הגדרת ASR באמצעות Microsoft Intune

המאמרים הקודמים התמקדו ביכולות השונות של Windows Defender Exploit Guard והיכולות שניתן לקבל עמם כולל חוקים ותצורת העבודה בכל רכיב.
המאמר הנוכחי יתמקד בהפעלה של חוקי ASR באמצעות Microsoft Intune

ASR מכיל סט של פעולות שיודעות לחסום ולעצור פעולות חשודות הקיימות ברמת מסמכים המכילים Macro ועדיין לשמור על הפרודוקטיביות של המשתמש כולל מצבים של מתקפות Zero-Day שאינן נראו בעבר כדוגמת CVE-2017-8579.
ASR יודע להתמודד ולחסום פעולות חשודות בכמה רמות ועם סט פעולות שונות:

אפליקציות מבוססות Office

  • חסימה או מעקב של תוכן זדוני במחשב מקומי
  • חסימה או מעקב של הרצת תוכן זדוני מול process
  • חסימה או מעקב של הרצת תוכן זדוני מול child process
  • חסימה או מעקב של תוכן מבוסס WIN32

סקריפטים

  • חסימה או מעקב של סקריפטים מבוססים VB, PS,Java
  • חסימה או מעקב של סקריפטים אשר מבצעים תקשורת מול שרתי התוקף

דואר

  • חסימה או מעקב של הרצת תוכן מקובץ אשר ירד מתוך המייל (Outlook או מבוסס browser)

איך מגדירים ASR

ניתן להפעיל חוקי ASR בשתי רמות: מעקב וחסימה או את שתיהן יחדיו. במקביל לכך ניתן להגדיר ASR מתוך הפלטפורמות הבאות: Group Policy, Microsoft Intune, SCCM, PowerShell.

כלל החוקים הקיימים של ASR הםן שבעה חוקים ברמת Office, Email, Script ולכל אחד מהם ישנו Guid ספציפי וישנם חוקים שאינם עובדים עם תיקיות שלא הוגדרו לסריקה.

image

על מנת להגדיר ASR באמצעות Microsoft Intune יש לבצע את הפעולות הבאות:

מתוך ממשק Microsoft Intune נבחר באפשרות Device Configuration

image

לאחר מכן נבחר באפשרות Profiles ונבחר ביצירת Plicy חדש או עריכה של קיים

image

בהגדרות Policy נבחר באפשרויות הבאות:

Platform Windows 10 and later
Profile Type Endpoint Protection
לאחר מכן נבחר באפשרות Windows Defender Exploit Guard

image

לאחר מכן נבחר באפשרות Attack Surface Reduction ונגדיר את החוקים הנדרשים ובסיום נאשר את כל ההגדרות שבוצעו.

image

בדיקת תקינות וסימולציה

לאחר ביצוע הגדרות נוודא תקינות בתחנת הקצה ונבצע סימולציה לבדיקת החוקים של ASR.

בדיקת הגדרות ברמת תחנת קצה

מתוך תחנת הקצה נריץ את הפקודה Get-MpPreference עם הפרמטרים השונים בשביל לקבל את אותם הגדרות רלוונטיות
image

בנוסף נוכל לוודא שישנו Event שמספרו 5007 במצב 1

image

לאחר מכן נוכל לסמך פעולה מסוימת של מתקפה כדוגמת Ransomware ונוודא האם ישנה חסימה

כך זה נראה בממשק Event Viewer
image

המשתמש יקבל בתחנה המקומית התראה לגבי הרצת קובץ עם תוכן זדוני כדוגמת Ransomwareimage

ישנם כלים רבים ודרכי סימולציה בכדי לבצע בדיקה וסימולציה של המתקפה, אחד הכלים הוא Exploit Guard Evaluation Package



:קטגוריותWindows 10, Windows Defedner, WIndows Defender Exploit Guard

תגיות: , ,

להשאיר תגובה

הזינו את פרטיכם בטופס, או לחצו על אחד מהאייקונים כדי להשתמש בחשבון קיים:

הלוגו של WordPress.com

אתה מגיב באמצעות חשבון WordPress.com שלך. לצאת מהמערכת /  לשנות )

תמונת גוגל פלוס

אתה מגיב באמצעות חשבון Google+ שלך. לצאת מהמערכת /  לשנות )

תמונת Twitter

אתה מגיב באמצעות חשבון Twitter שלך. לצאת מהמערכת /  לשנות )

תמונת Facebook

אתה מגיב באמצעות חשבון Facebook שלך. לצאת מהמערכת /  לשנות )

w

מתחבר ל-%s

This site uses Akismet to reduce spam. Learn how your comment data is processed.

%d בלוגרים אהבו את זה: