Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die Verringerung der Angriffsfläche ist eine Reihe von Funktionen in Microsoft Defender for Endpoint, die riskante oder unnötige Verhaltensweisen auf Geräten und Netzwerken beseitigen und so die Möglichkeiten verringern, die Angreifer haben, Ihre organization zu gefährden. Angriffsflächen sind alle Orte, an denen Ihre organization anfällig für Cyberbedrohungen ist. Durch das Härten dieser Oberflächen können Sie Angriffe von vornhergesehen verhindern.
Diese Funktionen blockieren riskante Softwareverhalten, verhindern Verbindungen mit schädlichen Websites und schützen Daten vor nicht autorisiertem Zugriff oder Exfiltration. Zusammen bilden sie einen mehrstufigen Schutz, der die Erkennungs- und Antwortfeatures in Defender für Endpunkt ergänzt.
Funktionen zur Verringerung der Angriffsfläche
Die Verringerung der Angriffsfläche in Defender für Endpunkt umfasst die folgenden Funktionen:
Regeln zur Verringerung der Angriffsfläche (Attack Surface Reduction, ASR) schränken riskante Softwareverhalten ein, das Angreifer ausnutzen, z. B. das Starten ausführbarer Dateien, die versuchen, Dateien herunterzuladen, das Ausführen von verschleierten Skripts oder das Ausführen von Aktionen, die Apps normalerweise nicht während der täglichen Arbeit initiieren. Weitere Informationen finden Sie unter Übersicht über Regeln zur Verringerung der Angriffsfläche (Attack Surface Reduction, ASR).
Kontrollierter Ordnerzugriff schützt wertvolle Daten vor schädlichen Apps und Bedrohungen wie Ransomware. Es überprüft Apps anhand einer Liste bekannter, vertrauenswürdiger Apps und verhindert, dass nicht vertrauenswürdige Apps Dateien in geschützten Ordnern ändern. Weitere Informationen finden Sie unter Schützen wichtiger Ordner mit kontrolliertem Ordnerzugriff.
Exploit-Schutz wendet Exploit-Entschärfungstechniken automatisch auf Betriebssystemprozesse und -apps an. Es baut auf den Schutzmaßnahmen auf, die im Enhanced Mitigation Experience Toolkit (EMET) verfügbar waren, und ist für Die Berichterstellung und Warnungen in Defender für Endpunkt integriert. Weitere Informationen finden Sie unter Schützen von Geräten vor Exploits.
Der Netzwerkschutz verhindert Verbindungen mit schädlichen oder verdächtigen Domänen und IP-Adressen. Es erweitert Microsoft Defender SmartScreen-Schutz, um den gesamten ausgehenden HTTP(S)-Datenverkehr zu blockieren, der versucht, eine Verbindung mit Quellen mit geringem Ruf herzustellen. Weitere Informationen finden Sie unter Netzwerkschutz.
Webschutz schützt Geräte vor Webbedrohungen und hilft bei der Regulierung unerwünschter Inhalte. Webschutz umfasst Web-Bedrohungsschutz, Webinhaltsfilterung und benutzerdefinierte Indikatoren. Weitere Informationen finden Sie unter Webschutz.
Die Filterung von Webinhalten verfolgt und reguliert den Zugriff auf Websites basierend auf deren Inhaltskategorien, sodass Sie Kategorien blockieren können, die gegen Compliancebestimmungen oder Organisationsrichtlinien verstoßen. Weitere Informationen finden Sie unter Filtern von Webinhalten.
Die Gerätesteuerung bestimmt, ob Benutzer Peripheriegeräte wie USB-Laufwerke, Drucker und Bluetooth-Geräte auf ihren Computern installieren und verwenden können. Die Gerätesteuerung trägt dazu bei, Datenverluste und Schadsoftware von Wechselmedien zu verhindern. Weitere Informationen finden Sie unter Gerätesteuerung in Microsoft Defender for Endpoint.
Die Netzwerkfirewall-Berichterstellung wird in die Windows-Firewall integriert, um einen zentralisierten Einblick in Firewallereignisse im Microsoft Defender-Portal zu bieten. Weitere Informationen finden Sie unter Hostfirewall-Berichterstellung.
Die Verfügbarkeit dieser Features ist in der folgenden Tabelle zusammengefasst:
| Feature | Windows | macOS | Linux |
|---|---|---|---|
| ASR-Regeln | J | N | N |
| Kontrollierter Ordnerzugriff | J | N | N |
| Exploit-Schutz | J | N | N |
| Netzwerkschutz | v | v | v* |
| Webschutz | v | v | v* |
| Webinhaltsfilterung | v | v | v |
| Gerätesteuerung | v | J | N |
| Firewallberichterstellung | J | N | N |
* Derzeit in der Vorschauphase.
Verwandte Windows-Sicherheitsfeatures
Die folgenden Windows-Sicherheitsfeatures ergänzen die Verringerung der Angriffsfläche in Defender für Endpunkt, werden jedoch separat konfiguriert und verwaltet:
- Microsoft Defender Application Guard bietet hardwarebasierte Isolation für Microsoft Edge und öffnet nicht vertrauenswürdige Websites in einem Container, um Ihre organization zu schützen. Weitere Informationen finden Sie unter Microsoft Defender Application Guard Übersicht.
- Windows Defender Application Control (WDAC) stellt sicher, dass nur vertrauenswürdige Anwendungen auf Ihren Geräten ausgeführt werden. Weitere Informationen finden Sie unter Anwendungssteuerung für Windows.
- Die Windows-Firewall steuert eingehenden und ausgehenden Netzwerkdatenverkehr auf Geräten. Weitere Informationen finden Sie unter Windows-Firewall mit erweiterter Sicherheit.
Wie die Verringerung der Angriffsfläche in Defender für Endpunkt passt
Die Verringerung der Angriffsfläche ergänzt andere Defender für Endpunkt-Funktionen, die Bedrohungen erkennen und darauf reagieren, nachdem sie auftreten. Während sich der Schutz und die Endpunkterkennung und -reaktion der nächsten Generation auf die Identifizierung und Behebung aktiver Bedrohungen konzentrieren, verhindert die Verringerung der Angriffsfläche, dass Bedrohungen Fuß fassen.
Jede Funktion adressiert einen anderen Teil der Angriffsfläche:
- Riskantes Softwareverhalten: ASR-Regeln schränken das Verhalten von Anwendungen und Skripts ein und blockieren gängige Techniken, die Angreifer verwenden, um Schadsoftware zu übermitteln oder Anmeldeinformationen zu stehlen.
- Netzwerkverbindungen: Netzwerk- und Webschutz blockieren den Zugriff auf bekannte schädliche oder unangemessene Websites, bevor Inhalte das Gerät erreichen.
- Daten- und Dateizugriff: Kontrollierter Ordnerzugriff und Gerätesteuerung beschränken, auf welche Anwendungen und Hardware auf vertrauliche Dateien zugreifen oder diese ändern können.
- Sicherheitsrisiken für Anwendungen: Der Exploit-Schutz wendet Entschärfungen an, die es Angreifern erschweren, Sicherheitsrisiken in Betriebssystemprozessen und -anwendungen auszunutzen.
Überwachungsmodus
Der Überwachungsmodus hilft Ihnen, die Auswirkungen von Features zur Verringerung der Angriffsfläche auf Ihre Umgebung zu bewerten, ohne die Produktivität zu beeinträchtigen. Die folgenden Funktionen unterstützen den Überwachungsmodus:
- Regeln und Ausschlüsse für die Verringerung der Angriffsfläche (Attack Surface Reduction, ASR)
- Kontrollierter Ordnerzugriff
- Exploit-Schutz
- Netzwerkschutz
Im Überwachungsmodus blockieren die Features keine Apps, Skripts oder Verbindungen. Stattdessen zeichnet das Windows-Ereignisprotokoll Ereignisse so auf, als ob die Features aktiv wären. Sie können Ereignisprotokolle überprüfen und die erweiterte Suche im Microsoft Defender-Portal verwenden, um zu verstehen, wie sich jedes Feature auf Ihre Branchenanwendungen auswirken würde. Weitere Informationen zu den Daten in Windows Ereignisanzeige finden Sie unter Anzeigen von Ereignissen zur Verringerung der Angriffsfläche in Windows Ereignisanzeige.
Verwaltungstools
Sie können Funktionen zur Verringerung der Angriffsfläche mithilfe mehrerer Verwaltungstools konfigurieren. Die folgenden Tools werden häufig verwendet:
- Microsoft Intune
- Microsoft Configuration Manager
- Gruppenrichtlinien
- PowerShell-Cmdlets
Das richtige Tool hängt von der Infrastruktur und den Verwaltungseinstellungen Ihres organization ab. Eine ausführliche Anleitung zur Konfiguration finden Sie in den einzelnen Featureartikeln, die im Abschnitt Funktionen zur Verringerung der Angriffsfläche verknüpft sind.
Verwandte Inhalte
- Übersicht über Regeln zur Verringerung der Angriffsfläche (Attack Surface Reduction, ASR)
- Regelbereitstellungshandbuch zur Verringerung der Angriffsfläche (Attack Surface Reduction, ASR)
- Ereignisse zur Verringerung der Angriffsfläche in Windows Ereignisanzeige
- Schützen wichtiger Ordner durch kontrollierten Ordnerzugriff
- Schützen von Geräten vor Exploits
- Netzwerkschutz
- Internetschutz
- Gerätesteuerung in Microsoft Defender for Endpoint