Essential Eight user application hardening (Essential Eight user application hardening)
Angreifer zielen häufig auf Arbeitsstationen ab, die schädliche Websites, E-Mails oder Wechselmedien verwenden, um vertrauliche Informationen zu extrahieren. Das Härten von Anwendungen auf Arbeitsstationen ist ein wichtiger Teil zur Verringerung dieses Risikos. Aufgrund ihrer Effektivität ist die Härtung von Benutzer-Apps eine der wichtigsten 8 der ACSC-Strategien zur Entschärfung von Cybersicherheitsvorfällen.
Angreifer versuchen häufig, Sicherheitsrisiken auszunutzen, die in älteren, nicht unterstützten Versionen von Anwendungen gefunden wurden. Neuere Versionen von Microsoft-Produkten bieten erhebliche Verbesserungen bei Sicherheitsfeatures und -funktionen und bieten eine höhere Stabilität. Häufig ist es der Mangel an verbesserten Sicherheitsfeatures, die es einem Angreifer ermöglichen, ältere Versionen von Anwendungen problemlos zu kompromittieren. Um dieses Risiko zu verringern, sollte die neueste unterstützte Version von Microsoft-Produkten verwendet werden.
Zur Vereinfachung der Referenz erfordert Intune, dass die folgenden Richtlinien für das zugeordnete Steuerelement bereitgestellt werden:
-
OfficeMacroHardening-PreventActivationofOLE.ps1
- Dieses PowerShell-Skript wird verwendet, um die folgenden Steuerelemente zu erfüllen:
-
UserApplicationHardening-RemoveFeatures.ps1
- Dieses PowerShell-Skript wird verwendet, um die folgenden Steuerelemente zu erfüllen:
- Internet Explorer ist deaktiviert oder entfernt.
- .NET Framework 3.5 (einschließlich .NET 2.0 und 3.0) wird deaktiviert oder entfernt.
- Windows PowerShell 2.0 ist deaktiviert oder entfernt.
- Dieses PowerShell-Skript wird verwendet, um die folgenden Steuerelemente zu erfüllen:
-
ACSC Microsoft Edge-Härterichtlinien
- Dieses Intune Profil "Gerätekonfiguration" wird verwendet, um die folgenden Steuerelemente zu erfüllen:
- Webbrowser verarbeiten keine Webanzeigen aus dem Internet.
- ACSC- oder Herstellerhärtungsanleitungen für Webbrowser sind implementiert.
- Dieses Intune Profil "Gerätekonfiguration" wird verwendet, um die folgenden Steuerelemente zu erfüllen:
-
ACSC-Richtlinien zur Windows-Härtung – Regeln zur Verringerung der Angriffsfläche
- Dieses Intune Regelprofil zur Verringerung der Angriffsfläche für Endpunktsicherheit wird verwendet, um die folgenden Steuerelemente zu erfüllen:
- Microsoft Office wird daran gehindert, untergeordnete Prozesse zu erstellen.
- Microsoft Office wird daran gehindert, ausführbare Inhalte zu erstellen.
- Microsoft Office wird am Einfügen von Code in andere Prozesse gehindert.
- Dieses Intune Regelprofil zur Verringerung der Angriffsfläche für Endpunktsicherheit wird verwendet, um die folgenden Steuerelemente zu erfüllen:
Java ist nicht standardmäßig auf Windows 10 oder Windows 11 installiert.
ISM-Steuerung Sep 2024 | Abhilfe |
---|---|
1486 | Java ist nicht standardmäßig auf Windows 10 oder Windows 11 installiert. |
Alle verfügbaren Konfigurationsoptionen zum Deaktivieren von Ankündigungen in Microsoft Edge werden beim Bereitstellen der Microsoft Edge-Sicherheitsbaseline und ACSC-Härtung für Microsoft Edge konfiguriert.
Weitere Blockierungen können mithilfe von Erweiterungen von Drittanbietern für Microsoft Edge, Netzwerkfilterung am Gateway oder Verwendung eines geschützten DNS-Diensts erreicht werden. Die Implementierung dieser Elemente liegt jedoch außerhalb des Rahmens dieses Dokuments.
ISM-Steuerung Sep 2024 | Abhilfe |
---|---|
1485 | Die Richtlinie "Anzeigeneinstellung für Websites mit störender Werbung" wurde auf Aktivieren konfiguriert. |
Internet Explorer 11 ist auf Windows 11 nicht vorhanden.
Am 15. Juni 2022 hat Microsoft internet Explorer 11 eingestellt. Für eine organization, die weiterhin Internet Explorer für legacy-Kompatibilität erfordert, bietet der Internet Explorer-Modus (IE-Modus) in Microsoft Edge eine nahtlose, einzelne Browsererfahrung. Benutzer können von Microsoft Edge aus auf Legacyanwendungen zugreifen, ohne zurück zum Internet Explorer 11 wechseln zu müssen.
Nachdem der Administrator den IE-Modus konfiguriert hat, können Organisationen Internet Explorer 11 als eigenständigen Browser deaktivieren. Die Internet-Explorer 11 Symbole im Startmenü und auf der Taskleiste werden entfernt. Benutzer werden an Microsoft Edge umgeleitet, wenn sie versuchen, Verknüpfungen oder Dateizuordnungen zu starten, die internet Explorer 11 verwenden, oder wenn sie direkt die iexplore.exe Binärdatei aufrufen.
Um Internet Explorer so zu konfigurieren, dass es für bestimmte Websites direkt in Microsoft Edge geöffnet wird, konfigurieren Sie IE-Modusrichtlinien. Weitere Informationen finden Sie unter Konfigurieren von IE-Modusrichtlinien.
So deaktivieren Sie Intune Internet Explorer 11 als eigenständigen Browser für Windows 10 Geräte:
- Erstellen Sie eine neue Einstellungskatalogrichtlinie.
- Suchen Sie nach Kategorie, und suchen Sie nach: Internet Explorer 11 als eigenständigen Browser (Benutzer) deaktivieren.
- Wechseln Sie zu *Administrative Vorlagen\Windows-Komponenten\Internet Explorer, und wählen Sie die Einstellung Internet Explorer 11 als eigenständigen Browser deaktivieren (Benutzer)aus.
- Aktivieren Sie die Einstellung Internet Explorer 11 als eigenständigen Browser deaktivieren (Benutzer).
- Stellen Sie die Richtlinie für eine Gruppe von Geräten oder Benutzern bereit.
Darüber hinaus, um Internet vollständig zu entfernen Explorer 11:
- Fügen Sie die UserApplicationHardening-RemoveFeatures.ps1als PowerShell-Skript mit den folgenden Optionen hinzu:
- Führen Sie dieses Skript mit den angemeldeten Anmeldeinformationen aus: Nein
- Skriptsignaturprüfung erzwingen: Nein
- Ausführen des Skripts in 64-Bit-PowerShell-Host: Nein
- Weisen Sie das Skript einer Bereitstellungsgruppe zu.
Hinweis
Dieses Skript deaktiviert auch .NET Framework 3.5 (einschließlich .NET 2.0 und 3.0) und Windows PowerShell 2.0.
ISM-Steuerung Sep 2024 | Abhilfe |
---|---|
1666 | Die Richtlinie "Enterprise Mode Site List konfigurieren" wird mit einer Liste von organization bestimmten Websites konfiguriert. Internet Explorer 11 wurde entweder durch die Richtlinie "Internet Explorer 11 als eigenständigen Browser deaktivieren" entfernt, die als Aktivieren konfiguriert ist, oder mithilfe eines Skripts entfernt. |
Das Blockieren, dass Microsoft Office untergeordnete Prozesse erstellt, kann über eine Endpunktsicherheitsrichtlinie zur Verringerung der Angriffsfläche (Attack Surface Reduction, ASR) erreicht werden, die über Intune bereitgestellt wird.
Microsoft hat eine Intune Implementierung des ACSC-Leitfadens zur Windows-Härtung auf GitHub zur Verfügung gestellt. DieASR-Regel, um zu verhindern, dass Microsoft Office untergeordnete Prozesse erstellt, ist in dieser Anleitung enthalten.
So implementieren Sie die blockierende Erstellung untergeordneter Prozesse:
- Navigieren Sie zu Graph Explorer und authentifizieren.
- Erstellen Sie eine POST-Anforderung unter Verwendung des Betaschemas für den Endpunkt der Richtlinie zur Verringerung der Angriffsfläche: https://graph.microsoft.com/beta/deviceManagement/templates/0e237410-1367-4844-bd7f-15fb0f08943b/createInstance.
- Kopieren Sie den JSON-Code in die Richtlinie ACSC Windows Hardening Guidelines-Attack Surface Reduction , und fügen Sie ihn in den Anforderungstext ein.
- (Optional) Ändern Sie ggf. den Namenswert .
Diese ASR Endpoint Security-Richtlinie enthält die spezifische ASR-Regel: Blockieren, dass alle Office-Anwendungen untergeordnete Prozesse erstellen (D4F940AB-401B-4EFC-AADC-AD5F3C50688A).
Hinweis
Durch das Importieren dieses ASR-Regelprofils wird Microsoft Office daran gehindert, ausführbare Inhalte (3B576869-A4EC-4529-8536-B80A7769E899) zu erstellen und Code in andere Prozesse einzufügen (75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84).
Hinweis
Diese Richtlinie zur Verringerung der Angriffsfläche (Attack Surface Reduction, ASR) konfiguriert jede der vom ACSC empfohlenen ASR-Regeln im Überwachungsmodus. ASR-Regeln sollten vor der Erzwingung auf Kompatibilitätsprobleme in jeder Umgebung getestet werden.
ISM-Steuerung Sep 2024 | Abhilfe |
---|---|
1667 | Die ASR-Regel "Alle Office-Anwendungen am Erstellen untergeordneter Prozesse blockieren" wurde aktiviert. |
Das Blockieren, dass Microsoft Office untergeordnete Prozesse erstellt (3B576869-A4EC-4529-8536-B80A7769E899), kann über eine AsR-Endpunktsicherheitsrichtlinie (Attack Surface Reduction) erreicht werden, die über Intune bereitgestellt wird.
ISM-Steuerung Sep 2024 | Abhilfe |
---|---|
1668 | Die ASR-Regel "Office-Anwendungen am Erstellen ausführbarer Inhalte blockieren" wurde aktiviert. |
Das Blockieren, dass Microsoft Office untergeordnete Prozesse erstellt (75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84), kann über eine Endpunktsicherheitsrichtlinie zur Verringerung der Angriffsfläche (Attack Surface Reduction, ASR) erreicht werden, die über Intune bereitgestellt wird.
ISM-Steuerung Sep 2024 | Abhilfe |
---|---|
1669 | Die ASR-Regel "Blockieren der Einschleusung von Code in andere Prozesse durch Office-Anwendungen" wurde aktiviert. |
Stellen Sie das OfficeMacroHardening-PreventActivationofOLE.ps1PowerShell-Skript bereit, um die Registrierungsschlüssel zu importieren, die die Aktivierung von OLE-Paketen in Excel, PowerPoint und Word blockieren.
So implementieren Sie die Verhinderung der Aktivierung von OLE-Paketen:
- Fügen Sie OfficeMacroHardening-PreventActivationofOLE.ps1als PowerShell-Skript mit den folgenden Optionen hinzu:
- Führen Sie dieses Skript mit den angemeldeten Anmeldeinformationen aus: Ja
- Skriptsignaturprüfung erzwingen: Nein
- Ausführen des Skripts in 64-Bit-PowerShell-Host: Nein
- Weisen Sie das Skript einer Bereitstellungsgruppe zu.
Hinweis
Dieses PowerShell-Skript ist speziell für Office 2016 und höher vorgesehen. Ein Skript zum Verhindern der Aktivierung von OLE für Office 2013 finden Sie hier: OfficeMacroHardening-PreventActivationofOLE-Office2013.ps1.
Das Skript ist nicht signiert. Wenn Sie eine Skriptsignierung erforderlich haben, lesen Sie die folgende Dokumentation, um das Skript zu signieren, damit es auf Ihren Windows-Geräten ausgeführt werden kann: Methoden zum Signieren von Skripts und Ändern der Überprüfung Skriptsignatur erzwingen in: Ja
ISM-Steuerung Sep 2024 | Abhilfe |
---|---|
1542 | Die Aktivierung von OLE-Paketen wurde über ein Skript verhindert. |
Microsoft Edge ist als standardmäßiger PDF-Viewer auf Windows 10 und Windows 11 konfiguriert. Die PDF-Anzeige kann mit den Richtlinien für ACSC- oder Herstellerhärtungsanleitungen für Webbrowser weiter gehärtet werden.
Wenn Ihr organization Adobe Reader als STANDARD-PDF-Software verwendet, konfigurieren Sie alternativ die entsprechende Regel zur Verringerung der Angriffsfläche, um adobe Reader daran zu hindern, untergeordnete Prozesse zu erstellen, indem Sie die folgenden Schritte ausführen:
- Navigieren Sie Intune zu Endpoint SecurityAttack Surface Reduction (Verringerung der Angriffsfläche für Endpunktsicherheit>).
- Erstellen (oder ändern) Sie eine neue Richtlinie zur Endpunktsicherheit für die Verringerung der Angriffsfläche.
- Legen Sie Das Erstellen untergeordneter Prozesse durch Adobe Reader blockieren auf Aktivieren fest.
- Weisen Sie die Richtlinie zur Verringerung der Angriffsfläche einer Gruppe zu.
ISM-Steuerung Sep 2024 | Abhilfe |
---|---|
1670 | Die ASR-Regel "Das Erstellen untergeordneter Prozesse durch Adobe Reader blockieren" wurde aktiviert. |
Microsoft Edge wird standardmäßig auf Windows 10 und Windows 11 installiert und ist der empfohlene Webbrowser. Microsoft Edge ist sowohl der Standardbrowser als auch der PDF-Viewer, sofern nicht anders konfiguriert.
Microsoft und ACSC haben Anleitungen und spezifische Richtlinien zum Härten von Microsoft Edge bereitgestellt. Beide Richtliniensätze sollten gleichzeitig bereitgestellt werden.
So implementieren Sie die Sicherheitsbaseline:
- Navigieren Sie zu Endpunktsicherheitsbaselines>>Microsoft Edge-Baseline.
- Erstellen Sie eine neue Microsoft Edge-Baseline, indem Sie Profil erstellen auswählen.
- Überprüfen Sie die Konfiguration, und weisen Sie die Sicherheitsbaseline einer Gruppe zu.
So implementieren Sie eine Härtungsanleitung:
- Speichern Sie die ACSC-Richtlinie für Microsoft Edge-Härtungsrichtlinien auf Ihrem lokalen Gerät.
- Navigieren Sie zur Microsoft Intune-Konsole.
- Importieren einer Richtlinie unter Geräte > Windows-Konfigurationsprofile >> Importrichtlinie erstellen >
- Benennen Sie die Richtlinie, wählen Sie unter Richtliniendatei die Option Nach Dateien suchen aus, und navigieren Sie zu der gespeicherten Richtlinie aus Schritt 1.
- "Save" auswählen
Hinweis
Microsoft hat auch Intune Richtlinien veröffentlicht, die zusammengestellt wurden, um Organisationen bei der Einhaltung der Windows 10 Richtlinien für die Härtung des Australian Cyber Security Centre (ACSC) zu unterstützen. Die acsc empfohlenen Härtungsrichtlinien für Microsoft Edge sind ebenfalls in diesen Richtlinien enthalten.
ISM-Steuerung Sep 2024 | Abhilfe |
---|---|
1412, 1860 | – Bereitstellen der Microsoft Edge-Sicherheitsbaseline – Bereitstellen des ACSC Microsoft Edge-Härtungsleitfadens. |
Microsoft Apps für Unternehmen mit den empfohlenen Einstellungen für die Härtung von Microsoft 365, Office 2021, Office 2019 und Office 2016 aus dem ACSC als Teil der Säule "Grundlegendes 8 Konfigurieren von Microsoft Office-Makroeinstellungen" gehärtet.
ISM-Steuerung Sep 2024 | Abhilfe |
---|---|
1859 | Stellen Sie die ACSC Office-Härtungsrichtlinien bereit. |
Sicherheitseinstellungen für Webbrowser, Microsoft Office und PDF-Software können von Benutzern nicht geändert werden
Wenn in diesem Dokument bereitgestellte Richtlinien über Intune bereitgestellt werden, werden die In den Richtlinien enthaltenen Einstellungen erzwungen und können von Standardbenutzern nicht geändert werden.
ISM-Steuerung Sep 2024 | Abhilfe |
---|---|
1585 | Wenn in diesem Dokument bereitgestellte Richtlinien über Intune bereitgestellt werden, werden die In den Richtlinien enthaltenen Einstellungen erzwungen und können von Standardbenutzern nicht geändert werden. |
Durch die Bereitstellung des UserApplicationHardening-RemoveFeatures.ps1 PowerShell-Skripts wird das Feature .NET Framework 3.5 (einschließlich .NET 2.0 und 3.0) deaktiviert, sofern installiert.
ISM-Steuerung Sep 2024 | Abhilfe |
---|---|
ISM-1655 | .NET Framework 3.5 (einschließlich .NET 2.0 und 3.0) wird deaktiviert oder entfernt. |
Durch die Bereitstellung des UserApplicationHardening-RemoveFeatures.ps1 PowerShell-Skripts wird das feature Windows PowerShell 2.0 deaktiviert, sofern es installiert ist.
ISM-Steuerung Sep 2024 | Abhilfe |
---|---|
1612 | Windows PowerShell 2.0 wird mithilfe des bereitgestellten Skripts deaktiviert oder entfernt. |
Der eingeschränkte Sprachmodus ist als Teil des Dokuments zur Risikominderungsstrategie für die Grundlegende acht Anwendungssteuerung aktiviert.
Blockierte PowerShell-Skriptausführungen werden zentral protokolliert und vor nicht autorisierten Änderungen und Löschungen geschützt, auf Anzeichen einer Kompromittierung überwacht und aktionen ausgeführt, wenn Cybersicherheitsereignisse erkannt werden.
Microsoft Defender for Endpoint (MDE) können verwendet werden, um Protokolle von Endpunkten abzurufen und aufzubewahren, die für die Erkennung von Cybersicherheitsereignissen verwendet werden können.
Die Skriptausführung kann in Microsoft Defender for Endpoint Erweiterten Suche nativ überwacht werden. Microsoft Defender for Endpoint Erweiterte Suche protokolliert mehrere Anwendungssteuerungsereignisse, einschließlich ereignis-ID 8029, die blockierte Skripts oder Skripts meldet, die für die Ausführung im eingeschränkten Sprachmodus erzwungen werden.
Alternativ kann die Ereignisweiterleitung von WDAC-Ereignissen verwendet werden, um sie in einer Überwachungslösung eines Drittanbieters zu überwachen.
Referenzen:
Grundlegendes zu Anwendungssteuerungs-Ereignis-IDs (Windows) – Windows-Sicherheit | Abfragen von Anwendungssteuerungsereignissen mit erweiterter Suche (Windows) – Windows-Sicherheit
Intune können verwendet werden, um Geräte nahtlos in MDE zu integrieren.
Wie bei blockierten PowerShell-Skriptausführungen werden Ereignisse zur Erstellung von Befehlszeilenprozessen, die Vorläufer für Hinweise auf eine Gefährdung sind, erfasst, wenn ein Gerät bei Defender für Endpunkt registriert ist. Ereignisse können im Defender für Endpunkt-Portal auf der Geräteseite unter Zeitachse angezeigt werden.
So implementieren Sie Onboardingendpunkte in MDE:
- Erstellen Sie ein neues Windows-Konfigurationsprofil mit dem Typ Vorlage>Microsoft Defender for Endpoint (Desktopgeräte mit Windows 10 oder höher).
- Legen Sie Häufigkeit der Telemetrieberichterstellung beschleunigen auf Aktivieren fest.
- Weisen Sie die Richtlinie einer Bereitstellungsgruppe zu.
Nachdem Geräte in MDE integriert wurden, werden PowerShell-Ausführungen zur Überprüfung erfasst, und bei Bedarf können Maßnahmen ergriffen werden. Weitere Informationen finden Sie unter Ausführen von Antwortaktionen auf einem Gerät in Microsoft Defender for Endpoint.
ISM-Steuerung Sep 2024 | Abhilfe |
---|---|
1664, 1665, 1405 | Anwendungssteuerungsereignis-IDs werden von Defender für Endpunkt erfasst, wenn Geräte bei Defender für Endpunkt registriert werden. |
1899 | Ereignisse zur Erstellung von Befehlszeilenprozessen, die Vorläufer für Hinweise auf eine Gefährdung sind, werden von Defender für Endpunkt erfasst, wenn Geräte bei Defender für Endpunkt registriert werden. |