Begræns svarhandlinger for aktiver med høj værdi (prøveversion)

Denne artikel indeholder en oversigt over funktionen Selektive svarhandlinger i Microsoft Defender for Endpoint. Målgruppen er sikkerhedsadministratorer og it-driftsteams, der er ansvarlige for administration af Microsoft Defender for Endpoint i miljøer, der omfatter Tier-0-systemer og højværdiaktiver, f.eks. domænecontrollere, ADFS-servere og anden kritisk infrastruktur.

Oversigt

Selektive svarhandlinger er en Microsoft Defender for Endpoint funktion, der gør det muligt for organisationer at skræddersy sikkerhedshandlinger med stor indvirkning under onboarding. Den giver præcis kontrol over, hvordan svarhandlinger anvendes på Tier-0-systemer og andre aktiver af høj værdi, hvilket hjælper med at opretholde driftsstabiliteten, samtidig med at der leveres stærk beskyttelse.

Baggrund

Udrulning af Microsoft Defender for Endpoint på højværdiaktiver, f.eks. domænecontrollere, ADFS-servere og andre Tier-0-systemer, kræver en betænksom tilgang til at balancere stærk beskyttelse med driftsstabilitet. På grund af de effektive svarfunktioner, der er tilgængelige, søger organisationer ofte større kontrol over, hvordan disse handlinger anvendes i følsomme miljøer.

Mange organisationer, især dem med strenge politikker for privilegeret adgangsstyring, foretrækker også at begrænse cloudinitierede administrative handlinger på Tier-0-systemer for at tilpasse sig deres krav til sikkerhed og overholdelse af angivne standarder.

Funktionen Selektive svarhandlinger løser disse behov ved at levere en mere kontrolleret og fleksibel tilgang. Det gør det muligt for organisationer at definere præcis, hvilke svarhandlinger der er tilladt på kritiske aktiver, hvilket hjælper med at opretholde driftskontinuitet, mens de stadig drager fordel af Defenders beskyttelse.

Hvordan fungerer funktionen?

Først skal funktionen aktiveres på lejeren. Se Aktivér selektive svarhandlinger.

Når funktionen er aktiveret, kan du bruge Defender-installationsværktøjet (DDT) til at oprette en onboardingpakke med begrænsede indstillinger for sikkerhedshandlinger. Når du konfigurerer pakken, kan du vælge mellem fuld funktionalitet (standard onboardingtilstand, hvor alle svarhandlinger er tilladt på den onboardede enhed) og begrænset funktionalitet (hvor svarhandlinger med stor effekt ikke kan tillades). Hvis du vælger begrænset funktionalitet, kan du angive, hvilke handlinger der er tilladt på enheden, når den er onboardet.

I følgende tabel beskrives svarhandlinger med stor indvirkning, som du kan tillade eller ikke tillade.

Kapacitet Beskrivelse Bemærkninger
Grundlæggende svar Kør antivirusscanning, indsaml fil og indsaml undersøgelsespakke. Funktionen Collect file refererer til hentning af en fil fra siden File på portalen, ikke den GetFile kommando, der er tilgængelig under Live Response.
Avanceret svar Isolere enhed, begrænse appkørsel og anmode om afhjælpning. Anmodningsafhjælpning gør det muligt for sikkerhedsadministratorer at starte afhjælpningshandlinger for identificerede sikkerhedsrisici på en bestemt enhed.
Live-svar Tillader live-svarsessioner til fjernenheden.
Enhedsbeskyttelse Gør det muligt at udføre automatiseret undersøgelse og svar (AIR) på enheden. Dette gælder både for automatisk udløst AIR og manuelt initieret AIR.

Se Generér en onboardingpakke med begrænsede indstillinger for sikkerhedshandlinger for at få oplysninger om, hvordan du konfigurerer en sådan pakke.

Bemærk!

Enheder, der er onboardet i begrænset tilstand, understøtter ikke udførelse af Live Response-script – dette er deaktiveret af design, selvom Live Response er aktiveret. Begrænset tilstand påvirker ikke registrering, advarsler eller sensordækning. Alle beskeder, tidslinjer og trusselsregistreringer fungerer fortsat som forventet.

Forudsætninger og understøttede operativsystemer

  • Begrænset tilstand understøttes på følgende Windows-klientarbejdsstationer og Windows Server operativsystemer, der kører Sense version 10.8798 eller nyere.

    Operativsystem Påkrævet KB
    Windows Server 2025, alle udgaver KB5063878
    Windows Server 2022 KB5063880
    Windows Server 2019 KB5063877
    Windows 10 22H2 KB5062649
    Windows 11 23H2 KB5062663
    Windows 11 24 H2 KB5062660
    Windows 11 25 H2 Alle

  • Hvis du vil bruge begrænset tilstand, skal funktionskontakten Tillad begrænsede sikkerhedshandlinger under onboarding være aktiveret. Se Aktivér funktionen selektive svarhandlinger.

Aktivér funktionen selektive svarhandlinger

Hvis du vil bruge funktionen selektive svarhandlinger, skal du aktivere funktionen på Microsoft Defender-portalen:

  1. Log på Microsoft Defender-portalen.
  2. Gå til Indstillinger>Slutpunkter>Avancerede funktioner.
  3. Slå Tillad begrænsede sikkerhedshandlinger til under onboarding.

Skærmbillede af siden Avancerede funktioner, der viser Tillad begrænsede handlinger under onboarding aktiveret.

Når indstillingen begrænset tilstand er aktiveret, bliver den tilgængelig, når du opretter Defender-udrulningspakker til Windows via Defender-installationsværktøjet (DDT). Du kan derefter oprette udrulningspakker, der angiver, hvilke sikkerhedshandlinger der skal tillades på de enheder, du onboarder. Se Generér en onboardingpakke med begrænsede indstillinger for sikkerhedshandlinger for at få flere oplysninger. Når installationspakken er genereret, kan du bruge den til at onboarde enheden.

Generér en onboardingpakke med begrænsede indstillinger for sikkerhedshandlinger

  1. På Microsoft Defender-portalen (security.microsoft.com) skal du gå tilOnboardingaf systemindstillinger>>Slutpunkter>.

  2. Vælg Windows i rullemenuen Trin 1.

  3. Under Udrul ved at downloade og anvende pakker eller filer skal du vælge knappen Onboard .

    Skærmbillede, der viser knappen Download pakke på Microsoft Defender-portalen.

  4. Udrulningsværktøjet Generate Defender med en adgangsnøgleside vises.

    Skærmbillede, der viser, hvordan du konfigurerer en ny installationspakke.

    • Angiv et navn til pakken. Sørg for at oprette et navn, der er entydigt og beskrivende.

    • Angiv en udløbsdato for pakken. Du kan angive udløbsdatoen for et hvilket som helst tidspunkt op til et år. Det anbefales at gøre gyldighedsperioden for pakker så kort som muligt for at reducere risikoen for uautoriseret brug af udrulningspakken.

    • Vælg Begrænset.

      Der vises en liste over sikkerhedshandlinger med stor indvirkning. Markér felterne ud for de handlinger, du vil tillade på den onboardede enhed, og fjern markeringen af felterne ud for de handlinger, du vil forbyde.

      Skærmbillede, der viser indstillingerne for sikkerhedstilstand på Microsoft Defender-portalen.

      Bemærk!

      Enheder, der er onboardet i begrænset tilstand, understøtter ikke udførelse af Live Response-scripts, selvom Live Response er aktiveret i disse indstillinger. Denne begrænsning gennemtvinges tilsigtet for at sikre, at scriptbaserede handlinger forbliver blokerede, så der opretholdes et højere niveau af beskyttelse af følsomme aktiver.

      Begrænset tilstand med alle tilladte svarhandlinger svarer ikke til fuld funktionalitet. Når du onboarder en enhed ved hjælp af en begrænset pakke, er kørsel af scripts deaktiveret af design, mens onboarding med en pakke med fuld funktionalitet giver ubegrænset adgang til alle understøttede svarhandlinger og -funktioner.

    • Når du er færdig med at konfigurere pakken, skal du vælge Generér.

  5. Når pakken er klar, får du vist en side, der har pakkens adgangsnøgle og en downloadknap, svarende til følgende billede.

    Skærmbillede, der viser den nøgle, der genereres for udrulningsværktøjspakken.

    Kopiér nøglen, og gem den, som den skal bruges sammen med installationsværktøjet.

    Når du har kopieret nøglen og gemt den, skal du vælge Download udrulningsværktøj. Dette downloader en .zip fil med den eksekverbare fil til Defender-installationsværktøjet.

Onboarde en enhed med begrænsede svarhandlinger

Når du har genereret og downloadet en installationspakke med de ønskede indstillinger for begrænsede sikkerhedshandlinger, skal du bruge pakken til at onboarde enheden som beskrevet i Installér Microsoft Defender for Endpoint til Windows-enheder ved hjælp af Defender-installationsværktøjet (prøveversion).

Sådan kontrollerer du status for sikkerhedshandlinger for onboardede enheder

Status for sikkerhedshandlinger for enheder kan identificeres på flere måder:

  • På siden Enhedsoversigt på Defender-portalen angiver en egenskab med navnet Sikkerhedshandlinger onboardingtilstanden for hver enhed:

    • Hvis enheden er onboardet med fuld funktionalitet, vises værdien som Fuld.
    • Hvis enheden er onboardet med begrænsede funktioner, vises værdien som Begrænset, hvilket angiver over for administratoren, at denne enhed har et begrænset sæt tilgængelige fjernsikkerhedshandlinger.

    Denne synlighed hjælper sikkerhedsteams med hurtigt at forstå det operationelle omfang for hver enhed og foretage de nødvendige handlinger, hvis det er nødvendigt.

    Skærmbillede af siden Enhedslager, der viser status for sikkerhedshandlinger.

  • Når enheden er i begrænset tilstand, føjes der automatisk et mærke mærket Restricted security operations til enheden for at hjælpe sikkerhedsteams med hurtigt at identificere aktiver med begrænset funktionalitet. Du kan se dette mærke på siden Enhed. Siden Enhed indeholder også en status for sikkerhedshandlinger, der afspejler det niveau af fjernsikkerhedsfunktioner, der er konfigureret for enheden:

    • Full angiver, at enheden er onboardet med det komplette sæt Microsoft Defender for Endpoint funktioner. Alle fjernsvarhandlinger er tilgængelige.
    • Restricted angiver, at enheden er onboardet med et begrænset sæt svarhandlinger tilgængelige.

    Skærmbillede af siden Enhed, der viser status for sikkerhedshandlinger.

    På det foregående billede kan du se, at det ikke er tilladt at starte Live Response-sessioner på enheden.

    Hvis du vil have adgang til en detaljeret liste over alle sikkerhedskontrolelementer og deres aktuelle status (aktiveret eller deaktiveret) på enheden, skal du vælge Vis oplysninger om sikkerhedshandlinger for at få vist ruden Enhedssikkerhedshandlinger .

    Skærmbillede af siden Enhed, der viser oplysninger om sikkerhedshandlinger.

  • Du kan også bruge egenskaben RestrictedDeviceSecurityOperations Advanced Hunting til at kontrollere, hvilke sikkerhedshandlinger der er begrænset på enheden. Værdierne repræsenterer de specifikke kategorier for sikkerhedshandlinger, der er begrænsede. Hvis værdien for RestrictedDeviceSecurityOperations egenskaben f.eks. er LiveResponse, betyder det, at det kun er funktionen Live Response, der ikke er tilladt på enheden, mens alle andre handlinger er tilladt.

    Skærmbillede af forespørgslen Avanceret jagt, der viser værdien af egenskaben RestrictedDeviceSecurityOperations.

  • Det selektive svar blokeres også, når der bruges en offentlig API. Hvis du forsøger at udføre en begrænset handling via API'en, får du vist en fejlmeddelelse, der angiver, at handlingen ikke er tilladt på enheden.

    Skærmbillede af fejlmeddelelsen, når du forsøger at udføre en begrænset svarhandling via en offentlig API.

Ændrer indstillinger for begrænsning

Når en enhed er onboardet med begrænsede indstillinger, kan dens konfiguration af sikkerhedshandlinger ikke ændres. Hvis du vil opdatere en enheds svarfunktioner, skal du ombord på enheden og onboarde den igen ved hjælp af en ny udrulningspakke med de ønskede indstillinger. Enheds-id'et forbliver det samme, og alle historiske data bevares.

Hvis du vil begrænse svarhandlinger på en enhed, der allerede er onboardet til Defender for Endpoint i fuld tilstand, skal du først ombord på enheden og derefter onboarde den igen ved hjælp af en onboardingpakke, der er konfigureret med begrænsede indstillinger. Enheds-id'et forbliver det samme, og alle historiske data bevares.

  • Last updated on