Aktiver regler for reduktion af angrebsoverflade

Implementering af ASR-regler (Attack Surface Reduction) flytter den første testring til en aktiveret, funktionel tilstand.

Proceduren for implementering af ASR-regler

Trin 1: Overgå ASR-regler fra Overvågning til Bloker

  1. Når alle udeladelser er bestemt i overvågningstilstand, skal du begynde at angive nogle ASR-regler til "bloker"-tilstand, startende med den regel, der har færrest udløste hændelser. Se Aktivér regler for reduktion af angrebsoverflade.
  2. Gennemse rapportsiden på portalen Microsoft 365 Defender. Se Rapporten om trusselsbeskyttelse i Microsoft Defender for Endpoint. Gennemse også feedback fra dine ASR-mestre.
  3. Afgræns udeladelser, eller opret nye undtagelser efter behov.
  4. Skift problematiske regler tilbage til Overvågning.

Bemærk!

I forbindelse med problematiske regler (regler, der skaber for meget støj), er det bedre at oprette undtagelser end at slå regler fra eller skifte tilbage til Overvågning. Du skal afgøre, hvad der er bedst for dit miljø.

Tip

Når den er tilgængelig, kan du drage fordel af indstillingen Advar-tilstand i regler for at begrænse afbrydelser. Aktivering af ASR-regler i Warn-tilstand giver dig mulighed for at registrere udløste hændelser og få vist deres potentielle afbrydelser uden faktisk at blokere slutbrugeradgang. Få mere at vide: Advarselstilstand for brugere.

Hvordan fungerer Warn-tilstand?

Advarselstilstand er i praksis en blokinstruktion, men med mulighed for brugeren at "fjerne blokeringen" af efterfølgende udførelser af det angivne flow eller den givne app. Fjern blokeringer i advarselstilstand på en kombination af enhed, bruger, fil og proces. Oplysningerne om advarselstilstand gemmes lokalt og har en varighed på 24 timer.

Trin 2: Udvid udrulningen for at ringe til n + 1

Når du er sikker på, at du har konfigureret ASR-reglerne for ring 1 korrekt, kan du udvide omfanget af udrulningen til næste ring (ring n + 1).

Udrulningsprocessen, trin 1-3, er stort set den samme for hver efterfølgende ring:

  1. Test regler i Overvågning
  2. Gennemse ASR-udløste overvågningshændelser på Microsoft 365 Defender-portalen
  3. Opret udeladelser
  4. Gennemse: Afgræns, tilføj eller fjern udeladelser efter behov
  5. Angiv regler til "blok"
  6. Gennemse rapportsiden på portalen Microsoft 365 Defender.
  7. Opret udeladelser.
  8. Deaktiver problematiske regler, eller skift dem tilbage til Overvågning.

Tilpas regler for reduktion af angrebsoverflade

Efterhånden som du fortsætter med at udvide installationen af regler for reduktion af angrebsoverfladen, kan det være nødvendigt eller nyttigt at tilpasse de regler for reduktion af angrebsoverfladen, som du har aktiveret.

Udelad filer og mapper

Du kan vælge at udelukke filer og mapper fra at blive evalueret af regler for reduktion af angrebsoverfladen. Når den udelades, blokeres filen ikke fra at køre, selvom en regel for reduktion af angrebsoverfladen registrerer, at filen indeholder skadelig funktionsmåde.

Overvej for eksempel ransomware-reglen:

Ransomware-reglen er designet til at hjælpe virksomhedskunder med at reducere risikoen for ransomware-angreb og samtidig sikre forretningskontinuitet. Som standard, ransomware regel fejl på den side af forsigtighed og beskytte mod filer, der endnu ikke har opnået tilstrækkeligt omdømme og tillid. For at understrege det igen, udløser ransomware-reglen kun filer, der ikke har fået nok positivt omdømme og prævalens, baseret på forbrugsdata for millioner af vores kunder. Normalt løses blokkene selv, fordi værdierne for hver fils "omdømme og tillid" opgraderes trinvist, efterhånden som ikke-problematisk brug øges.

I de tilfælde, hvor blokke ikke løses rettidigt, kan kunderne – på egen risiko – gøre brug af enten selvbetjeningsmekanismen eller en IOC-baseret egenskab (Indicator of Compromise) for at fjerne blokeringen af filerne selv.

Advarsel

Hvis du udelader eller fjerner blokeringen af filer eller mapper, kan det potentielt tillade usikre filer at køre og inficere dine enheder. Hvis du udelader filer eller mapper, kan det i alvorlig grad reducere den beskyttelse, der leveres af regler for reduktion af angrebsoverfladen. Filer, der ville være blevet blokeret af en regel, får tilladelse til at køre, og der registreres ingen rapport eller hændelse.

En udeladelse gælder for alle regler, der tillader udeladelser. Du kan angive en enkelt fil, mappesti eller det fuldt kvalificerede domænenavn for en ressource. Du kan dog ikke begrænse en udeladelse til en bestemt regel.

En udeladelse anvendes kun, når det udeladte program eller den udeladte tjeneste starter. Hvis du f.eks. tilføjer en udeladelse for en opdateringstjeneste, der allerede kører, vil opdateringstjenesten fortsat udløse hændelser, indtil tjenesten stoppes og genstartes.

Reduktion af angrebsoverfladen understøtter miljøvariabler og jokertegn. Du kan få oplysninger om, hvordan du bruger jokertegn, under Brug jokertegn i filnavnet og mappestien eller udvidelsesudeladelseslisterne. Hvis du støder på problemer med regler, der registrerer filer, som du mener ikke skal registreres, skal du bruge overvågningstilstand til at teste reglen.

Se emnet reference til regler for reduktion af angrebsoverfladen for at få oplysninger om hver enkelt regel.

Brug Gruppepolitik til at udelade filer og mapper
  1. Åbn administrationskonsollen Gruppepolitik Gruppepolitik, højreklik på det Gruppepolitik objekt, du vil konfigurere, og vælg Rediger.

  2. I Gruppepolitik Management Editor skal du gå til Computerkonfiguration og klikke på Administrative skabeloner.

  3. Udvid træet til Windows-komponenter>Microsoft Defender Antivirus>Microsoft Defender Exploit Guard>Attack overfladereduktion.

  4. Dobbeltklik på indstillingen Udelad filer og stier fra regler for reduktion af angrebsoverfladen , og angiv indstillingen til Aktiveret. Vælg Vis , og angiv hver fil eller mappe i kolonnen Værdinavn . Angiv 0 i kolonnen Værdi for hvert element.

Advarsel

Brug ikke anførselstegn, da de ikke understøttes for hverken kolonnen Value name eller kolonnen Value .

Brug PowerShell til at udelade filer og mapper
  1. Skriv powershell i menuen Start, højreklik på Windows PowerShell, og vælg Kør som administrator.

  2. Angiv følgende oplysninger:

    Add-MpPreference -AttackSurfaceReductionOnlyExclusions "<fully qualified path or resource>"
    

    Fortsæt med at bruge Add-MpPreference -AttackSurfaceReductionOnlyExclusions til at føje flere mapper til listen.

    Vigtigt!

    Bruges Add-MpPreference til at tilføje eller føje apps til listen. Hvis du bruger cmdlet'en Set-MpPreference , overskrives den eksisterende liste.

Brug MDM CSP'er til at udelade filer og mapper

Brug ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions CSP (Configuration Service Provider) til at tilføje udeladelser.

Tilpas meddelelsen

Du kan tilpasse meddelelsen, når en regel udløses, og blokerer en app eller fil. Se artiklen om Windows Sikkerhed.

Yderligere emner i denne installationssamling

Udrulningsoversigt til reduktion af angrebsoverflade (ASR)

Planlæg udrulning af reduktion af angrebsoverflade (ASR)

Regler for testreduktion af angrebsoverflade

Operationaliser regler for reduktion af angrebsoverflade

Henvisning til regler for reduktion af angrebsoverflade

Se også