Verwenden Microsoft Intune Richtlinie zum Verwalten von Regeln zur Verringerung der Angriffsfläche
Wenn Defender Antivirus auf Ihren Windows 10- und Windows 11-Geräten verwendet wird, können Sie Microsoft Intune Endpunktsicherheitsrichtlinien zur Verringerung der Angriffsfläche verwenden, um diese Einstellungen auf Ihren Geräten zu verwalten.
Sie können Richtlinien zur Verringerung der Angriffsfläche (Attack Surface Reduction, ASR) verwenden, um die Angriffsfläche von Geräten zu verringern, indem Sie die Stellen minimieren, an denen Ihre organization anfällig für Cyberbedrohungen und Angriffe ist. Intune ASR-Richtlinien unterstützen die folgenden Profile:
Regeln zur Verringerung der Angriffsfläche: Verwenden Sie dieses Profil, um auf Verhaltensweisen abzuzielen, die von Schadsoftware und schädlichen Apps normalerweise zum Infizieren von Computern verwendet werden. Beispiele für diese Verhaltensweisen sind die Verwendung von ausführbaren Dateien und Skripts in Office-Apps, Web-E-Mail, die versucht, Dateien herunterzuladen oder auszuführen, sowie verschleierte oder anderweitig verdächtige Skriptverhalten, die Apps normalerweise nicht während der normalen täglichen Arbeit initiieren.
Gerätesteuerung: Verwenden Sie dieses Profil, um Wechselmedien durch Steuerelemente zuzulassen, zu blockieren und auf andere Weise zu schützen, die überwachen und verhindern können, dass Bedrohungen durch nicht autorisierte Peripheriegeräte Ihre Geräte kompromittieren. und steuern Features, um zu verhindern, dass Bedrohungen in nicht autorisierten Peripheriegeräten Ihre Geräte kompromittieren.
Weitere Informationen finden Sie unter Übersicht über die Verringerung der Angriffsfläche in der Windows Threat Protection-Dokumentation.
Richtlinien zur Verringerung der Angriffsfläche finden Sie im Knoten Endpunktsicherheit des Microsoft Intune Admin Centers.
Gilt für:
- Windows 10
- Windows 11
- Windows Server (über das Microsoft Defender for Endpoint Sicherheitseinstellungsverwaltungsszenario)
Voraussetzungen für Profile zur Verringerung der Angriffsfläche
- Geräte müssen Windows 10 oder Windows 11
- Defender Antivirus muss das primäre Antivirenprogramm auf dem Gerät sein.
Unterstützung für die Sicherheitsverwaltung für Microsoft Defender for Endpoint:
Wenn Sie die Sicherheitsverwaltung für Microsoft Defender for Endpoint verwenden, um Geräte zu unterstützen, die Sie in Defender integriert haben, ohne sich bei Intune zu registrieren, gilt die Verringerung der Angriffsfläche für Geräte, auf denen Windows 10, Windows 11 und Windows Server ausgeführt wird. Weitere Informationen finden Sie unter Unterstützte ASR-Regeln für Betriebssysteme in der Windows Threat Protection-Dokumentation.
Unterstützung für Configuration Manager Clients:
Dieses Szenario befindet sich in der Vorschauphase und erfordert die Verwendung von Configuration Manager Current Branch Version 2006 oder höher.
Einrichten der Mandantenanfügung für Configuration Manager-Geräte: Konfigurieren Sie die Mandantenanfügung, um die Bereitstellung der Richtlinie zur Verringerung der Angriffsfläche für Geräte zu unterstützen, die von Configuration Manager verwaltet werden. Die Einrichtung der Mandantenanfügung umfasst das Konfigurieren Configuration Manager Gerätesammlungen zur Unterstützung von Endpunktsicherheitsrichtlinien von Intune.
Informationen zum Einrichten der Mandantenanfügung finden Sie unter Konfigurieren der Mandantenanfügung zur Unterstützung von Endpoint Protection-Richtlinien.
Rollenbasierte Zugriffssteuerung (RBAC)
Anleitungen zum Zuweisen der richtigen Berechtigungs- und Rechteebene zum Verwalten Intune Richtlinie zur Verringerung der Angriffsfläche finden Sie unter Assign-role-based-access-controls-for-endpoint-security-policy.
Profile zur Verringerung der Angriffsfläche
Die verfügbaren Profile für die Richtlinie zur Verringerung der Angriffsfläche hängen von der ausgewählten Plattform ab.
Hinweis
Ab April 2022 werden neue Profile für die Richtlinie zur Verringerung der Angriffsfläche veröffentlicht. Wenn ein neues Profil verfügbar wird, verwendet es denselben Namen des Profils, das es ersetzt, und enthält die gleichen Einstellungen wie das ältere Profil, jedoch im neueren Einstellungsformat, wie im Einstellungskatalog zu sehen. Ihre zuvor erstellten Instanzen dieser Profile können weiterhin verwendet und bearbeitet werden, aber alle neuen Instanzen, die Sie erstellen, haben das neue Format. Die folgenden Profile wurden aktualisiert:
- Regeln zur Verringerung der Angriffsfläche (5. April 2022)
- Exploit-Schutz (5. April 2022)
- Gerätesteuerung (23. Mai 2022)
- App- und Browserisolation (18. April 2023)
Von Intune verwaltete Geräte
Plattform: Windows:
Profile für diese Plattform werden auf Windows 10- und Windows 11 Geräten unterstützt, die bei Intune registriert sind.
- Regeln zur Verringerung der Angriffsfläche
Zu den verfügbaren Profilen für diese Plattform gehören:
Regeln zur Verringerung der Angriffsfläche – Konfigurieren Sie Einstellungen für Regeln zur Verringerung der Angriffsfläche, die auf Verhaltensweisen abzielen, die Schadsoftware und schädliche Apps normalerweise verwenden, um Computer zu infizieren, einschließlich:
- Ausführbare Dateien und Skripts, die in Office-Apps oder Web-E-Mail verwendet werden und versuchen, Dateien herunterzuladen oder auszuführen
- Verschleierte oder anderweitig verdächtige Skripts
- Verhaltensweisen, die Apps normalerweise nicht während der normalen täglichen Arbeit starten
Wenn Sie Ihre Angriffsfläche verringern, bieten Sie Angreifern weniger Möglichkeiten zum Ausführen von Angriffen.
Mergeverhalten für Regeln zur Verringerung der Angriffsfläche in Intune:
Regeln zur Verringerung der Angriffsfläche unterstützen eine Zusammenführung von Einstellungen aus verschiedenen Richtlinien, um eine Obermenge von Richtlinien für jedes Gerät zu erstellen. Einstellungen, die nicht in Konflikt stehen, werden zusammengeführt, während In Konflikt stehende Einstellungen nicht der Obermenge von Regeln hinzugefügt werden. Wenn bisher zwei Richtlinien Konflikte für eine einzelne Einstellung enthielten, wurden beide Richtlinien als in Konflikt gekennzeichnet, und es wurden keine Einstellungen aus beiden Profilen bereitgestellt.
Verhalten der Regel zur Verringerung der Angriffsfläche sieht wie folgt aus:
- Regeln zur Verringerung der Angriffsfläche aus den folgenden Profilen werden für jedes Gerät ausgewertet, für das die Regeln gelten:
- Gerätekonfigurationsrichtlinie >> Endpoint Protection-Profil > Microsoft Defender Verringerung der Angriffsfläche von Exploit Guard >
- Endpunktsicherheit > Richtlinie > zur Verringerung der Angriffsfläche: Regeln zur Verringerung der Angriffsfläche
- Endpunktsicherheit > Sicherheitsbaselines > Microsoft Defender for Endpoint Baseline-Regeln >zur Verringerung der Angriffsfläche.
- Einstellungen ohne Konflikte werden einer Obermenge der Richtlinie für das Gerät hinzugefügt.
- Wenn zwei oder mehr Richtlinien in Konflikt stehende Einstellungen aufweisen, werden die in Konflikt stehenden Einstellungen nicht zur kombinierten Richtlinie hinzugefügt, während Einstellungen, die keinen Konflikt verursachen, der übergeordneten Richtlinie hinzugefügt werden, die für ein Gerät gilt.
- Nur die Konfigurationen für in Konflikt stehende Einstellungen werden zurückgehalten.
Gerätesteuerung : Mit Einstellungen für die Gerätesteuerung können Sie Geräte für einen mehrstufigen Ansatz konfigurieren, um Wechselmedien zu schützen. Microsoft Defender for Endpoint bietet mehrere Überwachungs- und Kontrollfunktionen, um zu verhindern, dass Bedrohungen in nicht autorisierten Peripheriegeräten Ihre Geräte gefährden.
Intune Profile für die Gerätesteuerungsunterstützung:
- Richtlinienzusammenführung für USB-Geräte-IDs.
- Wiederverwendbare Einstellungen
Weitere Informationen zur Microsoft Defender for Endpoint-Gerätesteuerung finden Sie in den folgenden Artikeln in der Defender-Dokumentation:
App- und Browserisolation: Verwalten Sie Einstellungen für Windows Defender Application Guard (Application Guard) als Teil von Defender für Endpunkt. Application Guard hilft dabei, alte und neu auftretende Angriffe zu verhindern und unternehmensdefinierte Websites als nicht vertrauenswürdig zu isolieren, während definiert wird, welche Websites, Cloudressourcen und internen Netzwerke vertrauenswürdig sind.
Weitere Informationen finden Sie unter Application Guard in der Microsoft Defender for Endpoint-Dokumentation.
Anwendungssteuerung : Anwendungssteuerungseinstellungen können dazu beitragen, Sicherheitsbedrohungen zu mindern, indem sie die Anwendungen einschränken, die Benutzer ausführen können, und den Code, der im System core (Kernel) ausgeführt wird. Verwalten Sie Einstellungen, die nicht signierte Skripts und MSIs blockieren können, und beschränken Sie Windows PowerShell auf die Ausführung im eingeschränkten Sprachmodus.
Weitere Informationen finden Sie unter Anwendungssteuerung in der Microsoft Defender for Endpoint-Dokumentation.
Hinweis
Wenn Sie diese Einstellung verwenden, fordert das AppLocker-CSP-Verhalten endbenutzer derzeit auf, ihren Computer neu zu starten, wenn eine Richtlinie bereitgestellt wird.
Exploit-Schutz : Exploit-Schutzeinstellungen können zum Schutz vor Schadsoftware beitragen, die Exploits verwendet, um Geräte zu infizieren und sich zu verbreiten. Exploit-Schutz besteht aus vielen Gegenmaßnahmen, die entweder für das Betriebssystem oder einzelne Apps gelten können.
Webschutz (Vorgängerversion von Microsoft Edge): Einstellungen, die Sie für den Webschutz in Microsoft Defender for Endpoint Konfigurieren des Netzwerkschutzes zum Schutz Ihrer Computer vor Webbedrohungen verwalten können. Wenn Sie Microsoft Edge oder Browser von Drittanbietern wie Chrome und Firefox integrieren, stoppt der Webschutz Webbedrohungen ohne Webproxy und kann Computer schützen, während sie unterwegs oder lokal sind. Der Webschutz beendet den Zugriff auf:
- Phishing-Websites
- Schadsoftwarevektoren
- Exploit-Websites
- Nicht vertrauenswürdige oder reputationsarme Websites
- Websites, die Sie mithilfe einer benutzerdefinierten Indikatorliste blockiert haben.
Weitere Informationen finden Sie unter Webschutz in der Microsoft Defender for Endpoint-Dokumentation.
Geräte, die von der Defender für Endpunkt-Sicherheitseinstellungsverwaltung verwaltet werden
Wenn Sie das Szenario Sicherheitsverwaltung für Microsoft Defender for Endpoint verwenden, um von Defender verwaltete Geräte zu unterstützen, die nicht bei Intune registriert sind, können Sie die Windows-Plattform verwenden, um Einstellungen auf Geräten zu verwalten, auf denen Windows 10, Windows 11 und Windows Server ausgeführt wird. Weitere Informationen finden Sie unter Unterstützte ASR-Regeln für Betriebssysteme in der Windows Threat Protection-Dokumentation.
Zu den für dieses Szenario unterstützten Profilen gehören:
-
Regeln zur Verringerung der Angriffsfläche : Konfigurieren Sie Einstellungen für Regeln zur Verringerung der Angriffsfläche, die auf Verhaltensweisen abzielen, die Schadsoftware und schädliche Apps normalerweise verwenden, um Computer zu infizieren, einschließlich:
- Ausführbare Dateien und Skripts, die in Office-Apps oder Web-E-Mail verwendet werden und versuchen, Dateien herunterzuladen oder auszuführen.
- Verschleierte oder anderweitig verdächtige Skripts.
- Verhaltensweisen, die Apps normalerweise nicht während der normalen täglichen Arbeit starten, bedeutet, dass Angreifern weniger Möglichkeiten zur Durchführung von Angriffen bieten.
Wichtig
Nur das Profil der Angriffsflächenverringerungsregeln wird von der Sicherheitsverwaltung für Microsoft Defender for Endpoint unterstützt. Alle anderen Profile zur Verringerung der Angriffsfläche werden nicht unterstützt.
Von Configuration Manager verwaltete Geräte
Verringerung der Angriffsfläche
Die Unterstützung für Geräte, die von Configuration Manager verwaltet werden, befindet sich in der Vorschauphase.
Verwalten Sie die Einstellungen zur Verringerung der Angriffsfläche für Configuration Manager-Geräte, wenn Sie die Mandantenanfügung verwenden.
Richtlinienpfad:
- Endpunktsicherheit > Anfügen von Oberflächenverringerungsfenstern > (ConfigMgr)
Profile:
- App- und Browserisolation (ConfigMgr)
- Regeln zur Verringerung der Angriffsfläche(ConfigMgr)
- Exploit Protection(ConfigMgr)(Vorschau)
- Webschutz (ConfigMgr)(Vorschau)
Erforderliche Version von Configuration Manager:
- Configuration Manager Current Branch Version 2006 oder höher
Unterstützte Configuration Manager Geräteplattformen:
- Windows 10 und höher (x86, x64, ARM64)
- Windows 11 und höher (x86, x64, ARM64)
Wiederverwendbare Einstellungsgruppen für Gerätesteuerungsprofile
In der öffentlichen Vorschau unterstützen Gerätesteuerungsprofile die Verwendung wiederverwendbarer Einstellungsgruppen , um einstellungen für die folgenden Einstellungsgruppen auf Geräten für die Windows-Plattform zu verwalten:
Druckergerät: Die folgenden Einstellungen für das Gerätesteuerungsprofil sind für das Druckergerät verfügbar:
- PrimaryId
- PrinterConnectionID
- VID_PID
Informationen zu Druckergeräteoptionen finden Sie unter Übersicht über den Druckerschutz in der Microsoft Defender for Endpoint Dokumentation.
Wechseldatenträger: Die folgenden Einstellungen für das Gerätesteuerungsprofil sind in für Wechseldatenträger verfügbar:
- Geräteklasse
- Geräte-ID
- Hardware-ID
- Instanz-ID
- Primäre ID
- Produkt-ID
- Seriennummer
- Anbieter-ID
- Anbieter-ID und Produkt-ID
Informationen zu Wechselspeicheroptionen finden Sie in der Microsoft Defender for Endpoint-Dokumentation unter Access Control Microsoft Defender for Endpoint Wechseldatenträger für die Gerätesteuerung.
Wenn Sie eine wiederverwendbare Einstellungsgruppe mit einem Gerätesteuerungsprofil verwenden, konfigurieren Sie Aktionen , um zu definieren, wie die Einstellungen in diesen Gruppen verwendet werden.
Jede Regel, die Sie dem Profil hinzufügen, kann sowohl wiederverwendbare Einstellungsgruppen als auch einzelne Einstellungen enthalten, die der Regel direkt hinzugefügt werden. Erwägen Sie jedoch, jede Regel entweder für wiederverwendbare Einstellungsgruppen oder zum Verwalten von Einstellungen zu verwenden, die Sie der Regel direkt hinzufügen. Diese Trennung kann dazu beitragen, zukünftige Konfigurationen oder Änderungen zu vereinfachen, die Sie möglicherweise vornehmen.
Anleitungen zum Konfigurieren wiederverwendbarer Gruppen und zum anschließenden Hinzufügen dieser Gruppen zu diesem Profil finden Sie unter Verwenden wiederverwendbarer Einstellungsgruppen mit Intune Richtlinien.
Ausschlüsse für Regeln zur Verringerung der Angriffsfläche
Intune unterstützt die folgenden beiden Einstellungen, um bestimmte Datei- und Ordnerpfade von der Auswertung durch Regeln zur Verringerung der Angriffsfläche auszuschließen:
Global: Verwenden Sie nur Ausschlüsse zur Verringerung der Angriffsfläche.
Wenn einem Gerät mindestens eine Richtlinie zugewiesen wird, die nur Ausschlüsse zur Verringerung der Angriffsfläche konfiguriert, gelten die konfigurierten Ausschlüsse für alle Regeln zur Verringerung der Angriffsfläche, die auf dieses Gerät abzielen. Dieses Verhalten tritt auf, weil Geräte eine Obermenge von Regeleinstellungen für die Verringerung der Angriffsfläche von allen anwendbaren Richtlinien erhalten und die Einstellungsausschlüsse nicht für einzelne Einstellungen verwaltet werden können. Um zu vermeiden, dass Ausschlüsse auf alle Einstellungen auf einem Gerät angewendet werden, verwenden Sie diese Einstellung nicht. Konfigurieren Sie stattdessen asr only per rule ausschlüsse für einzelne Einstellungen.
Weitere Informationen finden Sie in der Dokumentation zu Defender CSP: Defender/AttackSurfaceReductionOnlyExclusions.
Einzelne Einstellungen: Nur ASR-Ausschlüsse pro Regel verwenden
Wenn Sie eine anwendbare Einstellung in einem Regelprofil zur Verringerung der Angriffsfläche auf eine andere Einstellung als Nicht konfiguriert festlegen, bietet Intune die Option, nur ASR-Ausschlüsse pro Regel für diese einzelne Einstellung zu verwenden. Mit dieser Option können Sie einen Datei- und Ordnerausschluss konfigurieren, der für einzelne Einstellungen isoliert ist. Dies steht im Gegensatz zur verwendung der globalen Einstellung Attack Surface Reduction Only Exclusions ,die ihre Ausschlüsse auf alle Einstellungen auf dem Gerät anwendet.
Standardmäßig ist asr only per rule exclusions (Nur ASR pro Regelausschlüsse) auf Nicht konfiguriert festgelegt.
Wichtig
ASR-Richtlinien unterstützen keine Zusammenführungsfunktionen für ASR-Ausschlüsse nur pro Regel , und es kann zu einem Richtlinienkonflikt führen, wenn mehrere Richtlinien, die ASR Only Per Rule Exclusions für denselben Gerätekonflikt konfigurieren. Um Konflikte zu vermeiden, kombinieren Sie die Konfigurationen für ASR Only Per Rule Exclusions in einer einzelnen ASR-Richtlinie. Wir untersuchen das Hinzufügen von Richtlinienzusammenführungen nur für ASR-Ausschlüsse pro Regel in einem zukünftigen Update.
Richtlinienzusammenführung für Einstellungen
Die Richtlinienzusammenführung trägt dazu bei, Konflikte zu vermeiden, wenn mehrere Profile, die für dasselbe Gerät gelten, dieselbe Einstellung mit unterschiedlichen Werten konfigurieren, wodurch ein Konflikt entsteht. Um Konflikte zu vermeiden, wertet Intune die anwendbaren Einstellungen für jedes Profil aus, das für das Gerät gilt. Diese Einstellungen werden dann zu einer einzigen Obermenge von Einstellungen zusammengeführt.
Für die Richtlinie zur Verringerung der Angriffsfläche unterstützen die folgenden Profile die Richtlinienzusammenführung:
- Gerätesteuerung
Richtlinienzusammenführung für Gerätesteuerungsprofile
Gerätesteuerungsprofile unterstützen die Richtlinienzusammenführung für USB-Geräte-IDs. Zu den Profileinstellungen, die Geräte-IDs verwalten und die Richtlinienzusammenführung unterstützen, gehören:
- Installation von Hardwaregeräten nach Gerätebezeichnern zulassen
- Blockieren der Hardwaregeräteinstallation nach Gerätebezeichnern
- Zulassen der Installation von Hardwaregeräten nach Setupklassen
- Blockieren der Hardwaregeräteinstallation nach Setupklassen
- Hardwaregeräteinstallation nach Geräte-instance-IDs zulassen
- Blockieren der Hardwaregeräteinstallation nach Geräte-instance-IDs
Die Richtlinienzusammenführung gilt für die Konfiguration jeder Einstellung in den verschiedenen Profilen, die diese spezifische Einstellung auf ein Gerät anwenden. Das Ergebnis ist eine einzelne Liste für jede der unterstützten Einstellungen, die auf ein Gerät angewendet werden. Zum Beispiel:
Die Richtlinienzusammenführung wertet die Listen der Setupklassen aus, die in jeder instance von Installation von Hardwaregeräten durch Setupklassen für ein Gerät zulassen konfiguriert wurden. Die Listen werden in einer einzigen Positivliste zusammengeführt, in der alle doppelten Setupklassen entfernt werden.
Das Entfernen von Duplikaten aus der Liste erfolgt, um die häufige Quelle von Konflikten zu entfernen. Die kombinierte Positivliste wird dann an das Gerät übermittelt.
Die Richtlinienzusammenführung vergleicht oder führt die Konfigurationen aus verschiedenen Einstellungen nicht zusammen. Zum Beispiel:
Im ersten Beispiel, in dem mehrere Listen von Allow hardware device installation by setup classes in einer einzigen Liste zusammengeführt wurden, verfügen Sie über mehrere Instanzen von Block hardware device installation by setup classes( Block hardware device installation by setup classes ), die für dasselbe Gerät gelten. Alle zugehörigen Blocklisten werden zu einer einzelnen Sperrliste für das Gerät zusammengeführt, das dann auf dem Gerät bereitgestellt wird.
- Die Positivliste für Setupklassen wird nicht mit der Sperrliste für Setupklassen verglichen oder zusammengeführt.
- Stattdessen empfängt das Gerät beide Listen, da sie aus zwei unterschiedlichen Einstellungen stammen. Das Gerät erzwingt dann die restriktivste Einstellung für die Installation durch Setupklassen.
In diesem Beispiel überschreibt eine setup-Klasse, die in der Sperrliste definiert ist, dieselbe Setupklasse, wenn sie in der Positivliste enthalten ist. Das Ergebnis wäre, dass die Setupklasse auf dem Gerät blockiert wird.
Nächste Schritte
Konfigurieren sie Endpunktsicherheitsrichtlinien.
Zeigen Sie Details zu den Einstellungen in Profilen für Profile zur Verringerung der Angriffsfläche an.