Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Denne artikel er en del af installationsvejledningen til regler for reduktion af angrebsoverfladen.
Før du tester eller aktiverer asr-regler (attack surface reduction), skal du planlægge din udrulning. I denne artikel beskrives en planlægningsmetodologi, som du kan tilpasse til dine forretningsbehov.
Tip
Du kan typisk aktivere standardbeskyttelsesreglerne i blok- eller advarselstilstand uden test. Du bør teste andre ASR-regler i overvågningstilstand , før du skifter til blok- eller advarselstilstand . Du kan få flere oplysninger i installationsvejledningen til ASR-regler.
Infrastrukturkrav til installationsvejledningen
Selvom der er flere måder at aktivere ASR-regler på, er denne udrulningsvejledning baseret på en infrastruktur, der bruger:
- Microsoft Entra ID
- Microsoft Intune
- Windows 10 og Windows 11 enheder
- Microsoft Defender for Endpoint E5- eller Windows E5-licenser
Hvis du vil udnytte ASR-regler og -rapportering fuldt ud, skal du bruge en Microsoft 365 E5-, Windows E5- eller Microsoft 365 A5-licens. Du kan få flere oplysninger under Minimumkrav til Microsoft Defender for Endpoint.
Bemærk!
Hvis du skifter fra et hipS-system (Host Intrusion Prevention System) til Microsoft Defender Antivirus- og ASR-regler, skal du køre HIPS-løsningen sammen med ASR-regler, indtil du aktiverer regler i Bloktilstand i implementeringsfasen. Kontakt udbyderen af antivirusløsningen for at få anbefalinger til udeladelse.
Trin 1: Identificer afdelinger
Hvordan du vælger den første afdeling, der skal modtage ASR-regler i testfasen , afhænger af følgende faktorer:
- Forretningsenhedens størrelse (mindre er nemmere at administrere)
- Tilgængelighed af ASR-regel mestre
- Distribution og brug af berørt software. Det kan f.eks. være:
- Software
- Delte mapper
- Scripts
- Office-makroer
Dine forretningsbehov kan klart diktere et af følgende valg:
- Medtag flere afdelinger for at få et bredt udsnit af software, delte mapper, scripts, makroer og brancheapps, som ASR-regler kan påvirke.
- Begræns det indledende omfang til en enkelt afdeling, gennemgå alle problemerne i den pågældende afdeling, og gentag derefter udrulningen enkeltvist til andre afdelinger.
Trin 2: Identificer ASR-regelmestre
ASR-regelmestre er personer i de berørte forretningsenheder, der kan hjælpe dig i de indledende test- og implementeringsfaser. En mester har typisk flere tekniske færdigheder og har ikke noget imod periodiske arbejdsprocesafbrydelser. Champion-involvering fortsætter i hele den bredere udvidelse af udrulningen af ASR-regler til din organisation. Dine ASR-regel mestre er de første til at opleve hvert niveau af udrulningen af ASR-regler.
Det er vigtigt at give en feedback- og svarkanal til dine asr-regelmestre for at advare dig om arbejdsforstyrrelser og modtage udrulningskommunikation for ASR-regler.
Trin 3: Lagerlinjeapps til virksomheder og forståelse af forretningsprocesforløbene
En fuld forståelse af apps og forretningsprocesser i din organisation er afgørende for en vellykket installation af ASR-regler. Det er vigtigt, at du forstår, hvordan disse apps bruges i de forskellige forretningsenheder i din organisation.
Tag en oversigt over de godkendte apps i din organisation. Du kan bruge værktøjer som Microsoft 365 Apps Administration til at hjælpe. Du kan få flere oplysninger under Oversigt over lagerbeholdning i Microsoft 365 Apps Administration.
Bemærk!
Nogle ASR-regler fungerer ikke godt, hvis du ofte bruger usignerede, internt udviklede apps og scripts. Det er sværere at installere ASR-regler, hvis du ikke gennemtvinger kodesignering.
Trin 4: Definer teamroller og ansvar for asr-regler for rapportering og svar
Klart formulere rollerne og ansvaret for overvågning og kommunikation af ASR-regelstatus og -aktivitet. Det er derfor vigtigt at fastslå:
- Hvem er ansvarlig for at indsamle rapporter.
- Hvordan og med hvem rapporter deles.
- Sådan eskalerer og håndterer du nye trusler eller uønskede blokke efter ASR-regler.
Typiske roller og ansvarsområder omfatter:
- It-administratorer: Implementer ASR-regler, og administrer undtagelser. Arbejd med forskellige forretningsenheder i apps og processer. Opret og del rapporter med interessenter.
- Csoc-analytikere (Certified Security Operations Center): Undersøg blokerede processer med høj prioritet.
- Chief Information Security Officer (CISO): Ansvarlig for organisationens overordnede sikkerhedsholdning og sundhed.
Trin 5: Definer ASR-regeludrulningsringe
For store virksomheder skal du installere ASR-regler i ringe. Du kan definere ringe via vurderingen af dine forretningsenheder, ASR-regelmestre, apps og processer. Når du har udrullet ASR-regler til den første ring, kan du skifte til den næste ring til testfasen osv. Hvis du allerede har defineret ringe til faseinddelt udrulning af Windows-opdateringer, kan du sandsynligvis bruge de samme ringe til at installere ASR-regler.
Du kan få flere oplysninger om ringe i Windows: Opret en udrulningsplan.
Relateret indhold
- Udrulningsvejledning til reduktion af angrebsoverflade (ASR)
- Test installationen af asr-regler (Attack Surface Reduction)
- Aktiver regler for reduktion af angrebsoverflade
- Administrer og overvåg udrulningen af asr-regler (Attack Surface Reduction)
- Henvisning til regler for reduktion af angrebsoverflade