Übersicht über die Bereitstellung von Regeln zur Verringerung der Angriffsfläche
Gilt für:
Angriffsflächen sind alle Orte, an denen Ihre Organisation anfällig für Cyberbedrohungen und Angriffe ist. Die Verringerung der Angriffsfläche bedeutet, die Geräte und das Netzwerk Ihrer Organisation zu schützen, sodass Angreifer weniger Angriffsmöglichkeiten haben. Das Konfigurieren von Regeln zur Verringerung der Angriffsfläche von Microsoft Defender für Endpunkt kann hilfreich sein.
Regeln zur Verringerung der Angriffsfläche zielen auf bestimmte Softwareverhalten ab, z. B.:
- Starten ausführbarer Dateien und Skripts, die versuchen, Dateien herunterzuladen oder auszuführen
- Ausführen von verschleierten oder anderweitig verdächtigen Skripts
- Verhaltensweisen, die Apps normalerweise nicht während der normalen täglichen Arbeit auftreten
Indem Sie die verschiedenen Angriffsflächen reduzieren, können Sie verhindern, dass Angriffe überhaupt auftreten.
Diese Bereitstellungssammlung enthält Informationen zu den folgenden Aspekten der Regeln zur Verringerung der Angriffsfläche:
- Anforderungen an Die Regeln zur Verringerung der Angriffsfläche
- Planen der Bereitstellung von Regeln zur Verringerung der Angriffsfläche
- Testen von Regeln zur Verringerung der Angriffsfläche
- Konfigurieren und Aktivieren von Regeln zur Verringerung der Angriffsfläche
- Bewährte Methoden zur Verringerung der Angriffsfläche
- Regeln zur Verringerung der Angriffsfläche – Erweitertes Hunting
- Ereignisanzeige für Regeln zur Verringerung der Angriffsfläche
Bereitstellungsschritte für Regeln zur Verringerung der Angriffsfläche
Wie bei jeder neuen, breit angelegten Implementierung, die sich möglicherweise auf Ihren Branchenbetrieb auswirken kann, ist es wichtig, bei Der Planung und Implementierung methodisch zu sein. Sorgfältige Planung und Bereitstellung von Regeln zur Verringerung der Angriffsfläche ist erforderlich, um sicherzustellen, dass sie für Ihre individuellen Kundenworkflows am besten funktionieren. Um in Ihrer Umgebung arbeiten zu können, müssen Sie Regeln zur Verringerung der Angriffsfläche sorgfältig planen, testen, implementieren und operationalisieren.
Wichtige Vorbehalte vor der Bereitstellung
Es wird empfohlen, die folgenden drei Standardschutzregeln zu aktivieren. Wichtige Details zu den beiden Arten von Regeln zur Verringerung der Angriffsfläche finden Sie unter Regeln zur Verringerung der Angriffsfläche nach Typ.
- Diebstahl von Anmeldeinformationen aus dem Subsystem für die lokale Sicherheitsautorität (lsass.exe) blockieren
- Blockieren des Missbrauchs von missbrauchten anfälligen signierten Treibern
- Blockieren der Persistenz über ein WMI-Ereignisabonnement (Windows Management Instrumentation)
In der Regel können Sie die Standardschutzregeln mit minimalen bis keine spürbaren Auswirkungen für den Endbenutzer aktivieren. Eine einfache Methode zum Aktivieren der Standardschutzregeln finden Sie unter Vereinfachte Standardschutzoption.
Hinweis
Kunden, die einen nicht von Microsoft stammenden HIPS verwenden und zu Microsoft Defender für Endpunkt-Regeln zur Verringerung der Angriffsfläche wechseln, empfiehlt Microsoft, die HIPS-Lösung zusammen mit der Bereitstellung von Regeln zur Verringerung der Angriffsfläche auszuführen, bis Sie vom Überwachungsmodus in den Blockmodus wechseln. Denken Sie daran, dass Sie sich an Ihren Nicht-Microsoft-Antivirenanbieter wenden müssen, um Ausschlussempfehlungen zu erhalten.
Bevor Sie mit dem Testen oder Aktivieren von Regeln zur Verringerung der Angriffsfläche beginnen
Während der ersten Vorbereitung ist es wichtig, die Funktionen der Systeme zu verstehen, die Sie einsetzen. Wenn Sie die Funktionen kennen, können Sie bestimmen, welche Regeln zur Verringerung der Angriffsfläche für Den Schutz Ihrer Organisation am wichtigsten sind. Darüber hinaus gibt es mehrere Voraussetzungen, die Sie bei der Vorbereitung Ihrer Bereitstellung der Angriffsfläche zur Verringerung der Angriffsfläche berücksichtigen müssen.
Wichtig
Dieser Leitfaden enthält Bilder und Beispiele, mit denen Sie entscheiden können, wie Regeln zur Verringerung der Angriffsfläche konfiguriert werden. Diese Bilder und Beispiele spiegeln möglicherweise nicht die besten Konfigurationsoptionen für Ihre Umgebung wider.
Bevor Sie beginnen, lesen Sie Übersicht über die Verringerung der Angriffsfläche und Regeln zur Verringerung der Angriffsfläche – Teil 1 , um grundlegende Informationen zu finden. Um die Bereiche der Abdeckung und potenziellen Auswirkungen zu verstehen, machen Sie sich mit den aktuellen Regeln zur Verringerung der Angriffsfläche vertraut. Siehe Referenz zu Regeln zur Verringerung der Angriffsfläche. Während Sie sich mit den festgelegten Regeln zur Verringerung der Angriffsfläche vertraut machen, notieren Sie sich die GUID-Zuordnungen pro Regel. Siehe Regel zur Verringerung der Angriffsfläche in GUID-Matrix.
Regeln zur Verringerung der Angriffsfläche sind nur eine Funktion der Funktionen zur Verringerung der Angriffsfläche in Microsoft Defender für Endpunkt. Dieses Dokument geht ausführlicher auf die Bereitstellung von Regeln zur Verringerung der Angriffsfläche ein, um fortschrittliche Bedrohungen wie von Menschen betriebene Ransomware und andere Bedrohungen zu stoppen.
Liste der Regeln zur Verringerung der Angriffsfläche nach Kategorie
In der folgenden Tabelle sind Regeln zur Verringerung der Angriffsfläche nach Kategorie aufgeführt:
| Polymorphe Bedrohungen | Seitliche Verschiebung & Diebstahl von Anmeldeinformationen | Produktivitäts-Apps-Regeln | E-Mail-Regeln | Skriptregeln | Sonstige Regeln |
|---|---|---|---|---|---|
| Ausführung ausführbarer Dateien blockieren, es sei denn, sie erfüllen eine Prävalenz (1.000 Computer), Alter oder vertrauenswürdige Listenkriterien | Erstellung von Prozessen durch PSExec- und WMI-Befehle blockieren | Blockieren der Erstellung ausführbarer Inhalte durch Office-Apps | Ausführbare Inhalte aus E-Mail-Client und Web-E-Mail blockieren | Blockieren von verschleiertem JS/VBS/PS/Makrocode | Blockieren des Missbrauchs von ausgenutzten anfälligen signierten Treibern [1] |
| Nicht vertrauenswürdige und nicht signierte Prozess, die von USB ausgeführt werden, blockieren | Blockieren des Diebstahls von Anmeldeinformationen aus dem Subsystem der lokalen Windows-Sicherheitsautorität (lsass.exe)[2] | Blockieren der Erstellung untergeordneter Prozesse durch Office-Apps | Nur Office-Kommunikationsanwendungen daran hindern, untergeordnete Prozesse zu erstellen | Blockieren des Startens heruntergeladener ausführbarer Inhalte durch JS/VBS | |
| Erweiterten Schutz vor Ransomware verwenden | Persistenz durch WMI-Ereignisabonnement blockieren | Blockieren der Einschleusung von Code in andere Prozesse durch Office-Apps | Blockieren der Erstellung untergeordneter Prozesse durch Office-Kommunikations-Apps | ||
| Adobe Reader am Erstellen von untergeordneten Prozessen hindern |
(1) Blockieren des Missbrauchs von ausnutzten anfälligen signierten Treibern ist jetzt unterEndpoint Security Attack Surface Reduction (Verringerung der Angriffsfläche für Endpunktsicherheit>) verfügbar.
(2) Einige Regeln zur Verringerung der Angriffsfläche erzeugen erhebliches Rauschen, blockieren die Funktionalität jedoch nicht. Wenn Sie beispielsweise Chrome aktualisieren, greift Chrome auf lsass.exezu. Kennwörter werden in lsass auf dem Gerät gespeichert. Chrome sollte jedoch nicht auf das lokale Gerät zugreifen,lsass.exe. Wenn Sie die Regel aktivieren, um den Zugriff auf lsass zu blockieren, werden viele Ereignisse angezeigt. Diese Ereignisse sind gute Ereignisse, da der Softwareupdateprozess nicht auf lsass.exe zugreifen sollte. Die Verwendung dieser Regel verhindert, dass Chrome-Updates auf lsass zugreifen, verhindert jedoch nicht, dass Chrome aktualisiert wird. Dies gilt auch für andere Anwendungen, die unnötige Aufrufe von lsass.exeausführen. Die Regel zum Blockieren des Zugriffs auf lsass blockiert unnötige Aufrufe von lsass, verhindert jedoch nicht, dass die Anwendung ausgeführt wird.
Anforderungen an die Infrastruktur zur Verringerung der Angriffsfläche
Obwohl mehrere Methoden zum Implementieren von Regeln zur Verringerung der Angriffsfläche möglich sind, basiert dieser Leitfaden auf einer Infrastruktur, die aus
- Microsoft Entra-ID
- Microsoft Intune
- Windows 10- und Windows 11-Geräte
- Microsoft Defender für Endpunkt E5- oder Windows E5-Lizenzen
Um die Regeln zur Verringerung der Angriffsfläche und die Berichterstellung in vollem Umfang nutzen zu können, empfehlen wir die Verwendung einer Microsoft Defender XDR E5- oder Windows E5-Lizenz und A5. Weitere Informationen finden Sie unter Mindestanforderungen für Microsoft Defender für Endpunkt.
Hinweis
Es gibt mehrere Methoden zum Konfigurieren von Regeln zur Verringerung der Angriffsfläche. Regeln zur Verringerung der Angriffsfläche können konfiguriert werden mit: Microsoft Intune, PowerShell, Gruppenrichtlinie, Microsoft Configuration Manager (ConfigMgr), Intune OMA-URI. Wenn Sie eine andere Infrastrukturkonfiguration als die unter Infrastrukturanforderungen aufgeführten verwenden, können Sie hier mehr über die Bereitstellung von Regeln zur Verringerung der Angriffsfläche mithilfe anderer Konfigurationen erfahren: Aktivieren von Regeln zur Verringerung der Angriffsfläche.
Abhängigkeiten von Regeln zur Verringerung der Angriffsfläche
Microsoft Defender Antivirus muss als primäre Antivirenlösung aktiviert und konfiguriert sein und sich im folgenden Modus befinden:
- Primäre Antiviren-/Antischadsoftwarelösung
- Status: Aktiver Modus
Microsoft Defender Antivirus darf sich in keinem der folgenden Modi befinden:
- Passiv
- Passiver Modus mit Endpunkterkennung und -antwort (EDR) im Blockmodus
- Eingeschränktes regelmäßiges Scannen (LPS)
- Aus
Weitere Informationen finden Sie unter Cloud-bereitgestellter Schutz und Microsoft Defender Antivirus .
Cloudschutz (MAPS) muss aktiviert sein, um Regeln zur Verringerung der Angriffsfläche zu aktivieren.
Microsoft Defender Antivirus funktioniert nahtlos mit Microsoft-Clouddiensten. Diese Cloudschutzdienste, die auch als Microsoft Advanced Protection Service (MAPS) bezeichnet werden, verbessern den standardmäßigen Echtzeitschutz und bieten wohl die beste Antivirenabwehr. Cloudschutz ist wichtig, um Sicherheitsverletzungen durch Schadsoftware zu verhindern und eine wichtige Komponente der Regeln zur Verringerung der Angriffsfläche. Aktivieren Sie den in der Cloud bereitgestellten Schutz in Microsoft Defender Antivirus.
Microsoft Defender Antivirus-Komponenten müssen aktuelle Versionen für Regeln zur Verringerung der Angriffsfläche sein.
Die folgenden Microsoft Defender Antivirus-Komponentenversionen dürfen nicht mehr als zwei Versionen älter als die derzeit verfügbare Version sein:
- Updateversion der Microsoft Defender Antivirus-Plattform : Die Microsoft Defender Antivirus-Plattform wird monatlich aktualisiert.
- Version des Microsoft Defender Antivirus-Moduls : Die Microsoft Defender Antivirus-Engine wird monatlich aktualisiert.
- Microsoft Defender Antivirus-Sicherheitsintelligenz – Microsoft Defender Security Intelligence (auch als Definition und Signatur bezeichnet) aktualisiert, um die neuesten Bedrohungen zu beheben und die Erkennungslogik zu verfeinern.
Wenn Sie die Microsoft Defender Antivirus-Versionen auf dem neuesten Stand halten, können Sie die Regeln zur Verringerung der Angriffsfläche reduzieren und falsch positive Ergebnisse erzielen und die Erkennungsfunktionen von Microsoft Defender Antivirus verbessern. Weitere Informationen zu den aktuellen Versionen und zum Aktualisieren der verschiedenen Microsoft Defender Antivirus-Komponenten finden Sie unter Support für die Microsoft Defender Antivirus-Plattform.
Warnung
Einige Regeln funktionieren nicht gut, wenn nicht signierte, intern entwickelte Anwendungen und Skripts stark genutzt werden. Es ist schwieriger, Regeln zur Verringerung der Angriffsfläche bereitzustellen, wenn die Codesignatur nicht erzwungen wird.
Weitere Artikel in dieser Bereitstellungssammlung
Testen von Regeln zur Verringerung der Angriffsfläche
Aktivieren der Regeln zur Verringerung der Angriffsfläche
Operationalisieren von Regeln zur Verringerung der Angriffsfläche
Referenz zu Regeln zur Verringerung der Angriffsfläche
Referenz
Blogs
Entmystifizieren von Regeln zur Verringerung der Angriffsfläche – Teil 1
Entmystifizierung von Regeln zur Verringerung der Angriffsfläche – Teil 2
Demystifizieren von Regeln zur Verringerung der Angriffsfläche – Teil 3
Entmystifizierung von Regeln zur Verringerung der Angriffsfläche – Teil 4
Sammlung von Regeln zur Verringerung der Angriffsfläche
Übersicht der Verringerung der Angriffsfläche
Aktivieren von Regeln zur Verringerung der Angriffsfläche – alternative Konfigurationen
Referenz zu Regeln zur Verringerung der Angriffsfläche
Häufig gestellte Fragen zur Verringerung der Angriffsfläche
Microsoft Defender
Adressiert falsch positive/negative Ergebnisse in Microsoft Defender für Endpunkt
Schutz über die Cloud und Microsoft Defender Antivirus
Aktivieren des in der Cloud bereitgestellten Schutzes in Microsoft Defender Antivirus
Konfigurieren und Überprüfen von Ausschlüssen basierend auf Erweiterung, Name oder Standort
Microsoft Defender Antivirus-Plattformunterstützung
Übersicht über den Bestand im Microsoft 365 Apps Admin Center
Erstellen eines Bereitstellungsplans für Windows
Rollenbasierte Zugriffssteuerung (RBAC) und Bereichskategorien für verteilte IT in Intune
Zuweisen von Geräteprofilen in Microsoft Intune
Verwaltungswebsites
Verringerung der Angriffsfläche
Konfigurationen von Regeln zur Verringerung der Angriffsfläche
Ausschlussregeln zur Verringerung der Angriffsfläche
Tipp
Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.