Aktivera regler för minskning av attackytan
Gäller för:
- Microsoft Defender för Endpoint Abonnemang 1
- Microsoft Defender för Endpoint Abonnemang 2
- Microsoft Defender XDR
- Microsoft Defender Antivirus
Plattformar
- Windows
Tips
Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.
Regler för minskning av attackytan hjälper till att förhindra åtgärder som skadlig kod ofta missbrukar för att kompromettera enheter och nätverk.
Krav
Funktioner för minskning av attackytan i Windows-versioner
Du kan ange regler för minskning av attackytan för enheter som kör någon av följande utgåvor och versioner av Windows:
- Windows 11 Pro
- Windows 11 Enterprise
- Windows 10 Pro version 1709 eller senare
- Windows 10 Enterprise version 1709 eller senare
- Windows Server version 1803 (Halvårskanal) eller senare
- Windows Server 2012 R2
- Windows Server 2016
- Windows Server 2019
- Windows Server 2022
Om du vill använda hela funktionsuppsättningen med regler för minskning av attackytan behöver du:
- Microsoft Defender Antivirus som primärT AV (realtidsskydd på)
- Cloud-Delivery Protection på (vissa regler kräver det)
- Windows 10 Enterprise E5- eller E3-licens
Även om regler för minskning av attackytan inte kräver en Windows E5-licens, med en Windows E5-licens, får du avancerade hanteringsfunktioner, inklusive övervakning, analys och arbetsflöden som är tillgängliga i Defender för Endpoint, samt rapporterings- och konfigurationsfunktioner i Microsoft Defender XDR-portalen. Dessa avancerade funktioner är inte tillgängliga med en E3-licens, men du kan fortfarande använda Loggboken för att granska regelhändelser för minskning av attackytan.
Varje regel för minskning av attackytan innehåller en av fyra inställningar:
- Inte konfigurerad | Inaktiverad: Inaktivera regeln för minskning av attackytan
- Blockera: Aktivera regeln för minskning av attackytan
- Granskning: Utvärdera hur regeln för minskning av attackytan skulle påverka din organisation om den aktiveras
- Varna: Aktivera regeln för minskning av attackytan men tillåt att slutanvändaren kringgår blocket
Vi rekommenderar att du använder regler för minskning av attackytan med en Windows E5-licens (eller liknande licensierings-SKU) för att dra nytta av de avancerade övervaknings- och rapporteringsfunktionerna i Microsoft Defender för Endpoint (Defender för Endpoint). Men om du har en annan licens, till exempel Windows Professional eller Windows E3 som inte innehåller avancerade övervaknings- och rapporteringsfunktioner, kan du utveckla egna övervaknings- och rapporteringsverktyg ovanpå de händelser som genereras vid varje slutpunkt när regler för minskning av attackytan utlöses (till exempel vidarebefordran av händelser).
Tips
Mer information om Windows-licensiering finns i Windows 10 Licensing (Licensiering) och hämta volume licensing guide for Windows 10 (Volymlicensieringsguide för Windows 10).
Du kan aktivera regler för minskning av attackytan med någon av följande metoder:
- Microsoft Intune
- Hantering av mobila enheter (MDM)
- Microsoft Configuration Manager
- Grupprincip
- PowerShell
Hantering på företagsnivå, till exempel Intune eller Microsoft Configuration Manager rekommenderas. Hantering på företagsnivå skriver över eventuella motstridiga grupprincip- eller PowerShell-inställningar vid start.
Undanta filer och mappar från regler för minskning av attackytan
Du kan undanta filer och mappar från att utvärderas av de flesta regler för minskning av attackytan. Det innebär att även om en regel för minskning av attackytan avgör att filen eller mappen innehåller skadligt beteende, blockerar den inte filen från att köras.
Viktigt
Om du undantar filer eller mappar kan skyddet som tillhandahålls av regler för minskning av attackytan avsevärt minskas. Undantagna filer tillåts att köras och ingen rapport eller händelse registreras. Om reglerna för minskning av attackytan identifierar filer som du anser inte bör identifieras bör du använda granskningsläget först för att testa regeln. Ett undantag tillämpas endast när det exkluderade programmet eller tjänsten startar. Om du till exempel lägger till ett undantag för en uppdateringstjänst som redan körs fortsätter uppdateringstjänsten att utlösa händelser tills tjänsten stoppas och startas om.
Tänk på följande när du lägger till undantag:
- Undantag baseras vanligtvis på enskilda filer eller mappar (med hjälp av mappsökvägar eller den fullständiga sökvägen till filen som ska undantas).
- Undantagssökvägar kan använda miljövariabler och jokertecken. Se Använda jokertecken i filnamn och mappsökväg eller undantagslistor för tillägg
- När de distribueras via grupprincip eller PowerShell gäller undantag för alla regler för minskning av attackytan. Med hjälp av Intune är det möjligt att konfigurera ett undantag för en specifik regel för minskning av attackytan. Se Konfigurera regler för minskning av attackytan per regelundantag
- Undantag kan läggas till baserat på certifikat- och filhashvärden genom att tillåta angivna Defender för Endpoint-fil- och certifikatindikatorer. Se Översikt över indikatorer.
Principkonflikt
Om en princip i konflikt tillämpas via MDM och GP har inställningen som tillämpas från gp företräde.
Regler för minskning av attackytan för hanterade enheter stöder nu beteende för sammanslagning av inställningar från olika principer, för att skapa en överordnad principuppsättning för varje enhet. Endast de inställningar som inte är i konflikt sammanfogas, medan de som är i konflikt inte läggs till i superuppsättningen med regler. Om två principer tidigare innehöll konflikter för en enda inställning flaggades båda principerna som i konflikt och inga inställningar från någon av profilerna skulle distribueras. Beteendet för regelsammanslagning för minskning av attackytan är följande:
- Regler för minskning av attackytan från följande profiler utvärderas för varje enhet som reglerna gäller för:
- Enheter Konfigurationsprofiler >> Endpoint Protection-profil > Microsoft Defender Minskningav attackytan förExploit Guard>.
- Endpoint Security >Policy för minskning av attackytans policy>Regler för minskning av attackytan.
- Säkerhetsbaslinjer för slutpunktssäkerhet >> Microsoft Defender regler för minskning av ATP-baslinjeangreppsytan>.
- Inställningar som inte har konflikter läggs till i en överordnad principuppsättning för enheten.
- När två eller flera principer har motstridiga inställningar läggs de motstridiga inställningarna inte till i den kombinerade principen, medan inställningar som inte står i konflikt läggs till i den överordnad princip som gäller för en enhet.
- Endast konfigurationerna för motstridiga inställningar hålls tillbaka.
- Regler för minskning av attackytan från följande profiler utvärderas för varje enhet som reglerna gäller för:
Konfigurationsmetoder
Det här avsnittet innehåller konfigurationsinformation för följande konfigurationsmetoder:
Följande procedurer för att aktivera regler för minskning av attackytan innehåller instruktioner för hur du exkluderar filer och mappar.
Intune
Enhetskonfigurationsprofiler
Välj Enhetskonfigurationsprofiler>. Välj en befintlig slutpunktsskyddsprofil eller skapa en ny. Om du vill skapa en ny väljer du Skapa profil och anger information för den här profilen. För Profiltyp väljer du Slutpunktsskydd. Om du har valt en befintlig profil väljer du Egenskaper och sedan Inställningar.
I fönstret Slutpunktsskydd väljer du Windows Defender Exploit Guard och sedan Minskning av attackytan. Välj önskad inställning för varje regel för minskning av attackytan.
Under Undantag för minskning av attackytan anger du enskilda filer och mappar. Du kan också välja Importera för att importera en CSV-fil som innehåller filer och mappar som ska undantas från reglerna för minskning av attackytan. Varje rad i CSV-filen ska formateras på följande sätt:
C:\folder
,%ProgramFiles%\folder\file
,C:\path
Välj OK i de tre konfigurationsrutorna. Välj sedan Skapa om du skapar en ny endpoint protection-fil eller Spara om du redigerar en befintlig.
Säkerhetsprinciper för slutpunkt
Välj Minskningav attackytan förslutpunktssäkerhet>. Välj en befintlig regel för minskning av attackytan eller skapa en ny. Om du vill skapa en ny väljer du Skapa princip och anger information för den här profilen. För Profiltyp väljer du Regler för minskning av attackytan. Om du har valt en befintlig profil väljer du Egenskaper och sedan Inställningar.
I fönstret Konfigurationsinställningar väljer du Minskning av attackytan och väljer sedan önskad inställning för varje regel för minskning av attackytan.
Under Lista över ytterligare mappar som behöver skyddas, Lista över appar som har åtkomst till skyddade mappar och Exkludera filer och sökvägar från regler för minskning av attackytan anger du enskilda filer och mappar. Du kan också välja Importera för att importera en CSV-fil som innehåller filer och mappar som ska undantas från reglerna för minskning av attackytan. Varje rad i CSV-filen ska formateras på följande sätt:
C:\folder
,%ProgramFiles%\folder\file
,C:\path
Välj Nästa i de tre konfigurationsrutorna och välj sedan Skapa om du skapar en ny princip eller Spara om du redigerar en befintlig princip.
Anpassad profil i Intune
Du kan använda Microsoft Intune OMA-URI för att konfigurera anpassade regler för minskning av attackytan. Följande procedur använder regeln Blockera missbruk av utnyttjade sårbara signerade drivrutiner för exemplet.
Öppna Microsoft Intune administrationscenter. På startmenyn klickar du på Enheter, väljer Konfigurationsprofiler och sedan på Skapa profil.
I Skapa en profil går du till följande två listrutor och väljer följande:
- I Plattform väljer du Windows 10 och senare
- I Profiltyp väljer du Mallar
- Om regler för minskning av attackytan redan har angetts via Slutpunktssäkerhet väljer du Inställningskatalog i Profiltyp.
Välj Anpassad och sedan Skapa.
Verktyget Anpassad mall öppnas i steg 1 Grundläggande. I 1 Grundläggande, i Namn, skriver du ett namn för mallen och i Beskrivning kan du ange en beskrivning (valfritt).
Klicka Nästa. Steg 2 Konfigurationsinställningar öppnas. För OMA-URI-inställningar klickar du på Lägg till. Två alternativ visas nu: Lägg till och exportera.
Klicka på Lägg till igen. Lägg till rad-OMA-URI-inställningar öppnas. Gör följande i Lägg till rad:
I Namn skriver du ett namn för regeln.
I Beskrivning skriver du en kort beskrivning.
I OMA-URI skriver eller klistrar du in den specifika OMA-URI-länken för regeln som du lägger till. Se MDM-avsnittet i den här artikeln för oma-URI som ska användas för den här exempelregeln. För GUIDS för regelreduktion av attackytan, se Beskrivningar per regel i artikeln: Regler för minskning av attackytan.
I Datatyp väljer du Sträng.
I Värde skriver eller klistrar du in GUID-värdet, tecknet = och värdet State utan blanksteg (GUID=StateValue). Var:
- 0: Inaktivera (inaktivera regeln för minskning av attackytan)
- 1: Blockera (Aktivera regeln för minskning av attackytan)
- 2: Granskning (Utvärdera hur regeln för minskning av attackytan skulle påverka din organisation om den är aktiverad)
- 6: Varna (Aktivera regeln för minskning av attackytan men tillåt slutanvändaren att kringgå blocket)
Välj Spara. Lägg till radstängningar . I Anpassad väljer du Nästa. I steg 3 Omfångstaggar är omfångstaggar valfria. Gör något av följande:
- Välj Välj omfångstaggar, välj omfångstaggen (valfritt) och välj sedan Nästa.
- Eller välj Nästa
I steg 4 Tilldelningar, i Ingår Grupper, för de grupper som du vill att den här regeln ska gälla, väljer du bland följande alternativ:
- Lägga till grupper
- Lägga till alla användare
- Lägg till alla enheter
I Exkluderade grupper väljer du alla grupper som du vill undanta från den här regeln och väljer sedan Nästa.
I steg 5 Tillämplighetsregler för följande inställningar gör du följande:
I Regel väljer du antingen Tilldela profil om eller Tilldela inte profil om
I Egenskap väljer du den egenskap som du vill att regeln ska gälla för
I Värde anger du det tillämpliga värdet eller värdeintervallet
Välj Nästa. I steg 6 Granska + skapa granskar du de inställningar och den information som du har valt och angett och väljer sedan Skapa.
Regler är aktiva och aktiva inom några minuter.
Obs!
Konflikthantering:
Om du tilldelar en enhet två olika principer för minskning av attackytan kan potentiella principkonflikter uppstå, beroende på om regler tilldelas olika tillstånd, om konflikthantering finns på plats och om resultatet är ett fel. Icke-konfigurationsregler resulterar inte i ett fel och sådana regler tillämpas korrekt. Den första regeln tillämpas och efterföljande icke-konfigurationsregler slås samman i principen.
MDM
Använd ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules configuration service provider (CSP) för att aktivera och ange läget för varje regel individuellt.
Följande är ett referensexempel som använder GUID-värden för referens för regler för minskning av attackytan.
OMA-URI path: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules
Value: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84=2|3b576869-a4ec-4529-8536-b80a7769e899=1|d4f940ab-401b-4efc-aadc-ad5f3c50688a=2|d3e037e1-3eb8-44c8-a917-57927947596d=1|5beb7efe-fd9a-4556-801d-275e5ffc04cc=0|be9ba2d9-53ea-4cdc-84e5-9b1eeee46550=1
Värdena för att aktivera (Blockera), inaktivera, varna eller aktivera i granskningsläge är:
- 0: Inaktivera (inaktivera regeln för minskning av attackytan)
- 1: Blockera (Aktivera regeln för minskning av attackytan)
- 2: Granskning (Utvärdera hur regeln för minskning av attackytan skulle påverka din organisation om den är aktiverad)
- 6: Varna (Aktivera regeln för minskning av attackytan men tillåt slutanvändaren att kringgå blocket). Varningsläget är tillgängligt för de flesta regler för minskning av attackytan.
Använd ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions configuration service provider (CSP) för att lägga till undantag.
Exempel:
OMA-URI path: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions
Value: c:\path|e:\path|c:\Exclusions.exe
Obs!
Se till att ange OMA-URI-värden utan blanksteg.
Microsoft Configuration Manager
I Microsoft Configuration Manager går du till Tillgångar och efterlevnad>Endpoint Protection>Windows Defender Exploit Guard.
Välj Start>Skapa Exploit Guard-princip.
Ange ett namn och en beskrivning, välj Minskning av attackytan och välj Nästa.
Välj vilka regler som ska blockera eller granska åtgärder och välj Nästa.
Granska inställningarna och välj Nästa för att skapa principen.
När principen har skapats väljer du Stäng.
Varning
Det finns ett känt problem med tillämpligheten av Attack Surface Reduction på Server OS-versioner som är markerade som kompatibla utan någon faktisk tillämpning. För närvarande finns det ingen ETA för när detta kommer att åtgärdas.
Grupprincip
Varning
Om du hanterar dina datorer och enheter med Intune, Configuration Manager eller annan hanteringsplattform på företagsnivå skriver hanteringsprogramvaran över eventuella motstridiga grupprincip inställningar vid start.
På datorn för hantering av grupprinciper öppnar du konsolen Grupprinciphantering, högerklickar på det grupprincipobjekt som du vill konfigurera och väljer Redigera.
I Redigeraren för grupprinciphantering går du till Datorkonfiguration och väljer Administrativa mallar.
Expandera trädet till Windows-komponenter>Microsoft Defender Antivirus>Microsoft Defender Minskning av attackytan för Exploit Guard>.
Välj Konfigurera regler för minskning av attackytan och välj Aktiverad. Du kan sedan ange individuellt tillstånd för varje regel i alternativavsnittet. Välj Visa... och ange regel-ID:t i kolumnen Värdenamn och det valda tillståndet i kolumnen Värde enligt följande:
0: Inaktivera (inaktivera regeln för minskning av attackytan)
1: Blockera (Aktivera regeln för minskning av attackytan)
2: Granskning (Utvärdera hur regeln för minskning av attackytan skulle påverka din organisation om den är aktiverad)
6: Varna (Aktivera regeln för minskning av attackytan men tillåt slutanvändaren att kringgå blocket)
Om du vill exkludera filer och mappar från regler för minskning av attackytan väljer du inställningen Exkludera filer och sökvägar från reglerna för minskning av attackytan och anger alternativet till Aktiverad. Välj Visa och ange varje fil eller mapp i kolumnen Värdenamn . Ange 0 i kolumnen Värde för varje objekt.
Varning
Använd inte citattecken eftersom de inte stöds för kolumnen Värdenamn eller Kolumnen Värde . Regel-ID:t bör inte ha några inledande eller avslutande blanksteg.
PowerShell
Varning
Om du hanterar dina datorer och enheter med Intune, Configuration Manager eller någon annan hanteringsplattform på företagsnivå skriver hanteringsprogramvaran över eventuella motstridiga PowerShell-inställningar vid start.
Skriv powershell i Start-menyn, högerklicka Windows PowerShell och välj Kör som administratör.
Skriv någon av följande cmdletar. (Mer information, till exempel regel-ID, finns i referensen för regler för minskning av attackytan.)
Uppgift PowerShell-cmdlet Aktivera regler för minskning av attackytan Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Enabled
Aktivera regler för minskning av attackytan i granskningsläge Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions AuditMode
Aktivera regler för minskning av attackytan i varningsläge Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Warn
Aktivera minskning av attackytan Blockera missbruk av utnyttjade sårbara signerade drivrutiner Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Enabled
Inaktivera regler för minskning av attackytan Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Disabled
Viktigt
Du måste ange tillståndet individuellt för varje regel, men du kan kombinera regler och tillstånd i en kommaavgränsad lista.
I följande exempel är de två första reglerna aktiverade, den tredje regeln är inaktiverad och den fjärde regeln är aktiverad i granskningsläge:
Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID 1>,<rule ID 2>,<rule ID 3>,<rule ID 4> -AttackSurfaceReductionRules_Actions Enabled, Enabled, Disabled, AuditMode
Du kan också använda PowerShell-verbet
Add-MpPreference
för att lägga till nya regler i den befintliga listan.Varning
Set-MpPreference
skriver över den befintliga uppsättningen regler. Om du vill lägga till i den befintliga uppsättningen använder duAdd-MpPreference
i stället. Du kan hämta en lista över regler och deras aktuella tillstånd med hjälpGet-MpPreference
av .Om du vill undanta filer och mappar från regler för minskning av attackytan använder du följande cmdlet:
Add-MpPreference -AttackSurfaceReductionOnlyExclusions "<fully qualified path or resource>"
Fortsätt att använda
Add-MpPreference -AttackSurfaceReductionOnlyExclusions
för att lägga till fler filer och mappar i listan.Viktigt
Använd
Add-MpPreference
för att lägga till eller lägga till appar i listan. Om du använder cmdletenSet-MpPreference
skrivs den befintliga listan över.
Relaterade artiklar
- Referens för regler för minskning av attackytan
- Utvärdera minskning av attackytan
- Vanliga frågor och svar för minskning av attackytan
Tips
Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.