Verwenden der Microsoft Intune-Richtlinie zum Verwalten von Regeln zur Verringerung der Angriffsfläche

Wenn Defender Antivirus auf Ihren Windows 10- und Windows 11-Geräten verwendet wird, können Sie microsoft Intune-Endpunktsicherheitsrichtlinien zur Verringerung der Angriffsfläche verwenden, um diese Einstellungen auf Ihren Geräten zu verwalten.

Sie können Richtlinien zur Verringerung der Angriffsfläche (Attack Surface Reduction, ASR) verwenden, um die Angriffsfläche von Geräten zu verringern, indem Sie die Orte minimieren, an denen Ihre Organisation anfällig für Cyberbedrohungen und Angriffe ist. Intune ASR-Richtlinien unterstützen die folgenden Profile:

• Regeln zur Verringerung der Angriffsfläche: Verwenden Sie dieses Profil, um auf Verhaltensweisen abzuzielen, die von Schadsoftware und schädlichen Apps normalerweise zum Infizieren von Computern verwendet werden. Beispiele für diese Verhaltensweisen sind die Verwendung von ausführbaren Dateien und Skripts in Office-Apps, Web-E-Mail, die versucht, Dateien herunterzuladen oder auszuführen, sowie verschleierte oder anderweitig verdächtige Skriptverhalten, die Apps normalerweise nicht während der normalen täglichen Arbeit initiieren.

• Gerätesteuerung: Verwenden Sie dieses Profil, um Wechselmedien durch Steuerelemente zuzulassen, zu blockieren und auf andere Weise zu schützen, die überwachen und verhindern können, dass Bedrohungen durch nicht autorisierte Peripheriegeräte Ihre Geräte kompromittieren. und steuern Features, um zu verhindern, dass Bedrohungen in nicht autorisierten Peripheriegeräten Ihre Geräte kompromittieren.

Weitere Informationen finden Sie unter Übersicht über die Verringerung der Angriffsfläche in der Windows Threat Protection-Dokumentation.

Richtlinien zur Verringerung der Angriffsfläche finden Sie im Knoten Endpunktsicherheit des Microsoft Intune Admin Centers.

Gilt für:

• Windows 10
• Windows 11
• Windows Server (über das Einstellungsverwaltungsszenario von Microsoft Defender für Endpoint Security )

Voraussetzungen für Profile zur Verringerung der Angriffsfläche

• Geräte müssen Windows 10 oder Windows 11 ausführen
• Defender Antivirus muss das primäre Antivirenprogramm auf dem Gerät sein.

Unterstützung für die Sicherheitsverwaltung für Microsoft Defender für Endpunkt:

Wenn Sie die Sicherheitsverwaltung für Microsoft Defender für Endpunkt verwenden, um Geräte zu unterstützen, die Sie ohne Registrierung bei Intune in Defender integriert haben, gilt die Verringerung der Angriffsfläche für Geräte, auf denen Windows 10, Windows 11 und Windows Server ausgeführt wird. Weitere Informationen finden Sie unter Unterstützte ASR-Regeln für Betriebssysteme in der Windows Threat Protection-Dokumentation.

Unterstützung für Configuration Manager-Clients:

Dieses Szenario befindet sich in der Vorschau und erfordert die Verwendung von Configuration Manager Current Branch Version 2006 oder höher.

• Einrichten der Mandantenanfügung für Configuration Manager-Geräte : Konfigurieren Sie die Mandantenanfügung, um die Bereitstellung der Richtlinie zur Verringerung der Angriffsfläche für Geräte zu unterstützen, die von Configuration Manager verwaltet werden. Die Einrichtung der Mandantenanfügung umfasst das Konfigurieren von Configuration Manager-Gerätesammlungen zur Unterstützung von Endpunktsicherheitsrichtlinien von Intune.

  Informationen zum Einrichten der Mandantenanfügung finden Sie unter Konfigurieren der Mandantenanfügung zur Unterstützung von Endpoint Protection-Richtlinien.

Rollenbasierte Zugriffssteuerung (RBAC)

Anleitungen zum Zuweisen der richtigen Berechtigungs- und Rechteebene zum Verwalten der Richtlinie zur Verringerung der Intune-Angriffsfläche finden Sie unter Assign-role-based-access-controls-for-endpoint-security-policy.

Profile zur Verringerung der Angriffsfläche

Die verfügbaren Profile für die Richtlinie zur Verringerung der Angriffsfläche hängen von der ausgewählten Plattform ab.

Hinweis

Ab April 2022 werden neue Profile für die Richtlinie zur Verringerung der Angriffsfläche veröffentlicht. Wenn ein neues Profil verfügbar wird, verwendet es denselben Namen des Profils, das es ersetzt, und enthält die gleichen Einstellungen wie das ältere Profil, jedoch im neueren Einstellungsformat, wie im Einstellungskatalog zu sehen. Ihre zuvor erstellten Instanzen dieser Profile können weiterhin verwendet und bearbeitet werden, aber alle neuen Instanzen, die Sie erstellen, haben das neue Format. Die folgenden Profile wurden aktualisiert:

• Regeln zur Verringerung der Angriffsfläche (5. April 2022)
• Exploit-Schutz (5. April 2022)
• Gerätesteuerung (23. Mai 2022)
• App- und Browserisolation (18. April 2023)

Von Intune verwaltete Geräte

Plattform: Windows 10, Windows 11 und Windows Server:

Profile für diese Plattform werden auf Windows 10- und Windows 11-Geräten unterstützt, die bei Intune registriert sind.

• Regeln zur Verringerung der Angriffsfläche

Zu den verfügbaren Profilen für diese Plattform gehören:

• Regeln zur Verringerung der Angriffsfläche – Konfigurieren Sie Einstellungen für Regeln zur Verringerung der Angriffsfläche, die auf Verhaltensweisen abzielen, die Schadsoftware und schädliche Apps normalerweise verwenden, um Computer zu infizieren, einschließlich:

  • Ausführbare Dateien und Skripts, die in Office-Apps oder Web-E-Mail verwendet werden und versuchen, Dateien herunterzuladen oder auszuführen
  • Verschleierte oder anderweitig verdächtige Skripts
  • Verhaltensweisen, die Apps normalerweise nicht während der normalen täglichen Arbeit starten

  Wenn Sie Ihre Angriffsfläche verringern, bieten Sie Angreifern weniger Möglichkeiten zum Ausführen von Angriffen.

  Mergeverhalten für Regeln zur Verringerung der Angriffsfläche in Intune:

  Regeln zur Verringerung der Angriffsfläche unterstützen eine Zusammenführung von Einstellungen aus verschiedenen Richtlinien, um eine Obermenge von Richtlinien für jedes Gerät zu erstellen. Einstellungen, die nicht in Konflikt stehen, werden zusammengeführt, während In Konflikt stehende Einstellungen nicht der Obermenge von Regeln hinzugefügt werden. Wenn bisher zwei Richtlinien Konflikte für eine einzelne Einstellung enthielten, wurden beide Richtlinien als in Konflikt gekennzeichnet, und es wurden keine Einstellungen aus beiden Profilen bereitgestellt.

  Verhalten der Regel zur Verringerung der Angriffsfläche sieht wie folgt aus:

  • Regeln zur Verringerung der Angriffsfläche aus den folgenden Profilen werden für jedes Gerät ausgewertet, für das die Regeln gelten:
    • Gerätekonfigurationsrichtlinie >> Endpoint Protection-Profil > : Verringerung der Angriffsfläche von Microsoft Defender Exploit Guard >
    • Endpunktsicherheit > Richtlinie > zur Verringerung der Angriffsfläche: Regeln zur Verringerung der Angriffsfläche
    • Endpunktsicherheit > Sicherheitsbaselines > Für Microsoft Defender für Endpunkt Baseline >Regeln zur Verringerung der Angriffsfläche.
  • Einstellungen ohne Konflikte werden einer Obermenge der Richtlinie für das Gerät hinzugefügt.
  • Wenn zwei oder mehr Richtlinien in Konflikt stehende Einstellungen aufweisen, werden die in Konflikt stehenden Einstellungen nicht zur kombinierten Richtlinie hinzugefügt, während Einstellungen, die keinen Konflikt verursachen, der übergeordneten Richtlinie hinzugefügt werden, die für ein Gerät gilt.
  • Nur die Konfigurationen für in Konflikt stehende Einstellungen werden zurückgehalten.

• Gerätesteuerung : Mit Einstellungen für die Gerätesteuerung können Sie Geräte für einen mehrstufigen Ansatz konfigurieren, um Wechselmedien zu schützen. Microsoft Defender für Endpunkt bietet mehrere Überwachungs- und Kontrollfunktionen, um zu verhindern, dass Bedrohungen in nicht autorisierten Peripheriegeräten Ihre Geräte gefährden.

  Intune-Profile für die Unterstützung von Gerätesteuerungen:

  • Richtlinienzusammenführung für USB-Geräte-IDs.
  • Wiederverwendbare Einstellungen

  Weitere Informationen zur Gerätesteuerung von Microsoft Defender für Endpunkt finden Sie in den folgenden Artikeln in der Defender-Dokumentation:

  • Übersicht über die Gerätesteuerung
  • Bereitstellen und Verwalten der Gerätesteuerung mit Microsoft Intune
  • Exemplarische Vorgehensweisen für Gerätesteuerelemente

Plattform: Windows 10 und höher:

Profile für diese Plattform werden auf Windows 10- und Windows 11-Geräten unterstützt, die bei Intune registriert sind. Zu den Profilen gehören:

• App- und Browserisolation : Verwalten Sie Einstellungen für Windows Defender Application Guard (Application Guard) als Teil von Defender für Endpunkt. Application Guard hilft dabei, alte und neu auftretende Angriffe zu verhindern und unternehmensdefinierte Websites als nicht vertrauenswürdig zu isolieren, während definiert wird, welche Websites, Cloudressourcen und internen Netzwerke vertrauenswürdig sind.

  Weitere Informationen finden Sie unter Application Guard in der Dokumentation zu Microsoft Defender für Endpunkt.

• Anwendungssteuerung : Anwendungssteuerungseinstellungen können dazu beitragen, Sicherheitsbedrohungen zu mindern, indem sie die Anwendungen einschränken, die Benutzer ausführen können, und den Code, der im System core (Kernel) ausgeführt wird. Verwalten Sie Einstellungen, die nicht signierte Skripts und MSIs blockieren können, und schränken Sie die Ausführung von Windows PowerShell im eingeschränkten Sprachmodus ein.

  Weitere Informationen finden Sie unter Anwendungssteuerung in der Microsoft Defender für Endpunkt-Dokumentation.

  Hinweis

  Wenn Sie diese Einstellung verwenden, fordert das AppLocker-CSP-Verhalten endbenutzer derzeit auf, ihren Computer neu zu starten, wenn eine Richtlinie bereitgestellt wird.

• Exploit-Schutz : Exploit-Schutzeinstellungen können zum Schutz vor Schadsoftware beitragen, die Exploits verwendet, um Geräte zu infizieren und sich zu verbreiten. Exploit-Schutz besteht aus vielen Gegenmaßnahmen, die entweder für das Betriebssystem oder einzelne Apps gelten können.

• Webschutz (Microsoft Edge-Legacy): Einstellungen, die Sie für den Webschutz in Microsoft Defender für Endpunkt verwalten können, konfigurieren den Netzwerkschutz, um Ihre Computer vor Webbedrohungen zu schützen. Wenn Sie Microsoft Edge oder Browser von Drittanbietern wie Chrome und Firefox integrieren, stoppt der Webschutz Webbedrohungen ohne Webproxy und kann Computer schützen, während sie unterwegs oder lokal sind. Der Webschutz beendet den Zugriff auf:

  • Phishing-Websites
  • Schadsoftwarevektoren
  • Exploit-Websites
  • Nicht vertrauenswürdige oder reputationsarme Websites
  • Websites, die Sie mithilfe einer benutzerdefinierten Indikatorliste blockiert haben.

  Weitere Informationen finden Sie unter Webschutz in der Dokumentation zu Microsoft Defender für Endpunkt.

Geräte, die von der Defender für Endpunkt-Sicherheitseinstellungsverwaltung verwaltet werden

Wenn Sie das Szenario Sicherheitsverwaltung für Microsoft Defender für Endpunkt verwenden, um von Defender verwaltete Geräte zu unterstützen, die nicht bei Intune registriert sind, können Sie die Windows 10-, Windows 11- und Windows Server-Plattform verwenden, um Einstellungen auf Geräten zu verwalten, auf denen Windows 10, Windows 11 und Windows Server ausgeführt wird. Weitere Informationen finden Sie unter Unterstützte ASR-Regeln für Betriebssysteme in der Windows Threat Protection-Dokumentation.

Zu den für dieses Szenario unterstützten Profilen gehören:

• Regeln zur Verringerung der Angriffsfläche : Konfigurieren Sie Einstellungen für Regeln zur Verringerung der Angriffsfläche, die auf Verhaltensweisen abzielen, die Schadsoftware und schädliche Apps normalerweise verwenden, um Computer zu infizieren, einschließlich:
  • Ausführbare Dateien und Skripts, die in Office-Apps oder Web-E-Mail verwendet werden und versuchen, Dateien herunterzuladen oder auszuführen.
  • Verschleierte oder anderweitig verdächtige Skripts.
  • Verhaltensweisen, die Apps normalerweise nicht während der normalen täglichen Arbeit starten, bedeutet, dass Angreifern weniger Möglichkeiten zur Durchführung von Angriffen bieten.

Wichtig

Nur das Profil " Angriffsflächenverringerungsregeln " wird von der Sicherheitsverwaltung für Microsoft Defender für Endpunkt unterstützt. Alle anderen Profile zur Verringerung der Angriffsfläche werden nicht unterstützt.

Von Configuration Manager verwaltete Geräte

Verringerung der Angriffsfläche

Die Unterstützung für geräte, die von Configuration Manager verwaltet werden, befindet sich in der Vorschauphase.

Verwalten Sie die Einstellungen zur Verringerung der Angriffsfläche für Configuration Manager-Geräte, wenn Sie die Mandantenanfügung verwenden.

Richtlinienpfad:

• Endpunktsicherheit > Verkleinerung > der Oberfläche anfügen Windows 10 und höher (ConfigMgr)

Profile:

• App- und Browserisolation (ConfigMgr)
• Regeln zur Verringerung der Angriffsfläche (ConfigMgr)
• Exploit-Schutz(ConfigMgr)(Vorschau)
• Webschutz (ConfigMgr)(Vorschau)

Erforderliche Version von Configuration Manager:

• Configuration Manager Current Branch Version 2006 oder höher

Unterstützte Configuration Manager-Geräteplattformen:

• Windows 10 und höher (x86, x64, ARM64)
• Windows 11 und höher (x86, x64, ARM64)

Wiederverwendbare Einstellungsgruppen für Gerätesteuerungsprofile

In der öffentlichen Vorschau unterstützen Gerätesteuerungsprofile die Verwendung von wiederverwendbaren Einstellungsgruppen , um einstellungen für die folgenden Einstellungsgruppen auf Geräten für die Windows 10-, Windows 11- und Windows Server-Plattform zu verwalten:

• Druckergerät: Die folgenden Einstellungen für das Gerätesteuerungsprofil sind für das Druckergerät verfügbar:

  • PrimaryId
  • PrinterConnectionID
  • VID_PID

  Informationen zu Druckergeräteoptionen finden Sie unter Übersicht über den Druckerschutz in der Dokumentation zu Microsoft Defender für Endpunkt.

• Wechseldatenträger: Die folgenden Einstellungen für das Gerätesteuerungsprofil sind in für Wechseldatenträger verfügbar:

  • Geräteklasse
  • Geräte-ID
  • Hardware-ID
  • Instanz-ID
  • Primäre ID
  • Produkt-ID
  • Seriennummer
  • Anbieter-ID
  • Anbieter-ID und Produkt-ID

  Informationen zu Wechselspeicheroptionen finden Sie unter Microsoft Defender für Endpunkt-Gerätesteuerung Wechselspeicherzugriffssteuerung in der Microsoft Defender für Endpunkt-Dokumentation.

Wenn Sie eine wiederverwendbare Einstellungsgruppe mit einem Gerätesteuerungsprofil verwenden, konfigurieren Sie Aktionen , um zu definieren, wie die Einstellungen in diesen Gruppen verwendet werden.

Jede Regel, die Sie dem Profil hinzufügen, kann sowohl wiederverwendbare Einstellungsgruppen als auch einzelne Einstellungen enthalten, die der Regel direkt hinzugefügt werden. Erwägen Sie jedoch, jede Regel entweder für wiederverwendbare Einstellungsgruppen oder zum Verwalten von Einstellungen zu verwenden, die Sie der Regel direkt hinzufügen. Diese Trennung kann dazu beitragen, zukünftige Konfigurationen oder Änderungen zu vereinfachen, die Sie möglicherweise vornehmen.

Anleitungen zum Konfigurieren wiederverwendbarer Gruppen und zum anschließenden Hinzufügen dieser Gruppen zu diesem Profil finden Sie unter Verwenden wiederverwendbarer Einstellungsgruppen mit Intune-Richtlinien.

Ausschlüsse für Regeln zur Verringerung der Angriffsfläche

Intune unterstützt die folgenden beiden Einstellungen, um bestimmte Datei- und Ordnerpfade von der Auswertung durch Regeln zur Verringerung der Angriffsfläche auszuschließen:

• Global: Verwenden Sie nur Ausschlüsse zur Verringerung der Angriffsfläche.

  

  Wenn einem Gerät mindestens eine Richtlinie zugewiesen wird, die nur Ausschlüsse zur Verringerung der Angriffsfläche konfiguriert, gelten die konfigurierten Ausschlüsse für alle Regeln zur Verringerung der Angriffsfläche, die auf dieses Gerät abzielen. Dieses Verhalten tritt auf, weil Geräte eine Obermenge von Regeleinstellungen für die Verringerung der Angriffsfläche von allen anwendbaren Richtlinien erhalten und die Einstellungsausschlüsse nicht für einzelne Einstellungen verwaltet werden können. Um zu vermeiden, dass Ausschlüsse auf alle Einstellungen auf einem Gerät angewendet werden, verwenden Sie diese Einstellung nicht. Konfigurieren Sie stattdessen asr only per rule ausschlüsse für einzelne Einstellungen.

  Weitere Informationen finden Sie in der Dokumentation zu Defender CSP: Defender/AttackSurfaceReductionOnlyExclusions.

• Einzelne Einstellungen: Nur ASR-Ausschlüsse pro Regel verwenden

  

  Wenn Sie eine anwendbare Einstellung in einem Regelprofil zur Verringerung der Angriffsfläche auf eine andere Einstellung als Nicht konfiguriert festlegen, bietet Intune die Option, nur ASR-Ausschlüsse pro Regel für diese einzelne Einstellung zu verwenden. Mit dieser Option können Sie einen Datei- und Ordnerausschluss konfigurieren, der für einzelne Einstellungen isoliert ist. Dies steht im Gegensatz zur verwendung der globalen Einstellung Attack Surface Reduction Only Exclusions ,die ihre Ausschlüsse auf alle Einstellungen auf dem Gerät anwendet.

  Standardmäßig ist asr only per rule exclusions (Nur ASR pro Regelausschlüsse) auf Nicht konfiguriert festgelegt.

  Wichtig

  ASR-Richtlinien unterstützen keine Zusammenführungsfunktionen für ASR-Ausschlüsse nur pro Regel , und es kann zu einem Richtlinienkonflikt führen, wenn mehrere Richtlinien, die ASR Only Per Rule Exclusions für denselben Gerätekonflikt konfigurieren. Um Konflikte zu vermeiden, kombinieren Sie die Konfigurationen für ASR Only Per Rule Exclusions in einer einzelnen ASR-Richtlinie. Wir untersuchen das Hinzufügen von Richtlinienzusammenführungen nur für ASR-Ausschlüsse pro Regel in einem zukünftigen Update.

Richtlinienzusammenführung für Einstellungen

Die Richtlinienzusammenführung trägt dazu bei, Konflikte zu vermeiden, wenn mehrere Profile, die für dasselbe Gerät gelten, dieselbe Einstellung mit unterschiedlichen Werten konfigurieren, wodurch ein Konflikt entsteht. Um Konflikte zu vermeiden, wertet Intune die anwendbaren Einstellungen für jedes Profil aus, das für das Gerät gilt. Diese Einstellungen werden dann zu einer einzigen Obermenge von Einstellungen zusammengeführt.

Für die Richtlinie zur Verringerung der Angriffsfläche unterstützen die folgenden Profile die Richtlinienzusammenführung:

• Gerätesteuerung

Richtlinienzusammenführung für Gerätesteuerungsprofile

Gerätesteuerungsprofile unterstützen die Richtlinienzusammenführung für USB-Geräte-IDs. Zu den Profileinstellungen, die Geräte-IDs verwalten und die Richtlinienzusammenführung unterstützen, gehören:

• Installation von Hardwaregeräten nach Gerätebezeichnern zulassen
• Blockieren der Hardwaregeräteinstallation nach Gerätebezeichnern
• Zulassen der Installation von Hardwaregeräten nach Setupklassen
• Blockieren der Hardwaregeräteinstallation nach Setupklassen
• Hardwaregeräteinstallation nach Geräteinstanzbezeichnern zulassen
• Blockieren der Hardwaregeräteinstallation nach Geräteinstanzbezeichnern

Die Richtlinienzusammenführung gilt für die Konfiguration jeder Einstellung in den verschiedenen Profilen, die diese spezifische Einstellung auf ein Gerät anwenden. Das Ergebnis ist eine einzelne Liste für jede der unterstützten Einstellungen, die auf ein Gerät angewendet werden. Beispiel:

• Die Richtlinienzusammenführung wertet die Listen der Setupklassen aus, die in jeder Instanz von Installation von Hardwaregeräten durch Setupklassen konfiguriert wurden, die für ein Gerät gelten. Die Listen werden in einer einzigen Positivliste zusammengeführt, in der alle doppelten Setupklassen entfernt werden.

  Das Entfernen von Duplikaten aus der Liste erfolgt, um die häufige Quelle von Konflikten zu entfernen. Die kombinierte Positivliste wird dann an das Gerät übermittelt.

Die Richtlinienzusammenführung vergleicht oder führt die Konfigurationen aus verschiedenen Einstellungen nicht zusammen. Beispiel:

• Im ersten Beispiel, in dem mehrere Listen von Allow hardware device installation by setup classes in einer einzigen Liste zusammengeführt wurden, verfügen Sie über mehrere Instanzen von Block hardware device installation by setup classes( Block hardware device installation by setup classes ), die für dasselbe Gerät gelten. Alle zugehörigen Blocklisten werden zu einer einzelnen Sperrliste für das Gerät zusammengeführt, das dann auf dem Gerät bereitgestellt wird.

  • Die Positivliste für Setupklassen wird nicht mit der Sperrliste für Setupklassen verglichen oder zusammengeführt.
  • Stattdessen empfängt das Gerät beide Listen, da sie aus zwei unterschiedlichen Einstellungen stammen. Das Gerät erzwingt dann die restriktivste Einstellung für die Installation durch Setupklassen.

  In diesem Beispiel überschreibt eine setup-Klasse, die in der Sperrliste definiert ist, dieselbe Setupklasse, wenn sie in der Positivliste enthalten ist. Das Ergebnis wäre, dass die Setupklasse auf dem Gerät blockiert wird.

Nächste Schritte

Konfigurieren sie Endpunktsicherheitsrichtlinien.

Zeigen Sie Details zu den Einstellungen in Profilen für Profile zur Verringerung der Angriffsfläche an.