Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In dit artikel vindt u een overzicht van de mogelijkheid voor selectieve reactieacties in Microsoft Defender voor Eindpunt. De doelgroep is beveiligingsbeheerders en IT-teams die verantwoordelijk zijn voor het beheren van Microsoft Defender voor Eindpunt in omgevingen met tier-0-systemen en hoogwaardige activa (HVA's), zoals domeincontrollers, ADFS-servers en andere kritieke infrastructuur.
Overzicht
Selectieve reactieacties is een Microsoft Defender voor Eindpunt-mogelijkheid waarmee organisaties beveiligingsbewerkingen met hoge impact kunnen aanpassen tijdens de onboarding. Het biedt nauwkeurige controle over hoe reactieacties worden toegepast op Tier-0-systemen en andere hoogwaardige assets, waardoor de operationele stabiliteit behouden blijft en tegelijkertijd een sterke bescherming wordt geboden.
Achtergrond
Het implementeren van Microsoft Defender voor Eindpunt op hoogwaardige activa (HVA's), zoals domeincontrollers, ADFS-servers en andere laag-0-systemen, vereist een doordachte aanpak om een goede balans te vinden tussen sterke beveiliging en operationele stabiliteit. Gezien de krachtige responsmogelijkheden die beschikbaar zijn, willen organisaties vaak meer controle over hoe deze acties worden toegepast in gevoelige omgevingen.
Veel organisaties, met name organisaties met strikte beleidsregels voor toegangsbeheer, geven er ook de voorkeur aan om door de cloud geïnitieerde beheeracties op Laag-0-systemen te beperken om te voldoen aan hun beveiligings- en nalevingsvereisten.
De mogelijkheid Selectieve reactieacties voldoet aan deze behoeften door een meer gecontroleerde en flexibele aanpak te bieden. Hiermee kunnen organisaties precies definiëren welke reactieacties zijn toegestaan voor kritieke assets, waardoor de operationele continuïteit behouden blijft terwijl ze nog steeds profiteren van de bescherming van Defender.
Hoe werkt de functie?
Eerst moet de functie zijn ingeschakeld op de tenant. Zie Acties voor selectief antwoord inschakelen.
Zodra de functie is ingeschakeld, gebruikt u het Defender-implementatieprogramma (DDT) om een onboardingpakket te maken met beperkte instellingen voor beveiligingsbewerkingen. Wanneer u het pakket configureert, kiest u tussen volledige functionaliteit (de standaard onboardingmodus, waarbij alle reactieacties zijn toegestaan op het onboarded apparaat) en beperkte functionaliteit (waarbij responsacties met een hoge impact kunnen worden geweigerd). Als u beperkte functionaliteit kiest, kunt u opgeven welke acties op het apparaat zijn toegestaan zodra het is onboarding.
In de volgende tabel worden responsacties met hoge impact beschreven die u kunt toestaan of niet kunt toestaan.
| Mogelijkheid | Beschrijving | Opmerkingen |
|---|---|---|
| Basisantwoord | Antivirusscan uitvoeren, bestand verzamelen en onderzoekspakket verzamelen. | De mogelijkheid Bestand verzamelen verwijst naar het ophalen van een bestand op de pagina Bestand in de portal, niet de GetFile opdracht die beschikbaar is onder Live response. |
| Geavanceerd antwoord | Het apparaat isoleren, de uitvoering van apps beperken en herstel aanvragen. | Met aanvraagherstel kunnen beveiligingsbeheerders herstelacties starten voor geïdentificeerde beveiligingsproblemen op een specifiek apparaat. |
| Live reactie | Hiermee staat u live-antwoordsessies toe op het externe apparaat. | |
| Apparaatbeveiliging | Hiermee kunt u geautomatiseerd onderzoek en respons (AIR) uitvoeren op het apparaat. | Dit geldt voor zowel automatisch geactiveerde AIR als handmatig geïnitieerde AIR. |
Zie Een onboardingpakket genereren met instellingen voor beperkte beveiligingsbewerkingen voor meer informatie over het configureren van een dergelijk pakket.
Opmerking
Apparaten met onboarding in de beperkte modus bieden geen ondersteuning voor het uitvoeren van liveresponsscripts. Dit is standaard uitgeschakeld, zelfs als Live Response is ingeschakeld. De beperkte modus heeft geen invloed op detectie, waarschuwingen of sensordekking. Alle waarschuwingen, tijdlijnen en detecties van bedreigingen blijven functioneren zoals verwacht.
Vereisten en ondersteunde besturingssystemen
De beperkte modus wordt ondersteund op de volgende Windows-clientwerkstations en Windows Server besturingssystemen met Sense versie 10.8798 of hoger.
Besturingssysteem Vereiste KB Windows Server 2025, alle edities KB5063878 Windows Server 2022 KB5063880 Windows Server 2019 KB5063877 Windows 10 22h2 KB5062649 Windows 11 23H2 KB5062663 Windows 11 24u2 KB5062660 Windows 11 25H2 Alles Als u de beperkte modus wilt gebruiken, moet de functieschakelaar Beperkte beveiligingsbewerkingen toestaan tijdens onboarding zijn ingeschakeld. Zie De functie voor selectieve reactieacties inschakelen.
De functie voor selectieve responsacties inschakelen
Als u de mogelijkheid voor selectieve responsacties wilt gebruiken, schakelt u de functie in de Microsoft Defender-portal in:
- Meld u aan bij de Microsoft Defender-portal.
- Ga naar Instellingen>Eindpunten>Geavanceerde functies.
- Schakel Beperkte beveiligingsbewerkingen toestaan tijdens onboarding in.
Zodra deze optie is ingeschakeld, wordt de optie voor de beperkte modus beschikbaar bij het maken van Defender-implementatiepakketten voor Windows via het Defender-implementatieprogramma (DDT). Vervolgens kunt u implementatiepakketten maken die aangeven welke beveiligingsbewerkingen moeten worden toegestaan op de apparaten die u onboardt. Zie Een onboardingpakket genereren met beperkte instellingen voor beveiligingsbewerkingen voor meer informatie. Zodra het implementatiepakket is gegenereerd, gebruikt u het om het apparaat te onboarden.
Een onboardingpakket genereren met beperkte instellingen voor beveiligingsbewerkingen
Ga in de Microsoft Defender portal (security.microsoft.com) naarOnboarding van systeeminstellingen>>voor eindpunten>.
Kies Windows in het vervolgkeuzemenu Stap 1.
Selecteer onder Implementeren door pakketten of bestanden te downloaden en toe te passen de knop Onboarden .
De pagina Defender-implementatieprogramma genereren met een toegangssleutel wordt weergegeven.
Geef een naam op voor het pakket. Zorg ervoor dat u een unieke en beschrijvende naam maakt.
Stel een vervaldatum in voor het pakket. U kunt de vervaldatum instellen voor elk moment tot een jaar. Het wordt aanbevolen om de geldigheidsperiode van pakketten zo kort mogelijk te maken om het risico van niet-geautoriseerd implementatiepakketgebruik te verminderen.
Selecteer Beperkt.
Er wordt een lijst met beveiligingsbewerkingen met een hoge impact weergegeven. Selecteer de selectievakjes naast de bewerkingen die u wilt toestaan op het onboardingsapparaat en schakel de selectievakjes uit naast de bewerkingen die u niet wilt toestaan.
Opmerking
Apparaten met onboarding in de beperkte modus bieden geen ondersteuning voor het uitvoeren van scripts voor live antwoorden, zelfs niet wanneer Live-antwoord is ingeschakeld in deze instellingen. Deze beperking wordt standaard afgedwongen om ervoor te zorgen dat acties op basis van scripts geblokkeerd blijven, met behoud van een hoger beschermingsniveau voor gevoelige assets.
De beperkte modus met alle toegestane reactieacties is niet gelijk aan de volledige functionaliteit. Wanneer u een apparaat onboardt met een beperkt pakket, wordt het uitvoeren van scripts standaard uitgeschakeld, terwijl onboarding met een volledig functionaliteitspakket onbeperkte toegang biedt tot alle ondersteunde reactieacties en mogelijkheden.
Wanneer u klaar bent met het configureren van het pakket, selecteert u Genereren.
Wanneer het pakket klaar is, ziet u een pagina met de toegangssleutel voor het pakket en een downloadknop, vergelijkbaar met de volgende afbeelding.
Kopieer de sleutel en sla deze op, omdat deze nodig is met het implementatieprogramma.
Nadat u de sleutel hebt gekopieerd en opgeslagen, selecteert u Implementatiehulpprogramma downloaden. Hiermee downloadt u een.zip bestand van het uitvoerbare Defender-implementatieprogramma.
Onboarding van een apparaat met beperkte reactieacties
Nadat u een implementatiepakket met de gewenste beperkte beveiligingsbewerkingsinstellingen hebt gegenereerd en gedownload, gebruikt u het pakket om het apparaat te onboarden, zoals beschreven in Implementeren van Microsoft Defender voor Eindpunt op Windows-apparaten met behulp van het Defender-implementatieprogramma (preview).
De status van de beveiligingsbewerking van onboardingsapparaten controleren
De beveiligingsstatus van apparaten kan op verschillende manieren worden geïdentificeerd:
Op de pagina Apparaatinventaris in de Defender-portal geeft een eigenschap met de naam Beveiligingsbewerkingen de onboardingmodus van elk apparaat aan:
- Als het apparaat is onboarded met volledige functionaliteit, wordt de waarde weergegeven als Volledig.
- Als het apparaat is onboarded met beperkte mogelijkheden, wordt de waarde weergegeven als Beperkt, wat aangeeft aan de beheerder dat dit apparaat een beperkte set externe beveiligingsbewerkingen beschikbaar heeft.
Deze zichtbaarheid helpt beveiligingsteams snel inzicht te krijgen in het operationele bereik voor elk apparaat en zo nodig de juiste acties te ondernemen.
Wanneer het apparaat zich in de beperkte modus bevindt, wordt automatisch een tag met het label Beperkte beveiligingsbewerkingen toegevoegd aan het apparaat, zodat beveiligingsteams snel assets met beperkte functionaliteit kunnen identificeren. U ziet deze tag op de pagina Apparaat. De pagina Apparaat bevat ook de status Beveiligingsbewerkingen die het niveau van de externe beveiligingsmogelijkheden weergeeft die voor het apparaat zijn geconfigureerd:
- Volledig geeft aan dat het apparaat is onboarded met de volledige set Microsoft Defender voor Eindpunt mogelijkheden. Alle externe reactieacties zijn beschikbaar.
- Beperkt geeft aan dat het apparaat is onboarded met een beperkte set reactieacties die beschikbaar zijn.
In de voorgaande afbeelding ziet u dat het initiëren van Live Response-sessies niet is toegestaan op het apparaat.
Voor toegang tot een gedetailleerde lijst met alle beveiligingsbesturingselementen en hun huidige status (in- of uitgeschakeld) op het apparaat, selecteert u Informatie over beveiligingsbewerkingen weergeven om het deelvenster Apparaatbeveiligingsbewerkingen weer te geven.
U kunt ook de eigenschap
RestrictedDeviceSecurityOperationsGeavanceerde opsporing gebruiken om te controleren welke beveiligingsbewerkingen op het apparaat zijn beperkt. De waarden vertegenwoordigen de specifieke beveiligingsbewerkingscategorieën die beperkt zijn. Als de waarde van deRestrictedDeviceSecurityOperationseigenschap bijvoorbeeld LiveResponse is, betekent dit dat alleen de mogelijkheid liveantwoord niet is toegestaan op het apparaat, terwijl alle andere bewerkingen zijn toegestaan.
Het selectieve antwoord wordt ook geblokkeerd wanneer u een openbare API gebruikt. Als u probeert een beperkte actie uit te voeren via de API, ontvangt u een foutbericht dat aangeeft dat de bewerking niet is toegestaan op het apparaat.
Beperkingsinstellingen wijzigen
Zodra een apparaat is onboarded met beperkte instellingen, kan de configuratie van de beveiligingsbewerkingen niet meer worden gewijzigd of gewijzigd. Als u de reactiemogelijkheden van een apparaat wilt bijwerken, moet u het apparaat offboarden en opnieuw onboarden met behulp van een nieuw implementatiepakket met de gewenste instellingen. De apparaat-id blijft hetzelfde en alle historische gegevens blijven behouden.
Als u reactieacties wilt beperken op een apparaat dat al is toegevoegd aan Defender voor Eindpunt in de volledige modus, moet u het apparaat eerst offboarden en vervolgens opnieuw onboarden met behulp van een onboardingpakket dat is geconfigureerd met beperkte instellingen. De apparaat-id blijft hetzelfde en alle historische gegevens blijven behouden.