Einschränken von Antwortaktionen auf hochwertige Ressourcen (Vorschau)

Dieser Artikel bietet eine Übersicht über die Funktion selektive Reaktionsaktionen in Microsoft Defender for Endpoint. Die Zielgruppe sind Sicherheitsadministratoren und IT-Betriebsteams, die für die Verwaltung Microsoft Defender for Endpoint in Umgebungen verantwortlich sind, die Tier-0-Systeme und high-value assets (HVAs) wie Domänencontroller, AD FS-Server und andere kritische Infrastrukturen umfassen.

Übersicht

Selektive Reaktionsaktionen sind eine Microsoft Defender for Endpoint Funktion, mit der Organisationen während des Onboardings sicherheitsrelevante Vorgänge anpassen können. Es bietet eine präzise Kontrolle darüber, wie Reaktionsaktionen auf Tier-0-Systeme und andere hochwertige Ressourcen angewendet werden, und trägt dazu bei, die Betriebsstabilität aufrechtzuerhalten und gleichzeitig einen starken Schutz zu bieten.

Hintergrund

Die Bereitstellung Microsoft Defender for Endpoint auf hochwertigen Ressourcen (High Value Assets, HVAs), z. B. Domänencontrollern, AD FS-Servern und anderen Tier-0-Systemen, erfordert einen durchdachten Ansatz, um starken Schutz mit Betriebsstabilität in Einklang zu bringen. Angesichts der verfügbaren leistungsstarken Reaktionsfunktionen suchen Organisationen häufig eine bessere Kontrolle darüber, wie diese Aktionen in sensiblen Umgebungen angewendet werden.

Viele Organisationen, insbesondere solche mit strengen Richtlinien für die Verwaltung privilegierter Zugriffe, bevorzugen es auch, cloudinitiierte administrative Aktionen auf Systemen der Ebene 0 einzuschränken, um ihre Sicherheits- und Complianceanforderungen zu erfüllen.

Die Funktion selektive Reaktionsaktionen erfüllt diese Anforderungen, indem sie einen kontrollierteren und flexibleren Ansatz bietet. Es ermöglicht Organisationen, genau zu definieren, welche Reaktionsaktionen für kritische Ressourcen zulässig sind, um die Betriebskontinuität aufrechtzuerhalten und gleichzeitig vom Defender-Schutz zu profitieren.

Wie funktioniert das Feature?

Zunächst muss das Feature auf dem Mandanten aktiviert sein. Weitere Informationen finden Sie unter Aktivieren selektiver Antwortaktionen.

Sobald das Feature aktiviert ist, verwenden Sie das Defender-Bereitstellungstool (DDT), um ein Onboardingpaket mit eingeschränkten Einstellungen für Sicherheitsvorgänge zu erstellen. Wenn Sie das Paket konfigurieren, wählen Sie zwischen vollständiger Funktionalität (dem Standard-Onboardingmodus, in dem alle Antwortaktionen auf dem integrierten Gerät zulässig sind) und eingeschränkter Funktionalität (bei der Aktionen mit hohen Auswirkungen nicht zulässig sind). Wenn Sie eingeschränkte Funktionen auswählen, können Sie nach dem Onboarding angeben, welche Aktionen auf dem Gerät zulässig sind.

In der folgenden Tabelle werden Reaktionsaktionen mit hohen Auswirkungen beschrieben, die Sie zulassen oder nicht zulassen können.

Funktion Beschreibung Hinweise
Grundlegende Antwort Führen Sie die Antivirenüberprüfung aus, sammeln Sie Die Datei und das Untersuchungspaket. Die Funktion "Datei sammeln " bezieht sich auf das Abrufen einer Datei von der Seite Datei im Portal, nicht auf den GetFile Unter Live Response verfügbaren Befehl.
Erweiterte Antwort Isolieren Sie das Gerät, schränken Sie die App-Ausführung ein, und fordern Sie eine Korrektur an. Mit der Anforderungswartung können Sicherheitsadministratoren Korrekturaktionen für identifizierte Sicherheitsrisiken auf einem bestimmten Gerät initiieren.
Live-Antwort Ermöglicht Liveantwortsitzungen für das Remotegerät.
Geräteschutz Ermöglicht die Durchführung der automatisierten Untersuchung und Reaktion (AIR) auf dem Gerät. Dies gilt sowohl für automatisch ausgelöste AIR als auch für manuell initiierte AIR.

Ausführliche Informationen zum Konfigurieren eines solchen Pakets finden Sie unter Generieren eines Onboardingpakets mit eingeschränkten Sicherheitsvorgängen .

Hinweis

Geräte, die im eingeschränkten Modus integriert sind, unterstützen die Ausführung von Live Response-Skripts nicht. Dies ist standardmäßig deaktiviert, auch wenn Live Response aktiviert ist. Der eingeschränkte Modus wirkt sich nicht auf Erkennung, Warnungen oder Sensorabdeckung aus. Alle Warnungen, Zeitachsen und Bedrohungserkennungen funktionieren weiterhin wie erwartet.

Voraussetzungen und unterstützte Betriebssysteme

  • Der eingeschränkte Modus wird auf den folgenden Windows-Clientarbeitsstationen und Windows Server Betriebssystemen unterstützt, auf denen Sense Version 10.8798 oder höher ausgeführt wird.

    Betriebssystem Erforderliche KB
    Windows Server 2025, alle Editionen KB5063878
    Windows Server 2022 KB5063880
    Windows Server 2019 KB5063877
    Windows 10 22H2 KB5062649
    Windows 11 23H2 KB5062663
    Windows 11 24H2 KB5062660
    Windows 11 25H2 Alle

  • Um den eingeschränkten Modus verwenden zu können, muss der Featureschalter Eingeschränkte Sicherheitsvorgänge während des Onboardings zulassen aktiviert sein. Weitere Informationen finden Sie unter Aktivieren des Features für selektive Antwortaktionen.

Aktivieren des Features für selektive Antwortaktionen

Um die Funktion selektive Antwortaktionen zu verwenden, aktivieren Sie das Feature im Microsoft Defender-Portal:

  1. Melden Sie sich beim Microsoft Defender-Portal an.
  2. Navigieren Sie zu Einstellungen>Endpunkte>Erweiterte Features.
  3. Aktivieren Sie Eingeschränkte Sicherheitsvorgänge während des Onboardings zulassen.

Screenshot der Seite

Nach der Aktivierung ist die Option für den eingeschränkten Modus verfügbar, wenn Sie Defender-Bereitstellungspakete für Windows über das Defender-Bereitstellungstool (DDT) erstellen. Anschließend können Sie Bereitstellungspakete erstellen, die angeben, welche Sicherheitsvorgänge auf den Geräten, die Sie integrieren, zugelassen werden sollen. Weitere Informationen finden Sie unter Generieren eines Onboardingpakets mit eingeschränkten Sicherheitsvorgängen. Nachdem das Bereitstellungspaket generiert wurde, verwenden Sie es zum Onboarding des Geräts.

Generieren eines Onboardingpakets mit eingeschränkten Einstellungen für Sicherheitsvorgänge

  1. Navigieren Sie im Microsoft Defender-Portal (security.microsoft.com) zu Systemeinstellungen>>Endpunkte>Onboarding.

  2. Wählen Sie im Dropdownmenü Schritt 1 die Option Windows aus.

  3. Wählen Sie unter Bereitstellen durch Herunterladen und Anwenden von Paketen oder Dateien die Schaltfläche Onboarding aus.

    Screenshot: Schaltfläche

  4. Die Seite Defender-Bereitstellungstool mit einem Zugriffsschlüssel generieren wird angezeigt.

    Screenshot: Konfigurieren eines neuen Bereitstellungspakets

    • Geben Sie einen Namen für das Paket an. Achten Sie darauf, einen eindeutigen und beschreibenden Namen zu erstellen.

    • Legen Sie ein Ablaufdatum für das Paket fest. Sie können das Ablaufdatum für eine beliebige Zeit bis zu einem Jahr festlegen. Es wird empfohlen, die Gültigkeitsdauer von Paketen so kurz wie möglich zu machen, um das Risiko einer nicht autorisierten Verwendung von Bereitstellungspaketen zu verringern.

    • Wählen Sie Eingeschränkt aus.

      Eine Liste mit sicherheitsrelevanten Vorgängen mit großen Auswirkungen wird angezeigt. Aktivieren Sie die Felder neben den Vorgängen, die Sie auf dem integrierten Gerät zulassen möchten, und deaktivieren Sie die Kontrollkästchen neben den Vorgängen, die Sie nicht zulassen möchten.

      Screenshot: Optionen für den Sicherheitsbetriebsmodus im Microsoft Defender-Portal

      Hinweis

      Geräte, die im eingeschränkten Modus integriert sind, unterstützen die Ausführung von Live Response-Skripts nicht, auch wenn Live Response in diesen Einstellungen aktiviert ist. Diese Einschränkung wird entwurfsbedingt erzwungen, um sicherzustellen, dass skriptbasierte Aktionen blockiert bleiben und ein höheres Schutzniveau für sensible Ressourcen erhalten bleibt.

      Der eingeschränkte Modus mit allen zulässigen Antwortaktionen entspricht nicht der vollständigen Funktionalität. Wenn Sie ein Gerät mit einem eingeschränkten Paket integrieren, wird die Ausführung von Skripts standardmäßig deaktiviert, während das Onboarding mit einem vollständigen Funktionspaket uneingeschränkten Zugriff auf alle unterstützten Antwortaktionen und -funktionen bietet.

    • Wenn Sie mit der Konfiguration des Pakets fertig sind, wählen Sie Generieren aus.

  5. Wenn das Paket bereit ist, wird eine Seite mit dem Paketzugriffsschlüssel und einer Downloadschaltfläche angezeigt, ähnlich wie in der folgenden Abbildung.

    Screenshot: Schlüssel, der für das Bereitstellungstoolpaket generiert wird

    Kopieren Sie den Schlüssel, und speichern Sie ihn, da er mit dem Bereitstellungstool benötigt wird.

    Nachdem Sie den Schlüssel kopiert und gespeichert haben, wählen Sie Bereitstellungstool herunterladen aus. Dadurch wird eine .zip Datei der ausführbaren Datei des Defender-Bereitstellungstools heruntergeladen.

Onboarding eines Geräts mit eingeschränkten Reaktionsaktionen

Nachdem Sie ein Bereitstellungspaket mit den gewünschten Einstellungen für eingeschränkte Sicherheitsvorgänge generiert und heruntergeladen haben, verwenden Sie das Paket, um das Gerät zu integrieren, wie unter Bereitstellen von Microsoft Defender for Endpoint auf Windows-Geräten mit dem Defender-Bereitstellungstool (Vorschau) beschrieben.

Überprüfen der Sicherheitsvorgänge status von integrierten Geräten

Die Sicherheitsvorgänge status von Geräten können auf verschiedene Arten identifiziert werden:

  • Auf der Seite Gerätebestand im Defender-Portal gibt eine Eigenschaft namens Sicherheitsvorgänge den Onboardingmodus der einzelnen Geräte an:

    • Wenn das Gerät mit vollständiger Funktionalität integriert ist, wird der Wert als Vollständig angezeigt.
    • Wenn das Gerät mit eingeschränkten Funktionen integriert ist, wird der Wert als Eingeschränkt angezeigt, was dem Administrator angibt, dass für dieses Gerät eine begrenzte Anzahl von Remotesicherheitsvorgängen verfügbar ist.

    Diese Sichtbarkeit hilft Sicherheitsteams dabei, den Betriebsumfang für jedes Gerät schnell zu verstehen und bei Bedarf geeignete Maßnahmen zu ergreifen.

    Screenshot der Seite

  • Wenn sich das Gerät im eingeschränkten Modus befindet, wird dem Gerät automatisch ein Tag mit der Bezeichnung Eingeschränkte Sicherheitsvorgänge hinzugefügt, damit Sicherheitsteams Ressourcen mit eingeschränkter Funktionalität schnell identifizieren können. Dieses Tag wird auf der Seite Gerät angezeigt. Die Seite Gerät enthält auch eine status sicherheitsrelevante Vorgänge, um die Für das Gerät konfigurierte Ebene der Remotesicherheitsfunktionen widerzuspiegeln:

    • Vollständig gibt an, dass das Gerät mit dem vollständigen Satz von Microsoft Defender for Endpoint Funktionen integriert wurde. Alle Remoteantwortaktionen sind verfügbar.
    • Eingeschränkt gibt an, dass das Gerät mit einer begrenzten Anzahl von Verfügbaren Antwortaktionen integriert ist.

    Screenshot der Seite

    In der obigen Abbildung sehen Sie, dass das Initiieren von Live Response-Sitzungen auf dem Gerät nicht zulässig ist.

    Um auf eine detaillierte Liste aller Sicherheitskontrollen und ihrer aktuellen status (aktiviert oder deaktiviert) auf dem Gerät zuzugreifen, wählen Sie Informationen zu Sicherheitsvorgängen anzeigen aus, um den Bereich Gerätesicherheitsvorgänge anzuzeigen.

    Screenshot der Seite

  • Sie können auch die Eigenschaft RestrictedDeviceSecurityOperations Erweiterte Suche verwenden, um zu überprüfen, welche Sicherheitsvorgänge auf dem Gerät eingeschränkt sind. Die Werte stellen die spezifischen Sicherheitsvorgangskategorien dar, die eingeschränkt sind. Wenn der Wert der RestrictedDeviceSecurityOperations Eigenschaft beispielsweise LiveResponse ist, bedeutet dies, dass nur die Live Response-Funktion auf dem Gerät nicht zulässig ist, während alle anderen Vorgänge zulässig sind.

    Screenshot der Abfrage

  • Die selektive Antwort wird auch blockiert, wenn die öffentliche API verwendet wird. Wenn Sie versuchen, eine eingeschränkte Aktion über die API auszuführen, erhalten Sie eine Fehlermeldung, die angibt, dass der Vorgang auf dem Gerät nicht zulässig ist.

    Screenshot der Fehlermeldung beim Versuch einer eingeschränkten Antwortaktion über die öffentliche API.

Ändern der Einschränkungseinstellungen

Sobald das Onboarding eines Geräts mit eingeschränkten Einstellungen erfolgt, kann seine Sicherheitsbetriebskonfiguration nicht mehr geändert oder geändert werden. Um die Antwortfunktionen eines Geräts zu aktualisieren, müssen Sie das Gerät offboarden und es mithilfe eines neuen Bereitstellungspakets mit den gewünschten Einstellungen erneut integrieren. Die Geräte-ID bleibt unverändert, und alle Verlaufsdaten werden beibehalten.

Wenn Sie Antwortaktionen auf einem Gerät einschränken möchten, das bereits im vollständigen Modus in Defender für Endpunkt integriert ist, müssen Sie das Gerät zuerst offboarden und dann mithilfe eines Onboardingpakets erneut integrieren, das mit eingeschränkten Einstellungen konfiguriert ist. Die Geräte-ID bleibt unverändert, und alle Verlaufsdaten werden beibehalten.

  • Last updated on