Delen via


Regels voor het verminderen van aanvalsoppervlakken inschakelen

Van toepassing op:

Platforms

  • Windows

Tip

Wilt u Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.

Regels voor het verminderen van kwetsbaarheid voor aanvallen helpen voorkomen dat malware vaak misbruikt om apparaten en netwerken in gevaar te komen.

Vereisten

Functies voor het verminderen van kwetsbaarheid voor aanvallen in windows-versies

U kunt regels voor het verminderen van kwetsbaarheid voor aanvallen instellen voor apparaten waarop een van de volgende edities en versies van Windows wordt uitgevoerd:

Als u de volledige functieset van regels voor het verminderen van kwetsbaarheid voor aanvallen wilt gebruiken, hebt u het volgende nodig:

  • Microsoft Defender Antivirus als primaire AV (realtime-beveiliging op)
  • Cloud-Delivery Protection op (dat is voor sommige regels vereist)
  • Windows 10 Enterprise E5- of E3-licentie

Hoewel regels voor het verminderen van kwetsbaarheid voor aanvallen geen Windows E5-licentie vereisen, krijgt u met een Windows E5-licentie geavanceerde beheermogelijkheden, waaronder bewaking, analyse en werkstromen die beschikbaar zijn in Defender voor Eindpunt, evenals rapportage- en configuratiemogelijkheden in de Microsoft Defender XDR portal. Deze geavanceerde mogelijkheden zijn niet beschikbaar met een E3-licentie, maar u kunt nog steeds Logboeken gebruiken om regel gebeurtenissen voor het verminderen van kwetsbaarheid voor aanvallen te bekijken.

Elke regel voor het verminderen van kwetsbaarheid voor aanvallen bevat een van de vier instellingen:

  • Niet geconfigureerd | Uitgeschakeld: de regel voor het verminderen van kwetsbaarheid voor aanvallen uitschakelen
  • Blokkeren: de regel voor het verminderen van kwetsbaarheid voor aanvallen inschakelen
  • Controle: Evalueer hoe de regel voor het verminderen van kwetsbaarheid voor aanvallen van invloed is op uw organisatie als deze is ingeschakeld
  • Waarschuwen: de regel voor het verminderen van kwetsbaarheid voor aanvallen inschakelen, maar de eindgebruiker toestaan het blok te omzeilen

We raden u aan om regels voor het verminderen van kwetsbaarheid voor aanvallen te gebruiken met een Windows E5-licentie (of een vergelijkbare licentie-SKU) om te profiteren van de geavanceerde bewakings- en rapportagemogelijkheden die beschikbaar zijn in Microsoft Defender voor Eindpunt (Defender voor Eindpunt). Als u echter een andere licentie hebt, zoals Windows Professional of Windows E3 die geen geavanceerde bewakings- en rapportagemogelijkheden bevat, kunt u uw eigen hulpprogramma's voor bewaking en rapportage ontwikkelen op basis van de gebeurtenissen die op elk eindpunt worden gegenereerd wanneer regels voor het verminderen van kwetsbaarheid voor aanvallen worden geactiveerd (bijvoorbeeld Gebeurtenis doorsturen).

Tip

Zie voor meer informatie over Windows-licenties Windows 10 Licentieverlening en de handleiding voor volumelicenties voor Windows 10.

U kunt regels voor het verminderen van kwetsbaarheid voor aanvallen inschakelen met behulp van een van deze methoden:

Beheer op ondernemingsniveau, zoals Intune of Microsoft Configuration Manager, wordt aanbevolen. Beheer op ondernemingsniveau overschrijft conflicterende groepsbeleid- of PowerShell-instellingen bij het opstarten.

Bestanden en mappen uitsluiten van regels voor het verminderen van kwetsbaarheid voor aanvallen

U kunt bestanden en mappen uitsluiten van evaluatie door de meeste regels voor het verminderen van kwetsbaarheid voor aanvallen. Dit betekent dat zelfs als een regel voor het verminderen van kwetsbaarheid voor aanvallen bepaalt dat het bestand of de map schadelijk gedrag bevat, het niet blokkeert dat het bestand wordt uitgevoerd.

Belangrijk

Het uitsluiten van bestanden of mappen kan de beveiliging die wordt geboden door regels voor het verkleinen van kwetsbaarheid voor aanvallen aanzienlijk verminderen. Uitgesloten bestanden mogen worden uitgevoerd en er wordt geen rapport of gebeurtenis vastgelegd. Als regels voor het verminderen van kwetsbaarheid voor aanvallen bestanden detecteren waarvan u denkt dat ze niet moeten worden gedetecteerd, moet u eerst de controlemodus gebruiken om de regel te testen. Een uitsluiting wordt alleen toegepast wanneer de uitgesloten toepassing of service wordt gestart. Als u bijvoorbeeld een uitsluiting toevoegt voor een updateservice die al wordt uitgevoerd, blijft de updateservice gebeurtenissen activeren totdat de service wordt gestopt en opnieuw wordt gestart.

Houd bij het toevoegen van uitsluitingen rekening met deze punten:

Beleidsconflict

  1. Als een conflicterend beleid wordt toegepast via MDM en GP, heeft de instelling die wordt toegepast vanuit GP voorrang.

  2. Regels voor het verminderen van kwetsbaarheid voor aanvallen voor beheerde apparaten ondersteunen nu gedrag voor het samenvoegen van instellingen van verschillende beleidsregels, om een superset van beleid voor elk apparaat te maken. Alleen de instellingen die niet conflicteren, worden samengevoegd, terwijl instellingen die conflicteren niet worden toegevoegd aan de superset van regels. Als twee beleidsregels voorheen conflicten bevatten voor één instelling, werden beide beleidsregels gemarkeerd als conflict en werden er geen instellingen van een van beide profielen geïmplementeerd. Het samenvoeggedrag van regels voor het verminderen van de kwetsbaarheid voor aanvallen is als volgt:

    • Regels voor het verminderen van kwetsbaarheid voor aanvallen van de volgende profielen worden geëvalueerd voor elk apparaat waarop de regels van toepassing zijn:
    • Instellingen die geen conflicten hebben, worden toegevoegd aan een superset van beleid voor het apparaat.
    • Wanneer twee of meer beleidsregels conflicterende instellingen hebben, worden de conflicterende instellingen niet toegevoegd aan het gecombineerde beleid, terwijl instellingen die geen conflict veroorzaken, worden toegevoegd aan het supersetbeleid dat van toepassing is op een apparaat.
    • Alleen de configuraties voor conflicterende instellingen worden tegengehouden.

Configuratiemethoden

In deze sectie vindt u configuratiedetails voor de volgende configuratiemethoden:

De volgende procedures voor het inschakelen van regels voor het verminderen van kwetsbaarheid voor aanvallen bevatten instructies voor het uitsluiten van bestanden en mappen.

Intune

Apparaatconfiguratieprofielen

  1. Selecteer Apparaatconfiguratieprofielen>. Kies een bestaand eindpuntbeveiligingsprofiel of maak een nieuw profiel. Als u een nieuw profiel wilt maken, selecteert u Profiel maken en voert u gegevens in voor dit profiel. Bij Profieltype selecteert u Endpoint Protection. Als u een bestaand profiel hebt gekozen, selecteert u Eigenschappen en vervolgens Instellingen.

  2. Selecteer in het deelvenster Endpoint ProtectionDe optie Windows Defender Exploit Guard en selecteer vervolgens Kwetsbaarheid voor aanvallen verminderen. Selecteer de gewenste instelling voor elke regel voor het verminderen van kwetsbaarheid voor aanvallen.

  3. Voer onder Uitzonderingen voor kwetsbaarheid voor aanvallen verminderen afzonderlijke bestanden en mappen in. U kunt ook Importeren selecteren om een CSV-bestand te importeren dat bestanden en mappen bevat die moeten worden uitgesloten van regels voor het verminderen van kwetsbaarheid voor aanvallen. Elke regel in het CSV-bestand moet als volgt zijn opgemaakt:

    C:\folder, %ProgramFiles%\folder\file, C:\path

  4. Selecteer OK in de drie configuratievensters. Selecteer vervolgens Maken als u een nieuw endpoint protection-bestand maakt of Opslaan als u een bestaand bestand bewerkt.

Eindpuntbeveiligingsbeleid

  1. Selecteer Kwetsbaarheid voor eindpuntbeveiligingsaanval>verminderen. Kies een bestaande regel voor het verminderen van kwetsbaarheid voor aanvallen of maak een nieuwe regel. Als u een nieuw profiel wilt maken, selecteert u Beleid maken en voert u gegevens in voor dit profiel. Selecteer voor Profieltypede optie Regels voor het verminderen van kwetsbaarheid voor aanvallen. Als u een bestaand profiel hebt gekozen, selecteert u Eigenschappen en vervolgens Instellingen.

  2. Selecteer in het deelvenster Configuratie-instellingende optie Kwetsbaarheid voor aanvallen verminderen en selecteer vervolgens de gewenste instelling voor elke regel voor het verminderen van kwetsbaarheid voor aanvallen.

  3. Voer onder Lijst met extra mappen die moeten worden beveiligd, Lijst met apps die toegang hebben tot beveiligde mappen en Bestanden en paden uitsluiten van regels voor het verminderen van kwetsbaarheid voor aanvallen afzonderlijke bestanden en mappen in. U kunt ook Importeren selecteren om een CSV-bestand te importeren dat bestanden en mappen bevat die moeten worden uitgesloten van regels voor het verminderen van kwetsbaarheid voor aanvallen. Elke regel in het CSV-bestand moet als volgt zijn opgemaakt:

    C:\folder, %ProgramFiles%\folder\file, C:\path

  4. Selecteer Volgende in de drie configuratievensters en selecteer vervolgens Maken als u een nieuw beleid maakt of Opslaan als u een bestaand beleid bewerkt.

Aangepast profiel in Intune

U kunt Microsoft Intune OMA-URI gebruiken om aangepaste regels voor kwetsbaarheid voor aanvallen te configureren. In de volgende procedure wordt voor het voorbeeld de regel Misbruik van misbruik van kwetsbare ondertekende stuurprogramma's blokkeren gebruikt.

  1. Open het Microsoft Intune-beheercentrum. Klik in het menu Start op Apparaten, selecteer Configuratieprofielen en klik vervolgens op Profiel maken.

    De pagina Profiel maken in de portal van het Microsoft Intune-beheercentrum.

  2. Selecteer in Een profiel maken in de volgende twee vervolgkeuzelijsten het volgende:

    • Selecteer in PlatformWindows 10 en hoger
    • Selecteer in Profieltypede optie Sjablonen
    • Als er al regels voor het verminderen van kwetsbaarheid voor aanvallen zijn ingesteld via Eindpuntbeveiliging, selecteert u in ProfieltypeDe optie Instellingencatalogus.

    Selecteer Aangepast en selecteer vervolgens Maken.

    De kenmerken van het regelprofiel in de portal van het Microsoft Intune-beheercentrum.

  3. Het hulpprogramma Aangepaste sjabloon wordt geopend voor stap 1 Basisbeginselen. Typ in 1 Basisbeginselen in Naam een naam voor de sjabloon en in Beschrijving een beschrijving (optioneel).

    De basiskenmerken in de portal van het Microsoft Intune-beheercentrum

  4. Klik op Volgende. Stap 2 Configuratie-instellingen wordt geopend. Klik voor OMA-URI-instellingen op Toevoegen. Er worden nu twee opties weergegeven: Toevoegen en Exporteren.

    De configuratie-instellingen in de portal van het Microsoft Intune-beheercentrum.

  5. Klik nogmaals op Toevoegen . De OMA-URI-instellingen voor rij toevoegen wordt geopend. Ga als volgt te werk in Rij toevoegen:

    • Typ bij Naam een naam voor de regel.

    • Typ in Beschrijving een korte beschrijving.

    • Typ of plak in OMA-URI de specifieke OMA-URI-koppeling voor de regel die u toevoegt. Raadpleeg de sectie MDM in dit artikel voor de OMA-URI die u voor deze voorbeeldregel kunt gebruiken. Zie Beschrijvingen per regel in het artikel: Regels voor het verminderen van kwetsbaarheid voor aanvallen voor guid's.

    • Selecteer in Gegevenstypede optie Tekenreeks.

    • Typ of plak in Waarde de GUID-waarde, het teken = en de waarde Status zonder spaties (GUID=StateValue). Waarbij:

      • 0: Uitschakelen (de regel voor het verminderen van kwetsbaarheid voor aanvallen uitschakelen)
      • 1: Blokkeren (de regel voor het verminderen van kwetsbaarheid voor aanvallen inschakelen)
      • 2: Controle (evalueer hoe de regel voor het verminderen van kwetsbaarheid voor aanvallen van invloed is op uw organisatie als deze is ingeschakeld)
      • 6: Waarschuwen (schakel de regel voor het verminderen van kwetsbaarheid voor aanvallen in, maar sta de eindgebruiker toe om het blok te omzeilen)

    De OMA-URI-configuratie in de portal van het Microsoft Intune-beheercentrum

  6. Klik op Opslaan. Rij wordt gesloten. Selecteer in Aangepastde optie Volgende. In stap 3 Bereiktags zijn bereiktags optioneel. Voer een van de volgende handelingen uit:

    • Selecteer Bereiktags selecteren, selecteer de bereiktag (optioneel) en selecteer vervolgens Volgende.
    • Of selecteer Volgende
  7. In stap 4 Toewijzingen, in Opgenomen Groepen, selecteert u een van de volgende opties voor de groepen waarvoor u deze regel wilt toepassen:

    • Groepen toevoegen
    • Alle gebruikers toevoegen
    • Alle apparaten toevoegen

    De toewijzingen in de portal van het Microsoft Intune-beheercentrum

  8. Selecteer in Uitgesloten groepen de groepen die u van deze regel wilt uitsluiten en selecteer vervolgens Volgende.

  9. Ga als volgt te werk in stap 5 toepasselijkheidsregels voor de volgende instellingen:

    • Selecteer in Regel de optie Profiel toewijzen als of Profiel niet toewijzen als

    • Selecteer in Eigenschap de eigenschap waarop u deze regel wilt toepassen

    • Voer bij Waarde de toepasselijke waarde of het toepasselijke waardebereik in

    De toepasselijkheidsregels in de portal van het Microsoft Intune-beheercentrum

  10. Selecteer Volgende. Controleer in stap 6 Controleren en maken de instellingen en informatie die u hebt geselecteerd en ingevoerd en selecteer vervolgens Maken.

    De optie Controleren en maken in de portal van het Microsoft Intune-beheercentrum

    Regels zijn actief en zijn binnen enkele minuten live.

Opmerking

Conflictafhandeling:

Als u een apparaat twee verschillende beleidsregels voor het verminderen van kwetsbaarheid voor aanvallen toewijst, kunnen er potentiële beleidsconflicten optreden, afhankelijk van of regels verschillende statussen zijn toegewezen, of er conflictbeheer is en of het resultaat een fout is. Niet-conflicterende regels resulteren niet in een fout en dergelijke regels worden correct toegepast. De eerste regel wordt toegepast en de volgende niet-conflicterende regels worden samengevoegd in het beleid.

MDM

Gebruik de ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules Configuration Service Provider (CSP) om de modus voor elke regel afzonderlijk in te schakelen en in te stellen.

Hier volgt een voorbeeld ter referentie, met behulp van GUID-waarden voor verwijzing naar regels voor het verminderen van kwetsbaarheid voor aanvallen.

OMA-URI path: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules

Value: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84=2|3b576869-a4ec-4529-8536-b80a7769e899=1|d4f940ab-401b-4efc-aadc-ad5f3c50688a=2|d3e037e1-3eb8-44c8-a917-57927947596d=1|5beb7efe-fd9a-4556-801d-275e5ffc04cc=0|be9ba2d9-53ea-4cdc-84e5-9b1eeee46550=1

De waarden die u moet inschakelen (Blokkeren), uitschakelen, waarschuwen of inschakelen in de controlemodus zijn:

  • 0: Uitschakelen (de regel voor het verminderen van kwetsbaarheid voor aanvallen uitschakelen)
  • 1: Blokkeren (de regel voor het verminderen van kwetsbaarheid voor aanvallen inschakelen)
  • 2: Controle (evalueer hoe de regel voor het verminderen van kwetsbaarheid voor aanvallen van invloed is op uw organisatie als deze is ingeschakeld)
  • 6: Waarschuwen (schakel de regel voor het verminderen van kwetsbaarheid voor aanvallen in, maar sta de eindgebruiker toe om het blok te omzeilen). Waarschuwingsmodus is beschikbaar voor de meeste regels voor het verminderen van kwetsbaarheid voor aanvallen.

Gebruik de ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions Configuration Service Provider (CSP) om uitsluitingen toe te voegen.

Voorbeeld:

OMA-URI path: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions

Value: c:\path|e:\path|c:\Exclusions.exe

Opmerking

Zorg ervoor dat u OMA-URI-waarden zonder spaties invoert.

Microsoft Configuration Manager

  1. Ga in Microsoft Configuration Manager naar Assets and Compliance>Endpoint Protection>Windows Defender Exploit Guard.

  2. Selecteer Start>Exploit Guard-beleid maken.

  3. Voer een naam en een beschrijving in, selecteer Kwetsbaarheid voor aanvallen verminderen en selecteer Volgende.

  4. Kies welke regels acties blokkeren of controleren en selecteer Volgende.

  5. Controleer de instellingen en selecteer Volgende om het beleid te maken.

  6. Nadat het beleid is gemaakt, selecteert u Sluiten.

Waarschuwing

Er is een bekend probleem met de toepasbaarheid van Kwetsbaarheid voor aanvallen verminderen in versies van serverbesturingssystemen dat is gemarkeerd als compatibel zonder daadwerkelijke afdwinging. Er is momenteel geen ETA voor wanneer dit wordt opgelost.

Groepsbeleid

Waarschuwing

Als u uw computers en apparaten beheert met Intune, Configuration Manager of een ander beheerplatform op ondernemingsniveau, overschrijft de beheersoftware alle conflicterende groepsbeleid instellingen bij het opstarten.

  1. Open op uw computer voor groepsbeleidsbeheer de Groepsbeleidsbeheerconsole, klik met de rechtermuisknop op het groepsbeleidsobject dat u wilt configureren en selecteer Bewerken.

  2. Ga in de Groepsbeleidsbeheereditor naar Computerconfiguratie en selecteer Beheersjablonen.

  3. Vouw de structuur uit naar Windows-onderdelen>Microsoft Defender Antivirus>Microsoft Defender Exploit Guard>Kwetsbaarheid voor aanvallen verminderen.

  4. Selecteer Regels voor het verminderen van kwetsbaarheid voor aanvallen configureren en selecteer Ingeschakeld. Vervolgens kunt u de afzonderlijke status voor elke regel instellen in de sectie Opties. Selecteer Weergeven... en voer als volgt de regel-id in de kolom Waardenaam en de door u gekozen status in de kolom Waarde in:

    • 0: Uitschakelen (de regel voor het verminderen van kwetsbaarheid voor aanvallen uitschakelen)

    • 1: Blokkeren (de regel voor het verminderen van kwetsbaarheid voor aanvallen inschakelen)

    • 2: Controle (evalueer hoe de regel voor het verminderen van kwetsbaarheid voor aanvallen van invloed is op uw organisatie als deze is ingeschakeld)

    • 6: Waarschuwen (schakel de regel voor het verminderen van kwetsbaarheid voor aanvallen in, maar sta de eindgebruiker toe om het blok te omzeilen)

      regels voor het verminderen van kwetsbaarheid voor aanvallen in groepsbeleid

  5. Als u bestanden en mappen wilt uitsluiten van regels voor het verminderen van kwetsbaarheid voor aanvallen, selecteert u de instelling Bestanden en paden uitsluiten van regels voor het verminderen van kwetsbaarheid voor aanvallen en stelt u de optie in op Ingeschakeld. Selecteer Weergeven en voer elk bestand of elke map in de kolom Waardenaam in . Voer 0 in de kolom Waarde in voor elk item.

    Waarschuwing

    Gebruik geen aanhalingstekens omdat deze niet worden ondersteund voor de kolom Waardenaam of de kolom Waarde . De regel-id mag geen voorloop- of volgspaties hebben.

PowerShell

Waarschuwing

Als u uw computers en apparaten beheert met Intune, Configuration Manager of een ander beheerplatform op ondernemingsniveau, overschrijft de beheersoftware alle conflicterende PowerShell-instellingen bij het opstarten.

  1. Type powershell in het startmenu, klik met de rechtermuisknop op Windows PowerShell en selecteer Als administrator uitvoeren.

  2. Typ een van de volgende cmdlets. (Raadpleeg voor meer informatie, zoals regel-id, de verwijzing naar regels voor het verminderen van kwetsbaarheid voor aanvallen.)

    Taak PowerShell-cmdlet
    Regels voor het verminderen van aanvalsoppervlakken inschakelen Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Enabled
    Regels voor het verminderen van kwetsbaarheid voor aanvallen inschakelen in de controlemodus Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions AuditMode
    Regels voor het verminderen van kwetsbaarheid voor aanvallen inschakelen in de waarschuwingsmodus Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Warn
    Kwetsbaarheidsbeperking voor aanvallen inschakelen Misbruik van misbruik van kwetsbare ondertekende stuurprogramma's blokkeren Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Enabled
    Regels voor het verminderen van kwetsbaarheid voor aanvallen uitschakelen Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Disabled

    Belangrijk

    U moet de status voor elke regel afzonderlijk opgeven, maar u kunt regels en statussen combineren in een door komma's gescheiden lijst.

    In het volgende voorbeeld zijn de eerste twee regels ingeschakeld, is de derde regel uitgeschakeld en wordt de vierde regel ingeschakeld in de controlemodus: Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID 1>,<rule ID 2>,<rule ID 3>,<rule ID 4> -AttackSurfaceReductionRules_Actions Enabled, Enabled, Disabled, AuditMode

    U kunt ook het PowerShell-werkwoord Add-MpPreference gebruiken om nieuwe regels toe te voegen aan de bestaande lijst.

    Waarschuwing

    Set-MpPreference overschrijft de bestaande set regels. Als u wilt toevoegen aan de bestaande set, gebruikt Add-MpPreference u in plaats daarvan. U kunt een lijst met regels en hun huidige status verkrijgen met behulp van Get-MpPreference.

  3. Gebruik de volgende cmdlet om bestanden en mappen uit te sluiten van regels voor het verminderen van kwetsbaarheid voor aanvallen:

    Add-MpPreference -AttackSurfaceReductionOnlyExclusions "<fully qualified path or resource>"

    Blijf gebruiken Add-MpPreference -AttackSurfaceReductionOnlyExclusions om meer bestanden en mappen toe te voegen aan de lijst.

    Belangrijk

    Gebruik Add-MpPreference om apps toe te voegen aan of toe te voegen aan de lijst. Als u de Set-MpPreference cmdlet gebruikt, wordt de bestaande lijst overschreven.

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.