Migreren van een niet-Microsoft HIPS naar regels voor het verminderen van kwetsbaarheid voor aanvallen

Van toepassing op:

• Plan 1 voor Microsoft Defender voor Eindpunt
• Plan 2 voor Microsoft Defender voor Eindpunt

In dit artikel kunt u algemene regels toewijzen aan Microsoft Defender voor Eindpunt.

Scenario's bij het migreren van een niet-Microsoft HIPS-product naar regels voor het verminderen van kwetsbaarheid voor aanvallen

Het maken van specifieke bestanden blokkeren

• Van toepassing op- Alle processen
• Bewerking- Bestand maken
• Voorbeelden van bestanden/mappen, registersleutels/waarden, processen, services- *.zepto, *.odin, *.locky, *.jaff, *.lukitus, *.wnry, *.krab
• Regels voor kwetsbaarheid voor aanvallen verminderen: regels voor het verminderen van kwetsbaarheid voor aanvallen blokkeren de aanvalstechnieken en niet de Indicators of Compromise (IOC). Het blokkeren van een specifieke bestandsextensie is niet altijd nuttig, omdat hiermee niet wordt voorkomen dat een apparaat inbreuk maakt. Een aanval wordt slechts gedeeltelijk gedwarsboomd totdat aanvallers een nieuw type extensie voor de nettolading maken.
• Andere aanbevolen functies: Microsoft Defender Antivirus is ingeschakeld, samen met cloudbeveiliging en analyse van gedrag wordt ten zeerste aanbevolen. We raden u aan andere preventie te gebruiken, zoals de regel voor het verminderen van kwetsbaarheid voor aanvallen Gebruik geavanceerde beveiliging tegen ransomware, wat een hoger niveau van bescherming tegen ransomware-aanvallen biedt. Bovendien bewaakt Microsoft Defender voor Eindpunt veel van deze registersleutels, zoals ASEP-technieken, die specifieke waarschuwingen activeren. De gebruikte registersleutels vereisen een minimum aan lokale Beheer of vertrouwde installatieprogrammabevoegdheden kunnen worden gewijzigd. Het wordt aanbevolen om een vergrendelde omgeving te gebruiken met minimale beheerdersaccounts of -rechten. Andere systeemconfiguraties kunnen worden ingeschakeld, waaronder Disable SeDebug voor niet-vereist rollen die deel uitmaken van onze bredere beveiligingsaanbevelingen.

Het maken van specifieke registersleutels blokkeren

• Van toepassing op - Alle processen
• Processen - N.b.
• Bewerking- Registerwijzigingen
• Voorbeelden van bestanden/mappen, registersleutels/waarden, processen, services- \Software,HKCU\Environment\UserInitMprLogonScript,HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Accessibility\ATs*\StartExe, HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*\Debugger, HKEY_CURRENT_USER\Software\Microsoft\HtmlHelp Author\location, HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit*\MonitorProcess
• Regels voor kwetsbaarheid voor aanvallen verminderen: regels voor het verminderen van kwetsbaarheid voor aanvallen blokkeren de aanvalstechnieken en niet de Indicators of Compromise (IOC). Het blokkeren van een specifieke bestandsextensie is niet altijd nuttig, omdat dit niet voorkomt dat een apparaat inbreuk maakt. Een aanval wordt slechts gedeeltelijk gedwarsboomd totdat aanvallers een nieuw type extensie voor de nettolading maken.
• Andere aanbevolen functies: Microsoft Defender Antivirus is ingeschakeld, samen met cloudbeveiliging en analyse van gedrag wordt ten zeerste aanbevolen. We raden u aan extra preventie te gebruiken, zoals de regel voor het verminderen van kwetsbaarheid voor aanvallen Gebruik geavanceerde bescherming tegen ransomware. Dit biedt een hoger niveau van bescherming tegen ransomware-aanvallen. Bovendien bewaakt Microsoft Defender voor Eindpunt verschillende van deze registersleutels, zoals ASEP-technieken, waarmee specifieke waarschuwingen worden geactiveerd. Bovendien kunnen de gebruikte registersleutels een minimum aan lokale Beheer of vertrouwde installatieprogrammabevoegdheden wijzigen. Het wordt aanbevolen om een vergrendelde omgeving te gebruiken met minimale beheerdersaccounts of -rechten. Andere systeemconfiguraties kunnen worden ingeschakeld, waaronder Disable SeDebug voor niet-vereist rollen die deel uitmaken van onze bredere beveiligingsaanbevelingen.

Niet-vertrouwde programma's niet uitvoeren vanaf verwisselbare stations

• Van toepassing op - Niet-vertrouwde programma's van USB
• Processen- *
• Bewerking- Procesuitvoering
• *Voorbeelden van bestanden/mappen, registersleutels/waarden, processen, services: -
• Regels voor het verminderen van kwetsbaarheid voor aanvallen: regels voor het verminderen van kwetsbaarheid voor aanvallen hebben een ingebouwde regel om het starten van niet-vertrouwde en niet-ondertekende programma's vanaf verwisselbare stations te voorkomen: niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB, GUID b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4.
• Andere aanbevolen functies- Bekijk meer besturingselementen voor USB-apparaten en andere verwisselbare media met behulp van Microsoft Defender voor Eindpunt:USB-apparaten en andere verwisselbare media beheren met behulp van Microsoft Defender voor Eindpunt.

Voorkomen dat Mshta bepaalde onderliggende processen start

• Van toepassing op - Mshta
• Processen - mshta.exe
• Bewerking- Procesuitvoering
• Voorbeelden van bestanden/mappen, registersleutels/waarden, processen, services- powershell.exe, cmd.exe, regsvr32.exe
• Regels voor het verminderen van kwetsbaarheid voor aanvallen: regels voor het verminderen van kwetsbaarheid voor aanvallen bevatten geen specifieke regel om te voorkomen dat onderliggende processen mshta.exe. Dit besturingselement valt onder de bevoegdheid van Exploit Protection of Windows Defender Application Control.
• Andere aanbevolen functies: schakel Windows Defender Toepassingsbeheer in om te voorkomen dat mshta.exe helemaal wordt uitgevoerd. Als uw organisatie mshta.exe vereist voor Line-Of-Business-apps, configureert u een specifieke Windows Defender Exploit Protection-regel om te voorkomen dat mshta.exe onderliggende processen start.

Outlook blokkeren voor het starten van onderliggende processen

• Van toepassing op - Outlook
• Processen - outlook.exe
• Bewerking- Procesuitvoering
• Voorbeelden van bestanden/mappen, registersleutels/waarden, processen, services- powershell.exe
• Regels voor het verminderen van kwetsbaarheid voor aanvallen: regels voor het verminderen van kwetsbaarheid voor aanvallen hebben een ingebouwde regel om te voorkomen dat Office-communicatie-apps (Outlook, Skype en Teams) onderliggende processen starten: Voorkomen dat de Office-communicatietoepassing onderliggende processen maakt, GUID 2619089-1602-49e8-8b27-eb1d0a1ce869.
• Andere aanbevolen functies: u wordt aangeraden de modus voor beperkte taal van PowerShell in te schakelen om de kwetsbaarheid voor aanvallen vanuit PowerShell te minimaliseren.

Voorkomen dat Office-apps onderliggende processen starten

• Van toepassing op - Office
• Processen - winword.exe, powerpnt.exe, excel.exe
• Bewerking- Procesuitvoering
• Voorbeelden van bestanden/mappen, registersleutels/waarden, processen, services- powershell.exe, cmd.exe, wscript.exe, mshta.exe, EQNEDT32.EXE, regsrv32.exe
• Regels voor het verminderen van kwetsbaarheid voor aanvallen: regels voor het verminderen van kwetsbaarheid voor aanvallen hebben een ingebouwde regel om te voorkomen dat Office-apps onderliggende processen starten: Alle Office-toepassingen blokkeren om onderliggende processen te maken, GUID d4f940ab-401b-4efc-aadc-ad5f3c50688a.
• Andere aanbevolen functies - N.b.

Het maken van uitvoerbare inhoud voor Office-apps blokkeren

• Van toepassing op - Office
• Processen - winword.exe, powerpnt.exe, excel.exe
• Bewerking- Bestand maken
• Voorbeelden van bestanden/mappen, registersleutels/waarden, processen, services- C:\Users*\AppData**.exe, C:\ProgramData**.exe, C:\ProgramData**.com, C:\UsersAppData\Local\Temp**.com, C:\Users\Downloads**.exe, C:\Users*\AppData**.scf, C:\ProgramData**.scf, C:\Users\Public*.exe, C:\Users*\Desktop**.exe
• Regels voor het verminderen van kwetsbaarheid voor aanvallen - N.v.v.

Wscript blokkeren voor het lezen van bepaalde typen bestanden

• Van toepassing op - Wscript
• Processen - wscript.exe
• Bewerking- Bestand lezen
• Voorbeelden van bestanden/mappen, registersleutels/waarden, processen, services- C:\Users*\AppData**.js, C:\Users*\Downloads**.js
• Regels voor het verminderen van kwetsbaarheid voor aanvallen: vanwege betrouwbaarheids- en prestatieproblemen hebben regels voor het verminderen van kwetsbaarheid voor aanvallen niet de mogelijkheid om te voorkomen dat een specifiek proces een bepaald scriptbestandstype leest. We hebben wel een regel om aanvalsvectoren te voorkomen die mogelijk afkomstig zijn van deze scenario's. De regelnaam is JavaScript of VBScript blokkeren voor het starten van gedownloade uitvoerbare inhoud (GUID d3e037e1-3eb8-44c8-a917-57927947596d) en de blokuitvoering van mogelijk verborgen scripts (GUID * 5beb7efe-fd9a-4556-801d-275e5ffc04cc*).
• Andere aanbevolen functies- Hoewel er specifieke regels voor het verminderen van kwetsbaarheid voor aanvallen zijn die bepaalde aanvalsvectoren in deze scenario's beperken, is het belangrijk om te vermelden dat AV standaard scripts (PowerShell, Windows Script Host, JavaScript, VBScript en meer) in realtime kan inspecteren via de Antimalware Scan Interface (AMSI). Meer informatie vindt u hier: Antimalware Scan Interface (AMSI).

Start van onderliggende processen blokkeren

• Van toepassing op - Adobe Acrobat
• Processen - AcroRd32.exe, Acrobat.exe
• Bewerking- Procesuitvoering
• Voorbeelden van bestanden/mappen, registersleutels/waarden, processen, services- cmd.exe, powershell.exe, wscript.exe
• Regels voor het verminderen van kwetsbaarheid voor aanvallen: met regels voor het verminderen van kwetsbaarheid voor aanvallen kan Adobe Reader geen onderliggende processen starten. De regelnaam is Adobe Reader blokkeren voor het maken van onderliggende processen, GUID 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c.
• Andere aanbevolen functies - N.b.

Downloaden of maken van uitvoerbare inhoud blokkeren

• Van toepassing op - CertUtil: downloaden of maken van uitvoerbare bestanden blokkeren
• Processen - certutil.exe
• Bewerking- Bestand maken
• Voorbeelden van bestanden/mappen, registersleutels/waarden, processen, services- *.exe
• Regels voor het verminderen van kwetsbaarheid voor aanvallen: regels voor het verminderen van kwetsbaarheid voor aanvallen ondersteunen deze scenario's niet omdat ze deel uitmaken van Microsoft Defender Antivirusbeveiliging.
• Andere aanbevolen functies: Microsoft Defender Antivirus voorkomt dat CertUtil uitvoerbare inhoud maakt of downloadt.

Voorkomen dat processen kritieke systeemonderdelen stoppen

• Van toepassing op - Alle processen
• Processen- *
• Bewerking- Proces beëindigen
• Voorbeelden van bestanden/mappen, registersleutels/waarden, processen, services- MsSense.exe, MsMpEng.exe, NisSrv.exe, svchost.exe*, services.exe, csrss.exe, smss.exe, wininit.exe en meer.
• Regels voor kwetsbaarheid voor aanvallen verminderen: regels voor het verminderen van kwetsbaarheid voor aanvallen ondersteunen deze scenario's niet omdat ze zijn beveiligd met ingebouwde Windows-beveiliging.
• Andere aanbevolen functies: ELAM (Early Launch AntiMalware), PPL (Protection Process Light), PPL AntiMalware Light en System Guard.

Specifieke procespoging voor starten blokkeren

• Van toepassing op - specifieke processen
• Processen- Geef uw proces een naam
• Bewerking- Procesuitvoering
• Voorbeelden van bestanden/mappen, registersleutels/waarden, processen, services- tor.exe, bittorrent.exe, cmd.exe, powershell.exe en meer
• Regels voor het verminderen van kwetsbaarheid voor aanvallen: over het algemeen zijn regels voor het verminderen van kwetsbaarheid voor aanvallen niet ontworpen om te functioneren als toepassingsbeheerder.
• Andere aanbevolen functies: om te voorkomen dat gebruikers specifieke processen of programma's starten, is het raadzaam om Windows Defender Application Control te gebruiken. Microsoft Defender voor Eindpunt bestands- en certificaatindicatoren kunnen worden gebruikt in een incidentresponsscenario (moet niet worden gezien als een mechanisme voor toepassingsbeheer).

Niet-geautoriseerde wijzigingen in Microsoft Defender Antivirus-configuraties blokkeren

• Van toepassing op - Alle processen
• Processen- *
• Bewerking- Registerwijzigingen
• Voorbeelden van bestanden/mappen, registersleutels/waarden, processen, services- HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\DisableAntiSpyware, HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Policy Manager\AllowRealTimeMonitoring, enzovoort.
• Regels voor het verminderen van kwetsbaarheid voor aanvallen: regels voor het verminderen van kwetsbaarheid voor aanvallen hebben geen betrekking op deze scenario's, omdat ze deel uitmaken van de Microsoft Defender voor Eindpunt ingebouwde beveiliging.
• Andere aanbevolen functies: Manipulatiebeveiliging (opt-in, beheerd vanuit Intune) voorkomt onbevoegde wijzigingen in registersleutels DisableAntiVirus, DisableAntiSpyware, DisableRealtimeMonitoring, DisableOnAccessProtection, DisableBehaviorMonitoring en DisableIOAVProtection (en meer).

Zie ook

• Veelgestelde vragen over het verminderen van kwetsbaarheid voor aanvallen
• Regels voor het verminderen van aanvalsoppervlakken inschakelen
• Regels voor het verminderen van kwetsbaarheid voor aanvallen evalueren

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.