Dela via

Aktivera reglerna för minskning av attackytan i Microsoft Defender för företag

  • Artikel

Dina attackytor är alla platser och sätt som organisationens nätverk och enheter är sårbara för cyberhot och attacker. Oskyddade enheter, obegränsad åtkomst till en URL på en företagsenhet och att tillåta alla typer av appar eller skript att köras på företagets enheter är alla exempel på attackytor. De gör ditt företag sårbart för cyberattacker.

För att skydda ditt nätverk och dina enheter innehåller Microsoft Defender för företag flera funktioner för minskning av attackytan, inklusive regler för minskning av attackytan. Den här artikeln beskriver hur du konfigurerar regler för minskning av attackytan och beskriver funktionerna för minskning av attackytan.

Obs!

Intune ingår inte i den fristående versionen av Defender för företag, men den kan läggas till.

ASR-regler för standardskydd

Det finns många regler för minskning av attackytan. Du behöver inte ställa in alla på en gång. Och du kan konfigurera vissa regler i granskningsläge bara för att se hur de fungerar för din organisation och ändra dem så att de fungerar i blockeringsläge senare. Med detta sagt rekommenderar vi att du aktiverar följande standardskyddsregler så snart som möjligt:

De här reglerna skyddar ditt nätverk och dina enheter, men bör inte orsaka störningar för användarna. Använd Intune för att konfigurera reglerna för minskning av attackytan.

Konfigurera ASR-regler med hjälp av Intune

  1. Som global administratör går du till Microsoft Intune administrationscenter (https://intune.microsoft.com/) och går till Minskningav attackytan för slutpunktssäkerhet>.

  2. Välj Skapa princip för att skapa en ny princip.

    • För Plattform väljer du Windows 10, Windows 11 och Windows Server.
    • För Profil väljer du Regler för minskning av attackytan och väljer sedan Skapa.

  3. Konfigurera principen på följande sätt:

    1. Ange ett namn och en beskrivning och välj sedan Nästa.

    2. För minst följande tre regler ställer du in var och en på Blockera:

      • Blockera stöld av autentiseringsuppgifter från undersystemet för den lokala säkerhetsmyndigheten i Windows
      • Blockera beständighet via WMI-händelseprenumeration
      • Blockera missbruk av utnyttjade sårbara signerade drivrutiner

      Välj sedan Nästa.

    3. I steget Omfångstaggar väljer du Nästa.

    4. I steget Tilldelningar väljer du de användare eller enheter som ska ta emot reglerna och väljer sedan Nästa. (Vi rekommenderar att du väljer Lägg till alla enheter.)

    5. Granska informationen i steget Granska + skapa och välj sedan Skapa.

Tips

Om du vill kan du först konfigurera reglerna för minskning av attackytan i granskningsläge för att se identifieringar innan filer eller processer faktiskt blockeras. Mer detaljerad information om regler för minskning av attackytan finns i Översikt över distribution av regler för minskning av attackytan.

Visa rapporten för minskning av attackytan

Defender för företag innehåller en rapport om minskning av attackytan som visar hur reglerna för minskning av attackytan fungerar för dig.

  1. Som global administratör går du till Microsoft Defender-portalen (https://security.microsoft.com) och väljer Rapporter i navigeringsfönstret.

  2. Under Slutpunkter väljer du Regler för minskning av attackytan. Rapporten öppnas och innehåller tre flikar:

    • Identifieringar, där du kan visa identifieringar som har inträffat till följd av regler för minskning av attackytan
    • Konfiguration, där du kan visa data för standardskyddsregler eller andra regler för minskning av attackytan
    • Lägg till undantag, där du kan lägga till objekt som ska undantas från regler för minskning av attackytan (använd undantag sparsamt; varje undantag minskar din säkerhetsnivå)

Mer information om regler för minskning av attackytan finns i följande artiklar:

Funktioner för minskning av attackytan i Defender för företag

Regler för minskning av attackytan är tillgängliga i Defender för företag. I följande tabell sammanfattas funktionerna för minskning av attackytan i Defender för företag. Observera hur andra funktioner, till exempel nästa generations skydd och webbinnehållsfiltrering, fungerar tillsammans med dina funktioner för minskning av attackytan.

Funktion Så här konfigurerar du det
Regler för minskning av attackytan
Förhindra specifika åtgärder som ofta är associerade med skadlig aktivitet som ska köras på Windows-enheter.		 Aktivera standardreglerna för minskning av attackytan (avsnitt i den här artikeln).
Kontrollerad mappåtkomst
Kontrollerad mappåtkomst tillåter endast betrodda appar att komma åt skyddade mappar på Windows-enheter. Tänk på den här funktionen som en riskreducering för utpressningstrojaner.		 Konfigurera en kontrollerad åtkomstprincip för mappar i Microsoft Defender för företag.
Nätverksskydd
Nätverksskydd hindrar personer från att komma åt farliga domäner via program på sina Windows- och Mac-enheter. Nätverksskydd är också en viktig komponent i webbinnehållsfiltrering i Microsoft Defender för företag.		 Nätverksskydd är redan aktiverat som standard när enheter registreras i Defender för företag och nästa generations skyddsprinciper i Defender för företag tillämpas. Standardprinciperna är konfigurerade för att använda rekommenderade säkerhetsinställningar.
Webbskydd
Webbskydd integreras med webbläsare och fungerar med nätverksskydd för att skydda mot webbhot och oönskat innehåll. Webbskydd omfattar webbinnehållsfiltrering och rapporter om webbhot.		 Konfigurera webbinnehållsfiltrering i Microsoft Defender för företag.
Brandväggsskydd
Brandväggsskydd avgör vilken nätverkstrafik som tillåts flöda till eller från organisationens enheter.		 Brandväggsskydd är redan aktiverat som standard när enheter registreras i Defender för företag och brandväggsprinciper i Defender för företag tillämpas.

Nästa steg