Windows Defender: настройка правил модуля «Сокращение возможных направлений атак»

Область атак на вашу операционную систему включает все места, где злоумышленник может скомпрометировать устройства. Сокращение направлений атак означает защиту устройств, в результате чего у злоумышленников остается меньше способов для реализации деструктивных действий. Настройка правил в Windows Defender может усилить защиту от такого рода манипуляций.

Правила сокращения направлений атак (ASR) нацелены на определенное поведение программного обеспечения, например:

Запуск исполняемых файлов и сценариев, которые пытаются загрузить или запустить файлы.
Запуск обфусцированных (опасных) или других подозрительных сценариев.
Выполнение действий, которые приложения обычно не инициируют во время повседневной работы.

Такое поведение программного обеспечения иногда встречается в легитимных приложениях, но зачастую считается рискованным, поскольку злоумышленники способны злоупотреблять им с помощью вредоносного ПО. Правила сокращения направлений атак могут ограничить рискованное поведение программного обеспечения и помочь обеспечить безопасность вашей системы.

Вы можете задать правила сокращения направлений атак для устройств под управлением любого из следующих выпусков и версий Windows:

Windows 10 Pro версии 1709 (RS3, сборка 16299) или более поздней
Windows 10 Корпоративная версии 1709 или более поздней
Windows Server версии 1803 (Semi-Annual Channel) или более поздней
Windows Server 2019
Windows Server 2016
Windows Server 2012 R2

Примечание

Windows Server 2016 и Windows Server 2012 R2 необходимо подключить с помощью инструкций в разделе Подключение серверов Windows, чтобы эта функция работала.

ASR-правило к матрице GUID

Имя правила

GUID правила

Блокировать злоупотребления в отношении эксплуатируемых уязвимостей подписанных драйверов

56a863a9-875e-4185-98a7-b882c64b5ce5

Запретить Adobe Reader создавать дочерние процессы

7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c

Запретить всем приложениям Office создавать дочерние процессы

d4f940ab-401b-4efc-aadc-ad5f3c50688a

Блокировка кражи учётных данных из подсистемы локального центра безопасности Windows (lsass.exe)

9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2

Блокировка исполняемого содержимого из почтового клиента и веб-почты

be9ba2d9-53ea-4cdc-84e5-9b1eeee46550

Блокировать выполнение исполняемых файлов, если они не соответствуют критериям распространённости, возраста или списка доверия

01443614-cd74-433a-b99e-2ecdc07bfc25

Блокировать выполнение потенциально обфусцированных (опасных) скриптов

5beb7efe-fd9a-4556-801d-275e5ffc04cc

Блокировать JavaScript или VBScript от запуска из загруженного исполняемого контента

d3e037e1-3eb8-44c8-a917-57927947596d

Запрет приложениям Office создавать исполняемое содержимое

3b576869-a4ec-4529-8536-b80a7769e899

Запретить приложениям Office внедрять код в другие процессы

75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84

Запретить приложению Outlook создавать дочерние процессы

26190899-1602-49e8-8b27-eb1d0a1ce869

Блокировка сохраняемости с помощью подписки на события WMI
* Исключения файлов и папок не поддерживаются.

e6db77e5-3df2-4cf1-b95a-636979351e5b

Блокировать создание процессов, исходящих от команд PSExec и WMI

d1e49aac-8f56-4280-b9ba-993a6d77406c

Блокировка недоверенных и неподписанных процессов, выполняемых с USB

b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4

Блокировка вызовов API Win32 из макросов Office

92e97fa1-2edf-4476-bdd6-9d0b4dddc7b

Использование расширенной защиты от программ-вымогателей (ransomware)

c1db55ab-c21a-4637-bb3f-a12568109d35

Режимы правил ASR

Не настроено или Отключено: Состояние, в котором правило ASR не было включено или было отключено. Код для этого состояния = 0.
Блокировать: Состояние, в котором правило ASR включено. Код для этого состояния = 1.
Аудит: Состояние, в котором правило ASR оценивается на предмет влияния, которое оно окажет на сиситему, если будет включено (установлено на блокировку или предупреждение). Код для этого состояния = 2.
Предупреждение: Состояние, в котором правило ASR включено и представляет уведомление пользователю, но позволяет пользователю обойти блокировку. Код для этого состояния = 6.

Описание правил

Блокировать злоупотребления в отношении эксплуатируемых уязвимостей подписанных драйверов

Это правило не позволяет приложению записать уязвимый подписанный драйвер на диск. В естественных условиях уязвимые подписанные драйверы могут быть использованы локальными приложениями, имеющими достаточные привилегии, для получения доступа к ядру. Уязвимые подписанные драйверы позволяют злоумышленникам отключать или обходить решения безопасности, что в конечном итоге приводит к компрометации системы.

Запретить Adobe Reader создавать дочерние процессы

Это правило предотвращает атаки, блокируя создание процессов Adobe Reader. Вредоносные программы могут загружать и запускать полезную нагрузку и выходить из Adobe Reader с помощью социальной инженерии или эксплойтов. Блокирование дочерних процессов, создаваемых Adobe Reader, предотвращает распространение вредоносных программ, пытающихся использовать Adobe Reader в качестве вектора атаки.

Запретить всем приложениям Office создавать дочерние процессы

Это правило блокирует приложения Office от создания дочерних процессов. К приложениям Office относятся Word, Excel, PowerPoint, OneNote и Access. Создание вредоносных дочерних процессов является распространенной стратегией вредоносного ПО. Вредоносные программы, использующие Office в качестве вектора, часто запускают макросы VBA и код эксплойта для загрузки и попытки запуска дополнительной полезной нагрузки. (Однако некоторые легитимные бизнес-приложения могут создавать дочерние процессы и для доброкачественных целей, например, для запуска командной строки или использования PowerShell для настройки параметров реестра).

Блокировка кражи учётных данных из подсистемы локального центра безопасности Windows (lsass.exe)

Это правило помогает предотвратить кражу учетных данных путем блокировки службы подсистемы локального центра безопасности (LSASS).В некоторых приложениях код перечисляет все запущенные процессы и пытается открыть их с исчерпывающими разрешениями. Это правило запрещает действие приложения по открытию процесса и записывает подробности в журнал событий безопасности.

Блокировка исполняемого содержимого из почтового клиента и веб-почты

Это правило блокирует запуск следующих типов файлов из электронной почты, открытой в приложении Microsoft Outlook или на сайте Outlook.com и других популярных провайдеров веб-почты: Исполняемые файлы (такие как .exe, .dll или .scr). Файлы сценариев (например, PowerShell .ps1, Visual Basic .vbs или JavaScript .js).

Блокировать выполнение исполняемых файлов, если они не соответствуют критериям распространённости, возраста или списка доверия

Это правило блокирует запуск исполняемых файлов, таких как .exe, .dll или .scr. Таким образом, запуск недоверенных или неизвестных исполняемых файлов может быть рискованным, поскольку изначально может быть неясно, являются ли эти файлы вредоносными.(Чтобы использовать это правило, необходимо включить облачную защиту. Это правило использует облачную защиту для регулярного обновления списка доверенных файлов).

Блокировать выполнение потенциально обфусцированных (опасных) скриптов

Обфускация сценариев - это распространенная техника, которую используют как авторы вредоносных программ, так и легитимные приложения, чтобы скрыть интеллектуальную собственность или уменьшить время загрузки сценариев. Авторы вредоносных программ также используют обфускацию, чтобы сделать вредоносный код более трудночитаемым, что препятствует тщательному изучению его человеком и программами безопасности.(Сценарии PowerShell были временно исключены из правила "Блокировать выполнение потенциально обфусцированных (опасных) сценариев" в связи с масштабными проблемами FP, возникшими в прошлом).

Блокировать JavaScript или VBScript от запуска из загруженного исполняемого контента

Это правило предотвращает запуск скриптами потенциально вредоносного загружаемого содержимого. Вредоносные программы, написанные на JavaScript или VBScript, часто выступают в роли загрузчика для получения и запуска других вредоносных программ из Интернета.

Запрет приложениям Office создавать исполняемое содержимое

Это правило предотвращает создание приложениями Office, включая Word, Excel и PowerPoint, потенциально вредоносного исполняемого содержимого, блокируя запись вредоносного кода на диск. Вредоносное ПО, использующее Office в качестве вектора, может попытаться выйти из Office и сохранить вредоносные компоненты на диск. Эти вредоносные компоненты переживут перезагрузку компьютера и сохранятся в системе. Поэтому данное правило защищает от распространенной техники сохранения.

Запретить приложениям Office внедрять код в другие процессы

Это правило блокирует попытки внедрения кода из приложений Office в другие процессы. Злоумышленники могут попытаться использовать приложения Office для переноса вредоносного кода в другие процессы с помощью инъекции кода, чтобы код мог маскироваться под чистый процесс.

Запретить приложению Outlook создавать дочерние процессы

Это правило запрещает Outlook создавать дочерние процессы, но по-прежнему разрешает допустимые функции Outlook. Это правило защищает от атак социальной инженерии и не позволяет эксплуатирующему коду использовать уязвимости в Outlook. Оно также защищает от эксплойтов правил и форм Outlook, которые злоумышленники могут использовать при компрометации учетных данных пользователя.

Блокировка сохраняемости с помощью подписки на события WMI

Это правило не дает вредоносным программам использовать инструментарий WMI для сохранения на устройстве. Бесфайловые угрозы реализуют различные тактики, чтобы оставаться скрытыми, избегать обнаружения в файловой системе и иметь возможность периодически выполняться. Некоторые угрозы могут злоупотреблять репозиторием WMI и моделью событий, чтобы оставаться скрытыми.

Блокировать создание процессов, исходящих от команд PSExec и WMI

Это правило блокирует запуск процессов, созданных с помощью PsExec и WMI. И PsExec, и WMI могут удаленно выполнять код. Существует риск того, что вредоносное ПО может использовать функциональность PsExec и WMI в командно-контрольных целях.

Блокировка недоверенных и неподписанных процессов, выполняемых с USB

С помощью этого правила можно предотвратить запуск неподписанных или недоверенных исполняемых файлов со съемных USB-накопителей, включая SD-карты. Заблокированные типы файлов включают исполняемые файлы (такие как .exe, .dll или .scr)

Блокировка вызовов API Win32 из макросов Office

Это правило запрещает макросам VBA вызывать API Win32. Office VBA включает вызовы API Win32. Вредоносные программы могут злоупотреблять этой возможностью, например вызывать API Win32 для запуска вредоносного кода оболочки, не записывая ничего непосредственно на диск.

Использование расширенной защиты от программ-вымогателей (ransomware)

Это правило обеспечивает дополнительный уровень защиты от программ-вымогателей. Оно использует эвристику клиента и облака, чтобы определить, похож ли файл на ransomware. Это правило не блокирует файлы, имеющие одну или несколько следующих характеристик: Файл уже был признан невредоносным в облаке Microsoft. Файл является действительным подписанным файлом. Файл достаточно распространен, чтобы не считаться вымогательским ПО.(Чтобы использовать это правило, необходимо включить облачную защиту).

Настройка правил

От теории перейдём к практике. Добавим одно из правил (использование расширенной защиты от программ-вымогателей (ransomware) ) через локальную групповую политику ОС Windows

Сочетание клавиш Win+R (открывает утилиту “Выполнить”)

В диалоговом окне вводим следующее – gpedit.msc

Конфигурация компьютера→

Административные шаблоны→

Компоненты Windows→

Антивирусная программа “Защитник Windows”→

Exploit Guard в Защитнике Windows→

Сокращение возможных направлений атак

Переходим на вкладку справа – настроить правила сокращения возможных направлений атак. Переводим параметр в состояние включено. Нажимаем показать.

Вводим GUID правила (Использование расширенной защиты от программ-вымогателей (ransomware)) – c1db55ab-c21a-4637-bb3f-a12568109d35. Устанавливаем код состояния 1 – Блокировать. Применить. ОК.

Чтобы использовать это правило, необходимо включить облачную защиту. Включаем. Для этого перейдём на вкладку Антивирусная программа “Защитник Windows” – MpEngine. В правом окне два параметра:

Настройте расширенную проверку в облаке
Выберите уровень защиты в облаке

1. Настройте расширенную проверку в облаке. Настраиваем. Переводим параметр в состояние включено. Следуем рекомендациям из справки (правое окно). Устанавливаем значение 50 секунд. Применить. ОК.

2. Выберите уровень защиты в облаке. Выбираем. Переводим параметр в состояние включено. Параметр – Высокий уровень блокировки. Применить. ОК.

Т.к. функция “облачной защиты” зависит от MAPS – настраиваем MAPS.

Антивирусная программа “Защитник Windows” – MAPS. В правом окне четыре параметра:

Настройка функции “Блокировка при первом появлении”
Присоединиться к Microsoft MAPS
Настроить локальное переопределение для отправки отчётов в Microsoft MAPS
Отправлять образцы файлов, если требуется дальнейший анализ

1. Настройка функции “Блокировка при первом появлении”. Настраиваем. Переводим параметр в состояние включено. Применить. ОК.

2. Присоединиться к Microsoft MAPS. Присоединяемся. Переводим параметр в состояние включено. Выбираем – Базовый MAPS. Применить. ОК.

3. Настроить локальное переопределение для отправки отчётов в Microsoft MAPS. Пропускам. Оставляем как есть.

4. Отправлять образцы файлов, если требуется дальнейший анализ. Отправляем. Переводим параметр в состояние включено. Выбираем – Отравлять безопасные образцы. Применить. ОК.

Послесловие

На этом настройка модуля “Правила сокращения направлений атак (ASR)” завершена. В случае сбоя или некорректной работы программ (в зависимости от внесённых правил), правило можно удалить или переключить ASR в состояние – отключено.