Del via

Aktiver regler for reduksjon av angrepsoverflaten i Microsoft Defender for bedrifter

  • Artikkel

Angrepsoverflatene er alle steder og måter organisasjonens nettverk og enheter er sårbare for netttrusler og angrep på. Usikrede enheter, ubegrenset tilgang til en nettadresse på en firmaenhet og tillate at alle typer apper eller skript kan kjøre på firmaenheter, er alle eksempler på angrepsoverflater. De gjør firmaet ditt sårbart for cyberangrep.

For å beskytte nettverket og enhetene dine, Microsoft Defender for bedrifter inkluderer flere funksjoner for reduksjon av angrepsoverflaten, inkludert regler for reduksjon av angrepsoverflaten. Denne artikkelen beskriver hvordan du konfigurerer regler for reduksjon av angrepsoverflaten og beskriver funksjoner for reduksjon av angrepsoverflater.

Obs!

Intune er ikke inkludert i den frittstående versjonen av Defender for Business, men den kan legges til.

ASR-regler for standardbeskyttelse

Det finnes mange regler for reduksjon av angrepsoverflater. Du trenger ikke å sette dem opp på en gang. Du kan også konfigurere noen regler i overvåkingsmodus bare for å se hvordan de fungerer for organisasjonen, og endre dem til å fungere i blokkmodus senere. Når det er sagt, anbefaler vi at du aktiverer følgende standard beskyttelsesregler så snart som mulig:

Disse reglene bidrar til å beskytte nettverket og enhetene dine, men bør ikke forårsake forstyrrelser for brukerne. Bruk Intune til å konfigurere regler for reduksjon av angrepsoverflaten.

Konfigurere ASR-regler ved hjelp av Intune

  1. Som global administrator går du tiloverflatereduksjon for endepunktssikkerhet> i administrasjonssenteret for Microsoft Intune (https://intune.microsoft.com/).

  2. Velg Opprett policy for å opprette en ny policy.

    • Velg Windows 10, Windows 11 og Windows Server for Plattform.
    • Velg regler for angrepsoverflatereduksjon for profil, og velg deretter Opprett.

  3. Konfigurer policyen på følgende måte:

    1. Angi et navn og en beskrivelse, og velg deretter Neste.

    2. Hvis du vil ha minst følgende tre regler, angir du hver av dem til Blokker:

      • Blokkere legitimasjonsstjele fra delsystemet for lokale sikkerhetsmyndigheter i Windows
      • Blokker utholdenhet gjennom WMI-hendelsesabonnement
      • Blokker misbruk av utnyttede sårbare signerte sjåfører

      Velg deretter Neste.

    3. Velg Neste i trinnet Omfangskoder.

    4. Velg brukerne eller enhetene som skal motta reglene, i oppgavetrinnet , og velg deretter Neste. (Vi anbefaler at du velger Legg til alle enheter.)

    5. Se gjennom informasjonen i gå gjennom og opprett trinn, og velg deretter Opprett.

Tips

Hvis du foretrekker det, kan du konfigurere regler for reduksjon av angrepsoverflaten i overvåkingsmodus først for å se gjenkjenninger før filer eller prosesser faktisk blokkeres. Hvis du vil ha mer detaljert informasjon om regler for reduksjon av angrepsoverflate, kan du se Distribusjonsoversikt over angrepsoverflatereduksjonsregler.

Vis rapporten om reduksjon av angrepsoverflaten

Defender for Business inkluderer en rapport om reduksjon av angrepsoverflate som viser hvordan regler for reduksjon av angrepsoverflater fungerer for deg.

  1. Som global administrator velger du Rapporter i Microsoft Defender-portalen (https://security.microsoft.com) i navigasjonsruten.

  2. Velg regler for reduksjon av angrepsoverflate under endepunkter. Rapporten åpnes og inneholder tre faner:

    • Oppdagelser, der du kan vise gjenkjenninger som oppstod som følge av regler for reduksjon av angrepsoverflaten
    • Konfigurasjon, der du kan vise data for standard beskyttelsesregler eller andre regler for reduksjon av angrepsoverflaten
    • Legg til utelatelser, der du kan legge til elementer som skal utelukkes fra regler for reduksjon av angrepsoverflaten (bruk unntak med måte, hver utelukkelse reduserer sikkerhetsbeskyttelsesnivået ditt)

Hvis du vil lære mer om regler for reduksjon av angrepsoverflater, kan du se følgende artikler:

Funksjoner for reduksjon av angrepsoverflate i Defender for Business

Regler for reduksjon av angrepsoverflater er tilgjengelige i Defender for Business. Tabellen nedenfor oppsummerer funksjoner for reduksjon av angrepsoverflater i Defender for Business. Legg merke til hvordan andre funksjoner, for eksempel neste generasjons beskyttelse og filtrering av nettinnhold, fungerer sammen med funksjonene for reduksjon av angrepsoverflaten.

Evnen Slik konfigurerer du det
Regler for reduksjon av angrepsoverflaten
Forhindre bestemte handlinger som vanligvis er knyttet til skadelig aktivitet, for å kjøre på Windows-enheter.		 Aktiver standardregler for reduksjon av overflatereduksjon for beskyttelsesangrep (avsnitt i denne artikkelen).
Kontrollert mappetilgang
Kontrollert mappetilgang gir bare klarerte apper tilgang til beskyttede mapper på Windows-enheter. Tenk på denne funksjonen som utbedring av løsepengevirus.		 Konfigurer kontrollert mappetilgangspolicy i Microsoft Defender for bedrifter.
Nettverksbeskyttelse
Nettverksbeskyttelse hindrer personer i å få tilgang til farlige domener gjennom programmer på Windows- og Mac-enhetene sine. Nettverksbeskyttelse er også en viktig komponent for filtrering av nettinnhold i Microsoft Defender for bedrifter.		 Nettverksbeskyttelse er allerede aktivert som standard når enheter er innebygd i Defender for Business, og neste generasjons beskyttelsespolicyer i Defender for Business brukes. Standardpolicyene er konfigurert til å bruke anbefalte sikkerhetsinnstillinger.
Webbeskyttelse
Webbeskyttelse integreres med nettlesere og fungerer med nettverksbeskyttelse for å beskytte mot netttrusler og uønsket innhold. Webbeskyttelse omfatter filtrering av nettinnhold og netttrusselrapporter.		 Konfigurer filtrering av nettinnhold i Microsoft Defender for bedrifter.
Brannmurbeskyttelse
Brannmurbeskyttelse bestemmer hvilken nettverkstrafikk som har tillatelse til å flyte til eller fra organisasjonens enheter.		 Brannmurbeskyttelse er allerede aktivert som standard når enheter er innebygd i Defender for Business og brannmurpolicyer i Defender for Business brukes.

Neste trinn