Forstå og brug funktioner til reduktion af angrebsoverfladen
Gælder for:
- Microsoft Defender XDR
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender Antivirus
Platforme
- Windows
Tip
Vil du opleve Microsoft Defender for Endpoint? Tilmeld dig en gratis prøveversion.
Angrebsoverflader er alle de steder, hvor din organisation er sårbar over for cybertrusler og angreb. Defender for Endpoint indeholder flere funktioner, der kan hjælpe med at reducere dine angrebsoverflader. Se følgende video for at få mere at vide om reduktion af angrebsoverfladen.
Konfigurer funktioner til reduktion af angrebsoverfladen
Hvis du vil konfigurere reduktion af angrebsoverfladen i dit miljø, skal du følge disse trin:
Aktivér programkontrol.
Gennemse grundlæggende politikker i Windows. Se eksempel på grundlæggende politikker.
Se designvejledningen til Windows Defender application control.
Se Installation Windows Defender WDAC-politikker (Application Control).
Aktivér flytbar lagringsbeskyttelse.
Aktivér webbeskyttelse.
Konfigurer din netværksfirewall.
Få en oversigt over Windows Firewall med avanceret sikkerhed.
Brug designvejledningen til Windows Firewall til at beslutte, hvordan du vil designe firewallpolitikkerne.
Brug installationsvejledningen til Windows Firewall til at konfigurere din organisations firewall med avanceret sikkerhed.
Tip
Når du konfigurerer funktioner til reduktion af angrebsoverfladen, kan du i de fleste tilfælde vælge mellem flere metoder:
- Microsoft Intune
- Microsoft Configuration Manager
- Gruppepolitik
- PowerShell-cmdlet'er
Reduktion af angrebsoverfladen i Microsoft Defender for Endpoint
Som en del af organisationens sikkerhedsteam kan du konfigurere funktioner til reduktion af angrebsoverfladen til at køre i overvågningstilstand for at se, hvordan de fungerer. Du kan aktivere følgende funktioner til reduktion af angrebsoverfladen i overvågningstilstand:
- Regler for reduktion af angrebsoverflade
- Exploit Protection
- Netværksbeskyttelse
- Styret mappeadgang
- Enhedskontrol
I overvågningstilstand kan du se en post over, hvad der ville være sket, hvis funktionen var aktiveret.
Du kan aktivere overvågningstilstand, når du tester, hvordan funktionerne fungerer. Hvis du kun aktiverer overvågningstilstand til test, hjælper det med at forhindre, at overvågningstilstanden påvirker dine line of business-apps. Du kan også få en idé om, hvor mange mistænkelige filændringsforsøg der forekommer over en bestemt periode.
Funktionerne blokerer eller forhindrer ikke, at apps, scripts eller filer ændres. Windows-hændelsesloggen registrerer dog hændelser, som om funktionerne var fuldt aktiveret. Med overvågningstilstand kan du gennemse hændelsesloggen for at se, hvilken effekt funktionen ville have haft, hvis den var aktiveret.
Hvis du vil finde de overvågede poster, skal du gå til Programmer og tjenester>Microsoft>Windows>Windows Defender>Operational.
Brug Defender for Endpoint til at få flere oplysninger om hver enkelt hændelse. Disse oplysninger er især nyttige til undersøgelse af regler for reduktion af angrebsoverfladen. Ved hjælp af Defender for Endpoint-konsollen kan du undersøge problemer som en del af tidslinjen for beskeder og undersøgelsesscenarier.
Du kan aktivere overvågningstilstand ved hjælp af Gruppepolitik, PowerShell og udbydere af konfigurationstjenester.
| Overvågningsindstillinger | Sådan aktiverer du overvågningstilstand | Sådan får du vist hændelser |
|---|---|---|
| Overvågning gælder for alle hændelser | Aktivér styret mappeadgang | Hændelser for adgang til styrede mapper |
| Overvågning gælder for individuelle regler | Trin 1: Test regler for reduktion af angrebsoverfladen ved hjælp af overvågningstilstand | Trin 2: Forstå rapporteringssiden for regler for reduktion af angrebsoverfladen |
| Overvågning gælder for alle hændelser | Aktivér netværksbeskyttelse | Netværksbeskyttelseshændelser |
| Overvågning gælder for individuelle afhjælpninger | Aktivér Exploit Protection | Udnyt beskyttelseshændelser |
Du kan f.eks. teste regler for reduktion af angrebsoverfladen i overvågningstilstand, før du aktiverer dem i bloktilstand. Regler for reduktion af angrebsoverfladen er foruddefineret for at hærde almindelige kendte angrebsoverflader. Der er flere metoder, du kan bruge til at implementere regler for reduktion af angrebsoverfladen. Den foretrukne metode er dokumenteret i følgende artikler om regler for reduktion af angrebsoverfladen:
- Oversigt over installation af regler for reduktion af angrebsoverflade
- Planlæg installation af regler for reduktion af angrebsoverflade
- Test regler for reduktion af angrebsoverflade
- Aktivér regler for reduktion af angrebsoverflade
- Operationalize regler for reduktion af angrebsoverfladen
Få vist hændelser for reduktion af angrebsoverfladen
Gennemse hændelser for reduktion af angrebsoverfladen i Logbog for at overvåge, hvilke regler eller indstillinger der fungerer. Du kan også afgøre, om nogen indstillinger er for "støjende" eller påvirker din daglige arbejdsproces.
Det er praktisk at gennemgå hændelser, når du evaluerer funktionerne. Du kan aktivere overvågningstilstand for funktioner eller indstillinger og derefter gennemse, hvad der ville være sket, hvis de var fuldt aktiveret.
I dette afsnit vises alle hændelserne, deres tilknyttede funktion eller indstilling, og det beskrives, hvordan du opretter brugerdefinerede visninger for at filtrere efter bestemte hændelser.
Få detaljeret rapportering om hændelser, blokke og advarsler som en del af Windows Sikkerhed hvis du har et E5-abonnement og bruger Microsoft Defender for Endpoint.
Brug brugerdefinerede visninger til at gennemse funktioner til reduktion af angrebsoverfladen
Opret brugerdefinerede visninger i Windows Logbog for kun at se hændelser for bestemte egenskaber og indstillinger. Den nemmeste måde er at importere en brugerdefineret visning som en XML-fil. Du kan kopiere XML-koden direkte fra denne side.
Du kan også navigere til det hændelsesområde, der svarer til funktionen, manuelt.
Importér en eksisterende brugerdefineret XML-visning
Opret en tom .txt fil, og kopiér XML-filen for den brugerdefinerede visning, du vil bruge, til den .txt fil. Gør dette for hver af de brugerdefinerede visninger, du vil bruge. Omdøb filerne på følgende måde (sørg for at ændre typen fra .txt til .xml):
- Brugerdefineret visning af hændelser for adgang til styrede mapper: cfa-events.xml
- Brugerdefineret visning af hændelser for udnyttelse af beskyttelse: ep-events.xml
- Brugerdefineret visning af hændelser til reduktion af angrebsoverfladen: asr-events.xml
- Brugerdefineret visning af netværks-/beskyttelseshændelser: np-events.xml
Skriv Logbog i menuen Start, og åbn Logbog.
Vælgimportér brugerdefineret visning afhandling>...
Gå til den placering, hvor du har udtrukket XML-filen til den ønskede brugerdefinerede visning, og vælg den.
Vælg Åbn.
Den opretter en brugerdefineret visning, der filtrerer, så den kun viser de hændelser, der er relateret til den pågældende funktion.
Kopiér XML-koden direkte
Skriv Logbog i menuen Start, og åbn Windows Logbog.
Vælg Opret brugerdefineret visning under Handlinger i panelet til venstre...
Gå til fanen XML, og vælg Rediger forespørgsel manuelt. Du får vist en advarsel om, at du ikke kan redigere forespørgslen ved hjælp af fanen Filter , hvis du bruger indstillingen XML. Vælg Ja.
Indsæt XML-koden for den funktion, du vil filtrere hændelser fra, i AFSNITTET XML.
Vælg OK. Angiv et navn til filteret. Denne handling opretter en brugerdefineret visning, der filtrerer, så den kun viser de hændelser, der er relateret til den pågældende funktion.
XML til regelhændelser for reduktion af angrebsoverflade
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select>
</Query>
</QueryList>
XML til hændelser for adgang til styrede mapper
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
</Query>
</QueryList>
XML til udnyttelse af beskyttelseshændelser
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Security-Mitigations/KernelMode">
<Select Path="Microsoft-Windows-Security-Mitigations/KernelMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Concurrency">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Contention">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Messages">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Operational">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Power">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Render">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Tracing">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/UIPI">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Security-Mitigations/UserMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
</Query>
</QueryList>
XML til netværksbeskyttelseshændelser
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
</Query>
</QueryList>
Liste over hændelser for reduktion af angrebsoverfladen
Alle hændelser for reduktion af angrebsoverfladen er placeret under Programmer og tjenester logfører > Microsoft > Windows og derefter mappen eller udbyderen som angivet i følgende tabel.
Du kan få adgang til disse hændelser i Windows Logbog:
Åbn menuen Start, skriv Logbog, og vælg derefter Logbog resultat.
Udvid Programmer og tjenester Logfører > Microsoft > Windows , og gå derefter til den mappe, der er angivet under Provider/source i tabellen nedenfor.
Dobbeltklik på underelementet for at se hændelser. Rul gennem hændelserne for at finde den, du leder efter.
| Funktion | Udbyder/kilde | Hændelses-id | Beskrivelse |
|---|---|---|---|
| Exploit Protection | Sikkerhedsreduktion (kernetilstand/brugertilstand) | 1 | ACG-overvågning |
| Exploit Protection | Sikkerhedsreduktion (kernetilstand/brugertilstand) | 2 | ACG-gennemtving |
| Exploit Protection | Sikkerhedsreduktion (kernetilstand/brugertilstand) | 3 | Tillad ikke overvågning af underordnede processer |
| Exploit Protection | Sikkerhedsreduktion (kernetilstand/brugertilstand) | 4 | Tillad ikke blok for underordnede processer |
| Exploit Protection | Sikkerhedsreduktion (kernetilstand/brugertilstand) | 5 | Bloker for billeder med lav integritet |
| Exploit Protection | Sikkerhedsreduktion (kernetilstand/brugertilstand) | 6 | Bloker blok for billeder med lav integritet |
| Exploit Protection | Sikkerhedsreduktion (kernetilstand/brugertilstand) | 7 | Bloker overvågning fjernafbildninger |
| Exploit Protection | Sikkerhedsreduktion (kernetilstand/brugertilstand) | 8 | Bloker fjernbilleder |
| Exploit Protection | Sikkerhedsreduktion (kernetilstand/brugertilstand) | 9 | Deaktiver overvågning af Win32k-systemkald |
| Exploit Protection | Sikkerhedsreduktion (kernetilstand/brugertilstand) | 10 | Deaktiver blokering af win32k-systemkald |
| Exploit Protection | Sikkerhedsreduktion (kernetilstand/brugertilstand) | 11 | Overvåg beskyttelse af kodeintegritet |
| Exploit Protection | Sikkerhedsreduktion (kernetilstand/brugertilstand) | 12 | Blok for kodeintegritetsbeskyttelse |
| Exploit Protection | Sikkerhedsreduktion (kernetilstand/brugertilstand) | 13 | EAF-revision |
| Exploit Protection | Sikkerhedsreduktion (kernetilstand/brugertilstand) | 14 | Gennemtving EAF |
| Exploit Protection | Sikkerhedsreduktion (kernetilstand/brugertilstand) | 15 | EAF+ audit |
| Exploit Protection | Sikkerhedsreduktion (kernetilstand/brugertilstand) | 16 | Gennemtving EAF+ |
| Exploit Protection | Sikkerhedsreduktion (kernetilstand/brugertilstand) | 17 | IAF-revision |
| Exploit Protection | Sikkerhedsreduktion (kernetilstand/brugertilstand) | 18 | Gennemtving IAF |
| Exploit Protection | Sikkerhedsreduktion (kernetilstand/brugertilstand) | 19 | ROP StackPivot-overvågning |
| Exploit Protection | Sikkerhedsreduktion (kernetilstand/brugertilstand) | 20 | ROP StackPivot gennemtving |
| Exploit Protection | Sikkerhedsreduktion (kernetilstand/brugertilstand) | 21 | ROP CallerCheck audit |
| Exploit Protection | Sikkerhedsreduktion (kernetilstand/brugertilstand) | 22 | ROP CallerCheck gennemtving |
| Exploit Protection | Sikkerhedsreduktion (kernetilstand/brugertilstand) | 23 | ROP SimExec-overvågning |
| Exploit Protection | Sikkerhedsreduktion (kernetilstand/brugertilstand) | 24 | ROP SimExec gennemtvinge |
| Exploit Protection | WER-Diagnostics | 5 | CFG-blok |
| Exploit Protection | Win32K (driftsklar) | 260 | Der er ikke tillid til skrifttype |
| Netværksbeskyttelse | Windows Defender (driftsklar) | 5007 | Hændelse, når indstillingerne ændres |
| Netværksbeskyttelse | Windows Defender (driftsklar) | 1125 | Hændelse, når netværksbeskyttelse udløses i overvågningstilstand |
| Netværksbeskyttelse | Windows Defender (driftsklar) | 1126 | Hændelse, når netværksbeskyttelse udløses i bloktilstand |
| Styret mappeadgang | Windows Defender (driftsklar) | 5007 | Hændelse, når indstillingerne ændres |
| Styret mappeadgang | Windows Defender (driftsklar) | 1124 | Overvåget adgangshændelse for kontrolleret mappe |
| Styret mappeadgang | Windows Defender (driftsklar) | 1123 | Adgangshændelse for blokeret kontrolleret mappe |
| Styret mappeadgang | Windows Defender (driftsklar) | 1127 | Hændelse for blokeret sektor med adgang til kontrolleret mappe |
| Styret mappeadgang | Windows Defender (driftsklar) | 1128 | Hændelse for skriveblokering for overvåget kontrolleret mappeadgangssektor |
| Reduktion af angrebsoverfladen | Windows Defender (driftsklar) | 5007 | Hændelse, når indstillingerne ændres |
| Reduktion af angrebsoverfladen | Windows Defender (driftsklar) | 1122 | Hændelse, når reglen udløses i overvågningstilstand |
| Reduktion af angrebsoverfladen | Windows Defender (driftsklar) | 1121 | Hændelse, når reglen udløses i bloktilstand |
Bemærk!
Fra brugerens perspektiv foretages meddelelser om reduktion af angrebsoverfladen Advar-tilstand som en Windows Toast-meddelelse for regler for reduktion af angrebsoverfladen.
I forbindelse med reduktion af angrebsoverfladen leverer Network Protection kun overvågnings- og bloktilstande.
Ressourcer til at få mere at vide om reduktion af angrebsoverfladen
Som nævnt i videoen indeholder Defender for Endpoint flere funktioner til reduktion af angrebsoverfladen. Brug følgende ressourcer til at få mere at vide:
| Artikel | Beskrivelse |
|---|---|
| Programkontrolelement | Brug programkontrolelementet, så dine programmer skal have tillid til at kunne køre. |
| Reference til regler for reduktion af angrebsoverflade | Indeholder oplysninger om hver regel for reduktion af angrebsoverfladen. |
| Installationsvejledning til regler for reduktion af angrebsoverflade | Viser oversigtsoplysninger og forudsætninger for installation af regler for reduktion af angrebsoverfladen efterfulgt af en trinvis vejledning i test (overvågningstilstand), aktivering (bloktilstand) og overvågning. |
| Styret mappeadgang | Hjælp med at forhindre skadelige eller mistænkelige apps (herunder filkryptering af ransomware malware) i at foretage ændringer af filer i dine centrale systemmapper (kræver Microsoft Defender Antivirus). |
| Enhedsstyring | Beskytter mod tab af data ved at overvåge og styre medier, der bruges på enheder, f.eks. flytbart lager og USB-drev, i din organisation. |
| Exploit Protection | Hjælp med at beskytte de operativsystemer og apps, din organisation bruger, så de ikke kan udnyttes. Udnyttelse af beskyttelse fungerer også med antivirusløsninger fra tredjepart. |
| Hardwarebaseret isolation | Beskyt og bevar integriteten af et system, efterhånden som det starter, og mens det kører. Valider systemintegritet via lokal og ekstern attestation. Brug objektbeholderisolation til Microsoft Edge som en hjælp til at beskytte mod skadelige websteder. |
| Netværksbeskyttelse | Udvid beskyttelsen til netværkstrafik og -forbindelse på organisationens enheder. (Kræver Microsoft Defender Antivirus). |
| Test regler for reduktion af angrebsoverflade | Indeholder trin til at bruge overvågningstilstand til at teste regler for reduktion af angrebsoverfladen. |
| Webbeskyttelse | Med webbeskyttelse kan du beskytte dine enheder mod webtrusler og hjælpe dig med at regulere uønsket indhold. |
Tip
Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.
Feedback
Kommer snart: I hele 2024 udfaser vi GitHub-problemer som feedbackmekanisme for indhold og erstatter det med et nyt feedbacksystem. Du kan få flere oplysninger under: https://aka.ms/ContentUserFeedback.
Indsend og få vist feedback om