Implementatie van regels voor het verminderen van kwetsbaarheid voor aanvallen plannen

Van toepassing op:

• Plan 1 voor Microsoft Defender voor Eindpunt
• Plan 2 voor Microsoft Defender voor Eindpunt

Voordat u regels voor het verminderen van kwetsbaarheid voor aanvallen test of inschakelt, moet u uw implementatie plannen. Met een zorgvuldige planning kunt u de implementatie van regels voor het verminderen van aanvallen testen en eventuele regelonderdrukkingen voor zijn. Wanneer u regels voor het verminderen van kwetsbaarheid voor aanvallen wilt testen, moet u ervoor zorgen dat u begint met de juiste bedrijfseenheid. Begin met een kleine groep personen in een specifieke bedrijfseenheid. U kunt enkele kampioenen binnen een bepaalde bedrijfseenheid identificeren die feedback kunnen geven om uw implementatie af te stemmen.

Belangrijk

Terwijl u het proces doorloopt voor het plannen, controleren en inschakelen van regels voor het verminderen van kwetsbaarheid voor aanvallen, wordt u aangeraden de volgende drie standaardbeveiligingsregels in te schakelen. Zie Regels voor het verminderen van kwetsbaarheid voor aanvallen per type voor belangrijke informatie over de twee typen regels voor het verminderen van kwetsbaarheid voor aanvallen.

• Het stelen van referenties van het Windows-subsysteem voor lokale beveiligingsinstantie (lsass.exe) blokkeren
• Misbruik van misbruik van kwetsbare ondertekende stuurprogramma's blokkeren
• Persistentie blokkeren via een WMI-gebeurtenisabonnement (Windows Management Instrumentation)

Doorgaans kunt u de standaardbeveiligingsregels inschakelen met minimale merkbare gevolgen voor de eindgebruiker. Zie: Vereenvoudigde standaardbeveiligingsoptie voor een eenvoudige methode om de standaardbeveiligingsregels in te schakelen.

Start de implementatie van uw ASR-regels met de juiste bedrijfseenheid

Hoe u de business unit selecteert om uw implementatie van regels voor het verminderen van kwetsbaarheid voor aanvallen uit te rollen, is afhankelijk van factoren zoals:

• Grootte van de bedrijfseenheid
• Beschikbaarheid van regels voor het verminderen van kwetsbaarheid voor aanvallen
• Distributie en gebruik van:
  • Software
  • Gedeelde mappen
  • Gebruik van scripts
  • Office-macro's
  • Andere entiteiten die worden beïnvloed door regels voor het verminderen van kwetsbaarheid voor aanvallen

Afhankelijk van de behoeften van uw bedrijf, kunt u besluiten om meerdere bedrijfseenheden op te nemen om een brede steekproef van software, gedeelde mappen, scripts, macro's, enzovoort te krijgen. U kunt besluiten om het bereik van de eerste implementatie van regels voor kwetsbaarheid voor aanvallen te beperken tot één bedrijfseenheid. Herhaal vervolgens het volledige implementatieproces voor regels voor het verminderen van kwetsbaarheid voor aanvallen naar uw andere bedrijfseenheden, één voor één.

ASR-regelkampioenen identificeren

Kampioenen van regels voor het verminderen van kwetsbaarheid voor aanvallen zijn leden in uw organisatie die u kunnen helpen bij de eerste implementatie van regels voor het verminderen van kwetsbaarheid voor aanvallen tijdens de voorlopige test- en implementatiefasen. Uw kampioenen zijn doorgaans werknemers die technisch meer bedreven zijn en die niet worden ontspoord door onregelmatige werkstroomonderbrekingen. De betrokkenheid van de kampioenen blijft bij de bredere uitbreiding van de implementatie van regels voor het verminderen van kwetsbaarheid voor aanvallen in uw organisatie. De kampioenen van de regels voor het verminderen van kwetsbaarheid voor aanvallen ervaren als eerste elk niveau van de implementatie van regels voor het verminderen van kwetsbaarheid voor aanvallen.

Het is belangrijk om een feedback- en reactiekanaal te bieden voor de kampioenen voor het verminderen van kwetsbaarheidsregels voor aanvallen om u te waarschuwen voor werkonderbrekingen met betrekking tot het verminderen van kwetsbaarheidsregels voor aanvallen en het ontvangen van communicatie met betrekking tot de implementatie van regels voor het verminderen van kwetsbaarheid voor aanvallen.

Inventaris van Line-Of-Business-apps ophalen en inzicht krijgen in de bedrijfsprocessen

Een volledig begrip van de toepassingen en processen per bedrijfseenheid die in uw organisatie worden gebruikt, is essentieel voor een succesvolle implementatie van regels voor het verminderen van kwetsbaarheid voor aanvallen. Daarnaast is het belangrijk dat u begrijpt hoe deze apps worden gebruikt binnen de verschillende bedrijfseenheden in uw organisatie. Om te beginnen moet u een inventarisatie krijgen van de apps die zijn goedgekeurd voor gebruik in de hele organisatie. U kunt hulpprogramma's zoals het Microsoft 365-apps-beheercentrum gebruiken om softwaretoepassingen te inventariseren. Zie Overzicht van inventaris in het Microsoft 365-apps-beheercentrum.

Rollen en verantwoordelijkheden van asr-regels voor rapportage en respons definiëren

Het duidelijk formuleren van rollen en verantwoordelijkheden van personen die verantwoordelijk zijn voor het bewaken en communiceren van de status en activiteit van regels voor het verminderen van kwetsbaarheid voor aanvallen is een kernactiviteit van het onderhoud van kwetsbaarheid voor aanvallen verminderen. Daarom is het belangrijk om te bepalen:

• De persoon of het team dat verantwoordelijk is voor het verzamelen van rapporten
• Hoe en met wie rapporten worden gedeeld
• Hoe escalatie wordt aangepakt voor nieuw geïdentificeerde bedreigingen of ongewenste blokkeringen veroorzaakt door regels voor het verminderen van kwetsbaarheid voor aanvallen

Typische rollen en verantwoordelijkheden zijn:

• IT-beheerders: implementeer regels voor het verminderen van kwetsbaarheid voor aanvallen, beheer uitsluitingen. Werken met verschillende bedrijfseenheden aan apps en processen. Rapporten samenstellen en delen met belanghebbenden
• CsOC-analist (Certified Security Operations Center): verantwoordelijk voor het onderzoeken van geblokkeerde processen met hoge prioriteit om te bepalen of de bedreiging geldig is of niet
• Chief Information Security Officer (CISO): Verantwoordelijk voor de algehele beveiligingspostuur en -status van de organisatie

Implementatie van ASR-regelsring

Voor grote ondernemingen raadt Microsoft aan om regels voor het verminderen van kwetsbaarheid voor aanvallen in 'ringen' te implementeren. Ringen zijn groepen apparaten die visueel worden weergegeven als concentrische cirkels die naar buiten stralen als niet-overlapping boomringen. Wanneer de binnenste ring is geïmplementeerd, kunt u overstappen naar de volgende ring in de testfase. Een grondige evaluatie van uw bedrijfseenheden, regels voor het verminderen van aanvallen, apps en processen is essentieel voor het definiëren van uw ringen. In de meeste gevallen heeft uw organisatie implementatieringen voor gefaseerde implementaties van Windows-updates. U kunt uw bestaande ringontwerp gebruiken om regels voor het verminderen van kwetsbaarheid voor aanvallen te implementeren. Zie: een implementatieplan voor Windows Creatie

Andere artikelen in deze implementatieverzameling

Implementatieoverzicht van regels voor het verminderen van kwetsbaarheid voor aanvallen

Regels voor het verminderen van kwetsbaarheid voor aanvallen testen

Regels voor het verminderen van aanvalsoppervlakken inschakelen

Regels voor het verminderen van kwetsbaarheid voor aanvallen operationeel maken

Verwijzing naar regels voor het verminderen van kwetsbaarheid voor aanvallen

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.