Oversigt over installation af regler for reduktion af angrebsoverflade
Gælder for:
Angrebsoverflader er alle de steder, hvor din organisation er sårbar over for cybertrusler og angreb. Reduktion af angrebsoverfladen betyder beskyttelse af organisationens enheder og netværk, hvilket efterlader hackere med færre måder at angribe på. Konfiguration af Microsoft Defender for Endpoint regler for reduktion af angrebsoverfladen kan hjælpe.
Regler for reduktion af angrebsoverfladen er målrettet bestemte softwarefunktioner, f.eks.:
- Start af eksekverbare filer og scripts, der forsøger at downloade eller køre filer
- Kørsel af slørede eller på anden måde mistænkelige scripts
- Funktionsmåder, som apps normalt ikke optræder under normalt dag-til-dag-arbejde
Ved at reducere de forskellige angrebsoverflader kan du hjælpe med at forhindre angreb i at ske i første omgang.
Denne udrulningssamling indeholder oplysninger om følgende aspekter af regler for reduktion af angrebsoverfladen:
- krav til regler for reduktion af angrebsoverflade
- plan for installation af regler for reduktion af angrebsoverflade
- test regler for reduktion af angrebsoverflade
- konfigurer og aktivér regler for reduktion af angrebsoverflade
- regler for reduktion af angrebsoverfladen bedste praksis
- angreb overfladereduktion regler avanceret jagt
- regler for reduktion af angrebsoverfladen logbog
Trin til installation af regler for reduktion af angrebsoverflade
Som med enhver ny implementering i stor skala, som potentielt kan påvirke din line of business-drift, er det vigtigt at være metodisk i din planlægning og implementering. Omhyggelig planlægning og installation af regler for reduktion af angrebsoverfladen er nødvendig for at sikre, at de fungerer bedst for dine unikke kundearbejdsprocesser. Hvis du vil arbejde i dit miljø, skal du omhyggeligt planlægge, teste, implementere og operationalisere regler for reduktion af angrebsoverfladen.
Vigtig advarsel om forudansættelse
Vi anbefaler, at du aktiverer følgende tre standardbeskyttelsesregler. Se Regler for reduktion af angrebsoverfladen efter type for at få vigtige oplysninger om de to typer regler for reduktion af angrebsoverfladen.
- Bloker tyveri af legitimationsoplysninger fra det lokale windows-undersystem (lsass.exe)
- Bloker misbrug af udnyttede sårbare bilister
- Bloker vedholdenhed via WMI-hændelsesabonnement (Windows Management Instrumentation)
Du kan typisk aktivere standardbeskyttelsesreglerne med minimal til ingen mærkbar indvirkning på slutbrugeren. Hvis du vil have en nem metode til at aktivere standardbeskyttelsesregler, skal du se Forenklet standardbeskyttelsesindstilling.
Bemærk!
For kunder, der bruger en HIPS, der ikke er Microsoft, og som skifter til Microsoft Defender for Endpoint regler for reduktion af angrebsoverfladen, råder Microsoft til at køre HIPS-løsningen sammen med udrulningen af regler for reduktion af angrebsoverfladen, indtil det øjeblik, du skifter fra overvågningstilstand til bloktilstand. Vær opmærksom på, at du skal kontakte din ikke-Microsoft-antivirusudbyder for at få anbefalinger til udeladelse.
Før du begynder at teste eller aktivere regler for reduktion af angrebsoverfladen
Under den indledende forberedelse er det vigtigt at forstå funktionerne i de systemer, du har etableret. Forståelse af funktionerne hjælper dig med at afgøre, hvilke regler for reduktion af angrebsoverfladen der er vigtigst for at beskytte din organisation. Derudover er der flere forudsætninger, som du skal være opmærksom på som forberedelse til udrulningen af din udrulning af angrebsoverfladen.
Vigtigt!
Denne vejledning indeholder billeder og eksempler, der kan hjælpe dig med at beslutte, hvordan du vil konfigurere regler for reduktion af angrebsoverfladen. Disse billeder og eksempler afspejler muligvis ikke de bedste konfigurationsindstillinger for dit miljø.
Før du starter, skal du gennemse Oversigt over reduktion af angrebsoverflade og Afmystificerende regler for reduktion af angrebsoverfladen – del 1 for grundlæggende oplysninger. Hvis du vil forstå dækningsområder og potentielle indvirkninger, skal du sætte dig ind i det aktuelle sæt regler for reduktion af angrebsoverfladen. se Reference til regler for reduktion af angrebsoverflade. Selvom du er fortrolig med de regler for reduktion af angrebsoverfladen, der er angivet, skal du notere dig GUID-tilknytningerne pr. regel. se Regel for reduktion af angrebsoverflade til GUID-matrix.
Regler for reduktion af angrebsoverfladen er kun én egenskab i funktionerne til reduktion af angrebsoverfladen i Microsoft Defender for Endpoint. Dette dokument går mere i detaljer om udrulning af regler for reduktion af angrebsoverfladen effektivt for at stoppe avancerede trusler som menneskeligt drevet ransomware og andre trusler.
Liste over regler for reduktion af angrebsoverflade efter kategori
I følgende tabel vises regler for reduktion af angrebsoverfladen efter kategori:
| Polymorfe trusler | Tværgående flytning & tyveri af legitimationsoplysninger | Regler for produktivitetsapps | Mailregler | Scriptregler | Regler for diverse |
|---|---|---|---|---|---|
| Bloker eksekverbare filer fra at køre, medmindre de opfylder en prævalens (1.000 maskiner), alder eller listekriterier, der er tillid til | Bloker procesoprettelser, der stammer fra kommandoerne PSExec og WMI | Bloker Office-apps fra oprettelse af eksekverbart indhold | Bloker eksekverbart indhold fra mailklient og webmail | Bloker sløret JS/VBS/PS/makrokode | Bloker misbrug af udnyttede sårbare underskrevne førere [1] |
| Bloker processer, der ikke er tillid til, og som ikke er signeret, og som kører fra USB | Bloker tyveri af legitimationsoplysninger fra det lokale windows-undersystem (lsass.exe)[2] | Bloker Office-apps fra oprettelse af underordnede processer | Bloker kun Office-kommunikationsprogrammer fra oprettelse af underordnede processer | Bloker JS/VBS fra start af downloadet eksekverbart indhold | |
| Brug avanceret beskyttelse mod ransomware | Bloker vedholdenhed via WMI-hændelsesabonnement | Bloker Office-apps fra at indsætte kode i andre processer | Bloker Office-kommunikationsapps fra oprettelse af underordnede processer | ||
| Bloker Adobe Reader fra at oprette underordnede processer |
(1) Bloker misbrug af udnyttede sårbare signerede drivere er nu tilgængelig under Endpoint Security>Attack Surface Reduction.
(2) Nogle regler for reduktion af angrebsoverfladen genererer betydelig støj, men blokerer ikke funktionalitet. Hvis du f.eks. opdaterer Chrome, får Chrome adgang lsass.exe; adgangskoder gemmes i lsass på enheden. Chrome bør dog ikke få adgang til lokale enhederlsass.exe. Hvis du aktiverer reglen for at blokere adgang til lsass, får du vist mange hændelser. Disse hændelser er gode hændelser, fordi softwareopdateringsprocessen ikke skal have adgang til lsass.exe. Brug af denne regel blokerer Chrome-opdateringer fra at få adgang til lsass, men blokerer ikke Chrome fra at opdatere. Dette gælder også for andre programmer, der foretager unødvendige kald til lsass.exe. Blokeringsadgangen til lsass-reglen blokerer unødvendige kald til lsass, men blokerer ikke programmet fra at køre.
Infrastrukturkrav til reduktion af angrebsoverfladen
Selvom flere metoder til implementering af regler for reduktion af angrebsoverfladen er mulige, er denne vejledning baseret på en infrastruktur, der består af
- Microsoft Entra ID
- Microsoft Intune
- Windows 10 og Windows 11 enheder
- Microsoft Defender for Endpoint E5- eller Windows E5-licenser
Hvis du vil drage fuld fordel af regler og rapportering om reduktion af angrebsoverfladen, anbefaler vi, at du bruger en Microsoft Defender XDR E5- eller Windows E5-licens og A5. Få mere at vide under Minimumkrav til Microsoft Defender for Endpoint.
Bemærk!
Der er flere metoder til konfiguration af regler for reduktion af angrebsoverfladen. Regler for reduktion af angrebsoverfladen kan konfigureres ved hjælp af: Microsoft Intune, PowerShell, Gruppepolitik, Microsoft Configuration Manager (ConfigMgr), Intune OMA-URI. Hvis du bruger en anden konfiguration af infrastrukturen, end hvad der er angivet for infrastrukturkrav, kan du få mere at vide om installation af regler for reduktion af angrebsoverfladen ved hjælp af andre konfigurationer her: Aktivér regler for reduktion af angrebsoverfladen.
Afhængigheder af regler for reduktion af angrebsoverfladen
Microsoft Defender Antivirus skal være aktiveret og konfigureret som primær antivirusløsning og skal være i følgende tilstand:
- Primær antivirus-/antimalwareløsning
- Tilstand: Aktiv tilstand
Microsoft Defender Antivirus må ikke være i nogen af følgende tilstande:
- Passiv
- Passiv tilstand med slutpunktsregistrering og svar (EDR) i bloktilstand
- Begrænset periodisk scanning (LPS)
- Ud
Se Cloud-leveret beskyttelse og Microsoft Defender Antivirus for at få mere at vide.
Cloud Protection (MAPS) skal være aktiveret for at aktivere regler for reduktion af angrebsoverfladen
Microsoft Defender Antivirus fungerer problemfrit sammen med Microsofts cloudtjenester. Disse cloudbeskyttelsestjenester, også kaldet Microsoft Advanced Protection Service (MAPS), forbedrer standardbeskyttelse i realtid og giver muligvis det bedste antivirusforsvar. Cloudbeskyttelse er afgørende for at forhindre brud på malware og en vigtig komponent i reglerne for reduktion af angrebsoverfladen. Slå skybaseret beskyttelse til i Microsoft Defender Antivirus.
Microsoft Defender Antivirus-komponenter skal være aktuelle versioner for regler for reduktion af angrebsoverfladen
Følgende Microsoft Defender Antivirus-komponentversioner må ikke være mere end to versioner, der er ældre end den version, der er mest tilgængelig i øjeblikket:
- Microsoft Defender opdateringsversion af Antivirus Platform – Microsoft Defender Antivirus-platformen opdateres månedligt.
- Microsoft Defender antivirusprogramversion – Microsoft Defender Antivirusprogram opdateres månedligt.
- Microsoft Defender Antivirus security intelligence – Microsoft opdaterer løbende Microsoft Defender security intelligence (også kendt som, definition og signatur) for at håndtere de nyeste trusler og for at tilpasse registreringslogik.
Hvis du holder Microsoft Defender antivirusversioner opdateret, hjælper det med at reducere reglerne for reduktion af angrebsoverfladen med falske positive resultater og forbedrer Microsoft Defender egenskaber til registrering af antivirusprogrammer. Du kan finde flere oplysninger om de aktuelle versioner, og hvordan du opdaterer de forskellige Microsoft Defender Antivirus-komponenter, ved at besøge support til Microsoft Defender Antivirus-platformen.
Advarsel
Nogle regler fungerer ikke godt, hvis usigneret, internt udviklede programmer og scripts er i høj brug. Det er sværere at installere regler for reduktion af angrebsoverfladen, hvis kodesignering ikke gennemtvinges.
Andre artikler i denne installationssamling
Test regler for reduktion af angrebsoverflade
Aktivér regler for reduktion af angrebsoverflade
Operationalize regler for reduktion af angrebsoverfladen
Reference til regler for reduktion af angrebsoverflade
Reference
Blogs
Afmystificerende regler for reduktion af angrebsoverfladen – del 1
Afmystificerende regler for reduktion af angrebsoverfladen – del 2
Afmystificerende regler for reduktion af angrebsoverfladen – del 3
Afmystificerende regler for reduktion af angrebsoverfladen – del 4
Indsamling af regler for reduktion af angrebsoverflade
Oversigt over reduktion af angrebsoverflade
Brug regler for reduktion af angrebsoverfladen for at forhindre malware-infektion
Aktivér regler for reduktion af angrebsoverflade – alternative konfigurationer
Reference til regler for reduktion af angrebsoverflade
Ofte stillede spørgsmål om reduktion af angrebsoverflade
Microsoft Defender
Adresser falske positive/negativer i Microsoft Defender for Endpoint
Skybaseret beskyttelse og Microsoft Defender Antivirus
Slå skybaseret beskyttelse til i Microsoft Defender Antivirus
Konfigurer og valider udeladelser baseret på filtypenavn, navn eller placering
understøttelse af Microsoft Defender Antivirus-platform
Oversigt over lagerbeholdning i Microsoft 365 Apps Administration
Create en installationsplan til Windows
Brug rollebaseret adgangskontrol og områdekoder til distribueret it i Intune
Tildel enhedsprofiler i Microsoft Intune
Administrationswebsteder
Microsoft Intune Administration
Reduktion af angrebsoverfladen
Konfigurationer af regler for reduktion af angrebsoverflade
Udeladelse af regler for reduktion af angrebsoverfladen
Tip
Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.
Feedback
Kommer snart: I hele 2024 udfaser vi GitHub-problemer som feedbackmekanisme for indhold og erstatter det med et nyt feedbacksystem. Du kan få flere oplysninger under: https://aka.ms/ContentUserFeedback.
Indsend og få vist feedback om