Aktivera reglerna för minskning av attackytan i Microsoft Defender för företag
Dina attackytor är alla platser och sätt som organisationens nätverk och enheter är sårbara för cyberhot och attacker. Oskyddade enheter, obegränsad åtkomst till en URL på en företagsenhet och att tillåta alla typer av appar eller skript att köras på företagets enheter är alla exempel på attackytor. De gör ditt företag sårbart för cyberattacker.
För att skydda ditt nätverk och dina enheter innehåller Microsoft Defender för företag flera funktioner för minskning av attackytan, inklusive regler för minskning av attackytan. Den här artikeln beskriver hur du konfigurerar regler för minskning av attackytan och beskriver funktionerna för minskning av attackytan.
ASR-regler för standardskydd
Det finns många regler för minskning av attackytan. Du behöver inte ställa in alla på en gång. Och du kan konfigurera vissa regler i granskningsläge bara för att se hur de fungerar för din organisation och ändra dem så att de fungerar i blockeringsläge senare. Med detta sagt rekommenderar vi att du aktiverar följande standardskyddsregler så snart som möjligt:
- Blockera stöld av autentiseringsuppgifter från undersystemet för den lokala säkerhetsmyndigheten i Windows
- Blockera missbruk av utnyttjade sårbara signerade drivrutiner
- Blockera beständighet via WMI-händelseprenumeration
De här reglerna skyddar ditt nätverk och dina enheter, men bör inte orsaka störningar för användarna. Använd Intune för att konfigurera reglerna för minskning av attackytan.
Konfigurera ASR-regler med Intune
I administrationscentret för Microsoft Intune går du till Endpoint Security>Minskning av attackytan.
Välj Skapa princip för att skapa en ny princip.
- För Plattform väljer du Windows 10, Windows 11 och Windows Server.
- För Profil väljer du Regler för minskning av attackytan och sedan Skapa.
Konfigurera principen på följande sätt:
Ange ett namn och en beskrivning och välj sedan Nästa.
För minst följande tre regler ställer du in var och en på Blockera:
- Blockera stöld av autentiseringsuppgifter från undersystemet för den lokala säkerhetsmyndigheten i Windows
- Blockera beständighet via WMI-händelseprenumeration
- Blockera missbruk av utnyttjade sårbara signerade drivrutiner
Välj sedan Nästa.
I steget Omfångstaggar väljer du Nästa.
I steget Tilldelningar väljer du de användare eller enheter som ska ta emot reglerna och väljer sedan Nästa. (Vi rekommenderar att du väljer Lägg till alla enheter.)
I steget Granska + skapa granskar du informationen och väljer sedan Skapa.
Tips
Om du vill kan du först konfigurera reglerna för minskning av attackytan i granskningsläge för att se identifieringar innan filer eller processer faktiskt blockeras. Mer detaljerad information om regler för minskning av attackytan finns i Översikt över distribution av regler för minskning av attackytan.
Visa rapporten för minskning av attackytan
Defender för företag innehåller en rapport om minskning av attackytan som visar hur reglerna för minskning av attackytan fungerar för dig.
I navigeringsfönstret i Microsoft Defender-portalen väljer du Rapporter.
Under Slutpunkter väljer du Regler för minskning av attackytan. Rapporten öppnas och innehåller tre flikar:
- Identifieringar, där du kan visa identifieringar som har inträffat till följd av regler för minskning av attackytan
- Konfiguration, där du kan visa data för standardskyddsregler eller andra regler för minskning av attackytan
- Lägg till undantag, där du kan lägga till objekt som ska undantas från regler för minskning av attackytan (använd undantag sparsamt; varje undantag minskar din säkerhetsnivå)
Mer information om regler för minskning av attackytan finns i följande artiklar:
- Översikt över regler för minskning av attackytan
- Rapport över regler för minskning av attackytan
- Referens för regler för minskning av attackytan
- Översikt över distribution av regler för minskning av attackytan
Funktioner för minskning av attackytan i Defender för företag
Regler för minskning av attackytan är tillgängliga i Defender för företag. I följande tabell sammanfattas funktionerna för minskning av attackytan i Defender för företag. Observera hur andra funktioner, till exempel nästa generations skydd och webbinnehållsfiltrering, fungerar tillsammans med dina funktioner för minskning av attackytan.
| Funktion | Så här konfigurerar du det |
|---|---|
|
Regler för minskning av attackytan Förhindra specifika åtgärder som ofta är associerade med skadlig aktivitet som ska köras på Windows-enheter. |
Aktivera standardreglerna för minskning av attackytan (avsnitt i den här artikeln). |
|
Kontrollerad mappåtkomst Kontrollerad mappåtkomst tillåter endast betrodda appar att komma åt skyddade mappar på Windows-enheter. Tänk på den här funktionen som en riskreducering för utpressningstrojaner. |
Konfigurera en kontrollerad åtkomstprincip för mappar i Microsoft Defender för företag. |
|
Nätverksskydd Nätverksskydd hindrar personer från att komma åt farliga domäner via program på sina Windows- och Mac-enheter. Nätverksskydd är också en viktig komponent i webbinnehållsfiltrering i Microsoft Defender för företag. |
Nätverksskydd är redan aktiverat som standard när enheter registreras i Defender för företag och nästa generations skyddsprinciper i Defender för företag tillämpas. Standardprinciperna är konfigurerade för att använda rekommenderade säkerhetsinställningar. |
|
Webbskydd Webbskydd integreras med webbläsare och fungerar med nätverksskydd för att skydda mot webbhot och oönskat innehåll. Webbskydd omfattar webbinnehållsfiltrering och rapporter om webbhot. |
Konfigurera webbinnehållsfiltrering i Microsoft Defender för företag. |
|
Brandväggsskydd Brandväggsskydd avgör vilken nätverkstrafik som tillåts flöda till eller från organisationens enheter. |
Brandväggsskydd är redan aktiverat som standard när enheter registreras i Defender för företag och brandväggsprinciper i Defender för företag tillämpas. |