Forstå og bruke funksjoner for reduksjon av angrepsoverflater

Gjelder for:

• Microsoft Defender XDR
• Microsoft Defender for endepunkt plan 1
• Microsoft Defender for endepunkt plan 2
• Microsoft Defender Antivirus

Plattformer

• Windows

Tips

Vil du oppleve Microsoft Defender for endepunkt? Registrer deg for en gratis prøveperiode.

Angrepsoverflater er alle stedene der organisasjonen er sårbar for cybertrusler og angrep. Defender for Endpoint inneholder flere funksjoner for å redusere angrepsoverflatene. Se følgende video for å lære mer om reduksjon av angrepsoverflaten.

Konfigurer funksjoner for reduksjon av angrepsoverflaten

Følg disse trinnene for å konfigurere reduksjon av angrepsoverflate i miljøet:

1. Aktiver maskinvarebasert isolering for Microsoft Edge.

2. Aktiver regler for reduksjon av angrepsoverflate.

3. Aktiver programkontroll.

   1. Se gjennom grunnleggende policyer i Windows. Se eksempel på grunnleggende policyer.

   2. Se utformingsveiledningen for Windows Defender programkontroll.

   3. Se Distribusjon av policyer for Windows Defender programkontroll (WDAC).

4. Aktiver kontrollert mappetilgang.

5. Aktiver flyttbar lagringsbeskyttelse.

6. Aktiver nettverksbeskyttelse.

7. Aktiver webbeskyttelse.

8. Aktiver utnyttelsesbeskyttelse.

9. Konfigurer nettverksbrannmuren.

   1. Få en oversikt over Windows-brannmuren med avansert sikkerhet.

   2. Bruk utformingsveiledningen for Windows-brannmur til å bestemme hvordan du vil utforme brannmurpolicyene.

   3. Bruk distribusjonsveiledningen for Windows-brannmur til å konfigurere organisasjonens brannmur med avansert sikkerhet.

Tips

I de fleste tilfeller, når du konfigurerer funksjoner for reduksjon av angrepsoverflaten, kan du velge blant flere metoder:

• Microsoft Intune
• Microsoft Configuration Manager
• Gruppepolicy
• PowerShell-cmdleter

Reduksjon av testangrepsoverflate i Microsoft Defender for endepunkt

Som en del av organisasjonens sikkerhetsteam kan du konfigurere funksjoner for reduksjon av angrepsoverflater til å kjøre i overvåkingsmodus for å se hvordan de fungerer. Du kan aktivere følgende sikkerhetsfunksjoner for angrepsoverflatereduksjon i overvåkingsmodus:

• Regler for reduksjon av angrepsoverflaten
• Exploit Protection
• Nettverksbeskyttelse
• Kontrollert mappetilgang
• Enhetskontroll

Overvåkingsmodus lar deg se en oversikt over hva som ville ha skjedd hvis funksjonen ble aktivert.

Du kan aktivere overvåkingsmodus når du tester hvordan funksjonene fungerer. Aktivering av overvåkingsmodus bare for testing bidrar til å hindre at overvåkingsmodus påvirker bransjespesifikke apper. Du kan også få et inntrykk av hvor mange mistenkelige filendringsforsøk som utføres over en viss tidsperiode.

Funksjonene blokkerer eller hindrer ikke at apper, skript eller filer endres. Hendelsesloggen i Windows registrerer imidlertid hendelser som om funksjonene var fullstendig aktivert. Med overvåkingsmodus kan du se gjennom hendelsesloggen for å se hvilken effekt funksjonen ville hatt hvis den ble aktivert.

Hvis du vil finne de overvåkede oppføringene, kan du gå til Programmer og tjenester>Microsoft>Windows>Windows Defender>Operational.

Bruk Defender for endepunkt for å få større detaljer for hver hendelse. Disse detaljene er spesielt nyttige for å undersøke regler for reduksjon av angrepsoverflater. Ved hjelp av Defender for Endpoint-konsollen kan du undersøke problemer som en del av varseltidslinjen og undersøkelsesscenarioene.

Du kan aktivere overvåkingsmodus ved hjelp av gruppepolicy- og PowerShell- og konfigurasjonstjenesteleverandører (CSP-er).

Revisjonsalternativer	Slik aktiverer du overvåkingsmodus	Slik viser du hendelser
Overvåking gjelder for alle hendelser	Aktiver kontrollert mappetilgang	Kontrollerte mappetilgangshendelser
Revisjon gjelder for individuelle regler	Trinn 1: Test regler for reduksjon av angrepsoverflate ved hjelp av overvåkingsmodus	Trinn 2: Forstå rapporteringssiden for rapportering av angrepsregler for overflatereduksjon
Overvåking gjelder for alle hendelser	Aktiver nettverksbeskyttelse	Nettverksbeskyttelseshendelser
Revisjon gjelder for individuelle begrensninger	Aktiver utnyttelsesbeskyttelse	Utnytte beskyttelseshendelser

Du kan for eksempel teste regler for reduksjon av angrepsoverflaten i overvåkingsmodus før du aktiverer dem i blokkmodus. Regler for reduksjon av angrepsoverflater er forhåndsdefinert for å herde vanlige, kjente angrepsoverflater. Det finnes flere metoder du kan bruke til å implementere regler for reduksjon av angrepsoverflater. Den foretrukne metoden er dokumentert i følgende distribusjonsartikler om angrepsoverflatereduksjonsregler:

• Distribusjonsoversikt over angrepsoverflatereduksjonsregler
• Planlegg distribusjon av regler for reduksjon av angrepsoverflate
• Regler for reduksjon av angrepsoverflate
• Aktiver regler for reduksjon av angrepsoverflate
• Operasjonalisere regler for reduksjon av angrepsoverflate

Vis angrepsoverflatereduksjonshendelser

Se gjennom angrepsoverflatereduksjonshendelser i Hendelsesliste for å overvåke hvilke regler eller innstillinger som fungerer. Du kan også finne ut om noen av innstillingene er for støyende eller påvirker den daglige arbeidsflyten.

Gjennomgang av hendelser er praktisk når du evaluerer funksjonene. Du kan aktivere overvåkingsmodus for funksjoner eller innstillinger, og deretter se gjennom hva som ville ha skjedd hvis de var fullstendig aktivert.

Denne delen viser alle hendelsene, deres tilknyttede funksjon eller innstilling, og beskriver hvordan du oppretter egendefinerte visninger for å filtrere til bestemte hendelser.

Få detaljert rapportering i hendelser, blokker og advarsler som en del av Windows Sikkerhet hvis du har et E5-abonnement og bruker Microsoft Defender for endepunkt.

Bruk egendefinerte visninger til å se gjennom funksjoner for angrepsoverflatereduksjon

Opprett egendefinerte visninger i Windows Hendelsesliste for bare å se hendelser for bestemte funksjoner og innstillinger. Den enkleste måten er å importere en egendefinert visning som en XML-fil. Du kan kopiere XML-filen direkte fra denne siden.

Du kan også navigere manuelt til hendelsesområdet som tilsvarer funksjonen.

Importere en eksisterende egendefinert XML-visning

1. Opprett en tom .txt-fil og kopiere XML-filen for den egendefinerte visningen du vil bruke, til .txt-filen. Gjør dette for hver av de egendefinerte visningene du vil bruke. Gi nytt navn til filene på følgende måte (sørg for at du endrer typen fra .txt til .xml):

   • Kontrollert egendefinert visning for mappetilgangshendelser: cfa-events.xml
   • Egendefinert visning for å utnytte beskyttelseshendelser: ep-events.xml
   • Egendefinert visning av angrepsoverflatereduksjon: asr-events.xml
   • Egendefinert visning av nettverks-/beskyttelseshendelser: np-events.xml

2. Skriv inn visningsprogram for hendelser på Start-menyen, og åpne Hendelsesliste.

3. Velgegendefinert visning for handlingsimport...>

   

4. Naviger til der du pakket ut XML-filen for den egendefinerte visningen du vil bruke, og velg den.

5. Klikk Åpne.

6. Den oppretter en egendefinert visning som filtrerer for å bare vise hendelsene som er relatert til denne funksjonen.

Kopier XML-filen direkte

1. Skriv inn visningsprogram for hendelser på Start-menyen, og åpne Windows Hendelsesliste.

2. Velg Opprett egendefinert visning i venstre panel under Handlinger...

   

3. Gå til XML-fanen, og velg Rediger spørring manuelt. Du ser en advarsel om at du ikke kan redigere spørringen ved hjelp av filterfanen hvis du bruker XML-alternativet. Velg Ja.

4. Lim inn XML-koden for funksjonen du vil filtrere hendelser fra, i XML-delen.

5. Velg OK. Angi et navn for filteret. Denne handlingen oppretter en egendefinert visning som filtrerer for å bare vise hendelsene som er relatert til denne funksjonen.

XML for regelhendelser for reduksjon av angrepsoverflate

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
   <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select>
   <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select>
  </Query>
</QueryList>

XML for kontrollerte mappetilgangshendelser

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
   <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
   <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
  </Query>
</QueryList>

XML for utnyttelsesbeskyttelseshendelser

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Security-Mitigations/KernelMode">
   <Select Path="Microsoft-Windows-Security-Mitigations/KernelMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Concurrency">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Contention">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Messages">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Operational">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Power">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Render">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Tracing">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/UIPI">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Security-Mitigations/UserMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
  </Query>
</QueryList>

XML for nettverksbeskyttelseshendelser

<QueryList>
 <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
  <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
  <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
 </Query>
</QueryList>

Liste over angrepsoverflatereduksjonshendelser

Alle angrepsoverflatereduksjonshendelser er plassert under Programmer og tjenestelogger > Microsoft > Windows , og deretter mappen eller leverandøren som er oppført i tabellen nedenfor.

Du kan få tilgang til disse hendelsene i Windows Event Viewer:

1. Åpne Start-menyen og skriv inn visningsprogram for hendelser, og velg deretter Hendelsesliste resultat.

2. Utvid Programmer og tjenester Logger > Microsoft > Windows , og gå deretter til mappen som er oppført under Leverandør/kilde i tabellen nedenfor.

3. Dobbeltklikk på underelementet for å se hendelser. Bla gjennom hendelsene for å finne den du leter etter.

   

Funksjon	Leverandør/kilde	Hendelses-ID	Beskrivelse
Exploit Protection	Sikkerhetsbegrensninger (kjernemodus/brukermodus)	1	ACG-overvåking
Exploit Protection	Sikkerhetsbegrensninger (kjernemodus/brukermodus)	2	Gjennomfør ACG
Exploit Protection	Sikkerhetsbegrensninger (kjernemodus/brukermodus)	3	Ikke tillat overvåking av underordnede prosesser
Exploit Protection	Sikkerhetsbegrensninger (kjernemodus/brukermodus)	4	Ikke tillat blokkering av underordnede prosesser
Exploit Protection	Sikkerhetsbegrensninger (kjernemodus/brukermodus)	5	Blokker bilder med lav integritet
Exploit Protection	Sikkerhetsbegrensninger (kjernemodus/brukermodus)	6	Blokkblokk for bilder med lav integritet
Exploit Protection	Sikkerhetsbegrensninger (kjernemodus/brukermodus)	7	Blokker eksterne bilder
Exploit Protection	Sikkerhetsbegrensninger (kjernemodus/brukermodus)	8	Blokker eksterne bilder-blokk
Exploit Protection	Sikkerhetsbegrensninger (kjernemodus/brukermodus)	9	Deaktiver Win32k systemanrop
Exploit Protection	Sikkerhetsbegrensninger (kjernemodus/brukermodus)	10	Deaktiver win32k-systemkallblokk
Exploit Protection	Sikkerhetsbegrensninger (kjernemodus/brukermodus)	11	Overvåking av vern for kodeintegritet
Exploit Protection	Sikkerhetsbegrensninger (kjernemodus/brukermodus)	12	Kodeintegritetsbeskyttelsesblokk
Exploit Protection	Sikkerhetsbegrensninger (kjernemodus/brukermodus)	13	EAF-revisjon
Exploit Protection	Sikkerhetsbegrensninger (kjernemodus/brukermodus)	14	EAF fremtvinger
Exploit Protection	Sikkerhetsbegrensninger (kjernemodus/brukermodus)	15	EAF+ overvåking
Exploit Protection	Sikkerhetsbegrensninger (kjernemodus/brukermodus)	16	EAF+ fremtving
Exploit Protection	Sikkerhetsbegrensninger (kjernemodus/brukermodus)	17	IAF-revisjon
Exploit Protection	Sikkerhetsbegrensninger (kjernemodus/brukermodus)	18	IAF håndhever
Exploit Protection	Sikkerhetsbegrensninger (kjernemodus/brukermodus)	19	ROP StackPivot-overvåking
Exploit Protection	Sikkerhetsbegrensninger (kjernemodus/brukermodus)	20	ROP StackPivot fremtvinger
Exploit Protection	Sikkerhetsbegrensninger (kjernemodus/brukermodus)	21	ROP CallerCheck-overvåking
Exploit Protection	Sikkerhetsbegrensninger (kjernemodus/brukermodus)	22	ROP CallerCheck fremtvinger
Exploit Protection	Sikkerhetsbegrensninger (kjernemodus/brukermodus)	23	ROP SimExec-overvåking
Exploit Protection	Sikkerhetsbegrensninger (kjernemodus/brukermodus)	24	ROP SimExec håndhever
Exploit Protection	WER-Diagnostics	5	CFG-blokk
Exploit Protection	Win32K (operativ)	260	Ikke-klarert skrift
Nettverksbeskyttelse	Windows Defender (drift)	5007	Hendelse når innstillingene endres
Nettverksbeskyttelse	Windows Defender (drift)	1125	Hendelse når nettverksbeskyttelse utløses i overvåkingsmodus
Nettverksbeskyttelse	Windows Defender (drift)	1126	Hendelse når nettverksbeskyttelse utløses i blokkmodus
Kontrollert mappetilgang	Windows Defender (drift)	5007	Hendelse når innstillingene endres
Kontrollert mappetilgang	Windows Defender (drift)	1124	Overvåket kontrollert mappetilgangshendelse
Kontrollert mappetilgang	Windows Defender (drift)	1123	Hendelse for tilgang til blokkert kontrollert mappe
Kontrollert mappetilgang	Windows Defender (drift)	1127	Blokkert kontrollert mappetilgang sektor skrive blokk hendelse
Kontrollert mappetilgang	Windows Defender (drift)	1128	Overvåk kontrollert mappetilgang sektor skrive blokk hendelse
Reduksjon av angrepsoverflaten	Windows Defender (drift)	5007	Hendelse når innstillingene endres
Reduksjon av angrepsoverflaten	Windows Defender (drift)	1122	Hendelse når regelen utløses i overvåkingsmodus
Reduksjon av angrepsoverflaten	Windows Defender (drift)	1121	Hendelse når regelen utløses i blokkmodus

Obs!

Fra brukerens perspektiv blir varslinger om reduksjon av angrepsoverflatevarsling for angrepsoverflaten gjort som en Windows Toast Notification for regler for reduksjon av angrepsoverflaten.

Ved reduksjon av angrepsoverflaten gir Nettverksbeskyttelse bare overvåkings- og blokkmoduser.

Ressurser for å lære mer om reduksjon av angrepsoverflate

Som nevnt i videoen inneholder Defender for Endpoint flere funksjoner for reduksjon av angrepsoverflaten. Bruk følgende ressurser til å finne ut mer:

Artikkelen	Beskrivelse
Programkontroll	Bruk programkontroll slik at programmene dine må få tillit for å kunne kjøre.
Referanse for reduksjonsregler for angrepsoverflate	Gir detaljer om hver regel for reduksjon av angrepsoverflaten.
Distribusjonsveiledning for distribusjon av regler for angrepsoverflate	Presenterer oversiktsinformasjon og forutsetninger for å distribuere regler for reduksjon av angrepsoverflate, etterfulgt av trinnvis veiledning for testing (revisjonsmodus), aktivering (blokkmodus) og overvåking.
Kontrollert mappetilgang	Bidra til å hindre skadelige eller mistenkelige apper (inkludert skadelig programvare for filkryptering av løsepengevirus) fra å gjøre endringer i filer i de viktigste systemmappene (krever Microsoft Defender Antivirus).
Enhetskontroll	Beskytter mot tap av data ved å overvåke og kontrollere medier som brukes på enheter, for eksempel flyttbar lagring og USB-stasjoner, i organisasjonen.
Exploit Protection	Beskytt operativsystemene og appene organisasjonen bruker fra å bli utnyttet. Utnyttelse av beskyttelse fungerer også med tredjeparts antivirusløsninger.
Maskinvarebasert isolering	Beskytt og vedlikehold integriteten til et system når det starter og mens det kjører. Valider systemintegritet gjennom lokal og ekstern attestering. Bruk beholderisolasjon for Microsoft Edge for å beskytte deg mot skadelige nettsteder.
Nettverksbeskyttelse	Utvid beskyttelsen mot nettverkstrafikken og tilkoblingen på organisasjonens enheter. (Krever Microsoft Defender Antivirus).
Regler for reduksjon av angrepsoverflate	Gir trinn for å bruke overvåkingsmodus til å teste regler for reduksjon av angrepsoverflaten.
Webbeskyttelse	Med webbeskyttelse kan du sikre enhetene dine mot netttrusler og hjelpe deg med å regulere uønsket innhold.

Tips

Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.