Freigeben über


Demonstrationen der Regeln zur Verringerung der Angriffsfläche

Gilt für:

Regeln zur Verringerung der Angriffsfläche zielen auf bestimmte Verhaltensweisen ab, die in der Regel von Schadsoftware und schädlichen Apps verwendet werden, um Computer zu infizieren, z. B.:

  • Ausführbare Dateien und Skripts, die in Office-Apps oder Web-E-Mail verwendet werden und versuchen, Dateien herunterzuladen oder auszuführen
  • Skripts, die verschleiert oder anderweitig verdächtig sind
  • Von Apps durchgeführte Verhaltensweisen, die nicht während der normalen täglichen Arbeit initiiert werden

Szenarioanforderungen und Einrichtung

PowerShell-Befehle

Add-MpPreference -AttackSurfaceReductionRules_Ids BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536-B80A7769E899 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D3E037E1-3EB8-44C8-A917-57927947596D -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D1E49AAC-8F56-4280-B9BA-993A6D77406C -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids C1DB55AB-C21A-4637-BB3F-A12568109D35 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-CD74-433A-B99E-2ECDC07BFC25 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids e6db77e5-3df2-4cf1-b95a-636979351e5b -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids a8f5898e-1dc8-49a9-9878-85004b8a61e6 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-49E8-8B27-EB1D0A1CE869 -AttackSurfaceReductionRules_Actions AuditMode
Add-MpPreference -AttackSurfaceReductionRules_Ids 7674BA52-37EB-4A4F-A9A1-F0F9A1619A2C -AttackSurfaceReductionRules_Actions AuditMode

Regelzustände

Status Modus Numerischer Wert
Deaktiviert = Aus 0
Aktiviert = Blockmodus 1
Überwachung = Überwachungsmodus 2

Überprüfen der Konfiguration


Get-MpPreference

Testdateien

Hinweis: Einige Testdateien verfügen über mehrere eingebettete Exploits und lösen mehrere Regeln aus.

Regelname Regel-GUID
Ausführbare Inhalte aus E-Mail-Client und Web-E-Mail blockieren BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550
Blockieren der Erstellung untergeordneter Prozesse durch Office-Anwendungen D4F940AB-401B-4EFC-AADC-AD5F3C50688A
Office-Anwendungen am Erstellen ausführbarer Inhalte hindern 3B576869-A4EC-4529-8536-B80A7769E899
Blockieren der Einschleusung von Office-Anwendungen in andere Prozesse 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84
Blockieren von JavaScript und VBScript zum Starten ausführbarer Dateien D3E037E1-3EB8-44C8-A917-57927947596D
Ausführung potenziell verborgener Skripts blockieren 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC
Blockieren von Win32-Importen aus Makrocode in Office 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B
{Prozesserstellungen blockieren, die von PSExec & WMI-Befehlen stammen D1E49AAC-8F56-4280-B9BA-993A6D77406C
Ausführung von nicht vertrauenswürdigen oder nicht signierten ausführbaren Dateien auf USB-Wechselmedien blockieren B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4
Aggressive Ransomware-Prävention C1DB55AB-C21A-4637-BB3F-A12568109D35
Ausführung ausführbarer Dateien blockieren, es sei denn, sie erfüllen prävalenz-, alters- oder vertrauenswürdige Listenkriterien 01443614-CD74-433A-B99E-2ECDC07BFC25
Adobe Reader am Erstellen von untergeordneten Prozessen hindern 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c
Blockieren des Missbrauchs von missbrauchten anfälligen signierten Treibern 56a863a9-875e-4185-98a7-b882c64b5ce5
Diebstahl von Anmeldeinformationen aus dem Subsystem für die lokale Sicherheitsautorität (lsass.exe) blockieren 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2
Persistenz durch WMI-Ereignisabonnement blockieren e6db77e5-3df2-4cf1-b95a-636979351e5b
Webshellerstellung für Server blockieren a8f5898e-1dc8-49a9-9878-85004b8a61e6

Szenarien

Setup

Laden Sie dieses Setupskript herunter, und führen Sie es aus. Legen Sie vor dem Ausführen der Skriptausführungsrichtlinie mit diesem PowerShell-Befehl auf Uneingeschränkt fest:

Set-ExecutionPolicy Unrestricted

Sie können stattdessen die folgenden manuellen Schritte ausführen:

  1. Create einen Ordner unter c: "demo" mit dem Namen "c:\demo"
  2. Speichern Sie diese sauber-Datei in c:\demo.
  3. Aktivieren Sie alle Regeln mithilfe des PowerShell-Befehls.

Szenario 1: Verringerung der Angriffsfläche blockiert eine Testdatei mit mehreren Sicherheitsrisiken

  1. Aktivieren aller Regeln im Blockmodus mithilfe der PowerShell-Befehle (Sie können alle einfügen)
  2. Laden Sie die Testdatei/-dokumente herunter, und öffnen Sie sie, und aktivieren Sie die Bearbeitung und den Inhalt, wenn Sie dazu aufgefordert werden.

Erwartete Ergebnisse für Szenario 1

Die Benachrichtigung "Aktion blockiert" sollte sofort angezeigt werden.

Szenario 2: ASR-Regel blockiert die Testdatei mit der entsprechenden Sicherheitsanfälligkeit

  1. Konfigurieren Sie die Regel, die Sie testen möchten, mit dem PowerShell-Befehl aus dem vorherigen Schritt.

    Beispiel: Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions Enabled

  2. Laden Sie die Testdatei/das Dokument für die Regel herunter, die Sie testen möchten, und öffnen Sie sie, und aktivieren Sie die Bearbeitung und den Inhalt, wenn Sie dazu aufgefordert werden.

    Beispiel: Blockieren der Erstellung untergeordneter Prozesse durch Office-Anwendungen D4F940AB-401B-4EFC-AADC-AD5F3C50688A

Erwartete Ergebnisse in Szenario 2

Die Benachrichtigung "Aktion blockiert" sollte sofort angezeigt werden.

Szenario 3 (Windows 10 oder höher): ASR-Regel blockiert die Ausführung von nicht signierten USB-Inhalten

  1. Konfigurieren Sie die Regel für den USB-Schutz (B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4).
Add-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4 -AttackSurfaceReductionRules_Actions Enabled
  1. Laden Sie die Datei herunter, legen Sie sie auf einen USB-Stick, und führen Sie sie aus . Blockieren Der Ausführung nicht vertrauenswürdiger oder nicht signierter ausführbarer Dateien auf usb-Wechselmedien

Erwartete Ergebnisse in Szenario 3

Die Benachrichtigung "Aktion blockiert" sollte sofort angezeigt werden.

Szenario 4: Was würde ohne Verringerung der Angriffsfläche passieren?

  1. Deaktivieren Sie alle Regeln zur Verringerung der Angriffsfläche mithilfe von PowerShell-Befehlen im Bereinigungsabschnitt.

  2. Laden Sie alle Testdateien/-dokumente herunter, und aktivieren Sie die Bearbeitung und den Inhalt, wenn Sie dazu aufgefordert werden.

Erwartete Ergebnisse für Szenario 4

  • Die Dateien in c:\demo sind verschlüsselt, und Es sollte eine Warnmeldung angezeigt werden.
  • Führen Sie die Testdatei erneut aus, um die Dateien zu entschlüsseln.

Bereinigen

Herunterladen und Ausführen dieses sauber-Skripts

Alternativ können Sie die folgenden manuellen Schritte ausführen:

Add-MpPreference -AttackSurfaceReductionRules_Ids BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536-B80A7769E899 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D3E037E1-3EB8-44C8-A917-57927947596D -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D1E49AAC-8F56-4280-B9BA-993A6D77406C -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids C1DB55AB-C21A-4637-BB3F-A12568109D35 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-CD74-433A-B99E-2ECDC07BFC25 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids e6db77e5-3df2-4cf1-b95a-636979351e5b -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids a8f5898e-1dc8-49a9-9878-85004b8a61e6 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-49E8-8B27-EB1D0A1CE869 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 7674BA52-37EB-4A4F-A9A1-F0F9A1619A2C -AttackSurfaceReductionRules_Actions Disabled

Bereinigen der C:\demo-Verschlüsselung durch Ausführen der Verschlüsselungs-/Entschlüsselungsdatei

Siehe auch

Bereitstellungsleitfaden für Regeln zur Verringerung der Angriffsfläche

Referenz zu Regeln zur Verringerung der Angriffsfläche

Microsoft Defender for Endpoint : Demonstrationsszenarien

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.