Aktiver regler for reduksjon av angrepsoverflate

Gjelder for:

• Microsoft Defender for endepunkt plan 1
• Microsoft Defender for endepunkt plan 2
• Microsoft Defender XDR
• Microsoft Defender Antivirus

Plattformer

• Windows

Tips

Vil du oppleve Defender for endepunkt? Registrer deg for en gratis prøveperiode.

Regler for reduksjon av angrepsoverflate bidrar til å forhindre handlinger som skadelig programvare ofte misbruker for å kompromittere enheter og nettverk.

Krav

Funksjoner for reduksjon av angrepsoverflater på tvers av Windows-versjoner

Du kan angi regler for reduksjon av angrepsoverflaten for enheter som kjører følgende versjoner og versjoner av Windows:

• Windows 11 Pro
• Windows 11 Enterprise
• Windows 10 Pro, versjon 1709 eller nyere
• Windows 10 Enterprise, versjon 1709 eller nyere
• Windows Server, versjon 1803 (halvårskanal) eller nyere
• Windows Server 2012 R2
• Windows Server 2016
• Windows Server 2019
• Windows Server 2022

Hvis du vil bruke hele funksjonssettet med regler for reduksjon av angrepsoverflaten, trenger du:

• Microsoft Defender Antivirus som primær AV (sanntidsbeskyttelse på)
• Cloud-Delivery Protection på (noen regler krever det)
• Windows 10 Enterprise E5- eller E3-lisens

Selv om regler for reduksjon av angrepsoverflater ikke krever en Windows E5-lisens, får du avanserte administrasjonsfunksjoner, inkludert overvåking, analyse og arbeidsflyter som er tilgjengelige i Defender for Endpoint, samt rapporterings- og konfigurasjonsfunksjoner i Microsoft Defender XDR-portalen. Disse avanserte funksjonene er ikke tilgjengelige med en E3-lisens, men du kan fortsatt bruke Hendelsesliste til å se gjennom regelhendelser for angrepsoverflatereduksjon.

Hver regel for reduksjon av angrepsoverflaten inneholder én av fire innstillinger:

• Ikke konfigurert | Deaktivert: Deaktiver regelen for reduksjon av angrepsoverflaten
• Blokk: Aktiver regelen for reduksjon av angrepsoverflaten
• Revisjon: Vurder hvordan regelen for reduksjon av angrepsoverflaten vil påvirke organisasjonen hvis den er aktivert
• Advarsel: Aktiver regelen for reduksjon av angrepsoverflaten, men la sluttbrukeren omgå blokken

Vi anbefaler at du bruker regler for reduksjon av angrepsoverflater med en Windows E5-lisens (eller lignende lisensierings-SKU) for å dra nytte av de avanserte overvåkings- og rapporteringsfunksjonene som er tilgjengelige i Microsoft Defender for endepunkt (Defender for Endpoint). Hvis du imidlertid har en annen lisens, for eksempel Windows Professional eller Windows E3 som ikke inkluderer avanserte overvåkings- og rapporteringsfunksjoner, kan du utvikle dine egne overvåkings- og rapporteringsverktøy oppå hendelsene som genereres på hvert endepunkt når regler for reduksjon av angrepsoverflaten utløses (for eksempel Videresending av hendelser).

Tips

Hvis du vil ha mer informasjon om Windows-lisensiering, kan du se Windows 10 Lisensiering og få veiledningen for volumlisensiering for Windows 10.

Du kan aktivere regler for reduksjon av angrepsoverflate ved hjelp av en av disse metodene:

• Microsoft Intune
• Administrasjon av mobilenheter
• Microsoft Configuration Manager
• Gruppepolicy
• PowerShell

Administrasjon på bedriftsnivå, for eksempel Intune eller Microsoft Configuration Manager, anbefales. Administrasjon på bedriftsnivå overskriver eventuelle motstridende gruppepolicy- eller PowerShell-innstillinger ved oppstart.

Utelat filer og mapper fra regler for reduksjon av angrepsoverflaten

Du kan utelate filer og mapper fra å bli evaluert av de fleste regler for reduksjon av angrepsoverflaten. Dette betyr at selv om en regel for reduksjon av angrepsoverflaten bestemmer at filen eller mappen inneholder skadelig virkemåte, blokkeres ikke filen fra å kjøre.

Viktig

Hvis du utelater filer eller mapper, kan det redusere beskyttelsen som gis av regler for reduksjon av angrepsoverflate. Utelatte filer kan kjøres, og ingen rapporter eller hendelser registreres. Hvis regler for reduksjon av angrepsoverflaten oppdager filer som du mener ikke bør oppdages, bør du først bruke overvåkingsmodus til å teste regelen. En utelatelse brukes bare når det utelatte programmet eller tjenesten starter. Hvis du for eksempel legger til en utelatelse for en oppdateringstjeneste som allerede kjører, fortsetter oppdateringstjenesten å utløse hendelser til tjenesten stoppes og startes på nytt.

Når du legger til utelatelser, må du huske på disse punktene:

• Utelatelser er vanligvis basert på individuelle filer eller mapper (ved hjelp av mappebaner eller den fullstendige banen til filen som skal utelates).
• Utelatelsesbaner kan bruke miljøvariabler og jokertegn. Se Bruke jokertegn i listene for filnavn og mappebane eller utvidelsesutelukkelse
• Når de distribueres gjennom gruppepolicy eller PowerShell, gjelder utelukkelser for alle regler for reduksjon av angrepsoverflaten. Ved hjelp av Intune er det mulig å konfigurere en utelukkelse for en bestemt regel for reduksjon av angrepsoverflaten. Se Konfigurere regler for reduksjon av angrepsoverflate per regel
• Unntak kan legges til basert på sertifikat- og fil-hash-koder, ved å tillate angitte Defender for Endpoint-fil- og sertifikatindikatorer. Se Administrer indikatorer.

Policykonflikt

1. Hvis en motstridende policy brukes via MDM og GP, har innstillingen som brukes fra gp forrang.

2. Regler for reduksjon av angrepsoverflate for administrerte enheter støtter nå virkemåte for sammenslåing av innstillinger fra ulike policyer, for å opprette et overordnet sett med policyer for hver enhet. Bare innstillingene som ikke er i konflikt, slås sammen, mens de som er i konflikt, ikke legges til i regelsettet. Tidligere, hvis to policyer inkluderte konflikter for én enkelt innstilling, ble begge policyene flagget som i konflikt, og ingen innstillinger fra noen av profilene ville bli distribuert. Virkemåte for sammenslåing av angrepsoverflatereduksjonsregler er som følger:

   • Regler for reduksjon av angrepsoverflate fra følgende profiler evalueres for hver enhet som reglene gjelder for:
     • Endepunktbeskyttelsesprofiler for enhetskonfigurasjonsprofiler >>>Microsoft Defender Exploit Guard Attack>Surface Reduction.
     • Endepunkt sikkerhet >Angrep overflatereduksjon politikk>Angrep overflatereduksjon regler.
     • Sikkerhetsgrunnlinjer for endepunktssikkerhet >>Microsoft Defender ATP Baseline>Attack Surface Reduction Rules.
   • Innstillinger som ikke har konflikter, legges til i et overordnet sett med policyer for enheten.
   • Når to eller flere policyer har motstridende innstillinger, legges ikke de motstridende innstillingene til i den kombinerte policyen, mens innstillinger som ikke er i konflikt, legges til i policyen for supersett som gjelder for en enhet.
   • Bare konfigurasjonene for motstridende innstillinger holdes tilbake.

Konfigurasjonsmetoder

Denne delen inneholder konfigurasjonsdetaljer for følgende konfigurasjonsmetoder:

• Intune
• Egendefinert profil i Intune
• MDM
• Microsoft Configuration Manager
• Gruppepolicy
• PowerShell

Følgende fremgangsmåter for å aktivere regler for reduksjon av angrepsoverflate inneholder instruksjoner for hvordan du utelater filer og mapper.

Intune

Enhetskonfigurasjonsprofiler

1. Velg enhetskonfigurasjonsprofiler>. Velg en eksisterende beskyttelsesprofil for endepunkt, eller opprett en ny. Hvis du vil opprette en ny profil, velger du Opprett profil og skriver inn informasjon for denne profilen. Velg Endepunktbeskyttelse for profiltype. Hvis du har valgt en eksisterende profil, velger du Egenskaper og deretter Innstillinger.

2. Velg Windows Defender Exploit Guard i beskyttelsesruten for endepunkt, og velg deretter Attack Surface Reduction. Velg ønsket innstilling for hver regel for reduksjon av angrepsoverflaten.

3. Skriv inn individuelle filer og mapper under Unntak for Angrepsoverflatereduksjon. Du kan også velge Importer for å importere en CSV-fil som inneholder filer og mapper som skal utelates fra regler for reduksjon av angrepsoverflaten. Hver linje i CSV-filen skal formateres som følger:

   C:\folder, %ProgramFiles%\folder\file, C:\path

4. Velg OK i de tre konfigurasjonsrutene. Velg deretter Opprett hvis du oppretter en ny endepunktbeskyttelsesfil eller Lagre hvis du redigerer en eksisterende fil.

Sikkerhetspolicy for endepunkt

1. Velg overflatereduksjon for endepunktsikkerhetsangrep>. Velg en eksisterende regel for reduksjon av angrepsoverflaten, eller opprett en ny. Hvis du vil opprette en ny, velger du Opprett Policy og skriver inn informasjon for denne profilen. Velg regler for reduksjon av angrepsoverflate for profiltype. Hvis du har valgt en eksisterende profil, velger du Egenskaper og deretter Innstillinger.

2. Velg Attack Surface Reduction i ruten Konfigurasjonsinnstillinger, og velg deretter ønsket innstilling for hver regel for reduksjon av angrepsoverflaten.

3. Skriv inn individuelle filer og mapper under Liste over tilleggsmapper som må beskyttes, Liste over apper som har tilgang til beskyttede mapper, og Utelat filer og baner fra regler for reduksjon av angrepsoverflater. Du kan også velge Importer for å importere en CSV-fil som inneholder filer og mapper som skal utelates fra regler for reduksjon av angrepsoverflaten. Hver linje i CSV-filen skal formateres som følger:

   C:\folder, %ProgramFiles%\folder\file, C:\path

4. Velg Neste i de tre konfigurasjonsrutene, og velg deretter Opprett hvis du oppretter en ny policy eller Lagre hvis du redigerer en eksisterende policy.

Egendefinert profil i Intune

Du kan bruke Microsoft Intune OMA-URI til å konfigurere egendefinerte regler for reduksjon av angrepsoverflater. Følgende fremgangsmåte bruker regelen Blokker misbruk av utnyttede sårbare signerte drivere for eksemplet .

1. Åpne administrasjonssenteret for Microsoft Intune. Klikk Enheter på Hjem-menyen, velg Konfigurasjonsprofiler, og klikk deretter Opprett profil.

   

2. I Opprett en profil velger du følgende i de følgende to rullegardinlistene:

   • Velg Windows 10 og nyere i Plattform
   • Velg Maler i profiltype
   • Hvis regler for reduksjon av angrepsoverflate allerede er angitt gjennom endepunktsikkerhet, velger du Innstillinger-katalog i profiltype.

   Velg Egendefinert, og velg deretter Opprett.

   

3. Verktøyet for egendefinert mal åpnes i trinn 1 Grunnleggende. Skriv inn et navn på malen i1 Grunnleggende, og i Beskrivelse kan du skrive inn en beskrivelse (valgfritt).

   

4. Klikk Neste. Trinn 2 Konfigurasjonsinnstillinger åpnes . Klikk Legg til for OMA-URI-innstillinger. Det vises nå to alternativer: Legg til og eksporter.

   

5. Klikk Legg til på nytt. Innstillingene for Legg til rad OMA-URI åpnes. Gjør følgende i Legg til rad:

   • Skriv inn et navn på regelen i Navn.

   • Skriv inn en kort beskrivelse i Beskrivelse.

   • I OMA-URI skriver eller limer du inn den spesifikke OMA-URI-koblingen for regelen du legger til. Se MDM-delen i denne artikkelen for OMA-URI som skal brukes for denne eksempelregelen. For GUIDS for reduksjon av angrepsoverflate kan du se beskrivelser per regel i artikkelen: Regler for reduksjon av angrepsoverflate.

   • Velg Streng i datatypen.

   • I Value skriver eller limer du inn GUID-verdien, =-tegnet og State-verdien uten mellomrom (GUID=StateValue). Hvor:

     • 0: Deaktiver (deaktiver regelen for reduksjon av angrepsoverflaten)
     • 1: Blokk (aktiver regelen for reduksjon av angrepsoverflaten)
     • 2: Revisjon (Evaluer hvordan regelen for reduksjon av angrepsoverflaten vil påvirke organisasjonen hvis den er aktivert)
     • 6: Advar (Aktiver regelen for reduksjon av angrepsoverflaten, men tillat sluttbrukeren å omgå blokken)

   

6. Velg Lagre. Legg til rader lukkes. Velg Neste i Egendefinert. I trinn 3 er omfangskoder valgfrie. Gjør ett av følgende:

   • Velg Velg omfangskoder, velg omfangskoden (valgfritt), og velg deretter Neste.
   • Eller velg Neste

7. Velg blant følgende alternativer for gruppene du vil at denne regelen skal gjelde, i inkluderte grupper i trinn 4 Tildelinger:

   • Legg til grupper
   • Legg til alle brukere
   • Legg til alle enheter

   

8. Velg gruppene du vil utelate fra denne regelen, i utelatte grupper, og velg deretter Neste.

9. Gjør følgende i trinn 5 Anvendelighetsregler for følgende innstillinger:

   • Velg enten Tilordne profil iRegel hvis, eller ikke tilordne profil hvis

   • Velg egenskapen du vil denne regelen skal gjelde for, i Egenskap

   • Angi gjeldende verdi eller verdiområde i Verdi

   

10. Velg Neste. Se gjennom innstillingene og informasjonen du har valgt og angitt i trinn 6, og velg deretter Opprett.

    

    Reglene er aktive og direkte på få minutter.

Obs!

Konfliktbehandling:

Hvis du tilordner en enhet to forskjellige policyer for reduksjon av angrepsoverflaten, kan det oppstå potensielle policykonflikter, avhengig av om regler er tilordnet forskjellige tilstander, om konfliktbehandling er på plass, og om resultatet er en feil. Ikke-begrensende regler resulterer ikke i en feil, og slike regler brukes på riktig måte. Den første regelen brukes, og etterfølgende ikke-begrensende regler slås sammen i policyen.

MDM

Bruk ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules-konfigurasjonstjenesteleverandøren (CSP) til enkeltvis å aktivere og angi modus for hver regel.

Følgende er et eksempel for referanse, ved hjelp av GUID-verdier for referanse for regler for reduksjon av angrepsoverflate.

OMA-URI path: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules

Value: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84=2|3b576869-a4ec-4529-8536-b80a7769e899=1|d4f940ab-401b-4efc-aadc-ad5f3c50688a=2|d3e037e1-3eb8-44c8-a917-57927947596d=1|5beb7efe-fd9a-4556-801d-275e5ffc04cc=0|be9ba2d9-53ea-4cdc-84e5-9b1eeee46550=1

Verdiene som skal aktiveres (blokkere), deaktivere, advare eller aktivere i overvåkingsmodus er:

• 0: Deaktiver (deaktiver regelen for reduksjon av angrepsoverflaten)
• 1: Blokk (aktiver regelen for reduksjon av angrepsoverflaten)
• 2: Revisjon (Evaluer hvordan regelen for reduksjon av angrepsoverflaten vil påvirke organisasjonen hvis den er aktivert)
• 6: Advar (Aktiver regelen for reduksjon av angrepsoverflaten, men tillat sluttbrukeren å omgå blokken). Varslingsmodus er tilgjengelig for de fleste regler for reduksjon av angrepsoverflaten.

Bruk ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions configuration service provider (CSP) til å legge til utelatelser.

Eksempel:

OMA-URI path: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions

Value: c:\path|e:\path|c:\Exclusions.exe

Obs!

Pass på å angi OMA-URI-verdier uten mellomrom.

Microsoft Configuration Manager

1. I Microsoft Configuration Manager går du til Assets and Compliance>Endpoint Protection>Windows Defender Exploit Guard.

2. Velg Home>Opprett Exploit Guard Policy.

3. Skriv inn et navn og en beskrivelse, velg Attack Surface Reduction, og velg Neste.

4. Velg hvilke regler som skal blokkere eller overvåke handlinger, og velg Neste.

5. Se gjennom innstillingene, og velg Neste for å opprette policyen.

6. Når policyen er opprettet, velger du Lukk.

Advarsel

Det er et kjent problem med anvendeligheten av Attack Surface Reduction på Server OS-versjoner som er merket som kompatible uten faktisk håndhevelse. Det finnes for øyeblikket ingen ETA for når dette blir løst.

Gruppepolicy

Advarsel

Hvis du administrerer datamaskiner og enheter med Intune, Configuration Manager eller en annen administrasjonsplattform på bedriftsnivå, overskriver administrasjonsprogramvaren eventuelle motstridende gruppepolicy innstillinger ved oppstart.

1. Åpne gruppepolicy Administrasjonskonsoll på gruppepolicy administrasjonsdatamaskinen, høyreklikk på gruppepolicy objektet du vil konfigurere, og velg Rediger.

2. I Redigeringsprogram for gruppepolicybehandling, går du til Datamaskinkonfigurasjon og velger Administrative maler.

3. Utvid treet til Windows-komponenter>Microsoft Defender Antivirus> Microsoft DefenderReduksjon av Exploit Guard-angrepsoverflaten>.

4. Velg Konfigurer regler for reduksjon av angrepsoverflate , og velg Aktivert. Deretter kan du angi den individuelle tilstanden for hver regel i alternativdelen. Velg Vis... og skriv inn regel-ID-en i Verdinavn-kolonnen og den valgte tilstanden i Verdi-kolonnen som følger:

   • 0: Deaktiver (deaktiver regelen for reduksjon av angrepsoverflaten)

   • 1: Blokk (aktiver regelen for reduksjon av angrepsoverflaten)

   • 2: Revisjon (Evaluer hvordan regelen for reduksjon av angrepsoverflaten vil påvirke organisasjonen hvis den er aktivert)

   • 6: Advar (Aktiver regelen for reduksjon av angrepsoverflaten, men tillat sluttbrukeren å omgå blokken)

     

5. Hvis du vil utelate filer og mapper fra regler for reduksjon av angrepsoverflaten, velger du innstillingen Utelat filer og baner fra regler for reduksjon av angrepsoverflaten og angir alternativet aktivert. Velg Vis , og skriv inn hver fil eller mappe i Verdinavn-kolonnen . Skriv inn 0 i Verdi-kolonnen for hvert element.

   Advarsel

   Ikke bruk anførselstegn fordi de ikke støttes for kolonnen verdinavn eller verdikolonnen . Regel-ID-en kan ikke ha innledende eller etterfølgende mellomrom.

PowerShell

Advarsel

Hvis du administrerer datamaskiner og enheter med Intune, Configuration Manager eller en annen administrasjonsplattform på bedriftsnivå, overskriver administrasjonsprogramvaren eventuelle motstridende PowerShell-innstillinger ved oppstart.

1. Skriv inn Powershell i Start-menyen, høyreklikk på Windows PowerShell og velg Kjør som administrator.

2. Skriv inn én av følgende cmdleter. (Hvis du vil ha mer informasjon, for eksempel regel-ID, kan du se referanse til regler for reduksjon av angrepsoverflate.)

   Oppgave	PowerShell-cmdlet
   Aktiver regler for reduksjon av angrepsoverflate	Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Enabled
   Aktiver regler for reduksjon av angrepsoverflate i overvåkingsmodus	Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions AuditMode
   Aktiver regler for reduksjon av angrepsoverflate i varslingsmodus	Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Warn
   Aktiver angrepsoverflatereduksjon Blokker misbruk av utnyttede sårbare signerte drivere	Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Enabled
   Slå av regler for reduksjon av angrepsoverflate	Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Disabled

   Viktig

   Du må angi tilstanden individuelt for hver regel, men du kan kombinere regler og tilstander i en kommadelt liste.

   I eksemplet nedenfor er de to første reglene aktivert, den tredje regelen er deaktivert, og den fjerde regelen er aktivert i overvåkingsmodus: Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID 1>,<rule ID 2>,<rule ID 3>,<rule ID 4> -AttackSurfaceReductionRules_Actions Enabled, Enabled, Disabled, AuditMode

   Du kan også bruke PowerShell-verbet Add-MpPreference til å legge til nye regler i den eksisterende listen.

   Advarsel

   Set-MpPreference overskriver det eksisterende regelsettet. Hvis du vil legge til i det eksisterende settet, bruker Add-MpPreference du i stedet. Du kan få en liste over regler og gjeldende tilstand ved hjelp Get-MpPreferenceav .

3. Hvis du vil utelate filer og mapper fra regler for reduksjon av angrepsoverflaten, bruker du følgende cmdlet:

   Add-MpPreference -AttackSurfaceReductionOnlyExclusions "<fully qualified path or resource>"

   Fortsett å bruke Add-MpPreference -AttackSurfaceReductionOnlyExclusions til å legge til flere filer og mapper i listen.

   Viktig

   Brukes Add-MpPreference til å tilføye eller legge til apper i listen. Hvis du bruker cmdleten Set-MpPreference , overskrives den eksisterende listen.

Relaterte artikler

• Referanse for reduksjonsregler for angrepsoverflate
• Evaluer reduksjon av angrepsoverflate
• Vanlige spørsmål om reduksjon av angrepsoverflate

Tips

Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.