Ignoreret
Er reduktion af angrebsoverfladen en del af Windows?
Ja. ASR-regler (Attack surface reduction) er en funktion i Microsoft Defender Antivirus, som er inkluderet i alle aktuelle udgaver af Windows. Central administration og rapportering for ASR-regler kræver dog Microsoft Defender for Endpoint. Du kan få flere oplysninger under Oversigt over regler for reduktion af angrebsoverfladen.
Skal jeg have en enterprise-licens til at køre regler for reduktion af angrebsoverfladen?
Nej. ASR-regler er en funktion i Microsoft Defender Antivirus, så de fungerer på alle aktuelle udgaver af Windows. Central administration og rapportering via Microsoft Intune eller Microsoft Configuration Manager kræver dog Microsoft Defender for Endpoint og den tilsvarende virksomhedslicens.
Du kan få mere at vide om Windows-licenser under https://www.microsoft.com/licensing/product-licensing/windows.
Hvilke yderligere funktioner til reduktion af angrebsoverfladen er tilgængelige med Microsoft Defender for Endpoint?
Microsoft Defender for Endpoint giver central administration og overvågning af ASR-regler, herunder:
- Central installation og konfiguration af ASR-regler på tværs af enheder.
- Rapportering af ASR-regler og synlighed af beskeder på portalen Microsoft Defender.
- Avancerede jagtforespørgsler for ASR-regelhændelser.
Disse funktioner kræver en Defender for Endpoint-licens (f.eks. som en del af Microsoft 365 E3 eller E5). Du kan få flere oplysninger under Udrulnings- og konfigurationsmetoder til ASR-regler.
Hvad er de aktuelt understøttede regler for reduktion af angrebsoverfladen?
Du kan få flere oplysninger under Reference til regler for reduktion af angrebsoverfladen.
Skal jeg aktivere alle regler for reduktion af angrebsoverfladen på samme tid, eller kan jeg aktivere individuelle regler?
Du kan aktivere ASR-regler enkeltvist. Vi anbefaler, at du først aktiverer de fleste regler i overvågningstilstand for at bestemme den mulige effekt for din organisation (f.eks. for dine line of business-programmer).
Hvordan fungerer udeladelser af regler for reduktion af angrebsoverfladen?
ASR-regler understøtter følgende typer undtagelser:
- Globale undtagelser for ASR-regler gælder for alle ASR-regler. Alle konfigurationsmetoder til ASR-regler understøtter globale undtagelser.
- Undtagelser pr. ASR-regel gælder for individuelle regler, så du kan tildele forskellige undtagelser til forskellige regler. Det er kun Gruppepolitik og slutpunktssikkerhedspolitikker i Microsoft Intune, der understøtter undtagelser pr. regel.
Det er ikke alle ASR-regler, der ærer Microsoft Defender Antivirus-undtagelser. Hvis du vil have en komplet oversigt over understøttelse af udelukkelse pr. regel, skal du se Filer og mappeudeladelser for ASR-regler.
Hvordan gør jeg ved du, hvad jeg skal ekskludere?
Forskellige regler for reduktion af angrebsoverfladen har forskellige beskyttelsesflows. Tænk altid på, hvad reglen for reduktion af angrebsoverfladen beskytter mod, og hvordan udførelsesflowet fungerer. Læsning direkte fra LSASS-processen (Local Security Authority Subsystem) kan f.eks. være en sikkerhedsrisiko, da det kan vise virksomhedens legitimationsoplysninger.
Reglen Block credential stealing from the Windows local security authority subsystem (lsass.exe) forhindrer upålidelige processer i at have direkte adgang til LSASS-hukommelsen. Når en proces med adgangsrettigheden PROCESS_VM_READ forsøger at bruge funktionen OpenProcess() til at få adgang til LSASS, blokerer reglen specifikt den pågældende adgang som vist på følgende skærmbillede:
Hvis du har brug for at oprette en undtagelse for den proces, der blev blokeret, skal du bruge filnavnet og den fulde sti som vist på følgende skærmbillede:
Værdien 0 betyder, at ASR-regler ignorerer den angivne fil eller proces og ikke blokerer eller overvåger den.
Hvordan gør jeg konfigurere udeladelser pr. regel?
Udeladelser pr. ASR-regel understøttes kun i Gruppepolitik- og slutpunktssikkerhedspolitikker i Microsoft Intune. Du kan finde konfigurationsanvisninger under Aktivér regler for reduktion af angrebsoverfladen. Du kan få oplysninger om de forskellige typer undtagelser under Filer og mappeudeladelser for ASR-regler.
Hvilke regler for reduktion af angrebsoverfladen anbefaler Microsoft?
Generelt anbefales det, at du aktiverer alle regler, men med følgende overvejelser:
Du kan typisk aktivere følgende standardbeskyttelsesregler i bloktilstand uden test i overvågningstilstand :
- Bloker misbrug af udnyttede sårbare signerede drivere (enhed)
- Bloker tyveri af legitimationsoplysninger fra det lokale windows-sikkerhedsmyndighedsundersystemBemærk! Hvis du har aktiveret LSA-beskyttelse (Local Security Authority) ( som vi anbefaler, sammen med Credential Guard), er denne regel overflødig.
- Bloker vedholdenhed via WMI-hændelsesabonnementBemærk! Klienten til Microsoft Configuration Manager (eller tidligere versioner) er stærkt afhængig af WMI, så vi anbefaler omfattende test i overvågningstilstand, før du aktiverer denne regel i bloktilstand.
Du kan finde flere oplysninger om hver af disse regler under Standard beskyttelsesregler.
Alle andre regler kræver test i overvågningstilstand , før du aktiverer dem i bloktilstand . Du kan finde flere oplysninger om hver af disse regler under Andre ASR-regler.
Hvad er nogle anbefalinger til at komme i gang med reduktion af angrebsoverfladen?
Test regler for reduktion af angrebsoverfladen i overvågningstilstand for at identificere line of business-programmer, som du skal udelukke fra reduktion af angrebsoverfladen.
Store organisationer bør overveje at udrulle regler for reduktion af angrebsoverfladen ved at udvide "ringe", hvor du overvåger og aktiverer regler for flere enheder. Du kan organisere enheder i ringe ved hjælp af Microsoft Intune eller et Gruppepolitik administrationsværktøj.
Du kan finde instruktioner i Oversigt over installation af regler for reduktion af angrebsoverfladen.
Hvor længe skal jeg teste en regel for reduktion af angrebsoverfladen i overvågningstilstand, før jeg aktiverer den?
En regel i overvågningstilstand i ca. 30 dage bør give en god grundlinje for, hvordan reglen fungerer. Du kan identificere alle line of business-programmer, der kræver undtagelser.
Jeg skifter fra en sikkerhedsløsning, der ikke er fra Microsoft, til at Microsoft Defender for Endpoint. Er det nemt at importere mine gamle regler for at angribe overfladereduktion?
I de fleste tilfælde er det nemmere og bedre at starte med de anbefalinger til grundlinjer, der foreslås af Defender for Endpoint , end at forsøge at importere regler fra en anden sikkerhedsløsning. Brug overvågningstilstand , overvågning og analyse til at konfigurere Defender for Endpoint.
Standardkonfigurationen for de fleste regler for reduktion af angrebsoverfladen kombineret med Defender for Endpoints beskyttelse i realtid beskytter mod et stort antal udnyttelser og sårbarheder.
I Defender for Endpoint kan du opdatere dit forsvar med brugerdefinerede indikatorer for at tillade og blokere specifik softwarefunktionsmåde. ASR-regler understøtter også undtagelser for filer og mapper. Generelt skal du teste en regel i overvågningstilstand for at identificere undtagelser, der kan være nødvendige for line of business-programmer.
Understøtter reduktion af angreb overflade fil- eller mappeudeladelser, der omfatter systemvariabler og jokertegn i stien?
Ja. Du kan finde flere oplysninger i følgende artikler:
Dækker regler for reduktion af angrebsoverfladen alle apps?
Det afhænger af reglen. De fleste regler dækker funktionsmåden for Microsoft Office-produkter og -tjenester, f.eks. Word, Excel, PowerPoint, OneNote eller Outlook. Nogle regler (f.eks. Bloker udførelse af potentielt slørede scripts) er mere generelle i omfanget.
Understøtter reduktion af angrebsoverfladen ikke-Microsoft-sikkerhedsløsninger?
Nej. Reduktion af angrebsoverfladen bruger Microsoft Defender Antivirus til at blokere apps. Du kan ikke konfigurere reduktion af angrebsoverfladen til at bruge en anden sikkerhedsløsning.
Jeg har en Windows Enterprise E5-licens, og jeg har aktiveret nogle regler for reduktion af angrebsoverfladen med Defender for Endpoint. Er det muligt, at en hændelse til reduktion af angrebsoverfladen ikke vises på hændelsestidslinjen i Defender for Endpoint?
Når en regel for reduktion af angrebsoverfladen lokalt udløser en meddelelse, sendes der også en rapport om hændelsen til Defender for Endpoint-portalen. Hvis du har problemer med at finde hændelsen, kan du filtrere tidslinjen for hændelser ved hjælp af søgefeltet.
Du kan også få vist hændelser for reduktion af angrebsoverfladen ved at vælge Gå til administration af angrebsoverfladen fra Konfigurationsstyring på proceslinjen Microsoft Defender til Cloud. Siden til administration af angrebsoverfladen indeholder en fane til rapportregistreringer, som indeholder en komplet liste over regelhændelser for reduktion af angrebsoverflader, der rapporteres til Defender for Endpoint.
Jeg anvendte en regel ved hjælp af Gruppepolitik. Når jeg forsøger at kontrollere indekseringsindstillingerne for reglen i Microsoft Outlook, får jeg vist fejlen "Adgang nægtet".
Prøv at åbne indekseringsindstillingerne direkte fra Windows 10 eller nyere ved at angive indekseringsindstillinger i søgefeltet.
For reglen med navnet "Bloker eksekverbare filer fra kørsel, medmindre de opfylder et prævalens-, alders- eller listekriterium, der er tillid til", kan jeg så konfigurere kriterierne manuelt?
Nej. Microsoft Cloud Protection bevarer kriterierne ved hjælp af data, der er indsamlet fra hele verden. Du kan tilpasse reglen ved at føje apps til listen over undtagelser for at forhindre, at reglen udløses.
Reglen med navnet 'Bloker eksekverbare filer fra at køre, medmindre de opfylder et prævalens-, alders- eller listekriterium, der er tillid til', er i bloktilstand i min organisation. Reglen begyndte at blokere en tidligere blokeret app, efter at jeg opdaterede appen. Er der noget galt?
Denne regel bestemmer omdømmet for en app ved hjælp af prævalens, alder eller medtagelse på en liste over apps, der er tillid til. Vurderingen af disse kriterier af Microsoft Cloud Protection bestemmer i sidste ende beslutningen om at blokere eller tillade en app.
Cloudbeskyttelse kan typisk fastslå, at en ny version af en app svarer til tidligere versioner af appen, så en længere vurdering af appen er ikke påkrævet. Det kan dog tage tid for den nye version af appen at opbygge et omdømme, især efter en større opdatering. I mellemtiden kan du føje appen til listen over undtagelser. Hvis du ofte opdaterer og arbejder med nye versioner af apps, kan du overveje at konfigurere denne regel i overvågningstilstand .
Jeg har for nylig aktiveret reglen for reduktion af angrebsoverfladen med navnet Block credential stealing from the Windows local security authority subsystem, og jeg får et stort antal meddelelser. Hvad sker der?
En meddelelse, der genereres af denne regel, angiver ikke nødvendigvis skadelig aktivitet. Men denne regel er stadig nyttig til at blokere skadelig aktivitet. Malware er ofte målrettet lsass.exe for at få ulovlig adgang til konti. I lsass.exe-processen gemmes brugerlegitimationsoplysninger i hukommelsen, når en bruger logger på. Windows bruger disse legitimationsoplysninger til at validere brugere og anvende lokale sikkerhedspolitikker.
Da mange legitime processer kræver lsass.exe for legitimationsoplysninger, kan denne regel være særligt støjende. Hvis en kendt, legitim app medfører, at denne regel genererer et stort antal meddelelser, kan du føje den til listen over undtagelser. De fleste andre regler for reduktion af angrebsoverfladen genererer et relativt mindre antal meddelelser.
Er det en god idé at aktivere reglen med navnet Block credential stealing from the Windows local security authority subsystem sideløbende med LSA Protection?
Nej. Hvis du har aktiveret LSA-beskyttelse (Local Security Authority) (hvilket vi anbefaler sammen med Credential Guard):
- Denne regel er ikke påkrævet.
- Denne regel giver ikke ekstra beskyttelse (reglen og LSA-beskyttelse fungerer på samme måde).
- Denne regel er klassificeret som ikke tilgængelig i Defender for Endpoint Management-indstillingerne på Microsoft Defender-portalen.
Hvis du ikke kan aktivere LSA-beskyttelse og/eller Credential Guard, kan du konfigurere denne regel til at give tilsvarende beskyttelse mod malware, der er målrettet lsass.exemod .