Implementatieoverzicht van regels voor het verminderen van kwetsbaarheid voor aanvallen
Van toepassing op:
Aanvalsoppervlakken zijn alle plaatsen waar uw organisatie kwetsbaar is voor cyberdreigingen en aanvallen. Het verminderen van uw kwetsbaarheid voor aanvallen betekent dat u de apparaten en het netwerk van uw organisatie beschermt, waardoor aanvallers minder manieren hebben om aan te vallen. Het configureren van Microsoft Defender voor Eindpunt regels voor het verminderen van kwetsbaarheid voor aanvallen kan helpen.
Regels voor het verminderen van kwetsbaarheid voor aanvallen zijn gericht op bepaald softwaregedrag, zoals:
- Uitvoerbare bestanden en scripts starten die proberen bestanden te downloaden of uit te voeren
- Verborgen of anderszins verdachte scripts uitvoeren
- Gedrag dat apps meestal niet voorkomen tijdens het normale dagelijkse werk
Door de verschillende kwetsbaarheid voor aanvallen te verminderen, kunt u in de eerste plaats helpen voorkomen dat aanvallen plaatsvinden.
Deze implementatieverzameling biedt informatie over de volgende aspecten van regels voor het verminderen van kwetsbaarheid voor aanvallen:
- vereisten voor het verminderen van kwetsbaarheid voor aanvallen
- implementatie van regels voor het verminderen van kwetsbaarheid voor aanvallen plannen
- regels voor het verminderen van kwetsbaarheid voor aanvallen testen
- regels voor het verminderen van kwetsbaarheid voor aanvallen configureren en inschakelen
- best practices voor het verminderen van kwetsbaarheid voor aanvallen
- regels voor het verminderen van kwetsbaarheid voor aanvallen geavanceerde opsporing
- logboeken voor regels voor het verminderen van kwetsbaarheid voor aanvallen
Implementatiestappen voor regels voor het verminderen van kwetsbaarheid voor aanvallen
Net als bij elke nieuwe, grootschalige implementatie, die mogelijk van invloed kan zijn op uw line-of-business-activiteiten, is het belangrijk om methodisch te zijn in uw planning en implementatie. Zorgvuldige planning en implementatie van regels voor het verminderen van kwetsbaarheid voor aanvallen is nodig om ervoor te zorgen dat ze het beste werken voor uw unieke klantwerkstromen. Als u in uw omgeving wilt werken, moet u regels voor het verminderen van kwetsbaarheid voor aanvallen zorgvuldig plannen, testen, implementeren en operationeel maken.
Belangrijk voorbehoud voor de implementatie
We raden u aan de volgende drie standaardbeveiligingsregels in te schakelen. Zie Regels voor het verminderen van kwetsbaarheid voor aanvallen per type voor belangrijke informatie over de twee typen regels voor het verminderen van kwetsbaarheid voor aanvallen.
- Het stelen van referenties van het Windows-subsysteem voor lokale beveiligingsinstantie (lsass.exe) blokkeren
- Misbruik van misbruik van kwetsbare ondertekende stuurprogramma's blokkeren
- Persistentie blokkeren via een WMI-gebeurtenisabonnement (Windows Management Instrumentation)
Normaal gesproken kunt u de standaardbeveiligingsregels inschakelen met minimale tot geen merkbare gevolgen voor de eindgebruiker. Zie Vereenvoudigde standaardbeveiligingsoptie voor een eenvoudige methode om de standaardbeveiligingsregels in te schakelen.
Opmerking
Voor klanten die een niet-Microsoft HIPS gebruiken en overstappen op Microsoft Defender voor Eindpunt regels voor het verminderen van kwetsbaarheid voor aanvallen, adviseert Microsoft om de HIPS-oplossing uit te voeren naast de implementatie van regels voor het verminderen van kwetsbaarheid voor aanvallen tot het moment dat u overgaat van de controlemodus naar de blokmodus. Houd er rekening mee dat u contact moet opnemen met uw niet-Microsoft-antivirusprovider voor aanbevelingen voor uitsluiting.
Voordat u begint met het testen of inschakelen van regels voor het verminderen van kwetsbaarheid voor aanvallen
Tijdens de eerste voorbereiding is het essentieel om inzicht te hebben in de mogelijkheden van de systemen die u hebt geïmplementeerd. Inzicht in de mogelijkheden helpt u te bepalen welke regels voor het verminderen van kwetsbaarheid voor aanvallen het belangrijkst zijn voor het beschermen van uw organisatie. Daarnaast zijn er verschillende vereisten waaraan u moet voldoen bij de voorbereiding van de implementatie van uw kwetsbaarheid voor aanvallen.
Belangrijk
Deze handleiding bevat afbeeldingen en voorbeelden om u te helpen bepalen hoe u regels voor het verminderen van kwetsbaarheid voor aanvallen configureert. deze afbeeldingen en voorbeelden weerspiegelen mogelijk niet de beste configuratieopties voor uw omgeving.
Voordat u begint, raadpleegt u Overzicht van kwetsbaarheid voor aanvallen verminderen en Regels voor het verminderen van kwetsbaarheid voor aanvallen - deel 1 voor basisinformatie. Als u inzicht wilt krijgen in de gebieden van dekking en mogelijke impact, moet u vertrouwd raken met de huidige set regels voor het verminderen van kwetsbaarheid voor aanvallen; zie Verwijzing naar regels voor het verminderen van kwetsbaarheid voor aanvallen. Terwijl u vertrouwd raakt met de set regels voor het verminderen van kwetsbaarheid voor aanvallen, moet u rekening houden met de GUID-toewijzingen per regel; zie Regel voor het verminderen van kwetsbaarheid voor aanvallen naar GUID-matrix.
Regels voor het verminderen van kwetsbaarheid voor aanvallen zijn slechts één van de mogelijkheden voor het verminderen van kwetsbaarheid voor aanvallen binnen Microsoft Defender voor Eindpunt. Dit document gaat dieper in op het effectief implementeren van regels voor het verminderen van kwetsbaarheid voor aanvallen om geavanceerde bedreigingen zoals door de mens beheerde ransomware en andere bedreigingen te stoppen.
Regels voor het verminderen van kwetsbaarheid voor aanvallen per categorie
In de volgende tabel ziet u regels voor het verminderen van kwetsbaarheid voor aanvallen per categorie:
| Polymorfe bedreigingen | Laterale verplaatsing & diefstal van referenties | Regels voor productiviteits-apps | Email regels | Scriptregels | Regels voor andere regels |
|---|---|---|---|---|---|
| Uitvoerbare bestanden blokkeren, tenzij ze voldoen aan een prevalentie (1000 computers), leeftijd of vertrouwde lijstcriteria | Procescreaties blokkeren die afkomstig zijn van PSExec- en WMI-opdrachten | Office-apps blokkeren voor het maken van uitvoerbare inhoud | Uitvoerbare inhoud van e-mailclient en webmail blokkeren | Verborgen JS/VBS/PS/macrocode blokkeren | Misbruik van misbruik van kwetsbare ondertekende stuurprogramma's blokkeren [1] |
| Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB | Blokkeer het stelen van referenties van het Windows-subsysteem voor lokale beveiligingsinstantie (lsass.exe)[2] | Voorkomen dat Office-apps onderliggende processen kunnen maken | Alleen Office-communicatietoepassingen blokkeren voor het maken van onderliggende processen | JS/VBS blokkeren voor het starten van gedownloade uitvoerbare inhoud | |
| Geavanceerde beveiliging tegen ransomware gebruiken | Persistentie blokkeren via WMI-gebeurtenisabonnement | Voorkomen dat Office-apps code in andere processen injecteren | Office-communicatie-apps blokkeren voor het maken van onderliggende processen | ||
| Voorkomen dat Adobe Reader onderliggende processen kan maken |
(1) Misbruik van misbruik van misbruik van kwetsbare ondertekende stuurprogramma's blokkeren is nu beschikbaar onder Endpoint Security>Attack Surface Reduction.
(2) Sommige regels voor het verminderen van kwetsbaarheid voor aanvallen genereren veel ruis, maar blokkeren de functionaliteit niet. Als u bijvoorbeeld Chrome bijwerkt, opent Chrome lsass.exe; wachtwoorden worden opgeslagen in lsass op het apparaat. Chrome mag echter geen toegang hebben tot het lokale apparaat lsass.exe. Als u de regel inschakelt om de toegang tot lsass te blokkeren, ziet u veel gebeurtenissen. Deze gebeurtenissen zijn goede gebeurtenissen omdat het software-updateproces geen toegang mag hebben tot lsass.exe. Als u deze regel gebruikt, kunnen Chrome-updates geen toegang krijgen tot lsass, maar kan Chrome niet worden bijgewerkt. Dit geldt ook voor andere toepassingen die onnodige aanroepen doen naar lsass.exe. De regel voor blokkeren van toegang tot lsass blokkeert onnodige aanroepen naar lsass, maar blokkeert niet dat de toepassing wordt uitgevoerd.
Infrastructuurvereisten voor het verminderen van kwetsbaarheid voor aanvallen
Hoewel er meerdere methoden voor het implementeren van regels voor het verminderen van kwetsbaarheid voor aanvallen mogelijk zijn, is deze handleiding gebaseerd op een infrastructuur die bestaat uit
- Microsoft Entra ID
- Microsoft Intune
- apparaten Windows 10 en Windows 11
- Microsoft Defender voor Eindpunt E5- of Windows E5-licenties
Als u optimaal wilt profiteren van regels en rapportage voor het verminderen van kwetsbaarheid voor aanvallen, raden we u aan een Microsoft Defender XDR E5- of Windows E5-licentie en A5 te gebruiken. Zie Minimumvereisten voor Microsoft Defender voor Eindpunt voor meer informatie.
Opmerking
Er zijn meerdere methoden om regels voor het verminderen van kwetsbaarheid voor aanvallen te configureren. Regels voor het verminderen van kwetsbaarheid voor aanvallen kunnen worden geconfigureerd met behulp van: Microsoft Intune, PowerShell, groepsbeleid, Microsoft Configuration Manager (ConfigMgr), Intune OMA-URI. Als u een andere infrastructuurconfiguratie gebruikt dan wat wordt vermeld voor Infrastructuurvereisten, vindt u hier meer informatie over het implementeren van regels voor het verminderen van kwetsbaarheid voor aanvallen met behulp van andere configuraties: Regels voor het verminderen van kwetsbaarheid voor aanvallen inschakelen.
Afhankelijkheden van regels voor het verminderen van kwetsbaarheid voor aanvallen
Microsoft Defender Antivirus moet zijn ingeschakeld en geconfigureerd als primaire antivirusoplossing en moet zich in de volgende modus bevinden:
- Primaire antivirus-/antimalwareoplossing
- Status: Actieve modus
Microsoft Defender Antivirus mag zich niet in een van de volgende modi hebben:
- Passieve
- Passieve modus met eindpuntdetectie en -respons (EDR) in blokmodus
- Beperkt periodiek scannen (LPS)
- Uit
Zie Cloudbeveiliging en Microsoft Defender Antivirus voor meer informatie.
Cloud Protection (MAPS) moet zijn ingeschakeld om regels voor het verminderen van kwetsbaarheid voor aanvallen in te schakelen
Microsoft Defender Antivirus werkt naadloos met Microsoft-cloudservices. Deze cloudbeveiligingsservices, ook wel Microsoft Advanced Protection Service (MAPS) genoemd, verbeteren de standaard realtime-beveiliging en bieden misschien wel de beste antivirusbeveiliging. Cloudbeveiliging is essentieel voor het voorkomen van inbreuken door malware en een essentieel onderdeel van regels voor het verminderen van kwetsbaarheid voor aanvallen. Schakel cloudbeveiliging in Microsoft Defender Antivirus in.
Microsoft Defender Antivirus-onderdelen moeten de huidige versies zijn voor regels voor het verminderen van kwetsbaarheid voor aanvallen
De volgende Microsoft Defender Antivirus-onderdeelversies mogen niet meer dan twee versies ouder zijn dan de meest beschikbare versie:
- Microsoft Defender Antivirus Platform-updateversie: Microsoft Defender Antivirus-platform wordt maandelijks bijgewerkt.
- Microsoft Defender Antivirus-engineversie: Microsoft Defender Antivirus-engine wordt maandelijks bijgewerkt.
- Microsoft Defender Beveiligingsinformatie voor antivirus: Microsoft werkt Microsoft Defender beveiligingsinformatie (ook wel bekend als definitie en handtekening) voortdurend bij om de nieuwste bedreigingen aan te pakken en de detectielogica te verfijnen.
Door Microsoft Defender antivirusversies actueel te houden, kunt u de fout-positieve resultaten van regels voor het verminderen van aanvallen verminderen en Microsoft Defender mogelijkheden voor antivirusdetectie verbeteren. Ga voor meer informatie over de huidige versies en het bijwerken van de verschillende Microsoft Defender Antivirus-onderdelen naar Microsoft Defender Antivirus-platformondersteuning.
Caveat
Sommige regels werken niet goed als niet-ondertekende, intern ontwikkelde toepassingen en scripts veel worden gebruikt. Het is moeilijker om regels voor het verminderen van kwetsbaarheid voor aanvallen te implementeren als ondertekening van code niet wordt afgedwongen.
Andere artikelen in deze implementatieverzameling
Regels voor het verminderen van kwetsbaarheid voor aanvallen testen
Regels voor het verminderen van aanvalsoppervlakken inschakelen
Regels voor het verminderen van kwetsbaarheid voor aanvallen operationeel maken
Verwijzing naar regels voor het verminderen van kwetsbaarheid voor aanvallen
Verwijzing
Blogs
Demystifying attack surface reduction rules - Deel 1
Demystifying attack surface reduction rules - Part 2
Demystifying attack surface reduction rules - Part 3
Regels voor het verminderen van kwetsbaarheid voor aanvallen ontmystificeren - Deel 4
Verzameling regels voor het verminderen van kwetsbaarheid voor aanvallen
Overzicht van kwetsbaarheid voor aanvallen verminderen
Verwijzing naar regels voor het verminderen van kwetsbaarheid voor aanvallen
Veelgestelde vragen over het verminderen van kwetsbaarheid voor aanvallen
Microsoft Defender
Actie ondernemen voor fout-positieven/-negatieven in Microsoft Defender voor Eindpunt
Door de cloud geleverde beveiliging en Microsoft Defender Antivirus
Cloudbeveiliging inschakelen in Microsoft Defender Antivirus
Uitsluitingen configureren en valideren op basis van extensie, naam of locatie
Microsoft Defender Antivirus-platformondersteuning
Overzicht van inventaris in het Microsoft 365-apps-beheercentrum
een implementatieplan voor Windows Creatie
Op rollen gebaseerd toegangsbeheer (RBAC) en bereiktags gebruiken voor gedistribueerde IT in Intune
Apparaatprofielen toewijzen in Microsoft Intune
Beheersites
Microsoft Intune beheercentrum
Kwetsbaarheid voor aanvallen verminderen
Configuraties van regels voor het verminderen van kwetsbaarheid voor aanvallen
Uitsluitingen van regels voor kwetsbaarheid voor aanvallen verminderen
Tip
Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor