfiguracija računara > Administrativni predlošci > Komponente sistema Windows > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > Smanjenje površine napada
• Omogući postavke Konfigurišite pravila za smanjenje površine napada
• Postavite status svakog pravila navođenjem njegovog ID-a i željene vrijednosti: '1' za Blokiranje, '2' za Kontrolu, '6' za Upozorenje, '0' za Onemogućavanje
• Opcionalno konfigurirajte izuzeća iz opcije Isključite datoteke i putanje iz pravila za smanjenje površine napada

Tako dobijena kontrola je veoma detaljna, ali zahtijeva pažljivo održavanje kako bi se izbjegli sukobi između politika na različitim nivoima.

PowerShell: Napredna automatizacija i kontrola

Za napredne administratore ili okruženja gdje je automatizacija ključna, PowerShell nudi mogućnost rada s ASR pravilima direktno iz konzole ili skripti.Također možete konsultovati povezane aspekte u Šta je secpol.msc i kako može pomoći u upravljanju sigurnosnim politikama?

Neki primjeri korisnih naredbi su:

• Omogući ASR pravilo:
• Set-MpPreference -AttackSurfaceReductionRules_Ids <ID_de_regla> -AttackSurfaceReductionRules_Actions Enabled
• Aktiviraj u načinu rada za reviziju:
• Add-MpPreference -AttackSurfaceReductionRules_Ids <ID_de_regla> -AttackSurfaceReductionRules_Actions AuditMode
• Izuzeci:
• Add-MpPreference -AttackSurfaceReductionOnlyExclusions "C:\Ruta\a\excluir"

Ovo omogućava, na primjer, Automatizirajte aktivaciju, reviziju i podešavanje pravila na velikim flotama opreme, integrirajući zadatke u CI/CD procese, skripte za implementaciju ili čak upravljajući incidentima u stvarnom vremenu.

Dostupna stanja za svako ASR pravilo i kako ona funkcionišu

Svaka pojedinačno ASR pravilo može se postaviti na jedno od sljedećih stanja, ovisno o tome šta želite postići:

• Nije konfigurirano / OnemogućenoPravilo se ne primjenjuje i povezani događaji se ne zapisuju.
• BlokPravilo je aktivirano i zabranjene radnje su direktno blokirane.
• RevizijaAkcije su dozvoljene, ali se zapisuju za kasniji pregled. Idealno za procjenu uticaja prije sprovođenja pravila.
• UpozoriPravilo se primjenjuje, ali korisnik prima upozorenje i može odlučiti hoće li nastaviti.

Ova fleksibilnost olakšava Prvo implementirajte pravila u načinu rada za reviziju kako biste pratili njihov utjecaj, smanjili poremećaje, a zatim, nakon finog podešavanja izuzeća, prebacite se na način rada za potpuno blokiranje..

Glavna ASR pravila u Windowsu 11 i njihova svrha

Među mnogim dostupnim pravilima, sljedeća se ističu po svojoj efikasnosti u sprečavanju infekcija i neovlaštenog pristupa:

• Blokiraj izvršavanje potencijalno obfusiranih skriptiSprečava izvršavanje sumnjivih skripti koje se često koriste za učitavanje zlonamjernog softvera.
• Spriječite Office da kreira podređene proceseSprečava napade u kojima Office dokumenti generišu zlonamjerni softver pokretanjem drugih procesa.
• Ograničite Office makroe koji koriste Win32 API pozive: posebno štiti od zloupotreba u zlonamjernim makroima.
• Blokiraj izvršavanje datoteka e-pošte i webpošteSmanjuje vašu izloženost zaraženim prilozima ili opasnim linkovima u e-pošti.
• Spriječite krađu akreditiva iz LSASS-aŠtiti akreditive pohranjene u memoriji i sprječava napadače da se kreću bočno.
• Blokiraj sadržaj preuzet sa nepouzdanih USB diskovaMinimizira rizike od zlonamjernog softvera na vanjskim uređajima.
• Spriječite perzistentnost pretplatom na WMI događajeZaustavlja tehnike upornosti koje koriste napredne prijetnje.
• Zaustavite ubrizgavanje koda u druge procese: otežava izbjegavanje drugih sigurnosnih kontrola.
• Zaštitite se od ransomwarea i napada šifriranja: povećanje otpornosti sistema na ovu vrstu incidenta.

Potpuna lista može varirati i rasti kako se Defender paket razvija, stoga se preporučuje da je konsultujete kako biste identifikovali nova pravila i njihovu specifičnu svrhu..

Izuzeća: Kako osigurati rad kritičnih aplikacija

Jedan od glavnih izazova je balansiranje sigurnosti i operativnostiPostoje poslovne aplikacije koje, zbog svog internog rada, mogu biti blokirane ili generirati lažno pozitivne rezultate s određenim ASR pravilima.

DA BI ISKLJUČILI ove probleme, Možete definirati izuzeća na nivou datoteke, mape ili čak određene aplikacije.Ovim izuzećima se može upravljati:

• Iz konfiguracijske ploče u Intuneu, uvozom CSV datoteka ili ručnim unosom putanja.
• Korištenjem postavki izuzeća u SCCM-u ili GPO-u, gdje su navedene putanje koje treba isključiti.
• Putem PowerShella, pomoću komande Add-MpPreference -AttackSurfaceReductionOnlyExclusions "<ruta>".

Preporučuje se da u načinu rada za reviziju analizirate koje aplikacije generiraju događaje prije primjene blokada, kako biste mogli precizno podesiti izuzeća i smanjiti rizik od blokiranja legitimnih procesa..

Sukobi politika i spajanje: kako to funkcioniše u korporativnom okruženju

U upravljanim okruženjima, uobičajeno je da uređaj prima politike iz više izvora. ASR pravila dozvoljavaju spajanje politika, sve dok nema sukoba.Ako dvije politike definiraju isto pravilo s različitim stanjima, primijenit će se samo najrestriktivnija postavka ili, u slučaju sukoba, obje će biti nevažeće za to određeno pravilo.

Ovo ponašanje je osmišljeno da Izbjegavajte nedosljednosti i osigurajte da okruženja održavaju minimalni nivo sigurnosti, čak i ako postoje preklapajuće politikeStoga je važno pažljivo planirati hijerarhiju i redoslijed primjene ASR politika unutar vaše organizacije.

Praćenje i analiziranje ASR događaja u Windowsu 11

Praćenje efikasnosti ASR pravila je jednako važno kao i njihova ispravna konfiguracija. Postoji nekoliko alata i metoda za provjerite šta se dešava na vašim uređajima:

• Prikazivač događajaWindows zapisuje događaje povezane s ASR-om u Aplikacije i usluge → Microsoft → Windows → Windows Defender → OperativniOvdje možete pronaći detaljne zapise o aktiviranim pravilima, blokovima i poduzetim radnjama.
• PowerShellAktivna pravila i njihov status na računaru možete provjeriti pomoću naredbi poput Get-MPPreference | Select-Object -ExpandProperty AttackSurfaceReductionRules_Ids y Get-MPPreference | Select-Object -ExpandProperty AttackSurfaceReductionRules_ActionsOsim toga, informacije možete pronaći na
• MpCmdRun.exe: Trčanje MpCmdRun.exe -getfiles Generirat ćete kolekciju logova i trenutne konfiguracije u komprimiranoj datoteci koju možete detaljno pregledati.
• Microsoft Defender za krajnju tačkuAko imate ovo rješenje, odjeljak Napredni lov omogućava vam korištenje naprednih upita za analizu događaja, pogođenih datoteka i povezivanje sumnjivih aktivnosti na velikoj skali.

Kontinuirano praćenje je ključno za identifikaciju lažno pozitivnih rezultata, otkrivanje novih prijetnji i prilagođavanje ASR postavki bez gubitka produktivnosti..

Progresivno uvođenje i prilagođavanje: preporučene najbolje prakse

Sigurna i efikasna primjena ASR pravila uključuje poštivanje određenih dobre prakse koje minimiziraju rizike:

• Uvijek počni u načinu rada za revizijuNa ovaj način možete kontrolirano identificirati koje bi aplikacije bile blokirane ili na koje bi pravila utjecala, prikupljajući događaje najmanje 30 dana.
• Pregledajte uticaj pravila u poslovnim aplikacijama, uvođenje izuzeća po potrebi prije ulaska u režim blokiranja.
• Periodično ažurirajte svoju ASR konfiguraciju Kako Microsoft objavljuje nova pravila ili poboljšava postojeća, osiguravajući zaštitu od novih prijetnji.
• Dokumentujte sva izuzeća i obavještava korisnike o novim sigurnosnim mjerama, tražeći povratne informacije o mogućim incidentima.
• Koristite praćenje i izvještavanje za dinamičko podešavanje postavki i ispravljanje mogućih kvarova.

Vezani članak:

secpol.msc: Šta je to i kako kontrolisati lokalnu sigurnosnu politiku u Windowsu

Isaac

Strastveni pisac o svijetu bajtova i tehnologije općenito. Volim dijeliti svoje znanje kroz pisanje, a to je ono što ću raditi na ovom blogu, pokazivati ​​vam sve najzanimljivije stvari o gadžetima, softveru, hardveru, tehnološkim trendovima i još mnogo toga. Moj cilj je pomoći vam da se krećete u digitalnom svijetu na jednostavan i zabavan način.