規劃受攻擊面縮小規則部署
適用於:
在測試或啟用受攻擊面縮小規則之前,您應該先規劃部署。 仔細規劃可協助您測試受攻擊面縮小規則部署,並超越任何規則例外狀況。 規劃測試受攻擊面縮小規則時,請務必從正確的業務單位開始。 從特定業務單位中的一小組人員開始。 您可以識別特定業務單位內的一些風雲人物,這些風雲人物可以提供意見反應來協助微調您的實作。
重要事項
當您進行規劃、稽核和啟用受攻擊面縮小規則的程式時,建議您啟用下列三個 標準保護規則。 如需兩種攻擊 面縮小規則 類型的重要詳細數據,請參閱依類型縮小攻擊面規則。
- 封鎖從 Windows 本機安全性授權子系統 (lsass.exe) 竊取認證
- 封鎖濫用惡意探索易受攻擊的已簽署驅動程式
- 透過 Windows Management Instrumentation (WMI) 事件訂閱封鎖持續性
您通常可以啟用標準保護規則,對終端使用者的影響最小。 如需啟用標準保護規則的簡單方法,請參閱: 簡化的標準保護選項。
使用正確的業務單位啟動 ASR 規則部署
您選取業務單位以推出受攻擊面縮小規則部署的方式,取決於下列因素:
- 業務單位大小
- 受攻擊面縮小規則風雲人物的可用性
- 發佈和使用方式:
- 軟體
- 共用資料夾
- 指令碼使用
- Office 巨集
- 受受受攻擊面縮小規則影響的其他實體
根據您的業務需求,您可能會決定包含多個業務單位,以取得軟體、共用資料夾、腳本、宏等的廣泛取樣。您可能會決定將第一個受攻擊面縮小規則推出的範圍限制為單一業務單位。 然後,將整個受攻擊面縮小規則推出程式重複到您的其他業務單位,一次一次一次。
識別 ASR 規則風雲人物
受攻擊面縮小規則風雲人物是組織中的成員,可協助您在初步測試和實作階段期間推出初始受攻擊面縮小規則。 您的風雲人物通常是技術較熟練的員工,而且不會因為間歇性工作流程中斷而退出。 風雲人物的參與會持續向貴組織部署更廣泛地擴充受攻擊面縮小規則。 您的受攻擊面縮小規則風雲人物會先體驗每個層級的攻擊面縮小規則推出。
請務必為受攻擊面縮小規則風雲人物提供意見反應和回應通道,以警示您受攻擊面縮小規則相關的工作中斷,並接收受攻擊面縮小規則推出相關的通訊。
取得企業營運應用程式詳細目錄並瞭解業務單位程序
完全瞭解整個組織所使用的應用程式和每個業務單位程式,對於成功部署受攻擊面縮小規則至關重要。 此外,您必須瞭解這些應用程式在組織中各種業務單位內的使用方式。 若要開始, 您應該取得已核准供整個組織使用之應用程式的詳細目錄。 您可以使用 Microsoft 365 Apps 系統管理中心等工具來協助清查軟體應用程式。 請參閱: Microsoft 365 Apps 系統管理中心的詳細目錄概觀
定義報告和回應 ASR 規則小組角色和責任
清楚說明負責監視和傳達受攻擊面縮小規則狀態和活動之人員的角色和責任,是受攻擊面縮小維護的核心活動。 因此,請務必判斷:
- 負責收集報告的人或小組
- 如何與和誰共用報告
- 如何針對受攻擊面縮小規則所造成的新識別威脅或垃圾封鎖解決擴大問題
一般角色與責任包括:
- IT 系統管理員:實作受攻擊面縮小規則、管理排除專案。 在應用程式和程序上與不同的業務單位合作。 組合報表並分享給專案關係人
- 認證的安全性作業中心 (CSOC) 分析師:負責調查高優先順序、封鎖的程式,以判斷威脅是否有效
- 資訊安全長 (CISO): 負責組織的整體安全性態勢和健康情況
ASR 規則環部署
對於大型企業,Microsoft 建議在「環形」中部署受攻擊面縮小規則。環形是裝置的群組,以視覺方式表示為向外顯示的同心圓,例如非重疊樹狀環形。 成功部署最內層環形時,您可以轉換到下一個通道進入測試階段。 徹底評估業務單位、受攻擊面縮小規則風雲人物、應用程式和程式,是定義通道的必要條件。 在大部分情況下,您的組織會有分階段推出 Windows 更新的部署更新步調。 您可以使用現有的環形設計來實作受攻擊面縮小規則。 請參閱: 建立適用於 Windows 的部署計畫
此部署集合中的其他文章
提示
想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:適用於端點的 Microsoft Defender 技術社群。