Aktivieren von Regeln zur Verringerung der Angriffsfläche in Microsoft Defender for Business
Artikel
Ihre Angriffsflächen sind alle Orte und Möglichkeiten, an denen das Netzwerk und die Geräte Ihrer Organisation anfällig für Cyberbedrohungen und Angriffe sind. Unsichere Geräte, der uneingeschränkte Zugriff auf jede URL auf einem Unternehmensgerät und die Möglichkeit, dass jede Art von App oder Skript auf Unternehmensgeräten ausgeführt werden kann, sind Beispiele für Angriffsflächen. Sie machen Ihr Unternehmen anfällig für Cyberangriffe.
Um Ihr Netzwerk und Ihre Geräte zu schützen, bietet Microsoft Defender for Business mehrere Funktionen zur Verringerung der Angriffsfläche, einschließlich Regeln zur Verringerung der Angriffsfläche. In diesem Artikel wird beschrieben, wie Sie Regeln zur Verringerung der Angriffsfläche einrichten und die Möglichkeiten zur Verringerung der Angriffsfläche beschreiben.
Standardschutz-ASR-Regeln
Es gibt viele Regeln zur Verringerung der Angriffsfläche. Sie müssen sie nicht alle gleichzeitig einrichten. Außerdem können Sie einige Regeln im Überwachungsmodus einrichten, um zu sehen, wie sie für Ihre Organisation funktionieren, und sie später so ändern, dass sie im Blockmodus funktionieren. Es wird jedoch empfohlen, die folgenden Standardschutzregeln so bald wie möglich zu aktivieren:
Diese Regeln tragen zum Schutz Ihres Netzwerks und Ihrer Geräte bei, sollten jedoch keine Unterbrechungen für Benutzer verursachen. Verwenden Sie Intune, um Regeln zur Verringerung der Angriffsfläche einzurichten.
Wählen Sie Richtlinie erstellen aus, um eine neue Richtlinie zu erstellen.
Wählen Sie unter Plattformdie Option Windows 10, Windows 11 und Windows Server aus.
Wählen Sie unter Profil die Option Regeln zur Verringerung der Angriffsfläche aus, und wählen Sie dann Erstellen aus.
Richten Sie Ihre Richtlinie wie folgt ein:
Geben Sie einen Namen und eine Beschreibung an, und wählen Sie dann Weiter aus.
Legen Sie für mindestens die folgenden drei Regeln jeweils auf Blockieren fest:
Blockieren des Diebstahls von Anmeldeinformationen aus dem Subsystem der lokalen Windows-Sicherheitsautorität
Persistenz durch WMI-Ereignisabonnement blockieren
Blockieren des Missbrauchs von missbrauchten anfälligen signierten Treibern
Wählen Sie dann Weiter aus.
Wählen Sie im Schritt Bereichstagsdie Option Weiter aus.
Wählen Sie im Schritt Zuweisungen die Benutzer oder Geräte aus, die die Regeln erhalten sollen, und wählen Sie dann Weiter aus. (Es wird empfohlen, alle Geräte hinzufügen auszuwählen.)
Überprüfen Sie im Schritt Überprüfen + erstellen die Informationen, und wählen Sie dann Erstellen aus.
Tipp
Wenn Sie möchten, können Sie zunächst Regeln zur Verringerung der Angriffsfläche im Überwachungsmodus einrichten, um Erkennungen anzuzeigen, bevor Dateien oder Prozesse tatsächlich blockiert werden. Ausführlichere Informationen zu Regeln zur Verringerung der Angriffsfläche finden Sie unter Übersicht über die Bereitstellung von Regeln zur Verringerung der Angriffsfläche.
Anzeigen des Berichts zur Verringerung der Angriffsfläche
Defender for Business enthält einen Bericht zur Verringerung der Angriffsfläche, der zeigt, wie Regeln zur Verringerung der Angriffsfläche für Sie funktionieren.
Wählen Sie unter Endpunkte die Option Regeln zur Verringerung der Angriffsfläche aus. Der Bericht wird geöffnet und enthält drei Registerkarten:
Erkennungen, in denen Sie Erkennungen anzeigen können, die als Ergebnis von Regeln zur Verringerung der Angriffsfläche aufgetreten sind
Konfiguration, in der Sie Daten für Standardschutzregeln oder andere Regeln zur Verringerung der Angriffsfläche anzeigen können
Hinzufügen von Ausschlüssen, in denen Sie Elemente hinzufügen können, die von Regeln zur Verringerung der Angriffsfläche ausgeschlossen werden sollen (Verwenden Sie Ausschlüsse sparsam; jeder Ausschluss verringert Ihr Sicherheitsniveau).
Weitere Informationen zu Regeln zur Verringerung der Angriffsfläche finden Sie in den folgenden Artikeln:
Funktionen zur Verringerung der Angriffsfläche in Defender for Business
Regeln zur Verringerung der Angriffsfläche sind in Defender for Business verfügbar. In der folgenden Tabelle sind die Funktionen zur Verringerung der Angriffsfläche in Defender for Business zusammengefasst. Beachten Sie, wie andere Funktionen, z. B. Schutz der nächsten Generation und Filterung von Webinhalten, mit den Funktionen zur Verringerung der Angriffsfläche zusammenarbeiten.
Funktion
So richten Sie es ein
Regeln zur Verringerung der Angriffsfläche Verhindern Sie bestimmte Aktionen, die häufig mit schädlichen Aktivitäten verbunden sind, auf Windows-Geräten ausgeführt werden.
Kontrollierter Ordnerzugriff Der kontrollierte Ordnerzugriff ermöglicht nur vertrauenswürdigen Apps den Zugriff auf geschützte Ordner auf Windows-Geräten. Stellen Sie sich diese Funktion als Ransomware-Entschärfung vor.
Netzwerkschutz Der Netzwerkschutz verhindert, dass Benutzer über Anwendungen auf ihren Windows- und Mac-Geräten auf gefährliche Domänen zugreifen. Netzwerkschutz ist auch eine wichtige Komponente der Filterung von Webinhalten in Microsoft Defender for Business.
Der Netzwerkschutz ist bereits standardmäßig aktiviert, wenn Geräte in Defender for Business integriert sind und Schutzrichtlinien der nächsten Generation in Defender for Business angewendet werden. Ihre Standardrichtlinien sind für die Verwendung empfohlener Sicherheitseinstellungen konfiguriert.
Internetschutz Webschutz lässt sich in Webbrowser integrieren und funktioniert mit Netzwerkschutz, um sich vor Webbedrohungen und unerwünschten Inhalten zu schützen. Der Webschutz umfasst die Filterung von Webinhalten und Web-Bedrohungsberichte.
Firewallschutz Der Firewallschutz bestimmt, welcher Netzwerkdatenverkehr zu oder von den Geräten Ihrer Organisation fließen darf.
Der Firewallschutz ist bereits standardmäßig aktiviert, wenn Geräte in Defender for Business integriert sind und Firewallrichtlinien in Defender for Business angewendet werden.