Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Reduktion af angrebsoverfladen er en række funktioner i Microsoft Defender for Endpoint, der fjerner risikable eller unødvendige funktionsmåder på enheder og netværk, hvilket reducerer de muligheder, som angribere har for at kompromittere din organisation. Angrebsoverflader er alle de steder, hvor din organisation er sårbar over for cybertrusler. Ved at hærde disse overflader kan du forhindre angreb i at ske i første omgang.
Disse funktioner blokerer risikable softwarefunktioner, forhindrer forbindelser til skadelige websteder og beskytter data mod uautoriseret adgang eller eksfiltration. Tilsammen udgør de et lagdelt forsvar, der supplerer registrerings- og svarfunktionerne i Defender for Endpoint.
Reduktion af angrebsoverflade
Reduktion af angrebsoverfladen i Defender for Endpoint indeholder følgende funktioner:
ASR-regler (Attack surface reduction) begrænser risikable softwarefunktioner, som angribere udnytter, f.eks. start af eksekverbare filer, der forsøger at downloade filer, køre slørede scripts eller udføre handlinger, som apps normalt ikke starter i løbet af det daglige arbejde. Du kan få flere oplysninger under Oversigt over regler for reduktion af angrebsoverflader (ASR).
Kontrolleret mappeadgang beskytter værdifulde data mod skadelige apps og trusler som ransomware. Den kontrollerer apps i forhold til en liste over kendte apps, der er tillid til, og forhindrer, at apps, der ikke er tillid til, ændrer filer i beskyttede mapper. Du kan få flere oplysninger under Beskyt vigtige mapper med kontrolleret mappeadgang.
Exploit Protection anvender automatisk teknikker til afhjælpning af udnyttelse af operativsystemets processer og apps. Den bygger på de beskyttelser, der var tilgængelige i ENHANCED Mitigation Experience Toolkit (EMET) og integreres med Defender for Endpoint til rapportering og beskeder. Du kan få flere oplysninger under Beskyt enheder mod udnyttelser.
Netværksbeskyttelse forhindrer forbindelser til skadelige eller mistænkelige domæner og IP-adresser. Det udvider Microsoft Defender SmartScreen-beskyttelse til at blokere al udgående HTTP(S)-trafik, der forsøger at oprette forbindelse til kilder med lavt omdømme. Du kan få flere oplysninger under Netværksbeskyttelse.
Webbeskyttelse sikrer enheder mod webtrusler og hjælper med at regulere uønsket indhold. Webbeskyttelse omfatter webtrusselbeskyttelse, filtrering af webindhold og brugerdefinerede indikatorer. Du kan få flere oplysninger under Webbeskyttelse.
Filtrering af webindhold sporer og regulerer adgangen til websteder baseret på deres indholdskategorier, så du kan blokere kategorier, der overholder angivne standarder eller organisationens politikker. Du kan få flere oplysninger under Filtrering af webindhold.
Enhedsstyring bestemmer, om brugerne kan installere og bruge eksterne enheder, f.eks. USB-drev, printere og Bluetooth-enheder på deres computere. Enhedskontrol hjælper med at forhindre tab af data og malware fra flytbare medier. Du kan få flere oplysninger under Enhedskontrol i Microsoft Defender for Endpoint.
Rapportering af netværksfirewall kan integreres med Windows Firewall for at give centraliseret synlighed i firewallhændelser på Microsoft Defender-portalen. Du kan få flere oplysninger under Rapportering af værtsfirewall.
Tilgængeligheden af disse funktioner opsummeres i følgende tabel:
| Funktion | Windows | Macos | Linux |
|---|---|---|---|
| ASR-regler | Y | N | N |
| Styret mappeadgang | Y | N | N |
| Exploit Protection | Y | N | N |
| Netværksbeskyttelse | Y | Y | Y* |
| Webbeskyttelse | Y | Y | Y* |
| Filtrering af webindhold | Y | Y | Y |
| Enhedskontrol | Y | Y | N |
| Firewallrapportering | Y | N | N |
* I øjeblikket i prøveversion.
Relaterede Windows-sikkerhedsfunktioner
Følgende Windows-sikkerhedsfunktioner komplementerer reduktionen af angrebsoverfladen i Defender for Endpoint, men de konfigureres og administreres separat:
- Microsoft Defender Application Guard giver hardwarebaseret isolation til Microsoft Edge og åbner websteder, der ikke er tillid til, i en objektbeholder for at beskytte din organisation. Du kan få flere oplysninger under Microsoft Defender Application Guard oversigt.
- WDAC (Windows Defender Application Control) sikrer, at det kun er programmer, der er tillid til, der kører på dine enheder. Du kan få flere oplysninger under Programkontrol til Windows.
- Windows Firewall styrer indgående og udgående netværkstrafik på enheder. Du kan få flere oplysninger under Windows Firewall med avanceret sikkerhed.
Sådan passer reduktion af angrebsoverfladen til Defender for Endpoint
Reduktion af angrebsoverfladen supplerer andre Defender for Endpoint-funktioner, der registrerer og reagerer på trusler, når de opstår. Mens næste generations beskyttelse og registrering af slutpunkter og svar fokuserer på at identificere og afhjælpe aktive trusler, forhindrer reduktion af angrebsoverfladen trusler i at få fodfæste.
Hver egenskab løser en anden del af angrebsoverfladen:
- Risikabel softwareadfærd: ASR-regler begrænser, hvordan programmer og scripts kan fungere, blokerer almindelige teknikker, som hackere bruger til at levere malware eller stjæle legitimationsoplysninger.
- Netværksforbindelser: Netværksbeskyttelse og webbeskyttelse blokerer adgangen til kendte skadelige eller upassende websteder, før indholdet når enheden.
- Data- og filadgang: Kontrolleret mappeadgang og enhedskontrol begrænser, hvilke programmer og hardware der kan få adgang til eller redigere følsomme filer.
- Programsårbarheder: Udnyttelse af beskyttelse anvender afhjælpninger, der gør det sværere for hackere at udnytte sikkerhedsrisici i operativsystemets processer og programmer.
Overvågningstilstand
Overvågningstilstand hjælper dig med at evaluere virkningen af funktioner til reduktion af angrebsoverfladen på dit miljø, uden at det påvirker produktiviteten. Følgende funktioner understøtter overvågningstilstand:
- Asr-regler og -undtagelser (Attack Surface Reduction)
- Styret mappeadgang
- Exploit Protection
- Netværksbeskyttelse
I overvågningstilstand blokerer funktionerne ikke apps, scripts eller forbindelser. I stedet registrerer Windows-hændelsesloggen hændelser, som om funktionerne var aktive. Du kan gennemse hændelseslogge og bruge avanceret jagt på Microsoft Defender portalen for at forstå, hvordan hver funktion påvirker dine line of business-programmer. Du kan få flere oplysninger om dataene i Windows Logbog under Få vist hændelser for reduktion af angrebsoverfladen i Windows Logbog.
Administrationsværktøjer
Du kan konfigurere funktioner til reduktion af angrebsoverfladen ved hjælp af flere administrationsværktøjer. Følgende værktøjer bruges ofte:
- Microsoft Intune
- Microsoft Configuration Manager
- Gruppepolitik
- PowerShell-cmdlet'er
Det rigtige værktøj afhænger af organisationens indstillinger for infrastruktur og administration. Du kan finde en detaljeret konfigurationsvejledning i de enkelte funktionsartikler, der er knyttet til afsnittet Funktioner til reduktion af angrebsoverfladen .
Relateret indhold
- Oversigt over regler for reduktion af angrebsoverflade
- Udrulningsvejledning til reduktion af angrebsoverflade (ASR)
- Hændelser for reduktion af angrebsoverfladen i Windows Logbog
- Beskyt vigtige mapper med kontrolleret mappeadgang
- Beskyt enheder mod misbrug
- Netværksbeskyttelse
- Webbeskyttelse
- Enhedskontrol i Microsoft Defender for Endpoint