Demonstrationen der Regeln zur Verringerung der Angriffsfläche
Gilt für:
- Microsoft Defender für Endpunkt Plan 2
- Microsoft Defender für Unternehmen
- Microsoft Defender für Endpunkt Plan 1
- Microsoft Defender Antivirus
Regeln zur Verringerung der Angriffsfläche zielen auf bestimmte Verhaltensweisen ab, die in der Regel von Schadsoftware und schädlichen Apps verwendet werden, um Computer zu infizieren, z. B.:
- Ausführbare Dateien und Skripts, die in Office-Apps oder Web-E-Mail verwendet werden und versuchen, Dateien herunterzuladen oder auszuführen
- Skripts, die verschleiert oder anderweitig verdächtig sind
- Von Apps durchgeführte Verhaltensweisen, die nicht während der normalen täglichen Arbeit initiiert werden
Szenarioanforderungen und Einrichtung
- Windows 11, Windows 10 1709 Build 16273 oder höher
- Windows Server 2022, Windows Server 2019, Windows Server 2016 oder Windows Server 2012 R2 mit dem Unified MDE Client.
- Microsoft Defender Antivirus
- Microsoft 365 Apps (Office; erforderlich für Office-Regeln und -Beispiel)
- Herunterladen von PowerShell-Skripts zur Verringerung der Angriffsfläche
PowerShell-Befehle
Add-MpPreference -AttackSurfaceReductionRules_Ids BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536-B80A7769E899 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D3E037E1-3EB8-44C8-A917-57927947596D -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D1E49AAC-8F56-4280-B9BA-993A6D77406C -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids C1DB55AB-C21A-4637-BB3F-A12568109D35 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-CD74-433A-B99E-2ECDC07BFC25 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids e6db77e5-3df2-4cf1-b95a-636979351e5b -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids a8f5898e-1dc8-49a9-9878-85004b8a61e6 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-49E8-8B27-EB1D0A1CE869 -AttackSurfaceReductionRules_Actions AuditMode
Add-MpPreference -AttackSurfaceReductionRules_Ids 7674BA52-37EB-4A4F-A9A1-F0F9A1619A2C -AttackSurfaceReductionRules_Actions AuditMode
Regelzustände
| Status | Modus | Numerischer Wert |
|---|---|---|
| Deaktiviert | = Aus | 0 |
| Aktiviert | = Blockmodus | 1 |
| Überwachung | = Überwachungsmodus | 2 |
Überprüfen der Konfiguration
Get-MpPreference
Testdateien
Hinweis: Einige Testdateien verfügen über mehrere eingebettete Exploits und lösen mehrere Regeln aus.
| Regelname | Regel-GUID |
|---|---|
| Ausführbare Inhalte aus E-Mail-Client und Web-E-Mail blockieren | BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550 |
| Blockieren der Erstellung untergeordneter Prozesse durch Office-Anwendungen | D4F940AB-401B-4EFC-AADC-AD5F3C50688A |
| Office-Anwendungen am Erstellen ausführbarer Inhalte hindern | 3B576869-A4EC-4529-8536-B80A7769E899 |
| Blockieren der Einschleusung von Office-Anwendungen in andere Prozesse | 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84 |
| Blockieren von JavaScript und VBScript zum Starten ausführbarer Dateien | D3E037E1-3EB8-44C8-A917-57927947596D |
| Ausführung potenziell verborgener Skripts blockieren | 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC |
| Blockieren von Win32-Importen aus Makrocode in Office | 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B |
| {Prozesserstellungen blockieren, die von PSExec & WMI-Befehlen stammen | D1E49AAC-8F56-4280-B9BA-993A6D77406C |
| Ausführung von nicht vertrauenswürdigen oder nicht signierten ausführbaren Dateien auf USB-Wechselmedien blockieren | B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4 |
| Aggressive Ransomware-Prävention | C1DB55AB-C21A-4637-BB3F-A12568109D35 |
| Ausführung ausführbarer Dateien blockieren, es sei denn, sie erfüllen prävalenz-, alters- oder vertrauenswürdige Listenkriterien | 01443614-CD74-433A-B99E-2ECDC07BFC25 |
| Adobe Reader am Erstellen von untergeordneten Prozessen hindern | 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c |
| Blockieren des Missbrauchs von missbrauchten anfälligen signierten Treibern | 56a863a9-875e-4185-98a7-b882c64b5ce5 |
| Diebstahl von Anmeldeinformationen aus dem Subsystem für die lokale Sicherheitsautorität (lsass.exe) blockieren | 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 |
| Persistenz durch WMI-Ereignisabonnement blockieren | e6db77e5-3df2-4cf1-b95a-636979351e5b |
| Webshellerstellung für Server blockieren | a8f5898e-1dc8-49a9-9878-85004b8a61e6 |
Szenarien
Setup
Laden Sie dieses Setupskript herunter, und führen Sie es aus. Legen Sie vor dem Ausführen der Skriptausführungsrichtlinie mit diesem PowerShell-Befehl auf Uneingeschränkt fest:
Set-ExecutionPolicy Unrestricted
Sie können stattdessen die folgenden manuellen Schritte ausführen:
- Create einen Ordner unter c: "demo" mit dem Namen "c:\demo"
- Speichern Sie diese sauber-Datei in c:\demo.
- Aktivieren Sie alle Regeln mithilfe des PowerShell-Befehls.
Szenario 1: Verringerung der Angriffsfläche blockiert eine Testdatei mit mehreren Sicherheitsrisiken
- Aktivieren aller Regeln im Blockmodus mithilfe der PowerShell-Befehle (Sie können alle einfügen)
- Laden Sie die Testdatei/-dokumente herunter, und öffnen Sie sie, und aktivieren Sie die Bearbeitung und den Inhalt, wenn Sie dazu aufgefordert werden.
Erwartete Ergebnisse für Szenario 1
Die Benachrichtigung "Aktion blockiert" sollte sofort angezeigt werden.
Szenario 2: ASR-Regel blockiert die Testdatei mit der entsprechenden Sicherheitsanfälligkeit
Konfigurieren Sie die Regel, die Sie testen möchten, mit dem PowerShell-Befehl aus dem vorherigen Schritt.
Beispiel:
Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions EnabledLaden Sie die Testdatei/das Dokument für die Regel herunter, die Sie testen möchten, und öffnen Sie sie, und aktivieren Sie die Bearbeitung und den Inhalt, wenn Sie dazu aufgefordert werden.
Beispiel: Blockieren der Erstellung untergeordneter Prozesse durch Office-Anwendungen D4F940AB-401B-4EFC-AADC-AD5F3C50688A
Erwartete Ergebnisse in Szenario 2
Die Benachrichtigung "Aktion blockiert" sollte sofort angezeigt werden.
Szenario 3 (Windows 10 oder höher): ASR-Regel blockiert die Ausführung von nicht signierten USB-Inhalten
- Konfigurieren Sie die Regel für den USB-Schutz (
B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4).
Add-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4 -AttackSurfaceReductionRules_Actions Enabled
- Laden Sie die Datei herunter, legen Sie sie auf einen USB-Stick, und führen Sie sie aus . Blockieren Der Ausführung nicht vertrauenswürdiger oder nicht signierter ausführbarer Dateien auf usb-Wechselmedien
Erwartete Ergebnisse in Szenario 3
Die Benachrichtigung "Aktion blockiert" sollte sofort angezeigt werden.
Szenario 4: Was würde ohne Verringerung der Angriffsfläche passieren?
Deaktivieren Sie alle Regeln zur Verringerung der Angriffsfläche mithilfe von PowerShell-Befehlen im Bereinigungsabschnitt.
Laden Sie alle Testdateien/-dokumente herunter, und aktivieren Sie die Bearbeitung und den Inhalt, wenn Sie dazu aufgefordert werden.
Erwartete Ergebnisse für Szenario 4
- Die Dateien in c:\demo sind verschlüsselt, und Es sollte eine Warnmeldung angezeigt werden.
- Führen Sie die Testdatei erneut aus, um die Dateien zu entschlüsseln.
Bereinigen
Herunterladen und Ausführen dieses sauber-Skripts
Alternativ können Sie die folgenden manuellen Schritte ausführen:
Add-MpPreference -AttackSurfaceReductionRules_Ids BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536-B80A7769E899 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D3E037E1-3EB8-44C8-A917-57927947596D -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D1E49AAC-8F56-4280-B9BA-993A6D77406C -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids C1DB55AB-C21A-4637-BB3F-A12568109D35 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-CD74-433A-B99E-2ECDC07BFC25 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids e6db77e5-3df2-4cf1-b95a-636979351e5b -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids a8f5898e-1dc8-49a9-9878-85004b8a61e6 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-49E8-8B27-EB1D0A1CE869 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 7674BA52-37EB-4A4F-A9A1-F0F9A1619A2C -AttackSurfaceReductionRules_Actions Disabled
Bereinigen der C:\demo-Verschlüsselung durch Ausführen der Verschlüsselungs-/Entschlüsselungsdatei
Siehe auch
Bereitstellungsleitfaden für Regeln zur Verringerung der Angriffsfläche
Referenz zu Regeln zur Verringerung der Angriffsfläche
Microsoft Defender for Endpoint : Demonstrationsszenarien
Tipp
Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für