Forstå og bruke funksjoner for reduksjon av angrepsoverflater
Gjelder for:
- Microsoft Defender XDR
- Microsoft Defender for endepunkt plan 1
- Microsoft Defender for endepunkt plan 2
- Microsoft Defender Antivirus
Plattformer
- Windows
Tips
Vil du oppleve Microsoft Defender for endepunkt? Registrer deg for en gratis prøveperiode.
Angrepsoverflater er alle stedene der organisasjonen er sårbar for cybertrusler og angrep. Defender for Endpoint inneholder flere funksjoner for å redusere angrepsoverflatene. Se følgende video for å lære mer om reduksjon av angrepsoverflaten.
Konfigurer funksjoner for reduksjon av angrepsoverflaten
Følg disse trinnene for å konfigurere reduksjon av angrepsoverflate i miljøet:
Aktiver programkontroll.
Se gjennom grunnleggende policyer i Windows. Se eksempel på grunnleggende policyer.
Se utformingsveiledningen for Windows Defender programkontroll.
Se Distribusjon av policyer for Windows Defender programkontroll (WDAC).
Aktiver flyttbar lagringsbeskyttelse.
Aktiver webbeskyttelse.
Konfigurer nettverksbrannmuren.
Få en oversikt over Windows-brannmuren med avansert sikkerhet.
Bruk utformingsveiledningen for Windows-brannmur til å bestemme hvordan du vil utforme brannmurpolicyene.
Bruk distribusjonsveiledningen for Windows-brannmur til å konfigurere organisasjonens brannmur med avansert sikkerhet.
Tips
I de fleste tilfeller, når du konfigurerer funksjoner for reduksjon av angrepsoverflaten, kan du velge blant flere metoder:
- Microsoft Intune
- Microsoft Configuration Manager
- Gruppepolicy
- PowerShell-cmdleter
Reduksjon av testangrepsoverflate i Microsoft Defender for endepunkt
Som en del av organisasjonens sikkerhetsteam kan du konfigurere funksjoner for reduksjon av angrepsoverflater til å kjøre i overvåkingsmodus for å se hvordan de fungerer. Du kan aktivere følgende sikkerhetsfunksjoner for angrepsoverflatereduksjon i overvåkingsmodus:
- Regler for reduksjon av angrepsoverflaten
- Exploit Protection
- Nettverksbeskyttelse
- Kontrollert mappetilgang
- Enhetskontroll
Overvåkingsmodus lar deg se en oversikt over hva som ville ha skjedd hvis funksjonen ble aktivert.
Du kan aktivere overvåkingsmodus når du tester hvordan funksjonene fungerer. Aktivering av overvåkingsmodus bare for testing bidrar til å hindre at overvåkingsmodus påvirker bransjespesifikke apper. Du kan også få et inntrykk av hvor mange mistenkelige filendringsforsøk som utføres over en viss tidsperiode.
Funksjonene blokkerer eller hindrer ikke at apper, skript eller filer endres. Hendelsesloggen i Windows registrerer imidlertid hendelser som om funksjonene var fullstendig aktivert. Med overvåkingsmodus kan du se gjennom hendelsesloggen for å se hvilken effekt funksjonen ville hatt hvis den ble aktivert.
Hvis du vil finne de overvåkede oppføringene, kan du gå til Programmer og tjenester>Microsoft>Windows>Windows Defender>Operational.
Bruk Defender for endepunkt for å få større detaljer for hver hendelse. Disse detaljene er spesielt nyttige for å undersøke regler for reduksjon av angrepsoverflater. Ved hjelp av Defender for Endpoint-konsollen kan du undersøke problemer som en del av varseltidslinjen og undersøkelsesscenarioene.
Du kan aktivere overvåkingsmodus ved hjelp av gruppepolicy- og PowerShell- og konfigurasjonstjenesteleverandører (CSP-er).
| Revisjonsalternativer | Slik aktiverer du overvåkingsmodus | Slik viser du hendelser |
|---|---|---|
| Overvåking gjelder for alle hendelser | Aktiver kontrollert mappetilgang | Kontrollerte mappetilgangshendelser |
| Revisjon gjelder for individuelle regler | Trinn 1: Test regler for reduksjon av angrepsoverflate ved hjelp av overvåkingsmodus | Trinn 2: Forstå rapporteringssiden for rapportering av angrepsregler for overflatereduksjon |
| Overvåking gjelder for alle hendelser | Aktiver nettverksbeskyttelse | Nettverksbeskyttelseshendelser |
| Revisjon gjelder for individuelle begrensninger | Aktiver utnyttelsesbeskyttelse | Utnytte beskyttelseshendelser |
Du kan for eksempel teste regler for reduksjon av angrepsoverflaten i overvåkingsmodus før du aktiverer dem i blokkmodus. Regler for reduksjon av angrepsoverflater er forhåndsdefinert for å herde vanlige, kjente angrepsoverflater. Det finnes flere metoder du kan bruke til å implementere regler for reduksjon av angrepsoverflater. Den foretrukne metoden er dokumentert i følgende distribusjonsartikler om angrepsoverflatereduksjonsregler:
- Distribusjonsoversikt over angrepsoverflatereduksjonsregler
- Planlegg distribusjon av regler for reduksjon av angrepsoverflate
- Regler for reduksjon av angrepsoverflate
- Aktiver regler for reduksjon av angrepsoverflate
- Operasjonalisere regler for reduksjon av angrepsoverflate
Vis angrepsoverflatereduksjonshendelser
Se gjennom angrepsoverflatereduksjonshendelser i Hendelsesliste for å overvåke hvilke regler eller innstillinger som fungerer. Du kan også finne ut om noen av innstillingene er for støyende eller påvirker den daglige arbeidsflyten.
Gjennomgang av hendelser er praktisk når du evaluerer funksjonene. Du kan aktivere overvåkingsmodus for funksjoner eller innstillinger, og deretter se gjennom hva som ville ha skjedd hvis de var fullstendig aktivert.
Denne delen viser alle hendelsene, deres tilknyttede funksjon eller innstilling, og beskriver hvordan du oppretter egendefinerte visninger for å filtrere til bestemte hendelser.
Få detaljert rapportering i hendelser, blokker og advarsler som en del av Windows Sikkerhet hvis du har et E5-abonnement og bruker Microsoft Defender for endepunkt.
Bruk egendefinerte visninger til å se gjennom funksjoner for angrepsoverflatereduksjon
Opprett egendefinerte visninger i Windows Hendelsesliste for bare å se hendelser for bestemte funksjoner og innstillinger. Den enkleste måten er å importere en egendefinert visning som en XML-fil. Du kan kopiere XML-filen direkte fra denne siden.
Du kan også navigere manuelt til hendelsesområdet som tilsvarer funksjonen.
Importere en eksisterende egendefinert XML-visning
Opprett en tom .txt-fil og kopiere XML-filen for den egendefinerte visningen du vil bruke, til .txt-filen. Gjør dette for hver av de egendefinerte visningene du vil bruke. Gi nytt navn til filene på følgende måte (sørg for at du endrer typen fra .txt til .xml):
- Kontrollert egendefinert visning for mappetilgangshendelser: cfa-events.xml
- Egendefinert visning for å utnytte beskyttelseshendelser: ep-events.xml
- Egendefinert visning av angrepsoverflatereduksjon: asr-events.xml
- Egendefinert visning av nettverks-/beskyttelseshendelser: np-events.xml
Skriv inn visningsprogram for hendelser på Start-menyen, og åpne Hendelsesliste.
Velgegendefinert visning for handlingsimport...>
Naviger til der du pakket ut XML-filen for den egendefinerte visningen du vil bruke, og velg den.
Klikk Åpne.
Den oppretter en egendefinert visning som filtrerer for å bare vise hendelsene som er relatert til denne funksjonen.
Kopier XML-filen direkte
Skriv inn visningsprogram for hendelser på Start-menyen, og åpne Windows Hendelsesliste.
Velg Opprett egendefinert visning i venstre panel under Handlinger...
Gå til XML-fanen, og velg Rediger spørring manuelt. Du ser en advarsel om at du ikke kan redigere spørringen ved hjelp av filterfanen hvis du bruker XML-alternativet. Velg Ja.
Lim inn XML-koden for funksjonen du vil filtrere hendelser fra, i XML-delen.
Velg OK. Angi et navn for filteret. Denne handlingen oppretter en egendefinert visning som filtrerer for å bare vise hendelsene som er relatert til denne funksjonen.
XML for regelhendelser for reduksjon av angrepsoverflate
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select>
</Query>
</QueryList>
XML for kontrollerte mappetilgangshendelser
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
</Query>
</QueryList>
XML for utnyttelsesbeskyttelseshendelser
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Security-Mitigations/KernelMode">
<Select Path="Microsoft-Windows-Security-Mitigations/KernelMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Concurrency">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Contention">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Messages">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Operational">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Power">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Render">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/Tracing">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Win32k/UIPI">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
<Select Path="Microsoft-Windows-Security-Mitigations/UserMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID >= 1 and EventID <= 24) or EventID=5 or EventID=260)]]</Select>
</Query>
</QueryList>
XML for nettverksbeskyttelseshendelser
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
</Query>
</QueryList>
Liste over angrepsoverflatereduksjonshendelser
Alle angrepsoverflatereduksjonshendelser er plassert under Programmer og tjenestelogger > Microsoft > Windows , og deretter mappen eller leverandøren som er oppført i tabellen nedenfor.
Du kan få tilgang til disse hendelsene i Windows Event Viewer:
Åpne Start-menyen og skriv inn visningsprogram for hendelser, og velg deretter Hendelsesliste resultat.
Utvid Programmer og tjenester Logger > Microsoft > Windows , og gå deretter til mappen som er oppført under Leverandør/kilde i tabellen nedenfor.
Dobbeltklikk på underelementet for å se hendelser. Bla gjennom hendelsene for å finne den du leter etter.
| Funksjon | Leverandør/kilde | Hendelses-ID | Beskrivelse |
|---|---|---|---|
| Exploit Protection | Sikkerhetsbegrensninger (kjernemodus/brukermodus) | 1 | ACG-overvåking |
| Exploit Protection | Sikkerhetsbegrensninger (kjernemodus/brukermodus) | 2 | Gjennomfør ACG |
| Exploit Protection | Sikkerhetsbegrensninger (kjernemodus/brukermodus) | 3 | Ikke tillat overvåking av underordnede prosesser |
| Exploit Protection | Sikkerhetsbegrensninger (kjernemodus/brukermodus) | 4 | Ikke tillat blokkering av underordnede prosesser |
| Exploit Protection | Sikkerhetsbegrensninger (kjernemodus/brukermodus) | 5 | Blokker bilder med lav integritet |
| Exploit Protection | Sikkerhetsbegrensninger (kjernemodus/brukermodus) | 6 | Blokkblokk for bilder med lav integritet |
| Exploit Protection | Sikkerhetsbegrensninger (kjernemodus/brukermodus) | 7 | Blokker eksterne bilder |
| Exploit Protection | Sikkerhetsbegrensninger (kjernemodus/brukermodus) | 8 | Blokker eksterne bilder-blokk |
| Exploit Protection | Sikkerhetsbegrensninger (kjernemodus/brukermodus) | 9 | Deaktiver Win32k systemanrop |
| Exploit Protection | Sikkerhetsbegrensninger (kjernemodus/brukermodus) | 10 | Deaktiver win32k-systemkallblokk |
| Exploit Protection | Sikkerhetsbegrensninger (kjernemodus/brukermodus) | 11 | Overvåking av vern for kodeintegritet |
| Exploit Protection | Sikkerhetsbegrensninger (kjernemodus/brukermodus) | 12 | Kodeintegritetsbeskyttelsesblokk |
| Exploit Protection | Sikkerhetsbegrensninger (kjernemodus/brukermodus) | 13 | EAF-revisjon |
| Exploit Protection | Sikkerhetsbegrensninger (kjernemodus/brukermodus) | 14 | EAF fremtvinger |
| Exploit Protection | Sikkerhetsbegrensninger (kjernemodus/brukermodus) | 15 | EAF+ overvåking |
| Exploit Protection | Sikkerhetsbegrensninger (kjernemodus/brukermodus) | 16 | EAF+ fremtving |
| Exploit Protection | Sikkerhetsbegrensninger (kjernemodus/brukermodus) | 17 | IAF-revisjon |
| Exploit Protection | Sikkerhetsbegrensninger (kjernemodus/brukermodus) | 18 | IAF håndhever |
| Exploit Protection | Sikkerhetsbegrensninger (kjernemodus/brukermodus) | 19 | ROP StackPivot-overvåking |
| Exploit Protection | Sikkerhetsbegrensninger (kjernemodus/brukermodus) | 20 | ROP StackPivot fremtvinger |
| Exploit Protection | Sikkerhetsbegrensninger (kjernemodus/brukermodus) | 21 | ROP CallerCheck-overvåking |
| Exploit Protection | Sikkerhetsbegrensninger (kjernemodus/brukermodus) | 22 | ROP CallerCheck fremtvinger |
| Exploit Protection | Sikkerhetsbegrensninger (kjernemodus/brukermodus) | 23 | ROP SimExec-overvåking |
| Exploit Protection | Sikkerhetsbegrensninger (kjernemodus/brukermodus) | 24 | ROP SimExec håndhever |
| Exploit Protection | WER-Diagnostics | 5 | CFG-blokk |
| Exploit Protection | Win32K (operativ) | 260 | Ikke-klarert skrift |
| Nettverksbeskyttelse | Windows Defender (drift) | 5007 | Hendelse når innstillingene endres |
| Nettverksbeskyttelse | Windows Defender (drift) | 1125 | Hendelse når nettverksbeskyttelse utløses i overvåkingsmodus |
| Nettverksbeskyttelse | Windows Defender (drift) | 1126 | Hendelse når nettverksbeskyttelse utløses i blokkmodus |
| Kontrollert mappetilgang | Windows Defender (drift) | 5007 | Hendelse når innstillingene endres |
| Kontrollert mappetilgang | Windows Defender (drift) | 1124 | Overvåket kontrollert mappetilgangshendelse |
| Kontrollert mappetilgang | Windows Defender (drift) | 1123 | Hendelse for tilgang til blokkert kontrollert mappe |
| Kontrollert mappetilgang | Windows Defender (drift) | 1127 | Blokkert kontrollert mappetilgang sektor skrive blokk hendelse |
| Kontrollert mappetilgang | Windows Defender (drift) | 1128 | Overvåk kontrollert mappetilgang sektor skrive blokk hendelse |
| Reduksjon av angrepsoverflaten | Windows Defender (drift) | 5007 | Hendelse når innstillingene endres |
| Reduksjon av angrepsoverflaten | Windows Defender (drift) | 1122 | Hendelse når regelen utløses i overvåkingsmodus |
| Reduksjon av angrepsoverflaten | Windows Defender (drift) | 1121 | Hendelse når regelen utløses i blokkmodus |
Obs!
Fra brukerens perspektiv blir varslinger om reduksjon av angrepsoverflatevarsling for angrepsoverflaten gjort som en Windows Toast Notification for regler for reduksjon av angrepsoverflaten.
Ved reduksjon av angrepsoverflaten gir Nettverksbeskyttelse bare overvåkings- og blokkmoduser.
Ressurser for å lære mer om reduksjon av angrepsoverflate
Som nevnt i videoen inneholder Defender for Endpoint flere funksjoner for reduksjon av angrepsoverflaten. Bruk følgende ressurser til å finne ut mer:
| Artikkelen | Beskrivelse |
|---|---|
| Programkontroll | Bruk programkontroll slik at programmene dine må få tillit for å kunne kjøre. |
| Referanse for reduksjonsregler for angrepsoverflate | Gir detaljer om hver regel for reduksjon av angrepsoverflaten. |
| Distribusjonsveiledning for distribusjon av regler for angrepsoverflate | Presenterer oversiktsinformasjon og forutsetninger for å distribuere regler for reduksjon av angrepsoverflate, etterfulgt av trinnvis veiledning for testing (revisjonsmodus), aktivering (blokkmodus) og overvåking. |
| Kontrollert mappetilgang | Bidra til å hindre skadelige eller mistenkelige apper (inkludert skadelig programvare for filkryptering av løsepengevirus) fra å gjøre endringer i filer i de viktigste systemmappene (krever Microsoft Defender Antivirus). |
| Enhetskontroll | Beskytter mot tap av data ved å overvåke og kontrollere medier som brukes på enheter, for eksempel flyttbar lagring og USB-stasjoner, i organisasjonen. |
| Exploit Protection | Beskytt operativsystemene og appene organisasjonen bruker fra å bli utnyttet. Utnyttelse av beskyttelse fungerer også med tredjeparts antivirusløsninger. |
| Maskinvarebasert isolering | Beskytt og vedlikehold integriteten til et system når det starter og mens det kjører. Valider systemintegritet gjennom lokal og ekstern attestering. Bruk beholderisolasjon for Microsoft Edge for å beskytte deg mot skadelige nettsteder. |
| Nettverksbeskyttelse | Utvid beskyttelsen mot nettverkstrafikken og tilkoblingen på organisasjonens enheter. (Krever Microsoft Defender Antivirus). |
| Regler for reduksjon av angrepsoverflate | Gir trinn for å bruke overvåkingsmodus til å teste regler for reduksjon av angrepsoverflaten. |
| Webbeskyttelse | Med webbeskyttelse kan du sikre enhetene dine mot netttrusler og hjelpe deg med å regulere uønsket innhold. |
Tips
Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.
Tilbakemeldinger
Kommer snart: Gjennom 2024 faser vi ut GitHub Issues som tilbakemeldingsmekanisme for innhold, og erstatter det med et nytt system for tilbakemeldinger. Hvis du vil ha mer informasjon, kan du se: https://aka.ms/ContentUserFeedback.
Send inn og vis tilbakemelding for