Aktiver regler for reduksjon av angrepsoverflate

  • 17 minutter

Angrepsoverflaten inneholder alle stedene der en angriper kan kompromittere organisasjonens enheter eller nettverk. Å redusere angrepsoverflaten betyr å beskytte organisasjonens enheter og nettverk, noe som gjør at angripere får færre måter å utføre angrep på.

Regler for reduksjon av angrepsoverflater retter seg mot visse programvareatferder som ofte misbruker angripere. Slike virkemåter omfatter:

  • Starter kjørbare filer og skript som prøver å laste ned eller kjøre filer

  • Kjører obfuscated eller på annen måte mistenkelige skript

  • Utfører virkemåter som apper vanligvis ikke starter under vanlig daglig arbeid.

Slike programvareatferder ses noen ganger i legitime programmer. Imidlertid anses disse atferdene ofte som risikabelt fordi de ofte misbruker av skadelig programvare. Regler for reduksjon av angrepsoverflater kan begrense risikabel atferd og bidra til å holde organisasjonen trygg.

Hver regel for reduksjon av angrepsoverflaten inneholder én av fire innstillinger:

  • Ikke konfigurert: Deaktiver regelen for reduksjon av angrepsoverflaten

  • Blokk: Aktiver regelen for reduksjon av angrepsoverflaten

  • Revisjon: Vurder hvordan regelen for reduksjon av angrepsoverflaten vil påvirke organisasjonen hvis den er aktivert

  • Advarsel: Aktiver regelen for angrepsoverflatereduksjon, men tillat sluttbrukeren å omgå blokken

Regler for reduksjon av angrepsoverflaten

Regler for angrepsoverflatereduksjon støtter for øyeblikket reglene nedenfor:

  • Blokkere kjørbart innhold fra e-postklient og nettpost
  • Blokkere alle Office-programmer fra å opprette underordnede prosesser
  • Blokkere Office-programmer fra å opprette kjørbart innhold
  • Blokkere Office-programmer fra å sette inn kode i andre prosesser
  • Blokkere JavaScript eller VBScript fra å starte nedlastet kjørbart innhold
  • Blokkkjøring av potensielt obfuscated skript
  • Blokkere Win32-API-kall fra Office-makro
  • Bruk avansert beskyttelse mot løsepengevirus
  • Blokkere legitimasjonsstjele fra delsystemet for lokale sikkerhetsmyndigheter i Windows (lsass.exe)
  • Blokker prosessopprettinger med opprinnelse fra PSExec- og WMI-kommandoer
  • Blokkere ikke-klarerte og usignerte prosesser som kjører fra USB
  • Blokkere kjørbare filer fra å kjøre med mindre de oppfyller kriteriene for utbredelse, alder eller klarert liste
  • Blokkere office-kommunikasjonsprogrammer fra å opprette underordnede prosesser
  • Blokkere Adobe Reader fra å opprette underordnede prosesser
  • Blokker utholdenhet gjennom WMI-hendelsesabonnement

Utelat filer og mapper fra regler for reduksjon av angrepsoverflaten

Du kan utelate filer og mapper fra å bli evaluert av de fleste regler for reduksjon av angrepsoverflaten. Dette betyr at selv om en regel for reduksjon av angrepsoverflaten bestemmer at filen eller mappen inneholder skadelig virkemåte, vil den ikke blokkere filen fra å kjøre, noe som også betyr at potensielt usikre filer har lov til å kjøre og infisere enhetene dine.

Du utelukker at regler for reduksjon av angrepsoverflaten utløses basert på sertifikat- og fil-hash-koder ved å tillate angitte Defender for Endpoint-fil- og sertifikatindikatorer.

Du kan angi individuelle filer eller mapper (ved hjelp av mappebaner eller fullstendige ressursnavn), men du kan ikke angi hvilke regler utelukkelsene gjelder for. En utelatelse brukes bare når det utelatte programmet eller tjenesten starter. Hvis du for eksempel legger til en utelukkelse for en oppdateringstjeneste som allerede kjører, vil oppdateringstjenesten fortsette å utløse hendelser til tjenesten stoppes og startes på nytt.

Overvåkingsmodus for evaluering

Bruk overvåkingsmodus til å evaluere hvordan regler for reduksjon av angrepsoverflaten ville påvirke organisasjonen hvis de ble aktivert. Det er best å kjøre alle regler i overvåkingsmodus først, slik at du kan forstå deres innvirkning på bransjeprogrammene dine. Mange bransjeprogrammer er skrevet med begrensede sikkerhetsproblemer, og de kan utføre oppgaver på måter som ligner på skadelig programvare. Ved å overvåke overvåkingsdata og legge til utelukkelser for nødvendige programmer, kan du distribuere angrepsregler for overflatereduksjon uten å påvirke produktiviteten.

Varsler når en regel utløses

Når en regel utløses, vises et varsel på enheten. Du kan tilpasse varselet med firmadetaljer og kontaktinformasjon. Varselet vises også i Microsoft Defender-portalen.

Konfigurer regler for reduksjon av angrepsoverflate

Du kan angi disse reglene for enheter som kjører følgende versjoner og versjoner av Windows:

  • Windows 10 Pro, versjon 1709 eller nyere
  • Windows 10 Enterprise, versjon 1709 eller nyere
  • Windows Server, versjon 1803 (Semi-Annual kanal) eller nyere
  • Windows Server 2019
  • Windows Server 2016
  • Windows Server 2012 R2
  • Windows Server 2022

Du kan aktivere regler for reduksjon av angrepsoverflate ved hjelp av en av disse metodene:

  • Microsoft Intune
  • Administrasjon av mobilenheter
  • Konfigurasjonsbehandling for Microsoft endepunkt
  • Gruppepolicy
  • PowerShell

Administrasjon på bedriftsnivå, for eksempel Intune eller Microsoft Endpoint Configuration Manager, anbefales. Administrasjon på bedriftsnivå overskriver eventuelle motstridende gruppepolicyer eller PowerShell-innstillinger ved oppstart.

Intune

Enhetskonfigurasjonsprofiler:

  1. Velg enhetskonfigurasjonsprofiler>. Velg en eksisterende beskyttelsesprofil for endepunkt, eller opprett en ny. Hvis du vil opprette en ny, velger du Opprett profil og skriver inn informasjon for denne profilen. Velg Endepunktbeskyttelse for profiltype. Hvis du har valgt en eksisterende profil, velger du Egenskaper og deretter Innstillinger.

  2. Velg Windows Defender Exploit Guard i beskyttelsesruten for endepunkt, og velg deretter Angrepsoverflatereduksjon. Velg ønsket innstilling for hver regel.

  3. Skriv inn individuelle filer og mapper under Unntak for angrepsoverflatereduksjon. Du kan også velge Importer for å importere en CSV-fil som inneholder filer og mapper som skal utelates fra regler for reduksjon av angrepsoverflaten. Hver linje i CSV-filen skal formateres som følger:

    C:\mappe, %ProgramFiles%\mappe\fil, C:\bane

  4. Velg OK i de tre konfigurasjonsrutene. Velg deretter Opprett hvis du oppretter en ny endepunktbeskyttelsesfil eller Lagre hvis du redigerer en eksisterende fil.

Sikkerhetspolicy for endepunkt:

  1. Velg overflatereduksjon for endepunktsikkerhetsangrep>. Velg en eksisterende regel, eller opprett en ny. Hvis du vil opprette en ny, velger du Opprett policy og skriver inn informasjon for denne profilen. Velg regler for reduksjon av angrepsoverflate for profiltype. Hvis du har valgt en eksisterende profil, velger du Egenskaper og deretter Innstillinger.

  2. Velg Angrepsoverflatereduksjon i konfigurasjonsinnstillinger-ruten, og velg deretter ønsket innstilling for hver regel.

  3. Skriv inn individuelle filer og mapper under Liste over flere mapper som må beskyttes, liste over apper som har tilgang til beskyttede mapper, og Utelat filer og baner fra regler for reduksjon av angrepsoverflaten. Du kan også velge Importer for å importere en CSV-fil som inneholder filer og mapper som skal utelates fra regler for reduksjon av angrepsoverflaten. Hver linje i CSV-filen skal formateres som følger:

    C:\mappe, %ProgramFiles%\mappe\fil, C:\bane

  4. Velg Neste i de tre konfigurasjonsrutene, og velg deretter Opprett hvis du oppretter en ny policy eller Lagre hvis du redigerer en eksisterende policy.

Administrasjon av mobilenheter

Slik administrerer du regler for reduksjon av angrepsoverflaten i administrasjon av mobilenheter:

  • Bruk ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules configuration service provider (CSP) til å aktivere og angi modusen for hver regel individuelt.

  • Følg referansen for administrasjon av mobilenheter i regler for reduksjon av angrepsoverflaten for bruk av GUID-verdier.

  • OMA-URI bane: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules

  • Verdi: 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84=2|3B576869-A4EC-4529-8536-B80A7769E899=1|D4F940AB-401B-4EfC-AADC-AD5F3C50688A=2|D3E037E1-3EB8-44C8-A917-57927947596D=1|5BEB7EFE-FD9A-4556-801D-275E5FFC04CC=0|BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550=1

  • Verdiene som skal aktiveres, deaktiveres eller aktiveres i overvåkingsmodus, er:

    • Deaktiver = 0

    • Blokk (aktiver regel for reduksjon av angrepsoverflate) = 1

    • Overvåking = 2

  • Bruk ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions configuration service provider (CSP) til å legge til utelatelser.

Eksempel:

  • OMA-URI bane: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions

  • Verdi: c:\bane|e:\bane|c:\wlisted.exe

Konfigurasjonsbehandling for Microsoft endepunkt

Slik administrerer du regler for reduksjon av angrepsoverflaten i Microsoft Endpoint Configuration Manager:

  1. Gå til Assets and Compliance > Endpoint Protection > Windows Defender Exploit Guard i Microsoft Endpoint Configuration Manager.

  2. Velg Policy for å utnytte beskyttelse for home > create.

  3. Skriv inn et navn og en beskrivelse, velg Attack Surface Reduction, og velg Neste.

  4. Velg hvilke regler som skal blokkere eller overvåke handlinger, og velg Neste.

  5. Se gjennom innstillingene, og velg Neste for å opprette policyen.

  6. Når policyen er opprettet, velger du Lukk.

Gruppepolicy

Slik administrerer du regler for reduksjon av angrepsoverflaten i gruppepolicyen:

Advarsel

Hvis du administrerer datamaskiner og enheter med Intune, Configuration Manager eller en annen administrasjonsplattform på bedriftsnivå, overskriver administrasjonsprogramvaren eventuelle motstridende gruppepolicyinnstillinger ved oppstart.

  1. Åpne konsollen for gruppepolicybehandling på datamaskinen for gruppepolicybehandling, høyreklikk gruppepolicyobjektet du vil konfigurere, og velg Rediger.

  2. Gå til Datamaskinkonfigurasjon i redigeringsprogrammet for gruppepolicybehandling, og velg Administrative maler.

  3. Utvid treet til Windows-komponentene > Microsoft Defender Antivirus > Windows Defender Exploit Guard > Attack surface reduction.

  4. Velg Konfigurer regler for reduksjon av angrepsoverflate , og velg Aktivert. Deretter kan du angi den individuelle tilstanden for hver regel i alternativdelen.

  5. Velg Vis... og skriv inn regel-ID-en i Verdinavn-kolonnen og den valgte tilstanden i Verdi-kolonnen på følgende måte:

    Deaktiver = 0 Blokk (aktiver regelen for reduksjon av angrepsoverflate) = 1 Overvåking = 2

  6. Hvis du vil utelate filer og mapper fra regler for reduksjon av angrepsoverflaten, velger du innstillingen Utelat filer og baner fra regler for reduksjon av angrepsoverflaten og angir alternativet aktivert. Velg Vis , og skriv inn hver fil eller mappe i Verdinavn-kolonnen. Skriv inn 0 i Verdi-kolonnen for hvert element.

PowerShell

Slik administrerer du regler for reduksjon av angrepsoverflaten med PowerShell:

Advarsel

Hvis du administrerer datamaskiner og enheter med Intune, Configuration Manager eller en annen administrasjonsplattform på bedriftsnivå, overskriver administrasjonsprogramvaren eventuelle motstridende PowerShell-innstillinger ved oppstart. Hvis du vil tillate brukere å definere verdien ved hjelp av PowerShell, bruker du alternativet «Brukerdefinert» for regelen i administrasjonsplattformen.

  1. Skriv inn PowerShell på Start-menyen, høyreklikk Windows PowerShell, og velg Kjør som administrator.

  2. Angi følgende cmdlet:

    Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Enabled

  3. Bruk følgende cmdlet for å aktivere regler for reduksjon av angrepsoverflate i overvåkingsmodus:

    Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions AuditMode

  4. Hvis du vil deaktivere regler for reduksjon av angrepsoverflate, bruker du følgende cmdlet:

    Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Disabled

  5. Du må angi tilstanden individuelt for hver regel, men du kan kombinere regler og tilstander i en kommadelt liste.

  6. I eksemplet nedenfor aktiveres de to første reglene, den tredje regelen deaktiveres, og den fjerde regelen aktiveres i overvåkingsmodus:

    Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID 1>,<rule ID 2>,<rule ID 3>,<rule ID 4> -AttackSurfaceReductionRules_Actions Enabled, Enabled, Disabled, AuditMode

  7. Du kan også bruke Add-MpPreference PowerShell-verbet til å legge til nye regler i den eksisterende listen.

  8. Set-MpPreference overskriver alltid det eksisterende settet med regler. Hvis du vil legge til i det eksisterende settet, bør du bruke Add-MpPreference i stedet. Du kan få en liste over regler og gjeldende tilstand ved hjelp av Get-MpPreference.

  9. Hvis du vil utelate filer og mapper fra regler for reduksjon av angrepsoverflaten, bruker du følgende cmdlet:

    Add-MpPreference -AttackSurfaceReductionOnlyExclusions "<fully qualified path or resource>"

  10. Fortsett å bruke Add-MpPreference -AttackSurfaceReductionOnlyExclusions til å legge til flere filer og mapper i listen.

Viktig!

Bruk Add-MpPreference til å tilføye eller legge til apper i listen. Hvis du bruker Set-MpPreference cmdlet, overskrives den eksisterende listen.

Liste over angrepsoverflatereduksjonshendelser

Alle angrepshendelser for overflatereduksjon er plassert under Programmer og tjenestelogger > Microsoft > Windows i Windows Event Viewer.