Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Denne artikel er en del af installationsvejledningen til regler for reduktion af angrebsoverfladen.
Test af ASR-regler (Attack Surface Reduction) er et vigtigt trin i udrulningen. Du skal afgøre, om nogen ASR-regler blokerer dine line of business-apps. Ved at starte med en lille kontrolleret gruppe kan du begrænse potentielle arbejdsforstyrrelser, når du udvider udrulningen på tværs af din organisation.
Bemærk!
Før du begynder testfasen af udrulningen af asr-regler, skal du deaktivere alle relaterede ASR-regler, der i øjeblikket er aktiveret i Bloker - eller Advar-tilstand (hvis det er relevant). Du kan finde oplysninger om, hvordan du bruger rapporten til at finde aktiverede ASR-regler, under Rapporter over regler for reduktion af angrebsoverfladen.
Som vist i følgende diagram skal du starte udrulningen af ASR-regler med ring 1.
Vurder og evaluer regler før udrulning
I Defender for Endpoint Plan 2 viser Admininstration af håndtering af sikkerhedsrisici til Microsoft Defender ASR-regelrelaterede sikkerhedsanbefalinger, der kan levere effektindikatorer på højt niveau (f.eks. om overvågningsaktivitet blev observeret på tværs af enheder).
På portalen Microsoft Defender på https://security.microsoft.comskal du gå tilAnbefalinger til styring af> eksponering (eller direkte til siden Sikkerhedsanbefalinger på https://security.microsoft.com/exposure-recommendations). På siden Sikkerhedsanbefalinger skal du vælge en ASR-regel for at åbne pop op-vinduet med detaljer og derefter vælge fanen Enheder . Værdien brugervirkning viser procentdelen af enheder, der kan acceptere en ny politik, der aktiverer reglen i bloktilstand, uden at det påvirker produktiviteten negativt.
Bemærk!
Hvis du vil vurdere den potentielle effekt af en ASR-regel nøjagtigt, før du aktiverer den i blok- eller advarselstilstand , skal du gennemse data i overvågningstilstand og detaljeret rapportering, f.eks . rapporten over regler for reduktion af angrebsoverfladen eller avancerede jagtdata.
Trin 1: Test alle ASR-regler i overvågningstilstand
Bemærk!
Som tidligere beskrevet kan du typisk aktivere standardbeskyttelsesreglerne i blok- eller advarselstilstand uden test.
Aktivér typisk alle ASR-regler i overvågningstilstand på samme tid, så du kan afgøre, hvilke regler der udløses af daglige forretningsaktiviteter. Start med dine ASR-regel mestre eller enheder i ring 1.
ASR-regler i overvågningstilstand påvirker ikke brugerne. Men reglerne genererer logførte hændelser, som du kan evaluere.
Hvis din organisation har Microsoft Intune (inkluderet i abonnementer, f.eks. Microsoft 365 E5 eller tilgængelig som et tilføjelsesprogram), kan du bruge sikkerhedspolitik for slutpunktet til reduktion af angrebsoverfladen i Intune til at konfigurere og distribuere ASR-regler i overvågningstilstand. Du kan finde instruktioner under Konfigurer ASR-regler og -udeladelser i Intune ved hjælp af sikkerhedspolitikker for slutpunkter.
Hvis du ikke har Intune, er der andre asr-regelinstallationsmetoder tilgængelige:
- Microsoft Configuration Manager
- Alle MDM-løsninger, der bruger politik-CSP'en
- Gruppepolitik
- PowerShell
Tip
Den installationsmetode, du bruger til ASR-regler, påvirker ikke rapporteringsdata, så længe enhederne er tilmeldt Defender for Endpoint.
Trin 2: Gennemse data om ASR-regler, og vurder virkningen
Når ASR-regler er udrullet i overvågningstilstand , skal du gennemse de udløste hændelser for at vurdere deres virkninger og identificere potentielle udeladelser ved hjælp af nogle eller alle af følgende metoder:
I Defender for Endpoint Plan 2 eller Microsoft Defender til virksomheder skal du bruge rapporten over regler for reduktion af angrebsoverfladen på portalen Microsoft Defender. Du kan få komplette oplysninger i rapporten over regler for reduktion af angrebsoverfladen (ASR).
I Defender for Endpoint Plan 2 skal du bruge Avanceret jagt til at finde ASR-regelhændelser. Du kan finde flere oplysninger under ASR-regelhændelser i Avanceret jagt.
I Defender for Endpoint Plan 2 eller Defender til virksomheder skal du bruge tidslinjen Defender for Endpoint-enhed. Du kan få flere oplysninger under Microsoft Defender for Endpoint enhedstidslinje.
Ellers er ASR-regelhændelser kun tilgængelige i Windows Logbog på den lokale enhed. Men du kan bruge Windows Event Forwarding til at centralisere indsamlingen af ASR-regeldata.
Du skal især kigge efter Hændelses-id 1122 i logfilerne for> programmer og tjenesteri Microsoft>Windows>Defender>Operational log (hændelser for regler i overvågningstilstand). Du kan finde en komplet liste over ASR-regelhændelses-id'er og detaljerede trin under Få vist hændelser for reduktion af angrebsoverfladen i Windows Logbog.
Trin 3: Konfigurer udeladelser fra ASR-reglen
Når du har gennemset ASR-regeldata fra overvågningstilstand , kan du opleve, at nogle ASR-regler blokerer legitime virksomhedsapps eller -aktiviteter (kaldet falske positiver). Du kan tilføje udeladelser for at forhindre ASR-regler i at evaluere de berørte filer eller mapper.
Du kan få en oversigt over understøttede udeladelsestyper for ASR-regler i Filer og mappeudeladelser for ASR-regler.
Hvis du har brugt en sikkerhedspolitik for slutpunkter til reduktion af angrebsoverfladen i Microsoft Intune til at installere ASR-reglerne, skal du bruge den samme politik til at konfigurere undtagelser for ASR-regler. Du kan finde instruktioner under Konfigurer ASR-regler og -udeladelser i Intune ved hjælp af sikkerhedspolitikker for slutpunkter.
Hvis du har brugt en anden metode til at installere ASR-reglerne, skal du bruge den samme metode til at konfigurere undtagelser for ASR-regler:
- Microsoft Configuration Manager
- Gruppepolitik
- Alle MDM-løsninger, der bruger politik-CSP'en
- PowerShell
Tip
Udeladelser af regler er bedre end at slå regler fra eller skifte dem tilbage til overvågningstilstand . Udnyt Warn-tilstanden i tilgængelige regler for at begrænse afbrydelser uden helt at deaktivere reglen. Du kan få flere oplysninger under Tilstande for ASR-regler.
Relateret indhold
- Udrulningsvejledning til reduktion af angrebsoverflade (ASR)
- Planlæg installation af asr-regler (Attack Surface Reduction)
- Aktiver regler for reduktion af angrebsoverflade
- Administrer og overvåg udrulningen af asr-regler (Attack Surface Reduction)
- Rapport over regler for reduktion af angrebsoverflade
- Fejlfinding af regler for reduktion af angrebsoverflade
- Henvisning til regler for reduktion af angrebsoverflade