Demonstraties van regels voor het verminderen van kwetsbaarheid voor aanvallen
Van toepassing op:
- Plan 2 voor Microsoft Defender voor Eindpunt
- Microsoft Defender voor Bedrijven
- Plan 1 voor Microsoft Defender voor Eindpunt
- Microsoft Defender Antivirus
Regels voor het verminderen van kwetsbaarheid voor aanvallen zijn gericht op specifiek gedrag dat doorgaans wordt gebruikt door malware en schadelijke apps om machines te infecteren, zoals:
- Uitvoerbare bestanden en scripts die worden gebruikt in Office-apps of web-e-mail die proberen bestanden te downloaden of uit te voeren
- Scripts die verborgen of anderszins verdacht zijn
- Gedrag van apps dat niet wordt geïnitieerd tijdens het normale dagelijkse werk
Scenariovereisten en installatie
- Windows 11 Windows 10 1709 build 16273 of hoger
- Windows Server 2022, Windows Server 2019, Windows Server 2016 of Windows Server 2012 R2 met de geïntegreerde MDE-client.
- Microsoft Defender Antivirus
- Microsoft 365-apps (Office; vereist voor Office-regels en voorbeelden)
- PowerShell-scripts voor het verminderen van kwetsbaarheid voor aanvallen downloaden
PowerShell-opdrachten
Add-MpPreference -AttackSurfaceReductionRules_Ids BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536-B80A7769E899 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D3E037E1-3EB8-44C8-A917-57927947596D -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D1E49AAC-8F56-4280-B9BA-993A6D77406C -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids C1DB55AB-C21A-4637-BB3F-A12568109D35 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-CD74-433A-B99E-2ECDC07BFC25 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids e6db77e5-3df2-4cf1-b95a-636979351e5b -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids a8f5898e-1dc8-49a9-9878-85004b8a61e6 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-49E8-8B27-EB1D0A1CE869 -AttackSurfaceReductionRules_Actions AuditMode
Add-MpPreference -AttackSurfaceReductionRules_Ids 7674BA52-37EB-4A4F-A9A1-F0F9A1619A2C -AttackSurfaceReductionRules_Actions AuditMode
Regelstatussen
| Status | Modus | Numerieke waarde |
|---|---|---|
| Uitgeschakeld | = Uit | 0 |
| Ingeschakeld | = Blokmodus | 1 |
| Audit | = Controlemodus | 2 |
Configuratie controleren
Get-MpPreference
Bestanden testen
Opmerking: sommige testbestanden hebben meerdere aanvallen ingesloten en activeren meerdere regels
| Regelnaam | Regel-GUID |
|---|---|
| Uitvoerbare inhoud van e-mailclient en webmail blokkeren | BE9BA2D9-53EA-4CDC-84E5-9B1EEE46550 |
| Voorkomen dat Office-toepassingen onderliggende processen kunnen maken | D4F940AB-401B-4EFC-AADC-AD5F3C50688A |
| Office-toepassingen blokkeren voor het maken van uitvoerbare inhoud | 3B576869-A4EC-4529-8536-B80A7769E899 |
| Voorkomen dat Office-toepassingen worden geïnjecteerd in andere processen | 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84 |
| JavaScript en VBScript verhinderen om uitvoerbare bestanden te starten | D3E037E1-3EB8-44C8-A917-57927947596D |
| Uitvoering van mogelijk verborgen scripts blokkeren | 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC |
| Win32-importbewerkingen blokkeren vanuit macrocode in Office | 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B |
| {Procescreaties blokkeren die afkomstig zijn van PSExec & WMI-opdrachten | D1E49AAC-8F56-4280-B9BA-993A6D77406C |
| Uitvoering van niet-vertrouwde of niet-ondertekende uitvoerbare bestanden in verwisselbare USB-media blokkeren | B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4 |
| Agressieve ransomwarepreventie | C1DB55AB-C21A-4637-BB3F-A12568109D35 |
| Uitvoerbare bestanden blokkeren, tenzij ze voldoen aan een prevalentie, leeftijd of vertrouwde lijstcriteria | 01443614-CD74-433A-B99E-2ECDC07BFC25 |
| Voorkomen dat Adobe Reader onderliggende processen kan maken | 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c |
| Misbruik van misbruik van kwetsbare ondertekende stuurprogramma's blokkeren | 56a863a9-875e-4185-98a7-b882c64b5ce5 |
| Het stelen van referenties van het Windows-subsysteem voor lokale beveiligingsinstantie (lsass.exe) blokkeren | 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 |
| Persistentie blokkeren via WMI-gebeurtenisabonnement | e6db77e5-3df2-4cf1-b95a-636979351e5b |
| Het maken van webshells voor servers blokkeren | a8f5898e-1dc8-49a9-9878-85004b8a61e6 |
Scenario's
Configuratie
Download dit installatiescript en voer dit uit. Voordat u het script uitvoert, stelt u het uitvoeringsbeleid in op Onbeperkt met behulp van deze PowerShell-opdracht:
Set-ExecutionPolicy Unrestricted
U kunt in plaats daarvan deze handmatige stappen uitvoeren:
- Creatie een map onder c: met de naam demo, 'c:\demo'
- Sla dit schone bestand op in c:\demo.
- Schakel alle regels in met de PowerShell-opdracht.
Scenario 1: Kwetsbaarheid voor aanvallen verminderen blokkeert een testbestand met meerdere beveiligingsproblemen
- Alle regels in de blokmodus inschakelen met behulp van de PowerShell-opdrachten (u kunt alles plakken)
- Download en open een van de testbestanden/-documenten en schakel bewerken en inhoud in als hierom wordt gevraagd.
Verwachte resultaten scenario 1
U ziet nu onmiddellijk een melding 'Actie geblokkeerd'.
Scenario 2: ASR-regel blokkeert het testbestand met het bijbehorende beveiligingsprobleem
Configureer de regel die u wilt testen met behulp van de PowerShell-opdracht uit de vorige stap.
Voorbeeld:
Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions EnabledDownload en open het testbestand of -document voor de regel die u wilt testen en schakel bewerken en inhoud in als u hierom wordt gevraagd.
Voorbeeld: Voorkomen dat Office-toepassingen onderliggende processen maken D4F940AB-401B-4EFC-AADC-AD5F3C50688A
Verwachte resultaten van scenario 2
U ziet nu onmiddellijk een melding 'Actie geblokkeerd'.
Scenario 3 (Windows 10 of hoger): ASR-regel blokkeert de uitvoering van niet-ondertekende USB-inhoud
- Configureer de regel voor USB-beveiliging (
B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4).
Add-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4 -AttackSurfaceReductionRules_Actions Enabled
- Download het bestand en plaats het op een USB-stick en voer het uit Blokkeer Uitvoering van niet-vertrouwde of niet-ondertekende uitvoerbare bestanden in verwisselbare USB-media
Verwachte resultaten van scenario 3
U ziet nu onmiddellijk een melding 'Actie geblokkeerd'.
Scenario 4: wat zou er gebeuren zonder kwetsbaarheid voor aanvallen te verminderen
Schakel alle regels voor het verminderen van kwetsbaarheid voor aanvallen uit met behulp van PowerShell-opdrachten in de sectie Opschonen.
Download een testbestand/-document en schakel bewerken en inhoud in als hierom wordt gevraagd.
Verwachte resultaten scenario 4
- De bestanden in c:\demo zijn versleuteld en u krijgt een waarschuwingsbericht
- Voer het testbestand opnieuw uit om de bestanden te ontsleutelen
Opschonen
Dit opschoonscript downloaden en uitvoeren
U kunt ook deze handmatige stappen uitvoeren:
Add-MpPreference -AttackSurfaceReductionRules_Ids BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536-B80A7769E899 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D3E037E1-3EB8-44C8-A917-57927947596D -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D1E49AAC-8F56-4280-B9BA-993A6D77406C -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids C1DB55AB-C21A-4637-BB3F-A12568109D35 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-CD74-433A-B99E-2ECDC07BFC25 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids e6db77e5-3df2-4cf1-b95a-636979351e5b -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids a8f5898e-1dc8-49a9-9878-85004b8a61e6 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-49E8-8B27-EB1D0A1CE869 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 7674BA52-37EB-4A4F-A9A1-F0F9A1619A2C -AttackSurfaceReductionRules_Actions Disabled
C:\demo-versleuteling opschonen door het bestand versleutelen/ontsleutelen uit te voeren
Zie ook
Implementatiehandleiding voor regels voor het verminderen van kwetsbaarheid voor aanvallen
Verwijzing naar regels voor het verminderen van kwetsbaarheid voor aanvallen
Microsoft Defender voor Eindpunt - demonstratiescenario's
Tip
Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.