Regels voor het verminderen van kwetsbaarheid voor aanvallen implementeren

Artikel
04/26/2024

Van toepassing op:

Door regels voor het verminderen van kwetsbaarheid voor aanvallen te implementeren, wordt de eerste testring verplaatst naar een ingeschakelde, functionele status.

Stap 1: regels voor het verminderen van kwetsbaarheid voor aanvallen overzetten van Audit naar Blokkeren

Nadat alle uitsluitingen zijn vastgesteld in de controlemodus, begint u met het instellen van enkele regels voor het verminderen van kwetsbaarheid voor aanvallen op de 'blokkeren'-modus, te beginnen met de regel met de minste geactiveerde gebeurtenissen. Zie Regels voor het verminderen van kwetsbaarheid voor aanvallen inschakelen.
Bekijk de rapportagepagina in de Microsoft Defender portal. Zie Bedreigingsbeveiligingsrapport in Microsoft Defender voor Eindpunt. Bekijk ook feedback van uw kampioenen.
Verfijn uitsluitingen of maak nieuwe uitsluitingen indien nodig.
Zet problematische regels terug naar Controle.

Opmerking

Voor problematische regels (regels die te veel ruis veroorzaken), is het beter om uitsluitingen te maken dan regels uit te schakelen of terug te schakelen naar Audit. U moet bepalen wat het beste is voor uw omgeving.

Tip

Indien beschikbaar, kunt u gebruikmaken van de instelling Waarschuwingsmodus in regels om onderbrekingen te beperken. Als u regels voor het verminderen van kwetsbaarheid voor aanvallen inschakelt in de waarschuwingsmodus, kunt u geactiveerde gebeurtenissen vastleggen en de mogelijke onderbrekingen ervan bekijken, zonder dat de toegang van eindgebruikers daadwerkelijk wordt geblokkeerd. Meer informatie: Waarschuwingsmodus voor gebruikers.

Hoe werkt de waarschuwingsmodus?

Waarschuwingsmodus is in feite een blokinstructie, maar met de optie voor de gebruiker om volgende uitvoeringen van de opgegeven stroom of app te deblokkeren. Waarschuwingsmodus deblokkert blokkeringen op per apparaat, gebruiker, bestand en procescombinatie. De waarschuwingsmodusgegevens worden lokaal opgeslagen en hebben een duur van 24 uur.

Stap 2: implementatie uitbreiden om n + 1 te bellen

Wanneer u zeker weet dat u de regels voor het verminderen van kwetsbaarheid voor aanvallen voor ring 1 correct hebt geconfigureerd, kunt u het bereik van uw implementatie verruimen naar de volgende ring (ring n + 1).

Het implementatieproces, stap 1 tot en met 3, is in wezen hetzelfde voor elke volgende ring:

Testregels in Controle
Controlegebeurtenissen die worden geactiveerd voor het verminderen van kwetsbaarheid voor aanvallen bekijken in de Microsoft Defender-portal
uitsluitingen Creatie
Controleren: uitsluitingen indien nodig verfijnen, toevoegen of verwijderen
Regels instellen op blokkeren
Bekijk de rapportagepagina in de Microsoft Defender-portal.
Creatie uitsluitingen.
Schakel problematische regels uit of schakel ze terug naar Controle.

Regels voor het verminderen van aanvalsoppervlakken aanpassen

Naarmate u de implementatie van regels voor het verminderen van kwetsbaarheid voor aanvallen blijft uitbreiden, vindt u het mogelijk nodig of nuttig om de regels voor het verminderen van kwetsbaarheid voor aanvallen aan te passen die u hebt ingeschakeld.

Bestanden en mappen uitsluiten

U kunt ervoor kiezen om bestanden en mappen uit te sluiten van evaluatie door regels voor het verminderen van kwetsbaarheid voor aanvallen. Wanneer het bestand wordt uitgesloten, kan het niet worden uitgevoerd, zelfs niet als een regel voor het verminderen van kwetsbaarheid voor aanvallen detecteert dat het bestand schadelijk gedrag bevat.

Denk bijvoorbeeld aan de ransomware-regel:

De ransomware-regel is ontworpen om zakelijke klanten te helpen de risico's van ransomware-aanvallen te verminderen en tegelijkertijd de bedrijfscontinuïteit te waarborgen. Standaard wordt de ransomware-regel fouten aan de kant van voorzichtigheid en beschermen tegen bestanden die nog niet voldoende reputatie en vertrouwen hebben bereikt. Om opnieuw de nadruk te geven, activeert de ransomware-regel alleen op bestanden die niet voldoende positieve reputatie en prevalentie hebben, op basis van metrische gebruiksgegevens van miljoenen van onze klanten. Meestal worden de blokken zelf omgezet, omdat de waarden voor reputatie en vertrouwen van elk bestand incrementeel worden bijgewerkt naarmate het niet-problematische gebruik toeneemt.

In gevallen waarin blokken niet tijdig zelf worden opgelost, kunnen klanten - op eigen risico - gebruikmaken van het selfservicemechanisme of een op Indicator of Compromise (IOC) gebaseerde 'allowlist'-mogelijkheid om de bestanden zelf te deblokkeren.

Waarschuwing

Het uitsluiten of deblokkeren van bestanden of mappen kan mogelijk onveilige bestanden uitvoeren en uw apparaten infecteren. Het uitsluiten van bestanden of mappen kan de beveiliging die wordt geboden door regels voor het verkleinen van kwetsbaarheid voor aanvallen aanzienlijk verminderen. Bestanden die zouden zijn geblokkeerd door een regel, mogen worden uitgevoerd en er wordt geen rapport of gebeurtenis vastgelegd.

Een uitsluiting kan van toepassing zijn op alle regels die uitsluitingen toestaan of op specifieke regels met uitsluitingen per regel. U kunt een afzonderlijk bestand, mappad of de volledig gekwalificeerde domeinnaam voor een resource opgeven.

Een uitsluiting wordt alleen toegepast wanneer de uitgesloten toepassing of service wordt gestart. Als u bijvoorbeeld een uitsluiting toevoegt voor een updateservice die al wordt uitgevoerd, blijft de updateservice gebeurtenissen activeren totdat de service wordt gestopt en opnieuw wordt gestart.

Kwetsbaarheid voor aanvallen verminderen ondersteunt omgevingsvariabelen en jokertekens. Zie Jokertekens gebruiken in de uitsluitingslijsten voor bestandsnaam en mappad of extensie voor meer informatie over het gebruik van jokertekens. Als u problemen ondervindt met regels die bestanden detecteren waarvan u denkt dat ze niet moeten worden gedetecteerd, gebruikt u de controlemodus om de regel te testen.

Zie het naslagartikel regels voor het verminderen van kwetsbaarheid voor aanvallen voor meer informatie over elke regel.

Gebruik groepsbeleid om bestanden en mappen uit te sluiten

Open op uw computer voor groepsbeleidsbeheer de Console groepsbeleidsbeheer. Klik met de rechtermuisknop op het groepsbeleid Object dat u wilt configureren en selecteer Bewerken.
Ga in de Groepsbeleidsbeheereditor naar Computerconfiguratie en selecteer Beheersjablonen.
Vouw de structuur uit naar Windows-onderdelen>Microsoft Defender Antivirus>Microsoft Defender Exploit Guard>Kwetsbaarheid voor aanvallen verminderen.
Dubbelklik op de instelling Bestanden en paden uitsluiten van regels voor het verminderen van kwetsbaarheid voor aanvallen en stel de optie in op Ingeschakeld. Selecteer Weergeven en voer elk bestand of elke map in de kolom Waardenaam in . Voer 0 in de kolom Waarde in voor elk item.

Waarschuwing

Gebruik geen aanhalingstekens omdat deze niet worden ondersteund voor de kolom Waardenaam of de kolom Waarde .

PowerShell gebruiken om bestanden en mappen uit te sluiten

Type powershell in het startmenu, klik met de rechtermuisknop op Windows PowerShell en selecteer Als administrator uitvoeren.
Voer de volgende cmdlet in:
```
Add-MpPreference -AttackSurfaceReductionOnlyExclusions "<fully qualified path or resource>"
```
Blijf gebruiken Add-MpPreference -AttackSurfaceReductionOnlyExclusions om meer mappen aan de lijst toe te voegen.

Belangrijk

Gebruik Add-MpPreference om apps toe te voegen aan of toe te voegen aan de lijst. Als u de Set-MpPreference cmdlet gebruikt, wordt de bestaande lijst overschreven.