Del via


Forstå og bruke funksjoner for reduksjon av angrepsoverflater

Gjelder for:

Plattformer

  • Windows

Tips

Vil du oppleve Microsoft Defender for endepunkt? Registrer deg for en gratis prøveperiode.

Angrepsoverflater er alle stedene der organisasjonen er sårbar for cybertrusler og angrep. Defender for Endpoint inneholder flere funksjoner for å redusere angrepsoverflatene. Se følgende video for å lære mer om reduksjon av angrepsoverflaten.

Konfigurer funksjoner for reduksjon av angrepsoverflaten

Følg disse trinnene for å konfigurere reduksjon av angrepsoverflate i miljøet:

  1. Aktiver maskinvarebasert isolering for Microsoft Edge.

  2. Aktiver regler for reduksjon av angrepsoverflate.

  3. Aktiver programkontroll.

    1. Se gjennom grunnleggende policyer i Windows. Se eksempel på grunnleggende policyer.

    2. Se utformingsveiledningen for Windows Defender programkontroll.

    3. Se Distribusjon av policyer for Windows Defender programkontroll (WDAC).

  4. Aktiver kontrollert mappetilgang.

  5. Aktiver flyttbar lagringsbeskyttelse.

  6. Aktiver nettverksbeskyttelse.

  7. Aktiver webbeskyttelse.

  8. Aktiver utnyttelsesbeskyttelse.

  9. Konfigurer nettverksbrannmuren.

    1. Få en oversikt over Windows-brannmuren med avansert sikkerhet.

    2. Bruk utformingsveiledningen for Windows-brannmur til å bestemme hvordan du vil utforme brannmurpolicyene.

    3. Bruk distribusjonsveiledningen for Windows-brannmur til å konfigurere organisasjonens brannmur med avansert sikkerhet.

Tips

I de fleste tilfeller, når du konfigurerer funksjoner for reduksjon av angrepsoverflaten, kan du velge blant flere metoder:

  • Microsoft Intune
  • Microsoft Configuration Manager
  • Gruppepolicy
  • PowerShell-cmdleter

Reduksjon av testangrepsoverflate i Microsoft Defender for endepunkt

Som en del av organisasjonens sikkerhetsteam kan du konfigurere funksjoner for reduksjon av angrepsoverflater til å kjøre i overvåkingsmodus for å se hvordan de fungerer. Du kan aktivere følgende sikkerhetsfunksjoner for angrepsoverflatereduksjon i overvåkingsmodus:

  • Regler for reduksjon av angrepsoverflaten
  • Exploit Protection
  • Nettverksbeskyttelse
  • Kontrollert mappetilgang
  • Enhetskontroll

Overvåkingsmodus lar deg se en oversikt over hva som ville ha skjedd hvis funksjonen ble aktivert.

Du kan aktivere overvåkingsmodus når du tester hvordan funksjonene fungerer. Aktivering av overvåkingsmodus bare for testing bidrar til å hindre at overvåkingsmodus påvirker bransjespesifikke apper. Du kan også få et inntrykk av hvor mange mistenkelige filendringsforsøk som utføres over en viss tidsperiode.

Funksjonene blokkerer eller hindrer ikke at apper, skript eller filer endres. Hendelsesloggen i Windows registrerer imidlertid hendelser som om funksjonene var fullstendig aktivert. Med overvåkingsmodus kan du se gjennom hendelsesloggen for å se hvilken effekt funksjonen ville hatt hvis den ble aktivert.

Hvis du vil finne de overvåkede oppføringene, kan du gå til Programmer og tjenester>Microsoft>Windows>Windows Defender>Operational.

Bruk Defender for endepunkt for å få større detaljer for hver hendelse. Disse detaljene er spesielt nyttige for å undersøke regler for reduksjon av angrepsoverflater. Ved hjelp av Defender for Endpoint-konsollen kan du undersøke problemer som en del av varseltidslinjen og undersøkelsesscenarioene.

Du kan aktivere overvåkingsmodus ved hjelp av gruppepolicy- og PowerShell- og konfigurasjonstjenesteleverandører (CSP-er).

Revisjonsalternativer Slik aktiverer du overvåkingsmodus Slik viser du hendelser
Overvåking gjelder for alle hendelser Aktiver kontrollert mappetilgang Kontrollerte mappetilgangshendelser
Revisjon gjelder for individuelle regler Trinn 1: Test regler for reduksjon av angrepsoverflate ved hjelp av overvåkingsmodus Trinn 2: Forstå rapporteringssiden for rapportering av angrepsregler for overflatereduksjon
Overvåking gjelder for alle hendelser Aktiver nettverksbeskyttelse Nettverksbeskyttelseshendelser
Revisjon gjelder for individuelle begrensninger Aktiver utnyttelsesbeskyttelse Utnytte beskyttelseshendelser

Du kan for eksempel teste regler for reduksjon av angrepsoverflaten i overvåkingsmodus før du aktiverer dem i blokkmodus. Regler for reduksjon av angrepsoverflater er forhåndsdefinert for å herde vanlige, kjente angrepsoverflater. Det finnes flere metoder du kan bruke til å implementere regler for reduksjon av angrepsoverflater. Den foretrukne metoden er dokumentert i følgende distribusjonsartikler om angrepsoverflatereduksjonsregler:

Vis angrepsoverflatereduksjonshendelser

Se gjennom angrepsoverflatereduksjonshendelser i Hendelsesliste for å overvåke hvilke regler eller innstillinger som fungerer. Du kan også finne ut om noen av innstillingene er for støyende eller påvirker den daglige arbeidsflyten.

Gjennomgang av hendelser er praktisk når du evaluerer funksjonene. Du kan aktivere overvåkingsmodus for funksjoner eller innstillinger, og deretter se gjennom hva som ville ha skjedd hvis de var fullstendig aktivert.

Denne delen viser alle hendelsene, deres tilknyttede funksjon eller innstilling, og beskriver hvordan du oppretter egendefinerte visninger for å filtrere til bestemte hendelser.

Få detaljert rapportering i hendelser, blokker og advarsler som en del av Windows Sikkerhet hvis du har et E5-abonnement og bruker Microsoft Defender for endepunkt.

Bruk egendefinerte visninger til å se gjennom funksjoner for angrepsoverflatereduksjon

Opprett egendefinerte visninger i Windows Hendelsesliste for bare å se hendelser for bestemte funksjoner og innstillinger. Den enkleste måten er å importere en egendefinert visning som en XML-fil. Du kan kopiere XML-filen direkte fra denne siden.

Du kan også navigere manuelt til hendelsesområdet som tilsvarer funksjonen.

Importere en eksisterende egendefinert XML-visning

  1. Opprett en tom .txt-fil og kopiere XML-filen for den egendefinerte visningen du vil bruke, til .txt-filen. Gjør dette for hver av de egendefinerte visningene du vil bruke. Gi nytt navn til filene på følgende måte (sørg for at du endrer typen fra .txt til .xml):

    • Kontrollert egendefinert visning for mappetilgangshendelser: cfa-events.xml
    • Egendefinert visning for å utnytte beskyttelseshendelser: ep-events.xml
    • Egendefinert visning av angrepsoverflatereduksjon: asr-events.xml
    • Egendefinert visning av nettverks-/beskyttelseshendelser: np-events.xml
  2. Skriv inn visningsprogram for hendelser på Start-menyen, og åpne Hendelsesliste.

  3. Velgegendefinert visning for handlingsimport...>

    Animasjon som uthever den egendefinerte visningen Importer til venstre for Visningsprogram for partall-vinduet.

  4. Naviger til der du pakket ut XML-filen for den egendefinerte visningen du vil bruke, og velg den.

  5. Klikk Åpne.

  6. Den oppretter en egendefinert visning som filtrerer for å bare vise hendelsene som er relatert til denne funksjonen.

Kopier XML-filen direkte

  1. Skriv inn visningsprogram for hendelser på Start-menyen, og åpne Windows Hendelsesliste.

  2. Velg Opprett egendefinert visning i venstre panel under Handlinger...

    Animasjon som uthever alternativet Opprett egendefinert visning i vinduet For hendelsesvisning.

  3. Gå til XML-fanen, og velg Rediger spørring manuelt. Du ser en advarsel om at du ikke kan redigere spørringen ved hjelp av filterfanen hvis du bruker XML-alternativet. Velg Ja.

  4. Lim inn XML-koden for funksjonen du vil filtrere hendelser fra, i XML-delen.

  5. Velg OK. Angi et navn for filteret. Denne handlingen oppretter en egendefinert visning som filtrerer for å bare vise hendelsene som er relatert til denne funksjonen.

XML for regelhendelser for reduksjon av angrepsoverflate

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
   <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select>
   <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select>
  </Query>
</QueryList>

XML for kontrollerte mappetilgangshendelser

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
   <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
   <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
  </Query>
</QueryList>

XML for utnyttelsesbeskyttelseshendelser

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Security-Mitigations/KernelMode">
   <Select Path="Microsoft-Windows-Security-Mitigations/KernelMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Concurrency">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Contention">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Messages">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Operational">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Power">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Render">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Tracing">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/UIPI">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Security-Mitigations/UserMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
  </Query>
</QueryList>

XML for nettverksbeskyttelseshendelser

<QueryList>
 <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
  <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
  <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
 </Query>
</QueryList>

Liste over angrepsoverflatereduksjonshendelser

Alle angrepsoverflatereduksjonshendelser er plassert under Programmer og tjenestelogger > Microsoft > Windows , og deretter mappen eller leverandøren som er oppført i tabellen nedenfor.

Du kan få tilgang til disse hendelsene i Windows Event Viewer:

  1. Åpne Start-menyen og skriv inn visningsprogram for hendelser, og velg deretter Hendelsesliste resultat.

  2. Utvid Programmer og tjenester Logger > Microsoft > Windows , og gå deretter til mappen som er oppført under Leverandør/kilde i tabellen nedenfor.

  3. Dobbeltklikk på underelementet for å se hendelser. Bla gjennom hendelsene for å finne den du leter etter.

    Animasjon som vises ved hjelp av Hendelsesliste.

Funksjon Leverandør/kilde Hendelses-ID Beskrivelse
Exploit Protection Sikkerhetsbegrensninger (kjernemodus/brukermodus) 1 ACG-overvåking
Exploit Protection Sikkerhetsbegrensninger (kjernemodus/brukermodus) 2 Gjennomfør ACG
Exploit Protection Sikkerhetsbegrensninger (kjernemodus/brukermodus) 3 Ikke tillat overvåking av underordnede prosesser
Exploit Protection Sikkerhetsbegrensninger (kjernemodus/brukermodus) 4 Ikke tillat blokkering av underordnede prosesser
Exploit Protection Sikkerhetsbegrensninger (kjernemodus/brukermodus) 5 Blokker bilder med lav integritet
Exploit Protection Sikkerhetsbegrensninger (kjernemodus/brukermodus) 6 Blokkblokk for bilder med lav integritet
Exploit Protection Sikkerhetsbegrensninger (kjernemodus/brukermodus) 7 Blokker eksterne bilder
Exploit Protection Sikkerhetsbegrensninger (kjernemodus/brukermodus) 8 Blokker eksterne bilder-blokk
Exploit Protection Sikkerhetsbegrensninger (kjernemodus/brukermodus) 9 Deaktiver Win32k systemanrop
Exploit Protection Sikkerhetsbegrensninger (kjernemodus/brukermodus) 10 Deaktiver win32k-systemkallblokk
Exploit Protection Sikkerhetsbegrensninger (kjernemodus/brukermodus) 11 Overvåking av vern for kodeintegritet
Exploit Protection Sikkerhetsbegrensninger (kjernemodus/brukermodus) 12 Kodeintegritetsbeskyttelsesblokk
Exploit Protection Sikkerhetsbegrensninger (kjernemodus/brukermodus) 13 EAF-revisjon
Exploit Protection Sikkerhetsbegrensninger (kjernemodus/brukermodus) 14 EAF fremtvinger
Exploit Protection Sikkerhetsbegrensninger (kjernemodus/brukermodus) 15 EAF+ overvåking
Exploit Protection Sikkerhetsbegrensninger (kjernemodus/brukermodus) 16 EAF+ fremtving
Exploit Protection Sikkerhetsbegrensninger (kjernemodus/brukermodus) 17 IAF-revisjon
Exploit Protection Sikkerhetsbegrensninger (kjernemodus/brukermodus) 18 IAF håndhever
Exploit Protection Sikkerhetsbegrensninger (kjernemodus/brukermodus) 19 ROP StackPivot-overvåking
Exploit Protection Sikkerhetsbegrensninger (kjernemodus/brukermodus) 20 ROP StackPivot fremtvinger
Exploit Protection Sikkerhetsbegrensninger (kjernemodus/brukermodus) 21 ROP CallerCheck-overvåking
Exploit Protection Sikkerhetsbegrensninger (kjernemodus/brukermodus) 22 ROP CallerCheck fremtvinger
Exploit Protection Sikkerhetsbegrensninger (kjernemodus/brukermodus) 23 ROP SimExec-overvåking
Exploit Protection Sikkerhetsbegrensninger (kjernemodus/brukermodus) 24 ROP SimExec håndhever
Exploit Protection WER-Diagnostics 5 CFG-blokk
Exploit Protection Win32K (operativ) 260 Ikke-klarert skrift
Nettverksbeskyttelse Windows Defender (drift) 5007 Hendelse når innstillingene endres
Nettverksbeskyttelse Windows Defender (drift) 1125 Hendelse når nettverksbeskyttelse utløses i overvåkingsmodus
Nettverksbeskyttelse Windows Defender (drift) 1126 Hendelse når nettverksbeskyttelse utløses i blokkmodus
Kontrollert mappetilgang Windows Defender (drift) 5007 Hendelse når innstillingene endres
Kontrollert mappetilgang Windows Defender (drift) 1124 Overvåket kontrollert mappetilgangshendelse
Kontrollert mappetilgang Windows Defender (drift) 1123 Hendelse for tilgang til blokkert kontrollert mappe
Kontrollert mappetilgang Windows Defender (drift) 1127 Blokkert kontrollert mappetilgang sektor skrive blokk hendelse
Kontrollert mappetilgang Windows Defender (drift) 1128 Overvåk kontrollert mappetilgang sektor skrive blokk hendelse
Reduksjon av angrepsoverflaten Windows Defender (drift) 5007 Hendelse når innstillingene endres
Reduksjon av angrepsoverflaten Windows Defender (drift) 1122 Hendelse når regelen utløses i overvåkingsmodus
Reduksjon av angrepsoverflaten Windows Defender (drift) 1121 Hendelse når regelen utløses i blokkmodus

Obs!

Fra brukerens perspektiv blir varslinger om reduksjon av angrepsoverflatevarsling for angrepsoverflaten gjort som en Windows Toast Notification for regler for reduksjon av angrepsoverflaten.

Ved reduksjon av angrepsoverflaten gir Nettverksbeskyttelse bare overvåkings- og blokkmoduser.

Ressurser for å lære mer om reduksjon av angrepsoverflate

Som nevnt i videoen inneholder Defender for Endpoint flere funksjoner for reduksjon av angrepsoverflaten. Bruk følgende ressurser til å finne ut mer:

Artikkelen Beskrivelse
Programkontroll Bruk programkontroll slik at programmene dine må få tillit for å kunne kjøre.
Referanse for reduksjonsregler for angrepsoverflate Gir detaljer om hver regel for reduksjon av angrepsoverflaten.
Distribusjonsveiledning for distribusjon av regler for angrepsoverflate Presenterer oversiktsinformasjon og forutsetninger for å distribuere regler for reduksjon av angrepsoverflate, etterfulgt av trinnvis veiledning for testing (revisjonsmodus), aktivering (blokkmodus) og overvåking.
Kontrollert mappetilgang Bidra til å hindre skadelige eller mistenkelige apper (inkludert skadelig programvare for filkryptering av løsepengevirus) fra å gjøre endringer i filer i de viktigste systemmappene (krever Microsoft Defender Antivirus).
Enhetskontroll Beskytter mot tap av data ved å overvåke og kontrollere medier som brukes på enheter, for eksempel flyttbar lagring og USB-stasjoner, i organisasjonen.
Exploit Protection Beskytt operativsystemene og appene organisasjonen bruker fra å bli utnyttet. Utnyttelse av beskyttelse fungerer også med tredjeparts antivirusløsninger.
Maskinvarebasert isolering Beskytt og vedlikehold integriteten til et system når det starter og mens det kjører. Valider systemintegritet gjennom lokal og ekstern attestering. Bruk beholderisolasjon for Microsoft Edge for å beskytte deg mot skadelige nettsteder.
Nettverksbeskyttelse Utvid beskyttelsen mot nettverkstrafikken og tilkoblingen på organisasjonens enheter. (Krever Microsoft Defender Antivirus).
Regler for reduksjon av angrepsoverflate Gir trinn for å bruke overvåkingsmodus til å teste regler for reduksjon av angrepsoverflaten.
Webbeskyttelse Med webbeskyttelse kan du sikre enhetene dine mot netttrusler og hjelpe deg med å regulere uønsket innhold.

Tips

Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.