Angrepsoverflater er alle stedene der organisasjonen er sårbar for cybertrusler og angrep. Defender for Endpoint inneholder flere funksjoner for å redusere angrepsoverflatene. Se følgende video for å lære mer om reduksjon av angrepsoverflaten.
Konfigurer funksjoner for reduksjon av angrepsoverflaten
Følg disse trinnene for å konfigurere reduksjon av angrepsoverflate i miljøet:
I de fleste tilfeller, når du konfigurerer funksjoner for reduksjon av angrepsoverflaten, kan du velge blant flere metoder:
Microsoft Intune
Microsoft Configuration Manager
Gruppepolicy
PowerShell-cmdleter
Reduksjon av testangrepsoverflate i Microsoft Defender for endepunkt
Som en del av organisasjonens sikkerhetsteam kan du konfigurere funksjoner for reduksjon av angrepsoverflater til å kjøre i overvåkingsmodus for å se hvordan de fungerer. Du kan aktivere følgende sikkerhetsfunksjoner for angrepsoverflatereduksjon i overvåkingsmodus:
Regler for reduksjon av angrepsoverflaten
Exploit Protection
Nettverksbeskyttelse
Kontrollert mappetilgang
Enhetskontroll
Overvåkingsmodus lar deg se en oversikt over hva som ville ha skjedd hvis funksjonen ble aktivert.
Du kan aktivere overvåkingsmodus når du tester hvordan funksjonene fungerer. Aktivering av overvåkingsmodus bare for testing bidrar til å hindre at overvåkingsmodus påvirker bransjespesifikke apper. Du kan også få et inntrykk av hvor mange mistenkelige filendringsforsøk som utføres over en viss tidsperiode.
Funksjonene blokkerer eller hindrer ikke at apper, skript eller filer endres. Hendelsesloggen i Windows registrerer imidlertid hendelser som om funksjonene var fullstendig aktivert. Med overvåkingsmodus kan du se gjennom hendelsesloggen for å se hvilken effekt funksjonen ville hatt hvis den ble aktivert.
Hvis du vil finne de reviderte oppføringene, kan du gå til Programmer og tjenester>Microsoft>Windows>Defender>Operational.
Du kan for eksempel teste regler for reduksjon av angrepsoverflaten i overvåkingsmodus før du aktiverer dem i blokkmodus. Regler for reduksjon av angrepsoverflater er forhåndsdefinert for å herde vanlige, kjente angrepsoverflater. Det finnes flere metoder du kan bruke til å implementere regler for reduksjon av angrepsoverflater. Den foretrukne metoden er dokumentert i følgende distribusjonsartikler om angrepsoverflatereduksjonsregler:
Se gjennom angrepsoverflatereduksjonshendelser i Hendelsesliste for å overvåke hvilke regler eller innstillinger som fungerer. Du kan også finne ut om noen av innstillingene er for støyende eller påvirker den daglige arbeidsflyten.
Gjennomgang av hendelser er praktisk når du evaluerer funksjonene. Du kan aktivere overvåkingsmodus for funksjoner eller innstillinger, og deretter se gjennom hva som ville ha skjedd hvis de var fullstendig aktivert.
Denne delen viser alle hendelsene, deres tilknyttede funksjon eller innstilling, og beskriver hvordan du oppretter egendefinerte visninger for å filtrere til bestemte hendelser.
Få detaljert rapportering i hendelser, blokker og advarsler som en del av Windows Sikkerhet hvis du har et E5-abonnement og bruker Microsoft Defender for endepunkt.
Bruk egendefinerte visninger til å se gjennom funksjoner for angrepsoverflatereduksjon
Opprett egendefinerte visninger i Windows Hendelsesliste for bare å se hendelser for bestemte funksjoner og innstillinger. Den enkleste måten er å importere en egendefinert visning som en XML-fil. Du kan kopiere XML-filen direkte fra denne siden.
Du kan også navigere manuelt til hendelsesområdet som tilsvarer funksjonen.
Importere en eksisterende egendefinert XML-visning
Opprett en tom .txt-fil, og kopier XML-filen for den egendefinerte visningen du vil bruke, til .txt-filen. Gjør dette for hver av de egendefinerte visningene du vil bruke. Gi nytt navn til filene på følgende måte (sørg for at du endrer typen fra .txt til .xml):
Kontrollert egendefinert visning for mappetilgangshendelser: cfa-events.xml
Egendefinert visning for å utnytte beskyttelseshendelser: ep-events.xml
Egendefinert visning av angrepsoverflatereduksjon: asr-events.xml
Egendefinert visning av nettverks-/beskyttelseshendelser: np-events.xml
Skriv inn visningsprogram for hendelser på Start-menyen, og åpne Hendelsesliste.
Velgegendefinert visning for handlingsimport...>
Naviger til der du pakket ut XML-filen for den egendefinerte visningen du vil bruke, og velg den.
Klikk Åpne.
Den oppretter en egendefinert visning som filtrerer for å bare vise hendelsene som er relatert til denne funksjonen.
Kopier XML-filen direkte
Skriv inn visningsprogram for hendelser på Start-menyen, og åpne Windows Hendelsesliste.
Velg Opprett egendefinert visning i venstre panel under Handlinger...
Gå til XML-fanen, og velg Rediger spørring manuelt. Du ser en advarsel om at du ikke kan redigere spørringen ved hjelp av filterfanen hvis du bruker XML-alternativet. Velg Ja.
Lim inn XML-koden for funksjonen du vil filtrere hendelser fra, i XML-delen.
Velg OK. Angi et navn for filteret. Denne handlingen oppretter en egendefinert visning som filtrerer for å bare vise hendelsene som er relatert til denne funksjonen.
XML for regelhendelser for reduksjon av angrepsoverflate
XML
<QueryList><QueryId="0"Path="Microsoft-Windows-Windows Defender/Operational"><SelectPath="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select><SelectPath="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select></Query></QueryList>
XML for kontrollerte mappetilgangshendelser
XML
<QueryList><QueryId="0"Path="Microsoft-Windows-Windows Defender/Operational"><SelectPath="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select><SelectPath="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select></Query></QueryList>
XML for utnyttelsesbeskyttelseshendelser
XML
<QueryList><QueryId="0"Path="Microsoft-Windows-Security-Mitigations/KernelMode"><SelectPath="Microsoft-Windows-Security-Mitigations/KernelMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select><SelectPath="Microsoft-Windows-Win32k/Concurrency">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select><SelectPath="Microsoft-Windows-Win32k/Contention">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select><SelectPath="Microsoft-Windows-Win32k/Messages">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select><SelectPath="Microsoft-Windows-Win32k/Operational">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select><SelectPath="Microsoft-Windows-Win32k/Power">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select><SelectPath="Microsoft-Windows-Win32k/Render">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select><SelectPath="Microsoft-Windows-Win32k/Tracing">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select><SelectPath="Microsoft-Windows-Win32k/UIPI">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select><SelectPath="System">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select><SelectPath="Microsoft-Windows-Security-Mitigations/UserMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select></Query></QueryList>
XML for nettverksbeskyttelseshendelser
XML
<QueryList><QueryId="0"Path="Microsoft-Windows-Windows Defender/Operational"><SelectPath="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select><SelectPath="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select></Query></QueryList>
Liste over angrepsoverflatereduksjonshendelser
Alle angrepsoverflatereduksjonshendelser er plassert under Programmer og tjenestelogger > Microsoft > Windows , og deretter mappen eller leverandøren som er oppført i tabellen nedenfor.
Du kan få tilgang til disse hendelsene i Windows Event Viewer:
Åpne Start-menyen og skriv inn visningsprogram for hendelser, og velg deretter Hendelsesliste resultat.
Utvid Programmer og tjenester Logger > Microsoft > Windows , og gå deretter til mappen som er oppført under Leverandør/kilde i tabellen nedenfor.
Dobbeltklikk på underelementet for å se hendelser. Bla gjennom hendelsene for å finne den du leter etter.
Funksjon
Leverandør/kilde
Hendelses-ID
Beskrivelse
Exploit Protection
Sikkerhetsbegrensninger (kjernemodus/brukermodus)
1
ACG-overvåking
Exploit Protection
Sikkerhetsbegrensninger (kjernemodus/brukermodus)
2
Gjennomfør ACG
Exploit Protection
Sikkerhetsbegrensninger (kjernemodus/brukermodus)
3
Ikke tillat overvåking av underordnede prosesser
Exploit Protection
Sikkerhetsbegrensninger (kjernemodus/brukermodus)
4
Ikke tillat blokkering av underordnede prosesser
Exploit Protection
Sikkerhetsbegrensninger (kjernemodus/brukermodus)
5
Blokker bilder med lav integritet
Exploit Protection
Sikkerhetsbegrensninger (kjernemodus/brukermodus)
6
Blokkblokk for bilder med lav integritet
Exploit Protection
Sikkerhetsbegrensninger (kjernemodus/brukermodus)
7
Blokker eksterne bilder
Exploit Protection
Sikkerhetsbegrensninger (kjernemodus/brukermodus)
8
Blokker eksterne bilder-blokk
Exploit Protection
Sikkerhetsbegrensninger (kjernemodus/brukermodus)
9
Deaktiver Win32k systemanrop
Exploit Protection
Sikkerhetsbegrensninger (kjernemodus/brukermodus)
10
Deaktiver win32k-systemkallblokk
Exploit Protection
Sikkerhetsbegrensninger (kjernemodus/brukermodus)
11
Overvåking av vern for kodeintegritet
Exploit Protection
Sikkerhetsbegrensninger (kjernemodus/brukermodus)
12
Kodeintegritetsbeskyttelsesblokk
Exploit Protection
Sikkerhetsbegrensninger (kjernemodus/brukermodus)
13
EAF-revisjon
Exploit Protection
Sikkerhetsbegrensninger (kjernemodus/brukermodus)
14
EAF fremtvinger
Exploit Protection
Sikkerhetsbegrensninger (kjernemodus/brukermodus)
15
EAF+ overvåking
Exploit Protection
Sikkerhetsbegrensninger (kjernemodus/brukermodus)
16
EAF+ fremtving
Exploit Protection
Sikkerhetsbegrensninger (kjernemodus/brukermodus)
17
IAF-revisjon
Exploit Protection
Sikkerhetsbegrensninger (kjernemodus/brukermodus)
18
IAF håndhever
Exploit Protection
Sikkerhetsbegrensninger (kjernemodus/brukermodus)
19
ROP StackPivot-overvåking
Exploit Protection
Sikkerhetsbegrensninger (kjernemodus/brukermodus)
20
ROP StackPivot fremtvinger
Exploit Protection
Sikkerhetsbegrensninger (kjernemodus/brukermodus)
21
ROP CallerCheck-overvåking
Exploit Protection
Sikkerhetsbegrensninger (kjernemodus/brukermodus)
22
ROP CallerCheck fremtvinger
Exploit Protection
Sikkerhetsbegrensninger (kjernemodus/brukermodus)
23
ROP SimExec-overvåking
Exploit Protection
Sikkerhetsbegrensninger (kjernemodus/brukermodus)
24
ROP SimExec håndhever
Exploit Protection
WER-Diagnostics
5
CFG-blokk
Exploit Protection
Win32K (operativ)
260
Ikke-klarert skrift
Nettverksbeskyttelse
Windows Defender (operativ)
5007
Hendelse når innstillingene endres
Nettverksbeskyttelse
Windows Defender (operativ)
1125
Hendelse når nettverksbeskyttelse utløses i overvåkingsmodus
Nettverksbeskyttelse
Windows Defender (operativ)
1126
Hendelse når nettverksbeskyttelse utløses i blokkmodus
Kontrollert mappetilgang
Windows Defender (operativ)
5007
Hendelse når innstillingene endres
Kontrollert mappetilgang
Windows Defender (operativ)
1124
Overvåket kontrollert mappetilgangshendelse
Kontrollert mappetilgang
Windows Defender (operativ)
1123
Hendelse for tilgang til blokkert kontrollert mappe
Kontrollert mappetilgang
Windows Defender (operativ)
1127
Blokkert kontrollert mappetilgang sektor skrive blokk hendelse
Kontrollert mappetilgang
Windows Defender (operativ)
1128
Overvåk kontrollert mappetilgang sektor skrive blokk hendelse
Reduksjon av angrepsoverflaten
Windows Defender (operativ)
5007
Hendelse når innstillingene endres
Reduksjon av angrepsoverflaten
Windows Defender (operativ)
1122
Hendelse når regelen utløses i overvåkingsmodus
Reduksjon av angrepsoverflaten
Windows Defender (operativ)
1121
Hendelse når regelen utløses i blokkmodus
Obs!
Fra brukerens perspektiv blir varslinger om reduksjon av angrepsoverflatevarsling for angrepsoverflaten gjort som en Windows Toast Notification for regler for reduksjon av angrepsoverflaten.
Ved reduksjon av angrepsoverflaten gir Nettverksbeskyttelse bare overvåkings- og blokkmoduser.
Ressurser for å lære mer om reduksjon av angrepsoverflate
Som nevnt i videoen inneholder Defender for Endpoint flere funksjoner for reduksjon av angrepsoverflaten. Bruk følgende ressurser til å finne ut mer:
Presenterer oversiktsinformasjon og forutsetninger for å distribuere regler for reduksjon av angrepsoverflate, etterfulgt av trinnvis veiledning for testing (revisjonsmodus), aktivering (blokkmodus) og overvåking.
Bidra til å hindre skadelige eller mistenkelige apper (inkludert skadelig programvare for filkryptering av løsepengevirus) fra å gjøre endringer i filer i de viktigste systemmappene (krever Microsoft Defender Antivirus).
Beskytter mot tap av data ved å overvåke og kontrollere medier som brukes på enheter, for eksempel flyttbar lagring og USB-stasjoner, i organisasjonen.
Beskytt operativsystemene og appene organisasjonen bruker fra å bli utnyttet. Utnyttelse av beskyttelse fungerer også med tredjeparts antivirusløsninger.
Beskytt og vedlikehold integriteten til et system når det starter og mens det kjører. Valider systemintegritet gjennom lokal og ekstern attestering. Bruk beholderisolasjon for Microsoft Edge for å beskytte deg mot skadelige nettsteder.