Delen via


Implementatieoverzicht van regels voor het verminderen van kwetsbaarheid voor aanvallen

Van toepassing op:

Aanvalsoppervlakken zijn alle plaatsen waar uw organisatie kwetsbaar is voor cyberdreigingen en aanvallen. Het verminderen van uw kwetsbaarheid voor aanvallen betekent dat u de apparaten en het netwerk van uw organisatie beschermt, waardoor aanvallers minder manieren hebben om aan te vallen. Het configureren van microsoft Defender voor Eindpunt-regels voor het verminderen van kwetsbaarheid voor aanvallen kan helpen.

Regels voor het verminderen van kwetsbaarheid voor aanvallen zijn gericht op bepaald softwaregedrag, zoals:

  • Uitvoerbare bestanden en scripts starten die proberen bestanden te downloaden of uit te voeren
  • Verborgen of anderszins verdachte scripts uitvoeren
  • Gedrag dat apps meestal niet voorkomen tijdens het normale dagelijkse werk

Door de verschillende kwetsbaarheid voor aanvallen te verminderen, kunt u in de eerste plaats helpen voorkomen dat aanvallen plaatsvinden.

Deze implementatieverzameling biedt informatie over de volgende aspecten van regels voor het verminderen van kwetsbaarheid voor aanvallen:

  • vereisten voor het verminderen van kwetsbaarheid voor aanvallen
  • implementatie van regels voor het verminderen van kwetsbaarheid voor aanvallen plannen
  • regels voor het verminderen van kwetsbaarheid voor aanvallen testen
  • regels voor het verminderen van kwetsbaarheid voor aanvallen configureren en inschakelen
  • best practices voor het verminderen van kwetsbaarheid voor aanvallen
  • regels voor het verminderen van kwetsbaarheid voor aanvallen geavanceerde opsporing
  • logboeken voor regels voor het verminderen van kwetsbaarheid voor aanvallen

Implementatiestappen voor regels voor het verminderen van kwetsbaarheid voor aanvallen

Net als bij elke nieuwe, grootschalige implementatie, die mogelijk van invloed kan zijn op uw line-of-business-activiteiten, is het belangrijk om methodisch te zijn in uw planning en implementatie. Zorgvuldige planning en implementatie van regels voor het verminderen van kwetsbaarheid voor aanvallen is nodig om ervoor te zorgen dat ze het beste werken voor uw unieke klantwerkstromen. Als u in uw omgeving wilt werken, moet u regels voor het verminderen van kwetsbaarheid voor aanvallen zorgvuldig plannen, testen, implementeren en operationeel maken.

Plan Microsoft Defender voor Eindpunt-regels voor het verminderen van kwetsbaarheid voor aanvallen, test regels voor het verminderen van kwetsbaarheid voor aanvallen, schakel regels voor het verminderen van kwetsbaarheid voor aanvallen in, onderhoud regels voor het verminderen van kwetsbaarheid voor aanvallen.

Belangrijk voorbehoud voor de implementatie

We raden u aan de volgende drie standaardbeveiligingsregels in te schakelen. Zie Regels voor het verminderen van kwetsbaarheid voor aanvallen per type voor belangrijke informatie over de twee typen regels voor het verminderen van kwetsbaarheid voor aanvallen.

Normaal gesproken kunt u de standaardbeveiligingsregels inschakelen met minimale tot geen merkbare gevolgen voor de eindgebruiker. Zie Vereenvoudigde standaardbeveiligingsoptie voor een eenvoudige methode om de standaardbeveiligingsregels in te schakelen.

Opmerking

Voor klanten die een niet-Microsoft HIPS gebruiken en overstappen op Microsoft Defender voor Eindpunt-regels voor het verminderen van kwetsbaarheid voor aanvallen, adviseert Microsoft om de HIPS-oplossing uit te voeren naast de implementatie van regels voor het verminderen van kwetsbaarheid voor aanvallen tot het moment dat u overgaat van de controlemodus naar de blokmodus. Houd er rekening mee dat u contact moet opnemen met uw niet-Microsoft-antivirusprovider voor aanbevelingen voor uitsluiting.

Voordat u begint met het testen of inschakelen van regels voor het verminderen van kwetsbaarheid voor aanvallen

Tijdens de eerste voorbereiding is het essentieel om inzicht te hebben in de mogelijkheden van de systemen die u hebt geïmplementeerd. Inzicht in de mogelijkheden helpt u te bepalen welke regels voor het verminderen van kwetsbaarheid voor aanvallen het belangrijkst zijn voor het beschermen van uw organisatie. Daarnaast zijn er verschillende vereisten waaraan u moet voldoen bij de voorbereiding van de implementatie van uw kwetsbaarheid voor aanvallen.

Belangrijk

Deze handleiding bevat afbeeldingen en voorbeelden om u te helpen bepalen hoe u regels voor het verminderen van kwetsbaarheid voor aanvallen configureert. deze afbeeldingen en voorbeelden weerspiegelen mogelijk niet de beste configuratieopties voor uw omgeving.

Voordat u begint, raadpleegt u Overzicht van kwetsbaarheid voor aanvallen verminderen en Regels voor het verminderen van kwetsbaarheid voor aanvallen - deel 1 voor basisinformatie. Als u inzicht wilt krijgen in de gebieden van dekking en mogelijke impact, moet u vertrouwd raken met de huidige set regels voor het verminderen van kwetsbaarheid voor aanvallen; zie Verwijzing naar regels voor het verminderen van kwetsbaarheid voor aanvallen. Terwijl u vertrouwd raakt met de set regels voor het verminderen van kwetsbaarheid voor aanvallen, moet u rekening houden met de GUID-toewijzingen per regel; zie Regel voor het verminderen van kwetsbaarheid voor aanvallen naar GUID-matrix.

Regels voor het verminderen van kwetsbaarheid voor aanvallen zijn slechts één mogelijkheid van de mogelijkheden voor het verminderen van kwetsbaarheid voor aanvallen in Microsoft Defender voor Eindpunt. Dit document gaat dieper in op het effectief implementeren van regels voor het verminderen van kwetsbaarheid voor aanvallen om geavanceerde bedreigingen zoals door de mens beheerde ransomware en andere bedreigingen te stoppen.

Regels voor het verminderen van kwetsbaarheid voor aanvallen per categorie

In de volgende tabel ziet u regels voor het verminderen van kwetsbaarheid voor aanvallen per categorie:

Polymorfe bedreigingen Laterale verplaatsing & diefstal van referenties Regels voor productiviteits-apps E-mailregels Scriptregels Regels voor andere regels
Uitvoerbare bestanden blokkeren, tenzij ze voldoen aan een prevalentie (1000 computers), leeftijd of vertrouwde lijstcriteria Procescreaties blokkeren die afkomstig zijn van PSExec- en WMI-opdrachten Office-apps blokkeren voor het maken van uitvoerbare inhoud Uitvoerbare inhoud van e-mailclient en webmail blokkeren Verborgen JS/VBS/PS/macrocode blokkeren Misbruik van misbruik van kwetsbare ondertekende stuurprogramma's blokkeren [1]
Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB Blokkeer het stelen van referenties van het Windows-subsysteem voor lokale beveiligingsinstantie (lsass.exe)[2] Voorkomen dat Office-apps onderliggende processen kunnen maken Alleen Office-communicatietoepassingen blokkeren voor het maken van onderliggende processen JS/VBS blokkeren voor het starten van gedownloade uitvoerbare inhoud
Geavanceerde beveiliging tegen ransomware gebruiken Persistentie blokkeren via WMI-gebeurtenisabonnement Voorkomen dat Office-apps code in andere processen injecteren Office-communicatie-apps blokkeren voor het maken van onderliggende processen
Voorkomen dat Adobe Reader onderliggende processen kan maken

(1) Misbruik van misbruik van misbruik van kwetsbare ondertekende stuurprogramma's blokkeren is nu beschikbaar onder Endpoint Security>Attack Surface Reduction.

(2) Sommige regels voor het verminderen van kwetsbaarheid voor aanvallen genereren veel ruis, maar blokkeren de functionaliteit niet. Als u bijvoorbeeld Chrome bijwerkt, opent Chrome lsass.exe; wachtwoorden worden opgeslagen in lsass op het apparaat. Chrome mag echter geen toegang hebben tot het lokale apparaat lsass.exe. Als u de regel inschakelt om de toegang tot lsass te blokkeren, ziet u veel gebeurtenissen. Deze gebeurtenissen zijn goede gebeurtenissen omdat het software-updateproces geen toegang mag hebben tot lsass.exe. Als u deze regel gebruikt, kunnen Chrome-updates geen toegang krijgen tot lsass, maar kan Chrome niet worden bijgewerkt. Dit geldt ook voor andere toepassingen die onnodige aanroepen doen naar lsass.exe. De regel voor blokkeren van toegang tot lsass blokkeert onnodige aanroepen naar lsass, maar blokkeert niet dat de toepassing wordt uitgevoerd.

Infrastructuurvereisten voor het verminderen van kwetsbaarheid voor aanvallen

Hoewel er meerdere methoden voor het implementeren van regels voor het verminderen van kwetsbaarheid voor aanvallen mogelijk zijn, is deze handleiding gebaseerd op een infrastructuur die bestaat uit

  • Microsoft Entra ID
  • Microsoft Intune
  • Windows 10- en Windows 11-apparaten
  • Microsoft Defender voor Eindpunt E5- of Windows E5-licenties

Als u optimaal wilt profiteren van regels voor het verminderen van kwetsbaarheid voor aanvallen en rapportage, raden we u aan een Microsoft Defender XDR E5- of Windows E5-licentie en A5 te gebruiken. Zie Minimale vereisten voor Microsoft Defender voor Eindpunt voor meer informatie.

Opmerking

Er zijn meerdere methoden om regels voor het verminderen van kwetsbaarheid voor aanvallen te configureren. Regels voor het verminderen van kwetsbaarheid voor aanvallen kunnen worden geconfigureerd met behulp van: Microsoft Intune, PowerShell, Groepsbeleid, Microsoft Configuration Manager (ConfigMgr), Intune OMA-URI. Als u een andere infrastructuurconfiguratie gebruikt dan wat wordt vermeld voor Infrastructuurvereisten, vindt u hier meer informatie over het implementeren van regels voor het verminderen van kwetsbaarheid voor aanvallen met behulp van andere configuraties: Regels voor het verminderen van kwetsbaarheid voor aanvallen inschakelen.

Afhankelijkheden van regels voor het verminderen van kwetsbaarheid voor aanvallen

Microsoft Defender Antivirus moet zijn ingeschakeld en geconfigureerd als primaire antivirusoplossing en moet zich in de volgende modus bevinden:

  • Primaire antivirus-/antimalwareoplossing
  • Status: Actieve modus

Microsoft Defender Antivirus mag zich niet in een van de volgende modi bevinden:

  • Passief
  • Passieve modus met eindpuntdetectie en -respons (EDR) in blokmodus
  • Beperkt periodiek scannen (LPS)
  • Uit

Zie Cloudbeveiliging en Microsoft Defender Antivirus voor meer informatie.

Cloud Protection (MAPS) moet zijn ingeschakeld om regels voor het verminderen van kwetsbaarheid voor aanvallen in te schakelen

Microsoft Defender Antivirus werkt naadloos met Microsoft-cloudservices. Deze cloudbeveiligingsservices, ook wel Microsoft Advanced Protection Service (MAPS) genoemd, verbeteren de standaard realtime-beveiliging en bieden misschien wel de beste antivirusbeveiliging. Cloudbeveiliging is essentieel voor het voorkomen van inbreuken door malware en een essentieel onderdeel van regels voor het verminderen van kwetsbaarheid voor aanvallen. Schakel cloudbeveiliging in Microsoft Defender Antivirus in.

Microsoft Defender Antivirus-onderdelen moeten huidige versies zijn voor regels voor het verminderen van kwetsbaarheid voor aanvallen

De volgende Microsoft Defender Antivirus-onderdeelversies mogen niet meer dan twee versies ouder zijn dan de meest beschikbare versie:

  • Microsoft Defender Antivirus Platform-updateversie : Microsoft Defender Antivirus-platform wordt maandelijks bijgewerkt.
  • Microsoft Defender Antivirus-engineversie : Microsoft Defender Antivirus-engine wordt maandelijks bijgewerkt.
  • Microsoft Defender Antivirus-beveiligingsinformatie : Microsoft werkt Microsoft Defender-beveiligingsinformatie (ook wel bekend als definitie en handtekening) voortdurend bij om de nieuwste bedreigingen aan te pakken en de detectielogica te verfijnen.

Door microsoft Defender Antivirus-versies actueel te houden, worden fout-positieve resultaten van regels voor het verminderen van kwetsbaarheid voor aanvallen verminderd en worden de detectiemogelijkheden van Microsoft Defender Antivirus verbeterd. Ga naar Microsoft Defender Antivirus-platformondersteuning voor meer informatie over de huidige versies en het bijwerken van de verschillende onderdelen van Microsoft Defender Antivirus.

Waarschuwing

Sommige regels werken niet goed als niet-ondertekende, intern ontwikkelde toepassingen en scripts veel worden gebruikt. Het is moeilijker om regels voor het verminderen van kwetsbaarheid voor aanvallen te implementeren als ondertekening van code niet wordt afgedwongen.

Regels voor het verminderen van kwetsbaarheid voor aanvallen testen

Regels voor het verminderen van aanvalsoppervlakken inschakelen

Regels voor het verminderen van kwetsbaarheid voor aanvallen operationeel maken

Verwijzing naar regels voor het verminderen van kwetsbaarheid voor aanvallen

Verwijzing

Blogs

Demystifying attack surface reduction rules - Deel 1

Demystifying attack surface reduction rules - Part 2

Demystifying attack surface reduction rules - Part 3

Regels voor het verminderen van kwetsbaarheid voor aanvallen ontmystificeren - Deel 4

Verzameling regels voor het verminderen van kwetsbaarheid voor aanvallen

Overzicht van kwetsbaarheid voor aanvallen verminderen

Regels voor het verminderen van kwetsbaarheid voor aanvallen gebruiken om malware-infectie te voorkomen

Regels voor het verminderen van kwetsbaarheid voor aanvallen inschakelen - alternatieve configuraties

Verwijzing naar regels voor het verminderen van kwetsbaarheid voor aanvallen

Veelgestelde vragen over het verminderen van kwetsbaarheid voor aanvallen

Microsoft Defender

Actie ondernemen voor fout-positieven/-negatieven in Microsoft Defender voor Eindpunt

Door de cloud geleverde beveiliging en Microsoft Defender Antivirus

Cloudbeveiliging inschakelen in Microsoft Defender Antivirus

Uitsluitingen configureren en valideren op basis van extensie, naam of locatie

Microsoft Defender Antivirus-platformondersteuning

Overzicht van inventaris in het Microsoft 365 Apps-beheercentrum

Een implementatieplan voor Windows maken

Op rollen gebaseerd toegangsbeheer (RBAC) en bereiktags gebruiken voor gedistribueerde IT in Intune

Apparaatprofielen implementeren in Microsoft Intune

Beheersites

Microsoft Intune-beheercentrum

Kwetsbaarheid voor aanvallen verminderen

Configuraties van regels voor het verminderen van kwetsbaarheid voor aanvallen

Uitsluitingen van regels voor kwetsbaarheid voor aanvallen verminderen

Tip

Wil je meer weten? Neem contact op met de Microsoft Security-community in onze Tech Community: Microsoft Defender for Endpoint Tech Community.