Een Exploit Guard-beleid maken en implementeren
Van toepassing op: Configuration Manager (current branch)
U kunt Configuration Manager beleid configureren en implementeren waarmee alle vier de onderdelen van Windows Defender Exploit Guard worden beheerd. Deze onderdelen omvatten:
- Kwetsbaarheid voor aanvallen verminderen
- Gecontroleerde mappentoegang
- Bescherming tegen misbruik
- Netwerkbeveiliging
Nalevingsgegevens voor implementatie van Exploit Guard-beleid zijn beschikbaar vanuit de Configuration Manager-console.
Opmerking
Configuration Manager schakelt deze optionele functie niet standaard in. U moet deze functie inschakelen voordat u deze kunt gebruiken. Zie Optionele functies van updates inschakelen voor meer informatie.
Vereisten
Beheerde apparaten moeten Windows 10 1709 of hoger worden uitgevoerd. De minimale Windows Server-build is versie 1809 of hoger tot server 2019. Aan de volgende vereisten moet ook worden voldaan, afhankelijk van de onderdelen en regels die zijn geconfigureerd:
Exploit Guard-onderdeel | Aanvullende vereisten |
---|---|
Kwetsbaarheid voor aanvallen verminderen | Op apparaten moet Microsoft Defender voor Eindpunt always-on-beveiliging zijn ingeschakeld. |
Gecontroleerde mappentoegang | Op apparaten moet Microsoft Defender voor Eindpunt always-on-beveiliging zijn ingeschakeld. |
Bescherming tegen misbruik | Geen |
Netwerkbeveiliging | Op apparaten moet Microsoft Defender voor Eindpunt always-on-beveiliging zijn ingeschakeld. |
Een Exploit Guard-beleid maken
Ga in de Configuration Manager-console naar Assets and compliance>Endpoint Protection en klik vervolgens op Windows Defender Exploit Guard.
Klik op het tabblad Start in de groep Maken op Exploit policy maken.
Geef op de pagina Algemeen van de wizard Configuratie-item maken een naam en optionele beschrijving op voor het configuratie-item.
Selecteer vervolgens de Exploit Guard-onderdelen die u wilt beheren met dit beleid. Voor elk onderdeel dat u selecteert, kunt u vervolgens aanvullende details configureren.
- Kwetsbaarheid voor aanvallen verminderen: Configureer de Office-bedreiging, scriptbedreigingen en e-mailbedreigingen die u wilt blokkeren of controleren. U kunt ook specifieke bestanden of mappen uitsluiten van deze regel.
- Gecontroleerde maptoegang: Configureer blokkering of controle en voeg vervolgens apps toe die dit beleid kunnen omzeilen. U kunt ook extra mappen opgeven die niet standaard worden beveiligd.
- Exploit Protection: Geef een XML-bestand op dat instellingen bevat voor het beperken van aanvallen van systeemprocessen en apps. U kunt deze instellingen exporteren vanuit de Windows Defender Security Center-app op een Windows 10 of hoger apparaat.
- Netwerkbeveiliging: Stel netwerkbeveiliging in om de toegang tot verdachte domeinen te blokkeren of te controleren.
Voltooi de wizard om het beleid te maken, dat u later op apparaten kunt implementeren.
Waarschuwing
Het XML-bestand voor exploit protection moet veilig worden bewaard bij het overdragen van het bestand tussen computers. Het bestand moet na het importeren worden verwijderd of op een veilige locatie worden bewaard.
Een Exploit Guard-beleid implementeren
Nadat u Exploit Guard-beleid hebt gemaakt, gebruikt u de wizard Exploit Guard-beleid implementeren om deze te implementeren. Open hiervoor de Configuration Manager-console naar Assets and compliance>Endpoint Protection en klik vervolgens op Deploy Exploit Guard Policy.
Belangrijk
Zodra u een Exploit Guard-beleid hebt geïmplementeerd, zoals Kwetsbaarheid voor aanvallen verminderen of Gecontroleerde maptoegang, worden de Exploit Guard-instellingen niet verwijderd van de clients als u de implementatie verwijdert.
Delete not supported
wordt vastgelegd in de ExploitGuardHandler.log van de client als u de Exploit Guard-implementatie van de client verwijdert.
Het volgende PowerShell-script kan worden uitgevoerd onder SYSTEM-context om deze instellingen te verwijderen:
$defenderObject = Get-WmiObject -Namespace "root/cimv2/mdm/dmmap" -Class "MDM_Policy_Config01_Defender02" -Filter "InstanceID='Defender' and ParentID='./Vendor/MSFT/Policy/Config'"
$defenderObject.AttackSurfaceReductionRules = $null
$defenderObject.AttackSurfaceReductionOnlyExclusions = $null
$defenderObject.EnableControlledFolderAccess = $null
$defenderObject.ControlledFolderAccessAllowedApplications = $null
$defenderObject.ControlledFolderAccessProtectedFolders = $null
$defenderObject.EnableNetworkProtection = $null
$defenderObject.Put()
$exploitGuardObject = Get-WmiObject -Namespace "root/cimv2/mdm/dmmap" -Class "MDM_Policy_Config01_ExploitGuard02" -Filter "InstanceID='ExploitGuard' and ParentID='./Vendor/MSFT/Policy/Config'"
$exploitGuardObject.ExploitProtectionSettings = $null
$exploitGuardObject.Put()
Windows Defender Exploit Guard-beleidsinstellingen
Beleid en opties voor het verminderen van kwetsbaarheid voor aanvallen
Kwetsbaarheid voor aanvallen verminderen kan de kwetsbaarheid voor aanvallen van uw toepassingen verminderen met intelligente regels die de vectoren stoppen die worden gebruikt door Office, scripts en e-mailgebaseerde malware. Meer informatie over Kwetsbaarheid voor aanvallen verminderen en de gebeurtenis-id's die hiervoor worden gebruikt.
Bestanden en mappen die u wilt uitsluiten van regels voor het verminderen van kwetsbaarheid voor aanvallen : klik op Instellen en geef alle bestanden of mappen op die u wilt uitsluiten.
Email bedreigingen:
- Uitvoerbare inhoud van e-mailclient en webmail blokkeren.
- Niet geconfigureerd
- Blokkeren
- Audit
- Uitvoerbare inhoud van e-mailclient en webmail blokkeren.
Office-bedreigingen:
- Voorkomen dat de Office-toepassing onderliggende processen maakt.
- Niet geconfigureerd
- Blokkeren
- Audit
- Voorkomen dat Office-toepassingen uitvoerbare inhoud kunnen maken.
- Niet geconfigureerd
- Blokkeren
- Audit
- Voorkomen dat Office-toepassingen code in andere processen injecteren.
- Niet geconfigureerd
- Blokkeren
- Audit
- Blokkeer Win32 API-aanroepen van Office-macro's.
- Niet geconfigureerd
- Blokkeren
- Audit
- Voorkomen dat de Office-toepassing onderliggende processen maakt.
Scripting-bedreigingen:
- Voorkom dat JavaScript of VBScript gedownloade uitvoerbare inhoud kan starten.
- Niet geconfigureerd
- Blokkeren
- Audit
- De uitvoering van mogelijk verborgen scripts blokkeren.
- Niet geconfigureerd
- Blokkeren
- Audit
- Voorkom dat JavaScript of VBScript gedownloade uitvoerbare inhoud kan starten.
Ransomware-bedreigingen: (vanaf Configuration Manager versie 1802)
- Gebruik geavanceerde beveiliging tegen ransomware.
- Niet geconfigureerd
- Blokkeren
- Audit
- Gebruik geavanceerde beveiliging tegen ransomware.
Bedreigingen van besturingssystemen: (vanaf Configuration Manager versie 1802)
- Blokkeer het stelen van referenties van het Windows-subsysteem voor de lokale beveiligingsinstantie.
- Niet geconfigureerd
- Blokkeren
- Audit
- Voorkomen dat uitvoerbare bestanden worden uitgevoerd, tenzij ze voldoen aan een prevalentie, leeftijd of vertrouwde lijstcriteria.
- Niet geconfigureerd
- Blokkeren
- Audit
- Blokkeer het stelen van referenties van het Windows-subsysteem voor de lokale beveiligingsinstantie.
Bedreigingen van externe apparaten: (vanaf Configuration Manager versie 1802)
- Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB.
- Niet geconfigureerd
- Blokkeren
- Audit
- Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB.
Beleid en opties voor gecontroleerde maptoegang
Helpt bestanden in belangrijke systeemmappen te beschermen tegen wijzigingen die zijn aangebracht door schadelijke en verdachte apps, waaronder file-encrypting ransomware malware. Zie Gecontroleerde maptoegang en de gebeurtenis-id's die worden gebruikt voor meer informatie.
-
Gecontroleerde maptoegang configureren:
- Blokkeren
- Alleen schijfsectoren blokkeren (vanaf Configuration Manager versie 1802)
- Hiermee staat u toe dat beheerde maptoegang alleen wordt ingeschakeld voor opstartsectoren en wordt de beveiliging van specifieke mappen of de standaard beveiligde mappen niet ingeschakeld.
- Audit
- Alleen schijfsectoren controleren (vanaf Configuration Manager versie 1802)
- Hiermee staat u toe dat beheerde maptoegang alleen wordt ingeschakeld voor opstartsectoren en wordt de beveiliging van specifieke mappen of de standaard beveiligde mappen niet ingeschakeld.
- Uitgeschakeld
- Apps toestaan via Gecontroleerde maptoegang - Klik op Apps instellen en opgeven.
- Extra beveiligde mappen : klik op Instellen en geef extra beveiligde mappen op.
Beveiligingsbeleid voor misbruik
Hiermee worden technieken voor het beperken van misbruik toegepast op besturingssysteemprocessen en apps die uw organisatie gebruikt. Deze instellingen kunnen worden geëxporteerd vanuit de Windows Defender Security Center-app op Windows 10 of nieuwere apparaten. Zie Exploit protection voor meer informatie.
Exploit Protection XML: klik op Bladeren en geef het XML-bestand op dat u wilt importeren.
Waarschuwing
Het XML-bestand voor exploit protection moet veilig worden bewaard bij het overdragen van het bestand tussen computers. Het bestand moet na het importeren worden verwijderd of op een veilige locatie worden bewaard.
Netwerkbeveiligingsbeleid
Helpt de kwetsbaarheid voor aanvallen op apparaten tegen internetaanvallen te minimaliseren. De service beperkt de toegang tot verdachte domeinen die mogelijk phishing-scams, exploits en schadelijke inhoud hosten. Zie Netwerkbeveiliging voor meer informatie.
-
Netwerkbeveiliging configureren:
- Blokkeren
- Audit
- Uitgeschakeld