Migrieren von einem nicht von Microsoft stammenden HIPS zu Regeln zur Verringerung der Angriffsfläche

Gilt für:

• Microsoft Defender für Endpunkt Plan 1
• Microsoft Defender für Endpunkt Plan 2

Dieser Artikel hilft Ihnen beim Zuordnen allgemeiner Regeln zu Microsoft Defender for Endpoint.

Szenarien bei der Migration von einem nicht von Microsoft stammenden HIPS-Produkt zu Regeln zur Verringerung der Angriffsfläche

Blockieren der Erstellung bestimmter Dateien

• Gilt für: Alle Prozesse
• Vorgang: Dateierstellung
• Beispiele für Dateien/Ordner, Registrierungsschlüssel/Werte, Prozesse, Dienste: *.zepto, *.odin, *.locky, *.jaff, *.lukitus, *.wnry, *.krab
• Regeln zur Verringerung der Angriffsfläche: Regeln zur Verringerung der Angriffsfläche blockieren die Angriffstechniken und nicht die Indikatoren der Kompromittierung (Indicators of Compromise, IOC). Das Blockieren einer bestimmten Dateierweiterung ist nicht immer nützlich, da es nicht verhindert, dass ein Gerät kompromittiert wird. Es vereitelt einen Angriff nur teilweise, bis Angreifer einen neuen Erweiterungstyp für die Nutzlast erstellen.
• Weitere empfohlene Features: Es wird dringend empfohlen, Microsoft Defender Antivirus zusammen mit Cloudschutz und Verhaltensanalyse zu aktivieren. Es wird empfohlen, dass Sie andere Präventionsmaßnahmen verwenden, z. B. die Regel zur Verringerung der Angriffsfläche Verwenden Sie erweiterten Schutz vor Ransomware, die ein höheres Maß an Schutz vor Ransomware-Angriffen bietet. Darüber hinaus überwacht Microsoft Defender for Endpoint viele dieser Registrierungsschlüssel, z. B. ASEP-Techniken, die bestimmte Warnungen auslösen. Die verwendeten Registrierungsschlüssel erfordern mindestens lokale Admin, oder Vertrauenswürdiger Installer kann geändert werden. Es wird empfohlen, eine gesperrte Umgebung mit minimalen Administratorkonten oder -rechten zu verwenden. Andere Systemkonfigurationen können aktiviert werden, einschließlich Deaktivieren von SeDebug für nicht erforderliche Rollen , die Teil unserer umfassenderen Sicherheitsempfehlungen ist.

Blockieren der Erstellung bestimmter Registrierungsschlüssel

• Gilt für : Alle Prozesse
• Prozesse– Nicht zu berücksichtigende n/a
• Vorgang: Änderungen an der Registrierung
• Beispiele für Dateien/Ordner, Registrierungsschlüssel/Werte, Prozesse, Dienste- \Software,HKCU\Environment\UserInitMprLogonScript,HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Accessibility\ATs*\StartExe, HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*\Debugger, HKEY_CURRENT_USER\Software\Microsoft\HtmlHelp Author\location, HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit*\MonitorProcess
• Regeln zur Verringerung der Angriffsfläche: Regeln zur Verringerung der Angriffsfläche blockieren die Angriffstechniken und nicht die Indikatoren der Kompromittierung (Indicators of Compromise, IOC). Das Blockieren einer bestimmten Dateierweiterung ist nicht immer nützlich, da es nicht verhindert, dass ein Gerät kompromittiert wird. Es vereitelt einen Angriff nur teilweise, bis Angreifer einen neuen Erweiterungstyp für die Nutzlast erstellen.
• Weitere empfohlene Features: Es wird dringend empfohlen, Microsoft Defender Antivirus zusammen mit Cloudschutz und Verhaltensanalyse zu aktivieren. Es wird empfohlen, zusätzliche Prävention zu verwenden, z. B. die Regel zur Verringerung der Angriffsfläche Verwenden Sie erweiterten Schutz vor Ransomware. Dies bietet ein höheres Maß an Schutz vor Ransomware-Angriffen. Darüber hinaus überwacht Microsoft Defender for Endpoint mehrere dieser Registrierungsschlüssel, z. B. ASEP-Techniken, die bestimmte Warnungen auslösen. Darüber hinaus erfordern die verwendeten Registrierungsschlüssel mindestens lokale Admin, oder Vertrauenswürdiger Installer können geändert werden. Es wird empfohlen, eine gesperrte Umgebung mit minimalen Administratorkonten oder -rechten zu verwenden. Andere Systemkonfigurationen können aktiviert werden, einschließlich Deaktivieren von SeDebug für nicht erforderliche Rollen , die Teil unserer umfassenderen Sicherheitsempfehlungen ist.

Blockieren der Ausführung von nicht vertrauenswürdigen Programmen auf Wechseldatenträgern

• Gilt für - Nicht vertrauenswürdige Programme von USB
• Prozesse- *
• Vorgang: Prozessausführung
• *Beispiele für Dateien/Ordner, Registrierungsschlüssel/Werte, Prozesse, Dienste: -
• Regeln zur Verringerung der Angriffsfläche : Regeln zur Verringerung der Angriffsfläche verfügen über eine integrierte Regel, um den Start von nicht vertrauenswürdigen und nicht signierten Programmen von Wechseldatenträgern zu verhindern: Blockieren nicht vertrauenswürdiger und nicht signierter Prozesse, die über USB ausgeführt werden, GUID b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4.
• Weitere empfohlene Features: Erkunden Sie weitere Steuerelemente für USB-Geräte und andere Wechselmedien mithilfe von Microsoft Defender for Endpoint: Steuern von USB-Geräten und anderen Wechselmedien mit Microsoft Defender for Endpoint.

Blockieren des Startens bestimmter untergeordneter Prozesse durch Mshta

• Gilt für- Mshta
• Prozesse- mshta.exe
• Vorgang: Prozessausführung
• Beispiele für Dateien/Ordner, Registrierungsschlüssel/Werte, Prozesse, Dienste powershell.exe, cmd.exe, regsvr32.exe
• Regeln zur Verringerung der Angriffsfläche: Regeln zur Verringerung der Angriffsfläche enthalten keine spezifische Regel, um zu verhindern, dass untergeordnete Prozesse mshta.exe. Diese Kontrolle liegt im Zuständigkeitsbereich von Exploit Protection oder Windows Defender Application Control.
• Weitere empfohlene Features: Aktivieren Sie Windows Defender Anwendungssteuerung, um zu verhindern, dass mshta.exe vollständig ausgeführt wird. Wenn Ihr organization mshta.exe für Branchen-Apps erfordert, konfigurieren Sie eine bestimmte Windows Defender Exploit-Schutzregel, um zu verhindern, dass mshta.exe untergeordnete Prozesse starten.

Blockieren des Startens untergeordneter Prozesse durch Outlook

• Gilt für - Outlook
• Prozesse- outlook.exe
• Vorgang: Prozessausführung
• Beispiele für Dateien/Ordner, Registrierungsschlüssel/Werte, Prozesse, Dienste– powershell.exe
• Regeln zur Verringerung der Angriffsfläche: Regeln zur Verringerung der Angriffsfläche verfügen über eine integrierte Regel, um zu verhindern, dass Office-Kommunikations-Apps (Outlook, Skype und Teams) untergeordnete Prozesse starten: Blockieren, dass die Office-Kommunikationsanwendung untergeordnete Prozesse erstellt, GUID 26190899-1602-49e8-8b27-eb1d0a1ce869.
• Weitere empfohlene Features: Es wird empfohlen, den eingeschränkten PowerShell-Sprachmodus zu aktivieren, um die Angriffsfläche von PowerShell zu minimieren.

Blockieren des Startens untergeordneter Prozesse durch Office-Apps

• Gilt für - Office
• Prozesse: winword.exe, powerpnt.exe, excel.exe
• Vorgang: Prozessausführung
• Beispiele für Dateien/Ordner, Registrierungsschlüssel/Werte, Prozesse, Dienste powershell.exe, cmd.exe, wscript.exe, mshta.exe, EQNEDT32.EXE, regsrv32.exe
• Regeln zur Verringerung der Angriffsfläche: Regeln zur Verringerung der Angriffsfläche verfügen über eine integrierte Regel, um zu verhindern, dass Office-Apps untergeordnete Prozesse starten: Blockieren, dass alle Office-Anwendungen untergeordnete Prozesse erstellen, GUID d4f940ab-401b-4efc-aadc-ad5f3c50688a.
• Weitere empfohlene Features: N/A

Blockieren der Erstellung ausführbarer Inhalte durch Office-Apps

• Gilt für - Office
• Prozesse: winword.exe, powerpnt.exe, excel.exe
• Vorgang: Dateierstellung
• Beispiele für Dateien/Ordner, Registrierungsschlüssel/Werte, Prozesse, Dienste– C:\Users*\AppData**.exe, C:\ProgramData**.exe, C:\ProgramData**.com, C:\UsersAppData\Local\Temp**.com, C:\Users\Downloads**.exe, C:\Users*\AppData**.scf, C:\ProgramData**.scf, C:\Users\Public*.exe, C:\Users*\Desktop***.exe
• Regeln zur Verringerung der Angriffsfläche– N/V.

Blockieren des Lesens bestimmter Dateitypen durch Wscript

• Gilt für - Wscript
• Prozesse- wscript.exe
• Vorgang: Dateilesevorgang
• Beispiele für Dateien/Ordner, Registrierungsschlüssel/Werte, Prozesse, Dienste: C:\Users*\AppData**.js, C:\Users*\Downloads**.js
• Regeln zur Verringerung der Angriffsfläche: Aufgrund von Zuverlässigkeits- und Leistungsproblemen können Regeln zur Verringerung der Angriffsfläche nicht verhindern, dass ein bestimmter Prozess einen bestimmten Skriptdateityp liest. Wir haben eine Regel, um Angriffsvektoren zu verhindern, die aus diesen Szenarien stammen könnten. Der Regelname lautet Blockieren des Startens heruntergeladener ausführbarer Inhalte durch JavaScript oder VBScript (GUID d3e037e1-3eb8-44c8-a917-57927947596) d) und die Ausführung potenziell verschleierter Skripts blockieren (GUID * 5beb7efe-fd9a-4556-801d-275e5ffc04cc*).
• Weitere empfohlene Features: Obwohl es bestimmte Regeln zur Verringerung der Angriffsfläche gibt, die bestimmte Angriffsvektoren in diesen Szenarien minimieren, ist es wichtig zu Erwähnung, dass AV skripts (PowerShell, Windows Script Host, JavaScript, VBScript usw.) in Echtzeit über die Antimalware Scan Interface (AMSI) untersuchen kann. Weitere Informationen finden Sie hier: Antimalware Scan Interface (AMSI).

Blockieren des Starts untergeordneter Prozesse

• Gilt für - Adobe Acrobat
• Prozesse– AcroRd32.exe, Acrobat.exe
• Vorgang: Prozessausführung
• Beispiele für Dateien/Ordner, Registrierungsschlüssel/Werte, Prozesse, Dienste cmd.exe, powershell.exe, wscript.exe
• Regeln zur Verringerung der Angriffsfläche: Regeln zur Verringerung der Angriffsfläche ermöglichen es, Adobe Reader am Starten untergeordneter Prozesse zu hindern. Der Regelname lautet Blockieren, dass Adobe Reader untergeordnete Prozesse erstellt, GUID 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c.
• Weitere empfohlene Features: N/A

Herunterladen oder Erstellen ausführbarer Inhalte blockieren

• Gilt für- CertUtil: Download oder Erstellung einer ausführbaren Datei blockieren
• Prozesse- certutil.exe
• Vorgang: Dateierstellung
• Beispiele für Dateien/Ordner, Registrierungsschlüssel/Werte, Prozesse, Dienste– *.exe
• Regeln zur Verringerung der Angriffsfläche: Regeln zur Verringerung der Angriffsfläche unterstützen diese Szenarien nicht, da sie Teil des Microsoft Defender Antivirus-Schutzes sind.
• Andere empfohlene Features: Microsoft Defender Antivirus verhindert, dass CertUtil ausführbare Inhalte erstellt oder herunterladen kann.

Blockieren des Beendens kritischer Systemkomponenten durch Prozesse

• Gilt für : Alle Prozesse
• Prozesse- *
• Vorgang: Prozessbeendigung
• Beispiele für Dateien/Ordner, Registrierungsschlüssel/Werte, Prozesse, Dienste MsSense.exe, MsMpEng.exe, NisSrv.exe, svchost.exe*, services.exe, csrss.exe, smss.exe, wininit.exe und vieles mehr.
• Regeln zur Verringerung der Angriffsfläche: Regeln zur Verringerung der Angriffsfläche unterstützen diese Szenarien nicht, da sie mit integrierten Windows-Sicherheitsschutzen geschützt sind.
• Weitere empfohlene Features: ELAM (Early Launch AntiMalware), PPL (Protection Process Light), PPL Antimalware Light und Systemüberwachung.

Blockieren eines bestimmten Startvorgangsversuchs

• Gilt für - bestimmte Prozesse
• Prozesse- Benennen Sie Ihren Prozess.
• Vorgang: Prozessausführung
• Beispiele für Dateien/Ordner, Registrierungsschlüssel/Werte, Prozesse, Dienste– tor.exe, bittorrent.exe, cmd.exe, powershell.exe und mehr
• Regeln zur Verringerung der Angriffsfläche: Regeln zur Verringerung der Angriffsfläche sind insgesamt nicht so konzipiert, dass sie als Anwendungsmanager fungieren.
• Weitere empfohlene Features: Um zu verhindern, dass Benutzer bestimmte Prozesse oder Programme starten, wird empfohlen, Windows Defender Anwendungssteuerung zu verwenden. Microsoft Defender for Endpoint Indikatoren "Datei" und "Zertifikat" können in einem Szenario zur Reaktion auf Vorfälle verwendet werden (sollte nicht als Anwendungssteuerungsmechanismus betrachtet werden).

Nicht autorisierte Änderungen an Microsoft Defender Antiviruskonfigurationen blockieren

• Gilt für : Alle Prozesse
• Prozesse- *
• Vorgang: Änderungen an der Registrierung
• Beispiele für Dateien/Ordner, Registrierungsschlüssel/Werte, Prozesse, Dienste: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\DisableAntiSpyware, HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Policy Manager\AllowRealTimeMonitoring usw.
• Regeln zur Verringerung der Angriffsfläche: Regeln zur Verringerung der Angriffsfläche decken diese Szenarien nicht ab, da sie Teil des Microsoft Defender for Endpoint integrierten Schutzes sind.
• Weitere empfohlene Features: Manipulationsschutz (opt-in, managed from Intune) verhindert nicht autorisierte Änderungen an den Registrierungsschlüsseln DisableAntiVirus, DisableAntiSpyware, DisableRealtimeMonitoring, DisableOnAccessProtection, DisableBehaviorMonitoring und DisableIOAVProtection (und mehr).

Siehe auch

• Häufig gestellte Fragen zur Verringerung der Angriffsfläche
• Aktivieren der Regeln zur Verringerung der Angriffsfläche
• Auswerten der Regeln zur Verringerung der Angriffsfläche

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.