Delen via


Een Exploit Guard-beleid maken en implementeren

Van toepassing op: Configuration Manager (current branch)

U kunt Configuration Manager beleid configureren en implementeren waarmee alle vier de onderdelen van Windows Defender Exploit Guard worden beheerd. Deze onderdelen omvatten:

  • Kwetsbaarheid voor aanvallen verminderen
  • Gecontroleerde mappentoegang
  • Bescherming tegen misbruik
  • Netwerkbeveiliging

Nalevingsgegevens voor implementatie van Exploit Guard-beleid zijn beschikbaar vanuit de Configuration Manager-console.

Opmerking

Configuration Manager schakelt deze optionele functie niet standaard in. U moet deze functie inschakelen voordat u deze kunt gebruiken. Zie Optionele functies van updates inschakelen voor meer informatie.

Vereisten

Beheerde apparaten moeten Windows 10 1709 of hoger worden uitgevoerd. De minimale Windows Server-build is versie 1809 of hoger tot server 2019. Aan de volgende vereisten moet ook worden voldaan, afhankelijk van de onderdelen en regels die zijn geconfigureerd:

Exploit Guard-onderdeel Aanvullende vereisten
Kwetsbaarheid voor aanvallen verminderen Op apparaten moet Microsoft Defender voor Eindpunt always-on-beveiliging zijn ingeschakeld.
Gecontroleerde mappentoegang Op apparaten moet Microsoft Defender voor Eindpunt always-on-beveiliging zijn ingeschakeld.
Bescherming tegen misbruik Geen
Netwerkbeveiliging Op apparaten moet Microsoft Defender voor Eindpunt always-on-beveiliging zijn ingeschakeld.

Een Exploit Guard-beleid maken

  1. Ga in de Configuration Manager-console naar Assets and compliance>Endpoint Protection en klik vervolgens op Windows Defender Exploit Guard.

  2. Klik op het tabblad Start in de groep Maken op Exploit policy maken.

  3. Geef op de pagina Algemeen van de wizard Configuratie-item maken een naam en optionele beschrijving op voor het configuratie-item.

  4. Selecteer vervolgens de Exploit Guard-onderdelen die u wilt beheren met dit beleid. Voor elk onderdeel dat u selecteert, kunt u vervolgens aanvullende details configureren.

    • Kwetsbaarheid voor aanvallen verminderen: Configureer de Office-bedreiging, scriptbedreigingen en e-mailbedreigingen die u wilt blokkeren of controleren. U kunt ook specifieke bestanden of mappen uitsluiten van deze regel.
    • Gecontroleerde maptoegang: Configureer blokkering of controle en voeg vervolgens apps toe die dit beleid kunnen omzeilen. U kunt ook extra mappen opgeven die niet standaard worden beveiligd.
    • Exploit Protection: Geef een XML-bestand op dat instellingen bevat voor het beperken van aanvallen van systeemprocessen en apps. U kunt deze instellingen exporteren vanuit de Windows Defender Security Center-app op een Windows 10 of hoger apparaat.
    • Netwerkbeveiliging: Stel netwerkbeveiliging in om de toegang tot verdachte domeinen te blokkeren of te controleren.
  5. Voltooi de wizard om het beleid te maken, dat u later op apparaten kunt implementeren.

    Waarschuwing

    Het XML-bestand voor exploit protection moet veilig worden bewaard bij het overdragen van het bestand tussen computers. Het bestand moet na het importeren worden verwijderd of op een veilige locatie worden bewaard.

Een Exploit Guard-beleid implementeren

Nadat u Exploit Guard-beleid hebt gemaakt, gebruikt u de wizard Exploit Guard-beleid implementeren om deze te implementeren. Open hiervoor de Configuration Manager-console naar Assets and compliance>Endpoint Protection en klik vervolgens op Deploy Exploit Guard Policy.

Belangrijk

Zodra u een Exploit Guard-beleid hebt geïmplementeerd, zoals Kwetsbaarheid voor aanvallen verminderen of Gecontroleerde maptoegang, worden de Exploit Guard-instellingen niet verwijderd van de clients als u de implementatie verwijdert. Delete not supported wordt vastgelegd in de ExploitGuardHandler.log van de client als u de Exploit Guard-implementatie van de client verwijdert. Het volgende PowerShell-script kan worden uitgevoerd onder SYSTEM-context om deze instellingen te verwijderen:

$defenderObject = Get-WmiObject -Namespace "root/cimv2/mdm/dmmap" -Class "MDM_Policy_Config01_Defender02" -Filter "InstanceID='Defender' and ParentID='./Vendor/MSFT/Policy/Config'"
$defenderObject.AttackSurfaceReductionRules = $null
$defenderObject.AttackSurfaceReductionOnlyExclusions = $null
$defenderObject.EnableControlledFolderAccess = $null
$defenderObject.ControlledFolderAccessAllowedApplications = $null
$defenderObject.ControlledFolderAccessProtectedFolders = $null
$defenderObject.EnableNetworkProtection = $null
$defenderObject.Put()

$exploitGuardObject = Get-WmiObject -Namespace "root/cimv2/mdm/dmmap" -Class "MDM_Policy_Config01_ExploitGuard02" -Filter "InstanceID='ExploitGuard' and ParentID='./Vendor/MSFT/Policy/Config'"
$exploitGuardObject.ExploitProtectionSettings = $null
$exploitGuardObject.Put()

Windows Defender Exploit Guard-beleidsinstellingen

Beleid en opties voor het verminderen van kwetsbaarheid voor aanvallen

Kwetsbaarheid voor aanvallen verminderen kan de kwetsbaarheid voor aanvallen van uw toepassingen verminderen met intelligente regels die de vectoren stoppen die worden gebruikt door Office, scripts en e-mailgebaseerde malware. Meer informatie over Kwetsbaarheid voor aanvallen verminderen en de gebeurtenis-id's die hiervoor worden gebruikt.

  • Bestanden en mappen die u wilt uitsluiten van regels voor het verminderen van kwetsbaarheid voor aanvallen : klik op Instellen en geef alle bestanden of mappen op die u wilt uitsluiten.

  • Email bedreigingen:

    • Uitvoerbare inhoud van e-mailclient en webmail blokkeren.
      • Niet geconfigureerd
      • Blokkeren
      • Audit
  • Office-bedreigingen:

    • Voorkomen dat de Office-toepassing onderliggende processen maakt.
      • Niet geconfigureerd
      • Blokkeren
      • Audit
    • Voorkomen dat Office-toepassingen uitvoerbare inhoud kunnen maken.
      • Niet geconfigureerd
      • Blokkeren
      • Audit
    • Voorkomen dat Office-toepassingen code in andere processen injecteren.
      • Niet geconfigureerd
      • Blokkeren
      • Audit
    • Blokkeer Win32 API-aanroepen van Office-macro's.
      • Niet geconfigureerd
      • Blokkeren
      • Audit
  • Scripting-bedreigingen:

    • Voorkom dat JavaScript of VBScript gedownloade uitvoerbare inhoud kan starten.
      • Niet geconfigureerd
      • Blokkeren
      • Audit
    • De uitvoering van mogelijk verborgen scripts blokkeren.
      • Niet geconfigureerd
      • Blokkeren
      • Audit
  • Ransomware-bedreigingen: (vanaf Configuration Manager versie 1802)

    • Gebruik geavanceerde beveiliging tegen ransomware.
      • Niet geconfigureerd
      • Blokkeren
      • Audit
  • Bedreigingen van besturingssystemen: (vanaf Configuration Manager versie 1802)

    • Blokkeer het stelen van referenties van het Windows-subsysteem voor de lokale beveiligingsinstantie.
      • Niet geconfigureerd
      • Blokkeren
      • Audit
    • Voorkomen dat uitvoerbare bestanden worden uitgevoerd, tenzij ze voldoen aan een prevalentie, leeftijd of vertrouwde lijstcriteria.
      • Niet geconfigureerd
      • Blokkeren
      • Audit
  • Bedreigingen van externe apparaten: (vanaf Configuration Manager versie 1802)

    • Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB.
      • Niet geconfigureerd
      • Blokkeren
      • Audit

Beleid en opties voor gecontroleerde maptoegang

Helpt bestanden in belangrijke systeemmappen te beschermen tegen wijzigingen die zijn aangebracht door schadelijke en verdachte apps, waaronder file-encrypting ransomware malware. Zie Gecontroleerde maptoegang en de gebeurtenis-id's die worden gebruikt voor meer informatie.

  • Gecontroleerde maptoegang configureren:
    • Blokkeren
    • Alleen schijfsectoren blokkeren (vanaf Configuration Manager versie 1802)
      • Hiermee staat u toe dat beheerde maptoegang alleen wordt ingeschakeld voor opstartsectoren en wordt de beveiliging van specifieke mappen of de standaard beveiligde mappen niet ingeschakeld.
    • Audit
    • Alleen schijfsectoren controleren (vanaf Configuration Manager versie 1802)
      • Hiermee staat u toe dat beheerde maptoegang alleen wordt ingeschakeld voor opstartsectoren en wordt de beveiliging van specifieke mappen of de standaard beveiligde mappen niet ingeschakeld.
    • Uitgeschakeld
  • Apps toestaan via Gecontroleerde maptoegang - Klik op Apps instellen en opgeven.
  • Extra beveiligde mappen : klik op Instellen en geef extra beveiligde mappen op.

Beveiligingsbeleid voor misbruik

Hiermee worden technieken voor het beperken van misbruik toegepast op besturingssysteemprocessen en apps die uw organisatie gebruikt. Deze instellingen kunnen worden geëxporteerd vanuit de Windows Defender Security Center-app op Windows 10 of nieuwere apparaten. Zie Exploit protection voor meer informatie.

  • Exploit Protection XML: klik op Bladeren en geef het XML-bestand op dat u wilt importeren.

    Waarschuwing

    Het XML-bestand voor exploit protection moet veilig worden bewaard bij het overdragen van het bestand tussen computers. Het bestand moet na het importeren worden verwijderd of op een veilige locatie worden bewaard.

Netwerkbeveiligingsbeleid

Helpt de kwetsbaarheid voor aanvallen op apparaten tegen internetaanvallen te minimaliseren. De service beperkt de toegang tot verdachte domeinen die mogelijk phishing-scams, exploits en schadelijke inhoud hosten. Zie Netwerkbeveiliging voor meer informatie.

  • Netwerkbeveiliging configureren:
    • Blokkeren
    • Audit
    • Uitgeschakeld