Delen via


Mogelijkheden voor het verminderen van kwetsbaarheid voor aanvallen begrijpen en gebruiken

Van toepassing op:

Platforms

  • Windows

Tip

Wilt u Microsoft Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.

Aanvalsoppervlakken zijn alle plaatsen waar uw organisatie kwetsbaar is voor cyberdreigingen en aanvallen. Defender voor Eindpunt bevat verschillende mogelijkheden om uw kwetsbaarheid voor aanvallen te verminderen. Bekijk de volgende video voor meer informatie over het verminderen van kwetsbaarheid voor aanvallen.

Mogelijkheden voor het verminderen van kwetsbaarheid voor aanvallen configureren

Voer de volgende stappen uit om het verminderen van kwetsbaarheid voor aanvallen in uw omgeving te configureren:

  1. Schakel isolatie op basis van hardware in voor Microsoft Edge.

  2. Regels voor het verminderen van kwetsbaarheid voor aanvallen inschakelen.

  3. Schakel toepassingsbeheer in.

    1. Bekijk het basisbeleid in Windows. Zie Voorbeeld van basisbeleid.

    2. Zie de ontwerphandleiding voor Windows Defender Application Control.

    3. Raadpleeg WdAC-beleid (Windows Defender Application Control) implementeren.

  4. Gecontroleerde maptoegang inschakelen.

  5. Schakel apparaatbeheer in.

  6. Schakel netwerkbeveiliging in.

  7. Webbeveiliging inschakelen.

  8. Exploit Protection inschakelen.

  9. Stel uw netwerkfirewall in.

    1. Krijg een overzicht van Windows Firewall met geavanceerde beveiliging.

    2. Gebruik de Ontwerphandleiding voor Windows Firewall om te bepalen hoe u uw firewallbeleid wilt ontwerpen.

    3. Gebruik de implementatiehandleiding voor Windows Firewall om de firewall van uw organisatie in te stellen met geavanceerde beveiliging.

Tip

In de meeste gevallen kunt u bij het configureren van mogelijkheden voor het verminderen van kwetsbaarheid voor aanvallen kiezen uit verschillende methoden:

  • Microsoft Intune
  • Microsoft Configuration Manager
  • Groepsbeleid
  • PowerShell-cmdlets

Kwetsbaarheid voor aanvallen verminderen in Microsoft Defender voor Eindpunt

Als onderdeel van het beveiligingsteam van uw organisatie kunt u mogelijkheden voor het verminderen van kwetsbaarheid voor aanvallen configureren om uit te voeren in de controlemodus om te zien hoe ze werken. U kunt de volgende beveiligingsfuncties voor het verminderen van kwetsbaarheid voor aanvallen inschakelen in de controlemodus:

  • Regels voor het verminderen van kwetsbaarheid voor aanvallen
  • Bescherming tegen misbruik
  • Netwerkbeveiliging
  • Gecontroleerde mappentoegang
  • Apparaatbeheer

In de controlemodus kunt u een record zien van wat er zou zijn gebeurd als de functie was ingeschakeld.

U kunt de controlemodus inschakelen wanneer u test hoe de functies werken. Als u de controlemodus alleen inschakelt voor testen, kunt u voorkomen dat de controlemodus van invloed is op uw Line-Of-Business-apps. U kunt ook een idee krijgen van het aantal verdachte bestandswijzigingspogingen gedurende een bepaalde periode.

De functies blokkeren of voorkomen niet dat apps, scripts of bestanden worden gewijzigd. Het Windows-gebeurtenislogboek registreert echter gebeurtenissen alsof de functies volledig zijn ingeschakeld. Met de controlemodus kunt u het gebeurtenislogboek bekijken om te zien welk effect de functie zou hebben gehad als deze was ingeschakeld.

Als u de gecontroleerde vermeldingen wilt vinden, gaat u naar Toepassingen en services>Microsoft>Windows>Defender>Operationeel.

Gebruik Defender voor Eindpunt voor meer informatie over elke gebeurtenis. Deze details zijn met name handig voor het onderzoeken van regels voor het verminderen van kwetsbaarheid voor aanvallen. Met behulp van de Defender voor Eindpunt-console kunt u problemen onderzoeken als onderdeel van de tijdlijn van waarschuwingen en onderzoeksscenario's.

U kunt de controlemodus inschakelen met behulp van groepsbeleid, PowerShell en CSP's (Configuration Service Providers).

Controleopties Controlemodus inschakelen Gebeurtenissen weergeven
Controle is van toepassing op alle gebeurtenissen Beheerde maptoegang inschakelen Gebeurtenissen voor gecontroleerde toegang tot mappen
Controle is van toepassing op afzonderlijke regels Stap 1: regels voor het verminderen van kwetsbaarheid voor aanvallen testen met de controlemodus Stap 2: inzicht in de rapportagepagina regels voor het verminderen van kwetsbaarheid voor aanvallen
Controle is van toepassing op alle gebeurtenissen Netwerkbeveiliging inschakelen Gebeurtenissen voor netwerkbeveiliging
Controle is van toepassing op afzonderlijke risicobeperkingen Bescherming tegen misbruik inschakelen Exploit Protection-gebeurtenissen

U kunt bijvoorbeeld regels voor het verminderen van kwetsbaarheid voor aanvallen testen in de controlemodus voordat u ze inschakelt in de blokmodus. Regels voor het verminderen van kwetsbaarheid voor aanvallen zijn vooraf gedefinieerd om veelvoorkomende, bekende aanvalsoppervlakken te beperken. Er zijn verschillende methoden die u kunt gebruiken om regels voor het verminderen van kwetsbaarheid voor aanvallen te implementeren. De voorkeursmethode wordt beschreven in de volgende artikelen over de implementatie van regels voor het verminderen van kwetsbaarheid voor aanvallen:

Gebeurtenissen voor het verminderen van kwetsbaarheid voor aanvallen bekijken

Bekijk gebeurtenissen voor het verminderen van kwetsbaarheid voor aanvallen in Logboeken om te controleren welke regels of instellingen werken. U kunt ook bepalen of instellingen te 'luidruchtig' zijn of van invloed zijn op uw dagelijkse werkstroom.

Het controleren van gebeurtenissen is handig wanneer u de functies evalueert. U kunt de controlemodus voor functies of instellingen inschakelen en vervolgens controleren wat er zou zijn gebeurd als ze volledig waren ingeschakeld.

In deze sectie vindt u een overzicht van alle gebeurtenissen, de bijbehorende functie of instelling en wordt beschreven hoe u aangepaste weergaven maakt om te filteren op specifieke gebeurtenissen.

Krijg gedetailleerde rapportage over gebeurtenissen, blokken en waarschuwingen als onderdeel van Windows-beveiliging als u een E5-abonnement hebt en Microsoft Defender voor Eindpunt gebruikt.

Aangepaste weergaven gebruiken om de mogelijkheden voor het verminderen van kwetsbaarheid voor aanvallen te bekijken

Maak aangepaste weergaven in de Windows-Logboeken om alleen gebeurtenissen te zien voor specifieke mogelijkheden en instellingen. De eenvoudigste manier is om een aangepaste weergave te importeren als een XML-bestand. U kunt de XML rechtstreeks vanaf deze pagina kopiƫren.

U kunt ook handmatig naar het gebeurtenisgebied gaan dat overeenkomt met de functie.

Een bestaande aangepaste XML-weergave importeren

  1. Maak een leeg .txt-bestand en kopieer de XML voor de aangepaste weergave die u wilt gebruiken in het .txt-bestand. Doe dit voor elk van de aangepaste weergaven die u wilt gebruiken. Wijzig de naam van de bestanden als volgt (zorg ervoor dat u het type wijzigt van .txt in .xml):

    • Aangepaste weergave voor beheerde maptoegangsevenementen: cfa-events.xml
    • Aangepaste weergave voor misbruikbeveiligingsevenementen: ep-events.xml
    • Aangepaste weergave voor het verminderen van kwetsbaarheid voor aanvallen: asr-events.xml
    • Aangepaste weergave netwerk-/beveiligingsevenementen: np-events.xml
  2. Typ logboeken in het startmenu en open Logboeken.

  3. Selecteer Actie>Aangepaste weergave importeren...

    Animatie die aangepaste weergave importeren markeert aan de linkerkant van het venster Even viewer.

  4. Ga naar de locatie waar u het XML-bestand hebt uitgepakt voor de gewenste aangepaste weergave en selecteer het.

  5. Selecteer Openen.

  6. Er wordt een aangepaste weergave gemaakt die filtert om alleen de gebeurtenissen weer te geven die betrekking hebben op die functie.

De XML rechtstreeks kopiƫren

  1. Typ logboeken in het startmenu en open de Windows-Logboeken.

  2. Selecteer in het linkerdeelvenster onder Actiesde optie Aangepaste weergave maken...

    Animatie waarin de optie Aangepaste weergave maken wordt gemarkeerd in het venster Logboeken.

  3. Ga naar het tabblad XML en selecteer Query handmatig bewerken. U ziet een waarschuwing dat u de query niet kunt bewerken met behulp van het tabblad Filter als u de optie XML gebruikt. Selecteer Ja.

  4. Plak de XML-code voor de functie waaruit u gebeurtenissen wilt filteren in de sectie XML.

  5. Selecteer OK. Geef een naam op voor het filter. Met deze actie maakt u een aangepaste weergave die filtert om alleen de gebeurtenissen weer te geven die betrekking hebben op die functie.

XML voor regel gebeurtenissen voor het verminderen van kwetsbaarheid voor aanvallen

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
   <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select>
   <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select>
  </Query>
</QueryList>

XML voor beheerde maptoegangsevenementen

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
   <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
   <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
  </Query>
</QueryList>

XML voor exploit protection-gebeurtenissen

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Security-Mitigations/KernelMode">
   <Select Path="Microsoft-Windows-Security-Mitigations/KernelMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Concurrency">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Contention">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Messages">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Operational">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Power">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Render">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Tracing">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/UIPI">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Security-Mitigations/UserMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
  </Query>
</QueryList>

XML voor netwerkbeveiligingsevenementen

<QueryList>
 <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
  <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
  <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
 </Query>
</QueryList>

Lijst met gebeurtenissen voor het verminderen van kwetsbaarheid voor aanvallen

Alle gebeurtenissen voor het verminderen van kwetsbaarheid voor aanvallen bevinden zich onder Logboeken > toepassingen en services Microsoft > Windows en vervolgens de map of provider zoals vermeld in de volgende tabel.

U hebt toegang tot deze gebeurtenissen in Windows Logboeken:

  1. Open het Startmenu, typ Logboeken en selecteer het Logboeken resultaat.

  2. Vouw Toepassingen en serviceslogboeken > Microsoft > Windows uit en ga vervolgens naar de map die wordt vermeld onder Provider/bron in de onderstaande tabel.

  3. Dubbelklik op het subitem om gebeurtenissen weer te geven. Blader door de gebeurtenissen om de gebeurtenis te vinden die u zoekt.

    Animatie die wordt weergegeven met behulp van Logboeken.

Functie Provider/bron Gebeurtenis-id Omschrijving
Bescherming tegen misbruik Beveiligingsbeperkingen (kernelmodus/gebruikersmodus) 1 ACG-controle
Bescherming tegen misbruik Beveiligingsbeperkingen (kernelmodus/gebruikersmodus) 2 ACG afdwingen
Bescherming tegen misbruik Beveiligingsbeperkingen (kernelmodus/gebruikersmodus) 3 Geen controle van onderliggende processen toestaan
Bescherming tegen misbruik Beveiligingsbeperkingen (kernelmodus/gebruikersmodus) 4 Blokkeren van onderliggende processen niet toestaan
Bescherming tegen misbruik Beveiligingsbeperkingen (kernelmodus/gebruikersmodus) 5 Controle van afbeeldingen met lage integriteit blokkeren
Bescherming tegen misbruik Beveiligingsbeperkingen (kernelmodus/gebruikersmodus) 6 Blokkeren van afbeeldingen met lage integriteit blokkeren
Bescherming tegen misbruik Beveiligingsbeperkingen (kernelmodus/gebruikersmodus) 7 Blokkeren van controle externe afbeeldingen
Bescherming tegen misbruik Beveiligingsbeperkingen (kernelmodus/gebruikersmodus) 8 Blokkeren van blokkering externe afbeeldingen
Bescherming tegen misbruik Beveiligingsbeperkingen (kernelmodus/gebruikersmodus) 9 Controle van systeemoproepen van Win32k uitschakelen
Bescherming tegen misbruik Beveiligingsbeperkingen (kernelmodus/gebruikersmodus) 10 Blokkeren van systeemoproepen van Win32k uitschakelen
Bescherming tegen misbruik Beveiligingsbeperkingen (kernelmodus/gebruikersmodus) 11 Controle van beveiliging van code-integriteit
Bescherming tegen misbruik Beveiligingsbeperkingen (kernelmodus/gebruikersmodus) 12 Blokkeren van beveiliging van code-integriteit
Bescherming tegen misbruik Beveiligingsbeperkingen (kernelmodus/gebruikersmodus) 13 EAF-controle
Bescherming tegen misbruik Beveiligingsbeperkingen (kernelmodus/gebruikersmodus) 14 EAF afdwingen
Bescherming tegen misbruik Beveiligingsbeperkingen (kernelmodus/gebruikersmodus) 15 EAF + controle
Bescherming tegen misbruik Beveiligingsbeperkingen (kernelmodus/gebruikersmodus) 16 EAF + afdwingen
Bescherming tegen misbruik Beveiligingsbeperkingen (kernelmodus/gebruikersmodus) 17 IAF-controle
Bescherming tegen misbruik Beveiligingsbeperkingen (kernelmodus/gebruikersmodus) 18 IAF afdwingen
Bescherming tegen misbruik Beveiligingsbeperkingen (kernelmodus/gebruikersmodus) 19 ROP StackPivot-controle
Bescherming tegen misbruik Beveiligingsbeperkingen (kernelmodus/gebruikersmodus) 20 ROP StackPivot afdwingen
Bescherming tegen misbruik Beveiligingsbeperkingen (kernelmodus/gebruikersmodus) 21 ROP CallerCheck-controle
Bescherming tegen misbruik Beveiligingsbeperkingen (kernelmodus/gebruikersmodus) 22 ROP CallerCheck afdwingen
Bescherming tegen misbruik Beveiligingsbeperkingen (kernelmodus/gebruikersmodus) 23 ROP SimExec-controle
Bescherming tegen misbruik Beveiligingsbeperkingen (kernelmodus/gebruikersmodus) 24 ROP SimExec afdwingen
Bescherming tegen misbruik Diagnostische gegevens WER 5 CFG blokkeren
Bescherming tegen misbruik Win32K (operationeel) 260 Niet-vertrouwd lettertype
Netwerkbeveiliging Windows Defender (operationeel) 5007 Gebeurtenis wanneer instellingen worden gewijzigd
Netwerkbeveiliging Windows Defender (operationeel) 1125 Gebeurtenis wanneer netwerkbeveiliging wordt geactiveerd in de auditmodus
Netwerkbeveiliging Windows Defender (operationeel) 1126 Gebeurtenis wanneer netwerkbeveiliging wordt geactiveerd in de blokmodus
Gecontroleerde mappentoegang Windows Defender (operationeel) 5007 Gebeurtenis wanneer instellingen worden gewijzigd
Gecontroleerde mappentoegang Windows Defender (operationeel) 1124 Gecontroleerde toegangsgebeurtenis voor beheerde mappen
Gecontroleerde mappentoegang Windows Defender (operationeel) 1123 Gebeurtenis voor geblokkeerde gecontroleerde maptoegang
Gecontroleerde mappentoegang Windows Defender (operationeel) 1127 Geblokkeerde schrijfblok-gebeurtenis voor gecontroleerde maptoegang in de sector
Gecontroleerde mappentoegang Windows Defender (operationeel) 1128 Gecontroleerde schrijfblokgebeurtenis voor gecontroleerde maptoegang in de sector
Kwetsbaarheid voor aanvallen verminderen Windows Defender (operationeel) 5007 Gebeurtenis wanneer instellingen worden gewijzigd
Kwetsbaarheid voor aanvallen verminderen Windows Defender (operationeel) 1122 Gebeurtenis wanneer regel wordt geactiveerd in de auditmodus
Kwetsbaarheid voor aanvallen verminderen Windows Defender (operationeel) 1121 Gebeurtenis wanneer regel wordt geactiveerd in de blokmodus

Opmerking

Vanuit het perspectief van de gebruiker worden waarschuwingsmodusmeldingen voor het verminderen van kwetsbaarheid voor aanvallen gemaakt als een Windows-pop-upmelding voor regels voor het verminderen van kwetsbaarheid voor aanvallen.

Bij het verminderen van kwetsbaarheid voor aanvallen biedt Netwerkbeveiliging alleen de modus Audit en Block.

Bronnen voor meer informatie over het verminderen van kwetsbaarheid voor aanvallen

Zoals vermeld in de video, bevat Defender voor Eindpunt verschillende mogelijkheden voor het verminderen van kwetsbaarheid voor aanvallen. Gebruik de volgende bronnen voor meer informatie:

Artikel Beschrijving
Toepassingsbeheer Gebruik toepassingsbeheer zodat uw toepassingen vertrouwen verdienen om te kunnen worden uitgevoerd.
Verwijzing naar regels voor het verminderen van kwetsbaarheid voor aanvallen Bevat details over elke regel voor het verminderen van kwetsbaarheid voor aanvallen.
Implementatiehandleiding voor regels voor het verminderen van kwetsbaarheid voor aanvallen Bevat overzichtsinformatie en vereisten voor het implementeren van regels voor het verminderen van kwetsbaarheid voor aanvallen, gevolgd door stapsgewijze richtlijnen voor testen (auditmodus), inschakelen (blokmodus) en bewaking.
Beheerde maptoegang Help te voorkomen dat schadelijke of verdachte apps (inclusief bestand-versleutelende ransomware) wijzigingen aanbrengt in bestanden in uw belangrijkste systeemmappen (vereist Microsoft Defender Antivirus).
Apparaatbesturing Beschermt tegen gegevensverlies door media te bewaken en te beheren die worden gebruikt op apparaten, zoals verwisselbare opslag en USB-stations, in uw organisatie.
Bescherming tegen misbruik Beveilig de besturingssystemen en apps die uw organisatie gebruikt tegen misbruik. Exploit Protection werkt ook met antivirusoplossingen van derden.
Hardwaregebaseerde isolatie Bescherm en behoud de integriteit van een systeem terwijl het wordt gestart en terwijl het wordt uitgevoerd. Valideer de systeemintegriteit via lokale en externe attestation. Gebruik containerisolatie voor Microsoft Edge om u te beschermen tegen schadelijke websites.
Netwerkbeveiliging Breid de beveiliging uit naar uw netwerkverkeer en connectiviteit op de apparaten van uw organisatie. (Vereist Microsoft Defender Antivirus).
Regels voor het verminderen van kwetsbaarheid voor aanvallen testen Bevat stappen voor het gebruik van de controlemodus om regels voor het verminderen van kwetsbaarheid voor aanvallen te testen.
Webbeveiliging Met webbeveiliging kunt u uw apparaten beveiligen tegen webbedreigingen en helpt u ongewenste inhoud te reguleren.

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.