Regeln zur Verringerung der Angriffsfläche aktivieren
Gilt für:
- Microsoft Defender für Endpunkt Plan 1
- Microsoft Defender für Endpunkt Plan 2
- Microsoft Defender XDR
- Microsoft Defender Antivirus
Plattformen
- Windows
Tipp
Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion
Regeln zur Verringerung der Angriffsfläche verhindern Aktionen, die von Schadsoftware häufig missbraucht werden, um Geräte und Netzwerke zu kompromittieren.
Anforderungen
Features zur Verringerung der Angriffsfläche in windows-Versionen
Sie können Regeln zur Verringerung der Angriffsfläche für Geräte festlegen, auf denen eine der folgenden Editionen und Versionen von Windows ausgeführt wird:
- Windows 11 Pro
- Windows 11 Enterprise
- Windows 10 Pro, Version 1709 oder höher
- Windows 10 Enterprise, Version 1709 oder höher
- Windows Server, Version 1803 (Halbjährlicher Kanal) oder höher
- Windows Server 2012 R2
- Windows Server 2016
- Windows Server 2019
- Windows Server 2022
Um den gesamten Featuresatz der Regeln zur Verringerung der Angriffsfläche verwenden zu können, benötigen Sie Folgendes:
- Microsoft Defender Antivirus als primäre AV -Instanz (Echtzeitschutz aktiviert)
- Cloudbereitstellungsschutz ein (einige Regeln erfordern dies)
- Windows 10 Enterprise E5- oder E3-Lizenz
Obwohl Regeln zur Verringerung der Angriffsfläche keine Windows E5-Lizenz erfordern, erhalten Sie mit einer Windows E5-Lizenz erweiterte Verwaltungsfunktionen wie Überwachung, Analyse und Workflows, die in Defender für Endpunkt sowie Berichts- und Konfigurationsfunktionen im Microsoft Defender XDR-Portal verfügbar sind. Diese erweiterten Funktionen sind mit einer E3-Lizenz nicht verfügbar, aber Sie können weiterhin Ereignisanzeige verwenden, um Regelereignisse zur Verringerung der Angriffsfläche zu überprüfen.
Jede Regel zur Verringerung der Angriffsfläche enthält eine von vier Einstellungen:
- Nicht konfiguriert | Deaktiviert: Deaktivieren der Regel zur Verringerung der Angriffsfläche
- Blockieren: Aktivieren der Regel zur Verringerung der Angriffsfläche
- Überwachung: Bewerten Sie, wie sich die Regel zur Verringerung der Angriffsfläche auf Ihre organization auswirken würde, wenn sie aktiviert ist.
- Warnung: Aktivieren Sie die Regel zur Verringerung der Angriffsfläche, aber erlauben Sie es dem Endbenutzer, den Block zu umgehen.
Es wird empfohlen, Regeln zur Verringerung der Angriffsfläche mit einer Windows E5-Lizenz (oder einer ähnlichen Lizenzierungs-SKU) zu verwenden, um die erweiterten Überwachungs- und Berichterstellungsfunktionen zu nutzen, die in Microsoft Defender for Endpoint (Defender für Endpunkt) verfügbar sind. Wenn Sie jedoch über eine andere Lizenz verfügen, z. B. Windows Professional oder Windows E3, die keine erweiterten Überwachungs- und Berichterstellungsfunktionen enthält, können Sie eigene Überwachungs- und Berichterstellungstools entwickeln, die auf den Ereignissen basieren, die an jedem Endpunkt generiert werden, wenn Regeln zur Verringerung der Angriffsfläche ausgelöst werden (z. B. Ereignisweiterleitung).
Tipp
Weitere Informationen zur Windows-Lizenzierung finden Sie unter Windows 10 Lizenzierung, und erhalten Sie den Leitfaden zur Volumenlizenzierung für Windows 10.
Sie können Regeln zur Verringerung der Angriffsfläche mit einer der folgenden Methoden aktivieren:
- Microsoft Intune
- Verwaltung von Mobilgeräten (Mobile Device Management, MDM)
- Microsoft Configuration Manager
- Gruppenrichtlinie
- PowerShell
Es wird eine Verwaltung auf Unternehmensebene wie Intune oder Microsoft Configuration Manager empfohlen. Die Verwaltung auf Unternehmensebene überschreibt alle in Konflikt stehenden Gruppenrichtlinie- oder PowerShell-Einstellungen beim Start.
Ausschließen von Dateien und Ordnern von Regeln zur Verringerung der Angriffsfläche
Sie können Dateien und Ordner von der Auswertung durch die meisten Regeln zur Verringerung der Angriffsfläche ausschließen. Dies bedeutet, dass selbst wenn eine Regel zur Verringerung der Angriffsfläche bestimmt, dass die Datei oder der Ordner schädliches Verhalten enthält, die Ausführung der Datei nicht blockiert wird.
Wichtig
Das Ausschließen von Dateien oder Ordnern kann den Schutz durch Regeln zur Verringerung der Angriffsfläche erheblich beeinträchtigen. Ausgeschlossene Dateien dürfen ausgeführt werden, und es wird kein Bericht oder Ereignis aufgezeichnet. Wenn Regeln zur Verringerung der Angriffsfläche Dateien erkennen, die Ihrer Meinung nach nicht erkannt werden sollten, sollten Sie zuerst den Überwachungsmodus verwenden, um die Regel zu testen. Ein Ausschluss wird nur angewendet, wenn die ausgeschlossene Anwendung oder der ausgeschlossene Dienst gestartet wird. Wenn Sie beispielsweise einen Ausschluss für einen bereits ausgeführten Updatedienst hinzufügen, löst der Updatedienst weiterhin Ereignisse aus, bis der Dienst beendet und neu gestartet wird.
Beachten Sie beim Hinzufügen von Ausschlüssen die folgenden Punkte:
- Ausschlüsse basieren in der Regel auf einzelnen Dateien oder Ordnern (mithilfe von Ordnerpfaden oder dem vollständigen Pfad der auszuschließenden Datei).
- Ausschlusspfade können Umgebungsvariablen und Wildcards verwenden. Weitere Informationen finden Sie unter Verwenden von Wildcards in den Ausschlusslisten für Dateinamen und Ordnerpfad oder Erweiterungserweiterungen.
- Bei der Bereitstellung über Gruppenrichtlinie oder PowerShell gelten Ausschlüsse für alle Regeln zur Verringerung der Angriffsfläche. Mit Intune ist es möglich, einen Ausschluss für eine bestimmte Regel zur Verringerung der Angriffsfläche zu konfigurieren. Weitere Informationen finden Sie unter Konfigurieren von Regeln zur Verringerung der Angriffsfläche pro Regel.
- Ausschlüsse können basierend auf Zertifikat- und Dateihashes hinzugefügt werden, indem bestimmte Defender für Endpunkt-Datei- und Zertifikatindikatoren zugelassen werden. Weitere Informationen finden Sie unter Verwalten von Indikatoren.
Richtlinienkonflikt
Wenn eine in Konflikt stehende Richtlinie über MDM und GP angewendet wird, hat die von GP angewendete Einstellung Vorrang.
Regeln zur Verringerung der Angriffsfläche für verwaltete Geräte unterstützen jetzt das Verhalten für die Zusammenführung von Einstellungen aus verschiedenen Richtlinien, um eine Obermenge von Richtlinien für jedes Gerät zu erstellen. Nur die Einstellungen, die nicht in Konflikt stehen, werden zusammengeführt, während diejenigen, die in Konflikt stehen, nicht zur Obermenge der Regeln hinzugefügt werden. Wenn bisher zwei Richtlinien Konflikte für eine einzelne Einstellung enthielten, wurden beide Richtlinien als in Konflikt gekennzeichnet, und es wurden keine Einstellungen aus beiden Profilen bereitgestellt. Verhalten der Regel zur Verringerung der Angriffsfläche sieht wie folgt aus:
- Regeln zur Verringerung der Angriffsfläche aus den folgenden Profilen werden für jedes Gerät ausgewertet, für das die Regeln gelten:
- Gerätekonfigurationsprofile >> Endpoint Protection-Profil > Microsoft DefenderVerringerung der Angriffsfläche von Exploit Guard>.
- Endpunktsicherheit > Richtlinie >zur Verringerung der AngriffsflächeRegeln zur Verringerung der Angriffsfläche.
- Endpunktsicherheitsbaselines >>Microsoft Defender ATP-Baselineregeln>zur Verringerung der Angriffsfläche.
- Einstellungen ohne Konflikte werden einer Obermenge der Richtlinie für das Gerät hinzugefügt.
- Wenn zwei oder mehr Richtlinien in Konflikt stehende Einstellungen aufweisen, werden die in Konflikt stehenden Einstellungen nicht zur kombinierten Richtlinie hinzugefügt, während Einstellungen, die keinen Konflikt verursachen, der übergeordneten Richtlinie hinzugefügt werden, die für ein Gerät gilt.
- Nur die Konfigurationen für in Konflikt stehende Einstellungen werden zurückgehalten.
- Regeln zur Verringerung der Angriffsfläche aus den folgenden Profilen werden für jedes Gerät ausgewertet, für das die Regeln gelten:
Konfigurationsmethoden
Dieser Abschnitt enthält Konfigurationsdetails für die folgenden Konfigurationsmethoden:
- Intune
- Benutzerdefiniertes Profil in Intune
- MDM
- Microsoft Configuration Manager
- Gruppenrichtlinie
- PowerShell
Die folgenden Verfahren zum Aktivieren von Regeln zur Verringerung der Angriffsfläche enthalten Anweisungen zum Ausschließen von Dateien und Ordnern.
Intune
Gerätekonfigurationsprofile
Wählen Sie Gerätekonfigurationsprofile>aus. Wählen Sie ein vorhandenes Endpoint Protection-Profil aus, oder erstellen Sie ein neues Profil. Um ein neues Profil zu erstellen, wählen Sie Create Profil aus, und geben Sie Informationen für dieses Profil ein. Wählen Sie unter Profiltyp die Option Endpoint Protection aus. Wenn Sie ein vorhandenes Profil ausgewählt haben, wählen Sie Eigenschaften und dann Einstellungen aus.
Wählen Sie im Bereich Endpoint ProtectionWindows Defender Exploit Guard und dann Verringerung der Angriffsfläche aus. Wählen Sie die gewünschte Einstellung für jede Regel zur Verringerung der Angriffsfläche aus.
Geben Sie unter Ausnahmen zur Verringerung der Angriffsfläche einzelne Dateien und Ordner ein. Sie können auch Importieren auswählen, um eine CSV-Datei zu importieren, die Dateien und Ordner enthält, die von Regeln zur Verringerung der Angriffsfläche ausgeschlossen werden sollen. Jede Zeile in der CSV-Datei sollte wie folgt formatiert werden:
C:\folder
,%ProgramFiles%\folder\file
,C:\path
Wählen Sie in den drei Konfigurationsbereichen OK aus. Wählen Sie dann Create aus, wenn Sie eine neue Endpoint Protection-Datei erstellen, oder Speichern, wenn Sie eine vorhandene bearbeiten.
Endpunktsicherheitsrichtlinie
Wählen Sie Endpoint SecurityAttack Surface Reduction (Verringerung der Angriffsfläche für Endpunktsicherheit>) aus. Wählen Sie eine vorhandene Regel zur Verringerung der Angriffsfläche aus, oder erstellen Sie eine neue Regel. Um eine neue Zu erstellen, wählen Sie Create Richtlinie aus, und geben Sie Informationen für dieses Profil ein. Wählen Sie unter Profiltyp die Option Angriffsfläche-Reduzierungsregeln aus. Wenn Sie ein vorhandenes Profil ausgewählt haben, wählen Sie Eigenschaften und dann Einstellungen aus.
Wählen Sie im Bereich Konfigurationseinstellungen die Option Verringerung der Angriffsfläche aus, und wählen Sie dann die gewünschte Einstellung für jede Regel zur Verringerung der Angriffsfläche aus.
Geben Sie unter Liste der zusätzlichen Ordner, die geschützt werden müssen, Liste der Apps, die Zugriff auf geschützte Ordner haben, und Regeln zur Verringerung der Angriffsfläche ausschließen die einzelnen Dateien und Ordner ein. Sie können auch Importieren auswählen, um eine CSV-Datei zu importieren, die Dateien und Ordner enthält, die von Regeln zur Verringerung der Angriffsfläche ausgeschlossen werden sollen. Jede Zeile in der CSV-Datei sollte wie folgt formatiert werden:
C:\folder
,%ProgramFiles%\folder\file
,C:\path
Wählen Sie in den drei Konfigurationsbereichen Weiter und dann Create aus, wenn Sie eine neue Richtlinie erstellen, oder Speichern, wenn Sie eine vorhandene Richtlinie bearbeiten.
Benutzerdefiniertes Profil in Intune
Sie können Microsoft Intune OMA-URI verwenden, um benutzerdefinierte Regeln zur Verringerung der Angriffsfläche zu konfigurieren. Im folgenden Verfahren wird für das Beispiel die Regel Missbrauch von anfälligen signierten Treibern blockieren verwendet.
Öffnen Sie das Microsoft Intune Admin Center. Klicken Sie im Menü Start auf Geräte, wählen Sie Konfigurationsprofile aus, und klicken Sie dann auf Create Profil.
Wählen Sie in Create einem Profil in den folgenden beiden Dropdownlisten Folgendes aus:
- Wählen Sie unter Plattformdie Option Windows 10 und höher aus.
- Wählen Sie unter Profiltypdie Option Vorlagen aus.
- Wenn die Regeln zur Verringerung der Angriffsfläche bereits über die Endpunktsicherheit festgelegt wurden, wählen Sie unter Profiltypdie Option Einstellungskatalog aus.
Wählen Sie Benutzerdefiniert und dann Create aus.
Das Tool für benutzerdefinierte Vorlagen wird mit Schritt 1 Grundlagen geöffnet. Geben Sie in 1 Grundlagen unter Name einen Namen für Ihre Vorlage ein, und unter Beschreibung können Sie eine Beschreibung (optional) eingeben.
Klicken Sie auf Weiter. Schritt 2 Konfigurationseinstellungen werden geöffnet. Klicken Sie für OMA-URI-Einstellungen auf Hinzufügen. Nun werden zwei Optionen angezeigt: Hinzufügen und Exportieren.
Klicken Sie erneut auf Hinzufügen . Die Einstellung Zeile OMA-URI hinzufügen wird geöffnet. Gehen Sie unter Zeile hinzufügen wie folgt vor:
Geben Sie unter Name einen Namen für die Regel ein.
Geben Sie unter Beschreibung eine kurze Beschreibung ein.
Geben Sie in OMA-URI den spezifischen OMA-URI-Link für die Regel ein, die Sie hinzufügen möchten, oder fügen Sie ihn ein. Informationen zum OMA-URI, der für diese Beispielregel verwendet werden soll, finden Sie im Abschnitt MDM in diesem Artikel. Informationen zu GUIDS zur Verringerung der Angriffsfläche finden Sie unter Beschreibungen pro Regel im Artikel: Regeln zur Verringerung der Angriffsfläche .
Wählen Sie unter Datentyp die Option Zeichenfolge aus.
Geben Sie unter Wert den GUID-Wert, das =-Zeichen und den State-Wert ohne Leerzeichen (GUID=StateValue) ein, oder fügen Sie ihn ein. Dabei gilt:
- 0: Deaktivieren (Regel zur Verringerung der Angriffsfläche deaktivieren)
- 1: Blockieren (Regel zur Verringerung der Angriffsfläche aktivieren)
- 2: Überwachung (Bewerten Sie, wie sich die Regel zur Verringerung der Angriffsfläche auf Ihre organization auswirken würde, falls aktiviert)
- 6: Warnen (Aktivieren Sie die Regel zur Verringerung der Angriffsfläche, aber erlauben Sie dem Endbenutzer, den Block zu umgehen)
Klicken Sie auf Speichern. Zeile hinzufügen wird geschlossen. Wählen Sie unter Benutzerdefiniert die Option Weiter aus. In Schritt 3 Bereichstags sind Bereichstags optional. Führen Sie einen der folgenden Schritte aus:
- Wählen Sie Bereichstags auswählen, wählen Sie das Bereichstag (optional) und dann Weiter aus.
- Oder wählen Sie Weiter aus.
Wählen Sie in Schritt 4 unter Eingeschlossene Gruppen für die Gruppen, die diese Regel anwenden soll, eine der folgenden Optionen aus:
- Gruppen hinzufügen
- Alle Benutzer hinzufügen
- Alle Geräte hinzufügen
Wählen Sie unter Ausgeschlossene Gruppen alle Gruppen aus, die Sie aus dieser Regel ausschließen möchten, und wählen Sie dann Weiter aus.
Gehen Sie in Schritt 5 Anwendbarkeitsregeln für die folgenden Einstellungen wie folgt vor:
Wählen Sie unter Regel entweder Profil zuweisen, wenn oder Profil nicht zuweisen aus, wenn
Wählen Sie unter Eigenschaft die Eigenschaft aus, auf die diese Regel angewendet werden soll.
Geben Sie unter Wert den entsprechenden Wert oder Wertbereich ein.
Wählen Sie Weiter aus. Überprüfen Sie in Schritt 6 Überprüfen und erstellen die Einstellungen und Informationen, die Sie ausgewählt und eingegeben haben, und wählen Sie dann Create aus.
Regeln sind innerhalb weniger Minuten aktiv und live.
Hinweis
Konfliktbehandlung:
Wenn Sie einem Gerät zwei verschiedene Richtlinien zur Verringerung der Angriffsfläche zuweisen, können potenzielle Richtlinienkonflikte auftreten, je nachdem, ob Regeln unterschiedliche Zustände zugewiesen werden, ob die Konfliktverwaltung vorhanden ist und ob das Ergebnis ein Fehler ist. Nicht übereinstimmende Regeln führen nicht zu einem Fehler, und solche Regeln werden ordnungsgemäß angewendet. Die erste Regel wird angewendet, und nachfolgende nicht zusammenhängende Regeln werden mit der Richtlinie zusammengeführt.
MDM
Verwenden Sie ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules Configuration Service Provider (CSP), um den Modus für jede Regel einzeln zu aktivieren und festzulegen.
Im Folgenden finden Sie ein Beispiel zur Referenz, das GUID-Werte für die Referenz zu Regeln zur Verringerung der Angriffsfläche verwendet.
OMA-URI path: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules
Value: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84=2|3b576869-a4ec-4529-8536-b80a7769e899=1|d4f940ab-401b-4efc-aadc-ad5f3c50688a=2|d3e037e1-3eb8-44c8-a917-57927947596d=1|5beb7efe-fd9a-4556-801d-275e5ffc04cc=0|be9ba2d9-53ea-4cdc-84e5-9b1eeee46550=1
Im Überwachungsmodus werden folgende Werte aktiviert (Blockieren), Deaktivieren, Warnen oder Aktivieren:
- 0: Deaktivieren (Regel zur Verringerung der Angriffsfläche deaktivieren)
- 1: Blockieren (Regel zur Verringerung der Angriffsfläche aktivieren)
- 2: Überwachung (Bewerten Sie, wie sich die Regel zur Verringerung der Angriffsfläche auf Ihre organization auswirken würde, falls aktiviert)
- 6: Warnen (Aktivieren Sie die Regel zur Verringerung der Angriffsfläche, aber erlauben Sie dem Endbenutzer, den Block zu umgehen). Der Warnmodus ist für die meisten Regeln zur Verringerung der Angriffsfläche verfügbar.
Verwenden Sie den Konfigurationsdienstanbieter (CSP) ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions , um Ausschlüsse hinzuzufügen.
Beispiel:
OMA-URI path: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions
Value: c:\path|e:\path|c:\Exclusions.exe
Hinweis
Achten Sie darauf, OMA-URI-Werte ohne Leerzeichen einzugeben.
Microsoft Configuration Manager
Wechseln Sie Microsoft Configuration Manager zu Assets and Compliance>Endpoint Protection>Windows Defender Exploit Guard.
Wählen Sie Start>Create Exploit Guard-Richtlinie aus.
Geben Sie einen Namen und eine Beschreibung ein, wählen Sie Verringerung der Angriffsfläche aus, und wählen Sie Weiter aus.
Wählen Sie aus, welche Regeln Aktionen blockieren oder überwachen, und wählen Sie Weiter aus.
Überprüfen Sie die Einstellungen, und wählen Sie Weiter aus, um die Richtlinie zu erstellen.
Klicken Sie nach erfolgter Erstellung der Richtlinie auf Schließen.
Warnung
Es gibt ein bekanntes Problem mit der Anwendbarkeit der Verringerung der Angriffsfläche auf Serverbetriebssystemversionen, die ohne tatsächliche Erzwingung als konform gekennzeichnet ist. Derzeit gibt es keine ETA für den Zeitpunkt, an dem dies behoben wird.
Gruppenrichtlinien
Warnung
Wenn Sie Ihre Computer und Geräte mit Intune, Configuration Manager oder einer anderen Verwaltungsplattform auf Unternehmensebene verwalten, überschreibt die Verwaltungssoftware alle in Konflikt stehenden Gruppenrichtlinie Einstellungen beim Start.
Öffnen Sie auf dem Computer, der Ihre Gruppenrichtlinie verwaltet, die Gruppenrichtlinien-Verwaltungskonsole, klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinienobjekt, das Sie konfigurieren möchten, und wählen Sie Bearbeiten aus.
Wechseln Sie im Gruppenrichtlinien-Verwaltungs-Editor zu Computerkonfiguration, und wählen Sie Administrative Vorlagen aus.
Erweitern Sie die Struktur auf Windows-Komponenten>Microsoft Defender Antivirus> Microsoft DefenderVerringerung der Angriffsfläche von Exploit Guard>.
Wählen Sie Regeln zur Verringerung der Angriffsfläche konfigurieren und dann Aktiviert aus. Anschließend können Sie den individuellen Zustand für jede Regel im Abschnitt "Optionen" festlegen. Wählen Sie Anzeigen... aus, und geben Sie die Regel-ID in der Spalte Wertname und den gewählten Zustand in der Spalte Wert wie folgt ein:
0: Deaktivieren (Regel zur Verringerung der Angriffsfläche deaktivieren)
1: Blockieren (Regel zur Verringerung der Angriffsfläche aktivieren)
2: Überwachung (Bewerten Sie, wie sich die Regel zur Verringerung der Angriffsfläche auf Ihre organization auswirken würde, falls aktiviert)
6: Warnen (Aktivieren Sie die Regel zur Verringerung der Angriffsfläche, aber erlauben Sie dem Endbenutzer, den Block zu umgehen)
Um Dateien und Ordner von Regeln zur Verringerung der Angriffsfläche auszuschließen, wählen Sie die Einstellung Dateien und Pfade von Regeln zur Verringerung der Angriffsfläche ausschließen aus, und legen Sie die Option auf Aktiviert fest. Wählen Sie Anzeigen aus, und geben Sie jede Datei oder jeden Ordner in die Spalte Wertname ein . Geben Sie in der Spalte Wert für jedes Element den Wert 0 ein.
Warnung
Verwenden Sie keine Anführungszeichen, da sie weder für die Spalte Wertname noch für die Spalte Wert unterstützt werden. Die Regel-ID darf keine führenden oder nachfolgenden Leerzeichen aufweisen.
PowerShell
Warnung
Wenn Sie Ihre Computer und Geräte mit Intune, Configuration Manager oder einer anderen Verwaltungsplattform auf Unternehmensebene verwalten, überschreibt die Verwaltungssoftware alle in Konflikt stehenden PowerShell-Einstellungen beim Start.
Geben Sie im Startmenü powershell ein, klicken Sie mit der rechten Maustaste auf Windows PowerShell und wählen Sie Als Administrator ausführen aus.
Geben Sie eines der folgenden Cmdlets ein. (Weitere Informationen, z. B. die Regel-ID, finden Sie in der Referenz zu Regeln zur Verringerung der Angriffsfläche.)
Aufgabe PowerShell-Cmdlet Regeln zur Verringerung der Angriffsfläche aktivieren Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Enabled
Aktivieren von Regeln zur Verringerung der Angriffsfläche im Überwachungsmodus Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions AuditMode
Aktivieren von Regeln zur Verringerung der Angriffsfläche im Warnmodus Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Warn
Aktivieren der Verringerung der Angriffsfläche Blockieren des Missbrauchs anfälliger signierter Treiber Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Enabled
Regeln zur Verringerung der Angriffsfläche deaktivieren Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Disabled
Wichtig
Sie müssen den Zustand für jede Regel einzeln angeben, aber Sie können Regeln und Zustände in einer durch Trennzeichen getrennten Liste kombinieren.
Im folgenden Beispiel sind die ersten beiden Regeln aktiviert, die dritte Regel ist deaktiviert, und die vierte Regel ist im Überwachungsmodus aktiviert:
Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID 1>,<rule ID 2>,<rule ID 3>,<rule ID 4> -AttackSurfaceReductionRules_Actions Enabled, Enabled, Disabled, AuditMode
Sie können auch das PowerShell-Verb
Add-MpPreference
verwenden, um der vorhandenen Liste neue Regeln hinzuzufügen.Warnung
Set-MpPreference
Überschreibt den vorhandenen Regelsatz. Wenn Sie dem vorhandenen Satz hinzufügen möchten, verwenden SieAdd-MpPreference
stattdessen . Mithilfe vonGet-MpPreference
können Sie eine Liste von Regeln und deren aktuellem Status abrufen.Verwenden Sie das folgende Cmdlet, um Dateien und Ordner von Regeln zur Verringerung der Angriffsfläche auszuschließen:
Add-MpPreference -AttackSurfaceReductionOnlyExclusions "<fully qualified path or resource>"
Verwenden Sie
Add-MpPreference -AttackSurfaceReductionOnlyExclusions
weiterhin, um der Liste weitere Dateien und Ordner hinzuzufügen.Wichtig
Verwenden Sie
Add-MpPreference
zum Anfügen oder Hinzufügen von Apps zur Liste. Wenn Sie dasSet-MpPreference
Cmdlet verwenden, wird die vorhandene Liste überschrieben.
Verwandte Artikel
- Referenz zu Regeln zur Verringerung der Angriffsfläche
- Auswerten der Verringerung der Angriffsfläche
- Häufig gestellte Fragen zur Verringerung der Angriffsfläche
Tipp
Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.