Begrens responshandlinger på aktiva med høy verdi (forhåndsversjon)

Denne artikkelen gir en oversikt over funksjonen Selektive svarhandlinger i Microsoft Defender for endepunkt. Målgruppen er sikkerhetsadministratorer og IT-operasjonsteam som er ansvarlige for å administrere Microsoft Defender for endepunkt i miljøer som inkluderer Tier-0-systemer og aktiva med høy verdi (HVAs), for eksempel domenekontrollere, ADFS-servere og annen kritisk infrastruktur.

Oversikt

Selektive responshandlinger er en Microsoft Defender for endepunkt funksjon som gjør det mulig for organisasjoner å skreddersy sikkerhetsoperasjoner med høy effekt under pålasting. Den gir nøyaktig kontroll over hvordan responshandlinger brukes på Tier-0-systemer og andre aktiva med høy verdi, noe som bidrar til å opprettholde driftsstabiliteten samtidig som den gir sterk beskyttelse.

Bakgrunn

Distribusjon av Microsoft Defender for endepunkt på aktiva med høy verdi (HVAer), for eksempel domenekontrollere, ADFS-servere og andre Tier-0-systemer, krever en gjennomtenkt tilnærming for å balansere sterk beskyttelse med driftsstabilitet. Gitt de kraftige svarfunksjonene som er tilgjengelige, søker organisasjoner ofte større kontroll over hvordan disse handlingene brukes i sensitive miljøer.

Mange organisasjoner, spesielt de med strenge privilegerte administrasjonspolicyer for tilgang, foretrekker også å begrense skyinitierte administrative handlinger på Tier-0-systemer for å samsvare med sikkerhets- og samsvarskravene.

Funksjonen selektive responshandlinger dekker disse behovene ved å gi en mer kontrollert og fleksibel tilnærming. Det gjør det mulig for organisasjoner å definere nøyaktig hvilke responshandlinger som er tillatt på kritiske eiendeler, noe som bidrar til å opprettholde driftskontinuitet samtidig som de drar nytte av Defenders beskyttelse.

Hvordan fungerer funksjonen?

Først må funksjonen aktiveres på leieren. Se Aktiver selektive svarhandlinger.

Når funksjonen er aktivert, bruker du Defender-distribusjonsverktøyet (DDT) til å opprette en pålastingspakke med begrensede innstillinger for sikkerhetsoperasjoner. Når du konfigurerer pakken, velger du mellom full funksjonalitet (standard pålastingsmodus, der alle svarhandlinger er tillatt på den innebygde enheten) og begrenset funksjonalitet (der svarhandlinger med høy effekt kan ikke tillates). Hvis du velger begrenset funksjonalitet, kan du deretter angi hvilke handlinger som er tillatt på enheten når den er pålastet.

Tabellen nedenfor beskriver svarhandlinger med høy innvirkning som du kan tillate eller forby.

Evnen Beskrivelse Merknader
Grunnleggende svar Kjør antivirusskanning, samle inn fil og samle inn undersøkelsespakke. Innsamling av fil-funksjonen refererer til å hente en fil fra Fil-siden i portalen, ikke GetFile kommandoen som er tilgjengelig under Direkte svar.
Avansert svar Isolere enhet, begrense kjøring av apper og be om utbedring. Utbedring av forespørsler gjør det mulig for sikkerhetsadministratorer å starte utbedringshandlinger for identifiserte sårbarheter på en bestemt enhet.
Direkte svar Tillater økter med direkte respons på den eksterne enheten.
Enhetsbeskyttelse Tillater automatisert undersøkelse og respons (AIR) som skal utføres på enheten. Dette gjelder både automatisk utløst AIR og manuelt initiert AIR.

Se Generer en pålastingspakke med begrensede innstillinger for sikkerhetsoperasjoner for mer informasjon om hvordan du konfigurerer en slik pakke.

Obs!

Enheter som er pålastet i begrenset modus, støtter ikke kjøring av skript for direkte svar – dette er deaktivert av utforming, selv om direkte svar er aktivert. Begrenset modus påvirker ikke gjenkjenning, varsling eller sensordekning. Alle varsler, tidslinjer og trusselregistreringer fortsetter å fungere som forventet.

Forutsetninger og støttede operativsystemer

  • Begrenset modus støttes på følgende Windows-klientarbeidsstasjoner og Windows Server operativsystemer som kjører Sense versjon 10.8798 eller nyere.

    Operativsystemet Obligatorisk KB
    Windows Server 2025, alle utgaver KB5063878
    Windows Server 2022 KB5063880
    Windows Server 2019 KB5063877
    Windows 10 22H2 KB5062649
    Windows 11 23H2 KB5062663
    Windows 11 24H2 KB5062660
    Windows 11 25H2 Alle

  • Hvis du vil bruke begrenset modus, må funksjonsbryteren Tillat begrensede sikkerhetsoperasjoner under pålasting være aktivert. Se Aktiver funksjonen for selektive svarhandlinger.

Aktiver funksjonen selektive svarhandlinger

Hvis du vil bruke funksjonen selektive svarhandlinger, aktiverer du funksjonen i Microsoft Defender-portalen:

  1. Logg på Microsoft Defender-portalen.
  2. Gå tilAvanserte funksjonerforInnstillinger-endepunkter>>.
  3. Aktiver Tillat begrensede sikkerhetsoperasjoner under pålasting.

Skjermbilde av siden Avanserte funksjoner som viser Tillat begrensede operasjoner under pålasting aktivert.

Når dette alternativet er aktivert, blir alternativet for begrenset modus tilgjengelig når du oppretter Defender-distribusjonspakker for Windows via Distribusjonsverktøyet for Defender (DDT). Deretter kan du opprette distribusjonspakker som angir hvilke sikkerhetsoperasjoner som skal tillates på enhetene du tar på deg. Se Generer en pålastingspakke med begrensede innstillinger for sikkerhetsoperasjoner for mer informasjon. Når distribusjonspakken er generert, kan du bruke den på enheten.

Generer en pålastingspakke med begrensede innstillinger for sikkerhetsoperasjoner

  1. Gå tilPålasting avsysteminnstillinger-endepunkter>>> i Microsoft Defender-portalen (security.microsoft.com).

  2. Velg Windows på rullegardinmenyen trinn 1.

  3. Velg Onboard-knappen under Distribuer ved å laste ned og bruke pakker eller filer.

    Skjermbilde som viser Last ned pakke-knappen i Microsoft Defender-portalen.

  4. Distribusjonsverktøyet Generer Defender med en tilgangstastside vises.

    Skjermbilde som viser hvordan du konfigurerer en ny distribusjonspakke.

    • Angi et navn for pakken. Pass på å opprette et navn som er unikt og beskrivende.

    • Angi en utløpsdato for pakken. Du kan angi utløpsdatoen for opptil ett år. Det anbefales å gjøre gyldighetsperioden for pakker så kort som mulig for å redusere risikoen for uautorisert bruk av distribusjonspakker.

    • Velg Begrenset.

      En liste over sikkerhetsoperasjoner med høy innvirkning vises. Merk av i boksene ved siden av operasjonene du vil tillate på den pålastede enheten, og fjern merket i boksene ved siden av operasjonene du vil forby.

      Skjermbilde som viser alternativene for sikkerhetsoperasjonsmodus i Microsoft Defender-portalen.

      Obs!

      Enheter som er pålastet i begrenset modus, støtter ikke kjøring av Live Response-skript, selv når Direkte svar er aktivert i disse innstillingene. Denne begrensningen håndheves av utformingen for å sikre at skriptbaserte handlinger forblir blokkert, og opprettholder et høyere beskyttelsesnivå for sensitive ressurser.

      Begrenset modus med alle tillatte svarhandlinger tilsvarer ikke full funksjonalitet. Når du tar på deg en enhet som bruker en begrenset pakke, deaktiveres skript som kjører, av utformingen, mens pålasting med en pakke med full funksjonalitet gir ubegrenset tilgang til alle støttede svarhandlinger og -funksjoner.

    • Når du er ferdig med å konfigurere pakken, velger du Generer.

  5. Når pakken er klar, ser du en side som har tilgangsnøkkelen for pakken og en nedlastingsknapp, som ligner på bildet nedenfor.

    Skjermbilde som viser nøkkelen som genereres for distribusjonsverktøypakken.

    Kopier nøkkelen og lagre den, slik den trengs med distribusjonsverktøyet.

    Når du har kopiert nøkkelen og lagret den, velger du Last ned distribusjonsverktøy. Dette laster ned en .zip fil med den kjørbare filen for Defender-distribusjonsverktøyet.

Om bord på en enhet med handlinger for begrenset respons

Når du har generert og lastet ned en distribusjonspakke med de ønskede innstillingene for begrensede sikkerhetsoperasjoner, kan du bruke pakken for å få enheten om bord, som beskrevet i Distribuer Microsoft Defender for endepunkt til Windows-enheter ved hjelp av Defender-distribusjonsverktøyet (forhåndsversjon).

Slik kontrollerer du statusen for sikkerhetsoperasjoner for pålastede enheter

Statusen for sikkerhetsoperasjoner for enheter kan identifiseres på flere måter:

  • enhetslagersiden i Defender-portalen angir en egenskap kalt Sikkerhetsoperasjoner pålastingsmodus for hver enhet:

    • Hvis enheten er pålastet med full funksjonalitet, vises verdien som Full.
    • Hvis enheten er innebygd med begrensede funksjoner, vises verdien som Begrenset, noe som indikerer for administratoren at denne enheten har et begrenset sett med eksterne sikkerhetsoperasjoner tilgjengelig.

    Denne synligheten hjelper sikkerhetsteamene med å raskt forstå det operative omfanget for hver enhet og utføre nødvendige tiltak om nødvendig.

    Skjermbilde av Enhetsbeholdning-siden som viser status for sikkerhetsoperasjoner.

  • Når enheten er i begrenset modus, legges en kode merket Begrensede sikkerhetsoperasjoner automatisk til enheten for å hjelpe sikkerhetsteam med å identifisere ressurser med begrenset funksjonalitet. Du kan se denne koden på Enhet-siden. Enhetssiden inneholder også status for sikkerhetsoperasjoner for å gjenspeile nivået av eksterne sikkerhetsfunksjoner som er konfigurert for enheten:

    • Full angir at enheten er innebygd med det fullstendige settet med Microsoft Defender for endepunkt-funksjoner. Alle handlinger for ekstern respons er tilgjengelige.
    • Begrenset indikerer at enheten er pålastet med et begrenset sett med svarhandlinger som er tilgjengelige.

    Skjermbilde av Enhet-siden som viser status for sikkerhetsoperasjoner.

    I det forrige bildet kan du se at det ikke er tillatt å starte direkte svar-økter på enheten.

    Hvis du vil ha tilgang til en detaljert liste over alle sikkerhetskontroller og deres gjeldende status (aktivert eller deaktivert) på enheten, velger du Vis informasjon om sikkerhetsoperasjoner for å vise ruten Enhetssikkerhetsoperasjoner .

    Skjermbilde av Enhet-siden som viser detaljer om sikkerhetsoperasjoner.

  • Du kan også bruke egenskapen RestrictedDeviceSecurityOperations Avansert jakt til å kontrollere hvilke sikkerhetsoperasjoner som er begrenset på enheten. Verdiene representerer de spesifikke sikkerhetsoperasjonskategoriene som er begrenset. Hvis verdien for RestrictedDeviceSecurityOperations egenskapen for eksempel er LiveResponse, betyr det at bare live response-funksjonen ikke er tillatt på enheten, mens alle andre operasjoner er tillatt.

    Skjermbilde av Avansert jakt-spørringen som viser verdien for egenskapen RestrictedDeviceSecurityOperations.

  • Det selektive svaret blokkeres også når du bruker offentlig API. Hvis du prøver å utføre en begrenset handling via API-en, får du en feilmelding som angir at operasjonen ikke er tillatt på enheten.

    Skjermbilde av feilmeldingen når du prøver en begrenset responshandling via offentlig API.

Endre begrensningsinnstillinger

Når en enhet er innebygd med begrensede innstillinger, kan ikke konfigurasjonen for sikkerhetsoperasjoner endres eller endres. Hvis du vil oppdatere svarfunksjonene for en enhet, må du gå om bord på enheten og om bord i den ved hjelp av en ny distribusjonspakke med de ønskede innstillingene. Enhets-ID-en forblir den samme, og alle historiske data beholdes.

Hvis du vil begrense svarhandlinger på en enhet som allerede er koblet til Defender for Endpoint i full modus, må du først gå om bord på enheten og deretter starte den på nytt ved hjelp av en pålastingspakke som er konfigurert med begrensede innstillinger. Enhets-ID-en forblir den samme, og alle historiske data beholdes.

  • Last updated on